黄冠华

区块链改进联网审计途径研究

黄冠华

本文利用文献研究法，总结了现阶段我国联网审计工作实践的特点以及缺陷，分析了将区块链技术应用于联网审计的可行性，同时对区块链改进联网审计系统、应用、操作层面的风险进行了分析，并提出了相应的应对策略。本文得出的结论有：第一，现阶段我国联网审计要达到实时监督的目标，需要在审计数据记录与存储两方面应用区块链技术；第二，由于区块链技术尚不成熟，改进后的联网审计工作需要结合被审计单位实际情况选择审计程序，防范风险。

区块链 联网审计 实时监督 远程审计

一、引言

审计作为一种独立性的经济监督活动，其目的是提高财务报表预期使用者对财务报表的信赖程度。在中共十八大“四化同步”（新型工业化、信息化、城镇化、农业现代化）战略指导下，我国企事业单位经济活动逐步发展，不论是传统工业制造产业还是新兴金融服务行业，经济活动的运行越来越依赖信息技术，直接表现为记录经济活动的数据信息呈现出指数级别增长的态势。信息化背景下的数据信息和信息技术不仅仅是审计工作的对象，同时，审计工作借助信息化的发展同样能够创新审计方法、提高审计效率。

自2002年金审工程启动以来，审计信息化系统建设已经取得了巨大成效，大数据、云计算、数据挖掘等不断涌现的新型技术和工具也促进审计工作逐步向信息化发展，此外，《关于实行审计全覆盖的实施意见》（中办发[2015]58号，下称《意见》）在提倡创新审计方法时明确指出“探索建立审计实时监督系统，实施联网审计”。为了探索适合我国国情的联网审计实施方案，新型技术和工具在联网审计中必不可少，而区块链技术的出现正是审计工作进一步信息化发展的机遇，因此，本文结合区块链技术的研究与应用现状，研究区块链技术改进联网审计的途径具有十分重要的意义。

二、现阶段联网审计的特点与缺陷

王刚（2005）、陈伟等（2008）认为，联网审计是指审计主体利用网络互联技术和审计数据采集模块接入被审计单位的财政财务信息管理系统，在对被审计单位相关信息系统进行测评和高效率的数据采集与分析的基础上，对被审计单位财政财务收支的真实公允、合法合规、经济效益进行实时、远程检查监督的行为。我国的联网审计是审计数据采集模块与被审计单位信息系统和数据存储系统相分离的非现场审计模式。

我国联网审计的工作原理如图1所示，在大数据的时代背景下，林忠华（2016）认为联网审计工作流程与传统审计主要有四点不同，分别为组建联网、数据采集与清洗、实施联网审计程序、审计预警机制，其中审计预警机制则是联网审计的必备功能和特有优势所在。

1.组建联网，联网审计必须要利用网络技术用以发送数据采集请求，同时获取被审计单位的相关信息和数据。自我国实践联网审计工作开始，通常使用的组建联网技术有三种：一是审计人员入驻被审计单位，利用被审计单位现有局域网资源通过交换机与被审计单位数据仓库组成联网审计网络，该法缺点是并未完全实现非现场审计；二是利用PSTN、ISDN、ADSL等电话拨号实现远程审计的解决方案，其网络费用低廉，数据传输速率慢，最新的ADSL2+技术也仅仅达到24Mbps的下行传输速度，因此不适合大数据背景下联网审计的要求；三是采用网络服务商提供的SDH光纤通讯，数据传输带宽较高，稳定性优越，是现阶段我国联网审计最常用的组建联网技术。

2.数据采集与清洗。在采集被审计单位数据这一工作内容上，我国联网审计主要采用分离式采集模块，即并非嵌入被审计单位信息管理系统之中，而是在被审计系统外部架设的服务器接收到审计数据采集请求之后备份到本地，再通过网络传送给审计主体。我国联网审计实践采用分离式数据采集的初衷，一方面是由于嵌入式审计模块不具有通用性，无法兼容日益更新的企事业财政信息管理系统；另一方面是嵌入式审计模块在被审计单位系统内部运行，由于资源占用问题会降低被审计系统运行性能和处理效率。数据清洗是将采集的原始审计数据经过抽取、转换和加载（Extract-Transform-Load, ETL）三个步骤转化为有效的审计信息，再经过后续的审计程序才能够发现审计线索，否则面对容量巨大、类型繁多的大数据，联网审计的工作效率将会非常低下。

3.实施联网审计程序。与传统审计程序定义类似，联网审计程序实质是用以获取充分、适当的审计证据以发表恰当的审计意见的程序，具体程序包括数据分析、建立中间表和形成审计疑点。联网审计人员利用审计分析模型通过大数据挖掘、多维分析和SQL查询等技术对经清洗数据的勾稽关系和业务逻辑进行判断，数据分析是实现手段、中间表是审计依据、审计疑点是阶段成果。

4.审计预警机制，审计预警机制是审计人员利用网络互联环境下联网审计技术自动发现问题的一种技术实现机制。具体来说，这种机制是指联网审计人员借助数据采集模块中的事件触发器，利用设置好审计预警指标对采集到的数据进行自动转换、分析，并通过EMAIL等方式远程提醒联网审计人员。审计人员根据预警机制所发现的问题与管理层进行沟通后取得相关回复，以此达到联网审计实时监督的目的。

图1 我国联网审计工作原理图

图2 联网审计框架图

基于以上分析，本文认为我国正在实施的联网审计框架是审计主体基于联网采集而来的审计数据实施审计程序，利用新型审计方法获取审计证据以出具审计结论的实时监督过程，联网审计框架如图2所示。根据对联网审计工作原理和流程的分析，本文认为大数据背景下我国的联网审计主要有以下缺陷：首先，数据容量超高的原始数据经模块采集后集中存储于审计主体服务器，对审计单位数据存储系统的容量是巨大考验；其次，大数据价值密度低的属性要求联网审计人员具备数据清洗技术支持才能有效发现审计线索，对人员素质要求较高；再次，不论是嵌入式还是分离式的审计数据采集模块为了达到联网审计预警机制和实时审计效果，都不能脱离被审计单位服务器的场景环境；最后，现阶段的联网审计数据传输环节过多影响数据真实性和完整性，传输链条过长导致数据时效性有限，仅达到了亚实时监督（林忠华，2016），未能达到真正的实时监督。

图3 区块链工作原理图

三、区块链的原理、特点与审计业务

区块链起源于虚拟货币比特币，是类似账簿记录与存储比特币流通信息的底层技术；区块链技术的设计初衷是为了验证交易的真伪，防止比特币账簿造假，这与审计的鉴证职能是一致的。区块链本质是一种处理增量数据记录与存储的“分布式账簿”技术，通过去中心化（Decentralized）、去信任中介（Trustless）的方式利用计算机网络中的所有节点集体维护信息的安全性和可靠性。该技术方案主要是将数据区块（Block）通过密码学方法相互关联，每个数据区块记录一定时间内的所有系统交易信息的副本，通过数字签名验证信息的有效性，并链接到下一个数据区块形成一条主链（Chain）。从财务信息角度来说，区块链技术可以理解为一种网络账簿记录系统，每个区块虽然分布在不同的网络地址上，但是都保存参与者所有历史交易记录的完整账簿副本，而不是保存在某一独立的中心服务器上；同时，区块链通过加密技术以及数据并未保存在中心服务器上，分别切断了删除、撤销和修改数据的逻辑渠道和物理渠道，因此具备极高的信息安全性和可靠性，区块链技术原理如图3所示。

正如上文所论述的区块链技术设计初衷与审计鉴证功能相一致，将该技术与审计业务相融合有其理论基础。因此，区块链作为当下信息技术的“风口”，其保障数据完整性、透明性、不可撤销性等特征将促进审计工作信息化的进一步发展。

第一，区块链保障数据完整性，能够降低审计检查风险。区块链的分布式设计和使用的加密技术使其能够有效抵御故障与攻击，这是因为一个区块链由包含交易者和交易确认者在内的交易参与者所共享，交易数据分布保存于各个区块上，若某一区块遭受故障和攻击，链上其他参加者仍能照常运行且保存了记录完整数据的账簿副本，因此保障了审计数据的完整性，减少了被审计单位存在错报而审计人员没有发现的可能性。

图4 区块链改进审计预警机制流程图

第二，区块链具有透明性，在时间维度和空间维度都拓宽了审计范围。透明性指的是由于数据的录入和更新都会被同步至整个区块链上，区块链网络上的任何拥有对应的密钥节点都可以查询整个区块链上的数据记录。在时间维度上，“时间邮戳”（Time Stamp）是区块链的一大创新，指所有参与记账的个体可以在每一个区块上盖上一个时间戳，以说明信息是何时写入的，使账本第一页都呈现出时间顺序，以此构建一个可根据时序追根溯源的大账本，在财务审计中，对于可疑财务数据，审计人员可借助区块链时间邮戳追根溯源、一笔笔验证，精准分析数据是否被篡改；在空间维度上，由于全部交易数据副本会保留在网络中的每个区块上，消除了信息不对称造成的风险，因此获得授权密钥的审计人员可以不受空间限制地访问审计数据，极大地提升了审计监督范畴。

第三，区块链保证数据不可撤销，提高了数据采集的效率。区块链中数据不可撤销性指的是，一旦对数据有更新操作，那么新区块将自动实时拷贝至链上全部区块的技术流程不可逆，与此同时，区块链系统会自动对当前所有账簿进行比较，账簿数据一致且重复区块数量最多会自动识别为真实账簿，其余则是虚假账簿。对于审计人员而言，只需在区块链中任意访问某一区块即可获取实时更新的真实审计数据，极大简化了数据筛选与处理的流程，提高了数据采集的效率。

总体而言，区块链技术应用于审计行业是未来审计工作信息化的趋势所在。区块链技术中对审计信息化最重要的贡献在于分布式账簿中的每个参与者均可获得唯一、真实的账簿副本，使审计地点不再受限；审计人员通过一套公私密钥和数字签名等安全机制获得账簿的访问权，使被审计单位的隐私和机密得到有效保护；账簿的任何改动会实时备份于所有副本中，某一参与者单方发起的任何修改都需要征得全链多数参与者（现阶段区块链设置的阈值为51%）的同意以及全体参与者的确认，从而实现审计数据在区块链网络内的公开和透明，总体上降低了审计风险。

四、区块链技术改进联网审计的有效途径

区块链作为数据记录与存储技术为开展联网审计工作提供了新的发展机遇，为了解决大数据背景下联网审计实践中审计数据记录必须依托于数据采集模块、审计数据存储难度大等现实困境，本文认为区块链可以通过下列两个途径改进联网审计：

1.区块链改进联网审计数据记录方式，能够提高获取审计证据的效率。现行联网审计实践中对获取审计证据贡献最大的是审计预警机制，其依赖于内置在审计数据采集模块中的事件触发器，逻辑流程是：数据记录—事件触发—发送提醒—等待处理。相比于传统审计预警机制结果是等待审计人员处理的亚实时监督，区块链技术对更改数据等异常情况的判断是自动化处理的，达到了真正的实时监督效果，其逻辑流程如图4所示，其中区块链自动备份账簿副本的特点保障了审计数据的时效性，审计人员可以利用审计终端直接访问区块链上记录的信息，实现了脱离审计数据采集模块的远程审计模式。付绍迎（2014）在分析联网审计数据记录机制时认为，被审计单位原始单据录入信息管理系统之后由计算机在后台进行处理的模式使得审计线索中断，增加了审计调查取证的难度，而区块链技术中时间邮戳功能不仅仅能够记录原始数据的数量、货币金额等信息，还针对数据的更新时间、更新程度进行了相应的记录，实现了时间轴上对历史的连续追溯，保证审计线索不中断，也就提高了获取审计证据的工作效率。

2.区块链改进联网审计数据存储方式，可以降低联网审计的实施与运行成本的同时，提高审计数据存储效率。陈伟等（2007）分析现阶段我国联网审计实践工作时认为，联网审计的成本由初始投入成本和后续维护成本两部分组成，其中初始投入成本的数据存储服务器及其占用场地成本、后续维护成本中硬件维护成本占比最高，现阶段联网审计将数据存储于审计主体数据存储系统中央服务器上，具有存储容量负载高、易遭受攻击、访问审计数据时需要审计终端接入中央服务器等缺陷。具有“去中心化”特征的区块链数据存储方法则不需要中央服务器，节省了相应的硬件购置、安装费用，同时一并节约了场地成本和服务器操作人员培训费用。区块链技术相比中央服务器存储的方式拥有更加优越的性能，其分布式存储机制使网络中每个节点都保存有审计数据，不必面对大数据的超高数据存储容量压力；分布式的存储和透明化的查询使数据被篡改的可能性大大降低，其不可撤销性与透明性特征可以杜绝审计数据篡改行为。

五、区块链应用于联网审计的风险分析与应对策略

联网审计借助区块链技术可以充分利用大数据的优势，然而，区块链技术目前仍然处于起步和探索阶段，因此必须理性分析区块链技术应用于联网审计的风险。本文针对区块链改进联网审计的系统层面、应用层面、操作层面分别进行风险分析并提出相对应的策略，其目的是结合我国联网审计工作实践的特点，使区块链技术更好地为审计信息化发展而服务。

基于区块链系统层面的内部风险来自于“51%攻击”（Swanson，2015），区块链面对数据更改时若有超过51%的参与者同意则会将该项更改确认并添加到链上，即某些垄断机构可能掌握超过系统阈值的计算能力，从而有能力操纵账簿数据。虽然理论上“51%攻击”存在发生的可能性，然而现实中以比特币为代表的区块链系统层面到目前为止未曾遭遇过这种攻击，因为掌握整个网络51%以上计算能力需要投入巨大的技术与资源成本，而且随着网络规模的扩大，攻击成本也随之呈指数级增长，在经济上可能得不偿失。对于采用区块链技术而言的联网审计系统而言，其参与者为面向特定对象的联盟链，联盟链特点是审计主体可以访问数据进行审计验证，被审计单位尝试操纵账簿数据则需要审计主体同意。普通信息系统来自外部的风险也很多，如水灾、火灾、地震等自然灾害通常会给信息系统带来毁灭性的打击，因此一般的信息管理系统会考虑灾难恢复计划（Disaster Recovery Plan，DRP）与业务持续计划（Business Continuity Plan，BCP），然而区块链系统由于其独特的分布式存储特点，无需考虑DRP与BCP。因此，本文认为区块链联网审计系统层面风险较小。

以区块链系统为基础的著名风险事件是德国The DAO由于其应用层面的智能合约中存在漏洞导致黑客窃取价值达6000万美元的虚拟货币，该事件直接起因是企业未对其智能合约应用中的代码进行安全审计。事实上，由于信息技术发展迅猛，当审计人员面对新代码、新漏洞时仅仅凭借自身专业知识往往难以找到潜在的安全漏洞，因此，借助专家的工作在联网审计应用层面更加必要。

在操作层面，区块链所采用的加密方式是非对称密钥加密系统，密钥的产生、保管、注入使用等环节都是常见的风险源。在产生环节，未有第三方监督产生密钥；在保管环节，未将三段密钥分别保管且无保管记录；在注入环节，通过电话短信传递密钥的违规行为经常发生。为了应对由加密方式引起的区块链联网审计风险，审计人员应该重点审查密钥产生、交接、注入、更换、销毁以及封存保管操作记录，防范联网审计风险。

作者单位：西南政法大学管理学院

1.Swanson T. Consensus-as-a-service: a brief report on the emergence of permissioned, distributed ledger systems[C].R3 CEV, 2015.

2.陈伟, 尹平. 基于成本效益视角的联网审计可行性分析. 审计与经济研究.2007 (1)

3.陈怡璇. 区块链技术:“分布式账簿”.上海国资. 2016(3)

4.付绍迎. 联网审计面临的问题与对策.理论导报. 2014(4)

5.国家863计划审计署课题组. 计算机审计数据采集与处理技术研究报告. 清华大学出版社. 2006

6.何东, 卡尔 哈伯梅尔, 罗斯 莱科,等. 虚拟货币及其扩展:初步思考.金融监管研究. 2016(4)

7.李一硕. 区块链：或将引发会计行业的颠覆性变革.中国会计报.2016-07-29

8.林忠华. 联网审计:非现场审计的思考. 审计月刊.2016(6)

9.王刚. 联网审计现状与问题的探讨.中国审计.2005(5)