区块链改进联网审计途径研究
2016-12-21黄冠华
黄冠华
区块链改进联网审计途径研究
黄冠华
内容提要:在大数据环境下,被审计单位财务和业务数据指数式增长,为联网审计工作中审计数据的记录和存储带来了新挑战;《关于实行审计全覆盖的实施意见》要求建立实时监督系统,这一要求是联网审计的发展方向。本文利用文献研究法,总结了现阶段我国联网审计工作实践的特点以及缺陷,分析了将区块链技术应用于联网审计的可行性,同时对区块链改进联网审计的系统层面、应用层面、操作层面的风险进行了分析并提出了相应的应对策略。本文得出的结论有:第一,现阶段我国联网审计要达到实时监督的目标,需要在审计数据记录与存储两方面应用区块链技术;第二,由于区块链技术尚不成熟,改进后的联网审计工作需要结合被审计单位实际情况选择审计程序,防范风险。
区块链联网审计实时监督远程审计
一、引 言
审计作为一种独立性的经济监督活动,其目的是提高财务报表预期使用者对财务报表的信赖程度(中国注册会计师审计准则第1101号,2010)。在中共十八大“四化同步”(新型工业化、信息化、城镇化、农业现代化)战略指导下,我国企事业单位经济活动逐步发展,不论是传统工业制造产业还是新兴金融服务行业,经济活动的运行越来越依赖信息技术,直接表现为记录经济活动的数据信息呈现出指数级别增长的态势。信息化背景下的数据信息和信息技术不仅仅是审计工作的对象,与此同时,审计工作借助信息化的发展同样能够创新审计方法、提高审计效率。
自2002年金审工程启动以来,审计信息化系统建设已经取得了巨大成效,大数据、云计算、数据挖掘等不断涌现的新型技术和工具也促进审计工作逐步向信息化发展,此外,《关于实行审计全覆盖的实施意见》(中办发[2015]58号,下称《意见》)在提倡创新审计方法时明确指出“探索建立审计实时监督系统,实施联网审计”。为了探索适合我国国情的联网审计实施方案,新型技术和工具在联网审计中必不可少,而区块链技术的出现正是审计工作进一步信息化发展的机遇,因此,本文结合区块链技术的研究与应用现状,研究区块链技术改进联网审计的途径具有十分重要的意义。
二、现阶段联网审计的特点与缺陷
王刚(2005)、陈伟等(2008)认为,联网审计是指审计主体利用网络互联技术和审计数据采集模块接入被审计单位的财政财务信息管理系统,在对被审计单位相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实公允、合法合规、经济效益进行实时、远程检查监督的行为,我国的联网审计是审计数据采集模块与被审计单位信息系统和数据存储系统相分离的非现场审计模式。
图1 我国联网审计工作原理图
我国联网审计的工作原理如图1所示(国家863计划审计署课题组,2006),在大数据的时代背景下,林忠华(2016)、程平等(2016)认为联网审计工作流程与传统审计主要有四点不同,分别为组建联网、数据采集与清洗、实施联网审计程序、审计预警机制,其中审计预警机制则是联网审计的必备功能和特有优势所在。
第一是组建联网,联网审计必须要利用网络技术用以发送数据采集请求,同时获取被审计单位的相关信息和数据。自我国实践联网审计工作开始,通常使用的组建联网技术有三种:一是审计人员入驻被审计单位,利用被审计单位现有局域网资源通过交换机与被审计单位数据仓库组成联网审计网络,该方案缺点是并未完全实现非现场审计;二是利用PSTN、ISDN、ADSL等电话拨号实现远程审计的解决方案,其网络费用低廉因此数据传输速率慢,最新的ADSL2+技术也仅仅达到24Mbps的下行传输速度,因此不适合大数据背景下联网审计的要求;三是采用网络服务商提供的SDH光纤通讯,数据传输带宽较高的同时稳定性优越,是现阶段我国联网审计最常用的组建联网技术。
第二是数据采集与清洗。在采集被审计单位数据这一工作内容上,我国联网审计主要采用分离式采集模块,即并非嵌入被审计单位信息管理系统之中,而是在被审计系统外部架设的伺服器接收到审计数据采集请求之后备份到本地再通过网络传送给审计主体。我国联网审计实践采用分离式数据采集的初衷,一方面是由于嵌入式审计模块不具有通用性,无法兼容日益更新的企事业财务财政信息管理系统;另一方面是嵌入式审计模块在被审计单位系统内部运行,由于资源占用问题会降低被审计系统运行性能和处理效率。数据清洗是将采集的原始审计数据经过抽取、转换和加载(Extract-Transform-Load,ETL)三个步骤转化为有效的审计信息,再经过后续的审计程序才能够发现审计线索,否则面对容量巨大、类型繁多的大数据,联网审计的工作效率将会非常低下。
第三是实施联网审计程序。与传统审计程序定义类似,联网审计程序实质是用以获取充分、适当的审计证据以发表恰当的审计意见的程序,具体程序包括数据分析、建立中间表和形成审计疑点。联网审计人员利用审计分析模型通过大数据挖掘、多维分析和SQL查询等技术对经清洗数据的勾稽关系和业务逻辑进行判断,数据分析是实现手段、中间表是审计依据、审计疑点是阶段成果。
第四是审计预警机制,审计预警机制就是审计人员利用网络互联环境下联网审计技术自动发现问题的一种技术实现机制。具体来说,这种机制是指联网审计人员借助数据采集模块中的事件触发器,提前设置好审计预警指标对采集到的数据进行自动转换、分析,并通过EMAIL等方式远程提醒联网审计人员。审计人员根据预警机制所发现的问题与管理层进行沟通后取得相关回复,以此达到联网审计实时监督的目的。
图2 联网审计框架图
基于以上分析,本文认为我国正在实施的联网审计框架是审计主体基于联网采集而来的审计数据实施审计程序,利用新型审计方法获取审计证据以出具审计结论的实时监督过程,联网审计框架如图2所示。根据对联网审计工作原理和流程的分析,本文认为大数据背景下我国的联网审计主要有以下缺陷:首先,数据容量超高的原始数据经模块采集后集中存储于审计主体伺服器,对审计单位数据存储系统的容量是巨大考验;其次,大数据价值密度低的属性要求联网审计人员具备数据清洗技术支持才能有效发现审计线索,对人员素质要求较高;再次,不论是嵌入式还是分离式的审计数据采集模块为了达到联网审计预警机制和实时审计效果,都不能脱离被审计单位伺服器的场景环境;最后,现阶段的联网审计数据传输环节过多影响数据真实性和完整性,传输链条过长导致数据时效性有限,仅达到了亚实时监督(林忠华,2016),未能达到真正的实时监督。
三、区块链的原理、特点与审计业务
以科技金融(Fintech)、咨询业为代表的行业已经率先将区块链技术投入商业使用,德勤开发的区块链应用平台Rubix目前能为客户提供交易对手确认、实时审计、土地登记、忠诚度积分等服务,公司首席咨询官Eric Piscini(2015)认为,“一方面,由于客户将所有交易上传到区块链上,因此能够加快审计进度;另一方面,得益于区块链具有不可逆性和时间邮戳功能,对于需要进行审计的客户,审计人员会审计该客户的区块链及链上的全部交易”,因此区块链能够同时降低审计成本和审计检查风险。除了德勤之外,安永、普华永道也积极进行战略布局、团队构建和技术平台研发,普华永道中国合伙人季瑞华(2016)认为,区块链具有“去中心化、分布式记账、公开透明、不可篡改”的特性,将为传统审计行业带来巨大变革和升级。陈怡璇(2016)认为审计人员借助区块链技术可以通过实时访问被审计单位数据,达到100%覆盖率的审计范围与自动化税务合规申报工作,使客户与监管部门同时受益。
区块链起源于虚拟货币比特币,是类似账簿记录与存储比特币流通信息的底层技术;区块链技术的设计初衷就是为了验证交易的真伪,防止比特币账簿造假,这与审计的鉴证职能是相一致的。区块链本质是一种处理增量数据记录与存储的“分布式账簿”技术,通过去中心化(Decentralized)、去信任中介(Trustless)①Trustless这一单词在国内较多被译为“去信任(化)”,译法容易导致误解;本文根据区块链增强信息信赖程度的本质特征以及数据鉴伪的技术目标,将该词翻译为“去信任中介”。的方式利用计算机网络中的所有节点集体维护信息的安全性和可靠性。该技术方案主要是将数据区块(Block)通过密码学方法相互关联,每个数据区块记录一定时间内的所有系统交易信息的副本,通过数字签名验证信息的有效性,并链接到下一个数据区块形成一条主链(Chain)。从财务信息角度来说,区块链技术可以理解为一种网络账簿记录系统,每个区块虽然分布在不同的网络地址上,但是都保存参与者所有历史交易记录的完整账簿副本,而不是保存在某一独立的中心伺服器上;同时,由于区块链的加密技术以及数据并未保存在中心伺服器上,分别切断了删除、撤销和修改数据的逻辑渠道及物理渠道,因此具备极高的信息安全性和可靠性,区块链技术原理如图3所示。
图3 区块链工作原理图
正如上文所论述的区块链技术设计初衷与审计鉴证功能相一致,将该技术与审计业务相融合有其理论基础。因此,区块链作为当下信息技术的“风口”,其保障数据完整性、透明性、不可撤销性等特征将促进审计工作信息化的进一步发展。
第一,区块链保障数据完整性,能够降低审计检查风险。区块链的分布式设计和使用的加密技术使其能够有效抵御故障与攻击,这是因为一个区块链由包含交易者和交易确认者在内的交易参与者所共享,交易数据分别保存于各个区块上,若某一区块遭受故障和攻击,链上其他参加者仍能照常运行且保存记录完整数据的账簿副本,因此保障了审计数据的完整性,减少了被审计单位存在错报而审计人员没有发现的可能性。
第二,区块链具有透明性,在时间维度和空间维度都拓宽了审计范围。透明性指的是由于数据的录入和更新都会被同步至整个区块链上,区块链网络上的任何拥有对应密钥的节点都可以查询整个区块链上的数据记录。在时间维度上,“时间邮戳”(Time Stamp)是区块链的一大创新,指所有参与记账的个体可以在每一个区块上盖上一个时间戳,以说明信息是何时写入的,使账本第一页都呈现出时间顺序,以此构建一个可根据时序追根溯源的大账本,在财务审计中,对于可疑财务数据,审计人员可借助区块链时间邮戳追根溯源、一笔笔验证,精准分析数据是否被篡改;在空间维度上,由于全部交易数据副本会保留在网络中的每个区块上,消除了信息不对称造成的风险,因此获得授权密钥的审计人员可以不受空间限制地访问审计数据,极大地提升了审计监督范畴。
第三,区块链保证数据不可撤销,提高了数据采集的效率。区块链中数据不可撤销性指的是,一旦对数据有更新操作,那么新区块将自动实时拷贝至链上全部区块的技术流程不可逆,与此同时区块链系统会自动对当前所有账簿进行比较,账簿数据一致且重复区块数量最多会自动识别为真实账簿,其余则是虚假账簿。对于审计人员而言,只需在区块链中任意访问某一区块即可获取实时更新的真实审计数据,极大简化了数据筛选与处理的流程,提高了数据采集的效率。
总体而言,区块链技术应用于审计行业是下一步审计工作信息化的趋势所在。区块链技术对审计信息化最重要的贡献在于分布式账簿中的每个参与者均可获得唯一、真实的账簿副本,使审计地点不再受限;审计人员通过一套公私密钥和数字签名等安全机制获得账簿的访问权,使被审计单位的隐私和机密得到有效保护,符合《意见》中对审计资料严格保密的要求;账簿的任何改动会实时备份于所有副本中,某一参与者单方发起的任何修改都需要征得全链多数参与者(现阶段区块链设置的阈值为51%)的同意以及全体参与者的确认,从而实现审计数据在区块链网络内的公开和透明,总体上降低了审计风险。
四、区块链技术改进联网审计的有效途径
区块链作为数据记录与存储技术为开展联网审计工作提供了新的发展机遇,为了解决大数据背景下联网审计实践中审计数据记录必须依托于数据采集模块、审计数据存储难度大等现实困境,本文认为区块链可以通过下列两个途径改进联网审计:
一方面,区块链改进联网审计数据记录方式,能够提高获取审计证据的效率。现行联网审计实践中对获取审计证据贡献最大的是审计预警机制,其依赖于内置在审计数据采集模块中的事件触发器,逻辑流程是数据记录—事件触发—发送提醒—等待处理。相比于传统审计预警机制结果是等待审计人员处理的亚实时监督,区块链技术对更改数据等异常情况的判断是自动化处理的,达到了真正的实时监督效果,其逻辑流程如图4所示,其中区块链自动备份账簿副本的特点保障了审计数据的时效性,审计人员可以利用审计终端直接访问区块链上记录的信息,实现了脱离审计数据采集模块的远程审计模式。付绍迎(2014)在分析联网审计数据记录机制时认为,被审计单位原始单据录入信息管理系统之后由计算机在后台进行处理的模式使得审计线索中断,增加了审计调查取证的难度,而区块链技术中时间邮戳功能不仅仅能够记录原始数据的数量、货币金额等信息,还针对数据的更新时间、更新程度进行了相应的记录,实现了时间轴上对历史的连续追溯,保证审计线索不中断,也就提高了获取审计证据的工作效率。
图4 区块链改进审计预警机制流程图
另一方面,区块链改进联网审计数据存储方式,可以在降低联网审计实施与运行成本的同时提高审计数据存储效率。陈伟等(2007)分析现阶段我国联网审计实践工作时认为联网审计的成本由初始投入成本和后续维护成本两部分组成,其中初始投入成本的数据存储伺服器及其占用场地成本、后续维护成本中硬件维护成本占比最高,现阶段联网审计将数据存储于审计主体数据存储系统中央伺服器上,具有存储容量负载高、易遭受攻击、访问审计数据时需要审计终端接入中央伺服器等缺陷。具有“去中心化”特征的区块链数据存储方法则不需要中央伺服器,节省了相应的硬件购置、安装费用,同时一并节约了场地成本和伺服器操作人员培训费用。区块链技术相比中央伺服器存储的方式拥有更加优越的性能,其分布式存储机制使网络中每个节点都保存有审计数据,不必面对大数据的超高数据存储容量压力;分布式的存储和透明化的查询使数据被篡改的可能性大大降低,其不可撤销性与透明性特征可以杜绝审计数据篡改行为。
在“十三五”规划中,国家实施大数据战略,各地政府与大型企业即将投入大量的资金用于信息化建设,这对现阶段联网审计提出了新的要求。区块链技术能更好地满足大数据环境下海量联网审计数据记录与存储的需要,其本身的技术优势也能够满足联网审计实时监督、远程审计和高效率数据采集与分析的需求,因此,本文认为区块链技术是促进联网审计工作发展的有效途径。
五、区块链应用于联网审计的风险分析与应对策略
联网审计借助区块链技术可以充分利用大数据的优势,然而审计实务人士与学者应该充分意识到区块链技术目前仍然处于起步和探索阶段,因此必须理性分析区块链技术应用于联网审计的风险。本文针对区块链改进联网审计的系统层面、应用层面、操作层面分别进行风险分析并提出相对应的策略,其目的是结合我国联网审计工作实践的特点,使区块链技术更好地为审计信息化发展而服务。
基于区块链系统层面的内部风险来自于“51%攻击”(Swanson,2015),正如本文第三节所论述的,区块链面对数据更改时若有超过51%的参与者同意则会将该项更改确认并添加到链上,即某些垄断机构可能掌握超过系统阈值的计算能力从而有能力操纵账簿数据。虽然理论上“51%攻击”存在发生的可能性,然而现实中以比特币为代表的区块链系统层面到目前为止未曾遭遇过这种攻击,因为掌握整个网络51%以上计算能力需要投入巨大的技术与资源成本,而且随着网络规模的扩大,攻击成本也随之呈指数级增长,在经济上可能得不偿失。对于采用区块链技术而言的联网审计系统而言,其参与者为面向特定对象的联盟链,联盟链特点是审计主体可以访问数据进行审计验证,被审计单位尝试操纵账簿数据则需要审计主体同意。普通信息系统来自外部的风险也很多,如水灾、火灾、地震等自然灾害通常会给信息系统带来毁灭性的打击,因此一般的信息管理系统会考虑灾难恢复计划(Disaster Recovery Plan,DRP)与业务持续计划(Business Continuity Plan,BCP),然而区块链系统由于其独特的分布式存储特点,无需考虑DRP与BCP。因此,本文认为区块链联网审计系统层面风险较小。
以区块链系统为基础的著名风险事件是德国TheDAO由于其应用层面的智能合约中存在漏洞导致黑客窃取价值达6000万美元的虚拟货币,该事件直接起因是源于企业未对其智能合约应用中的代码进行安全审计。事实上,由于信息技术发展迅猛,当审计人员面对新代码、新漏洞时仅仅凭借自身专业知识往往难以找到潜在的安全漏洞,因此,借助专家的工作在联网审计应用层面更加必要。
在操作层面,区块链所采用的加密方式是非对称密钥加密系统,密钥的产生、保管、注入使用等环节都是常见的风险来源。在产生环节,未有第三方监督产生密钥;在保管环节,未将三段密钥分别保管且无保管记录;在注入环节,通过电话短信传递密钥的违规行为经常发生。为了应对由加密方式引起的区块链联网审计风险,审计人员应该重点审查密钥产生、交接、注入、更换、销毁以及封存保管操作记录,防范联网审计风险。
六、总 结
本文针对大数据背景下我国开展联网审计的现实困境和发展需要,探讨了将区块链技术应用于联网审计改进的实现途径,并分析了实施区块链联网审计可能存在的主要风险,同时提供了降低风险的应对策略。通过本文的研究可知,利用区块链技术改进联网审计具有众多的优点,能够满足联网审计实时监督、远程审计的要求,也能够满足审计工作信息化建设的需要,然而区块链技术还处于初步发展阶段,联网审计人员要根据被审计单位实际情况选择适当的审计程序,时刻防范其审计风险。
[1]Swanson T.Consensus-as-a-service:A Brief Report on the Emergence of Permissioned,Distributed Ledger Systems[C].R3 CEV,2015.
[2]陈伟,尹平.基于成本效益视角的联网审计可行性分析[J].审计与经济研究,2007(1):36-39.
[3]陈怡璇.区块链技术:“分布式账簿”[J].上海国资,2016(3):78-79.
[4]程平,白沂,贺灏璁.云会计环境下基于COBIT标准的大数据审计研究[J].会计之友,2016(4):125-128.
[5]付绍迎.联网审计面临的问题与对策[J].理论导报,2014(4).
[6]国家863计划审计署课题组.计算机审计数据采集与处理技术研究报告[M].清华大学出版社,2006.
[7]何东,卡尔·哈伯梅尔,罗斯·莱科,等.虚拟货币及其扩展:初步思考[J].金融监管研究,2016(4).
[8]李一硕.区块链:或将引发会计行业的颠覆性变革[N].中国会计报,2016-07-29.
[9]林忠华.联网审计:非现场审计的思考[J].财政科学,2016(4):75-87.
[10]王刚.联网审计现状与问题的探讨[J].中国审计,2005(5):11-11.
Research on the Improvement Approach of Blockchain to the Online Audit
Huang Guanhua
In the big data environment,the audited financial and business data of exponential growth has brought new challenges for the recording and storage of audit data for the online audit work.Implementation Opinions on the Implementation of Full Coverage of the Audit requirements to establish a real-time monitoring system.This requirement is the development direction of online audit.This article uses literature research method,summarizes the present stage of China’s online audit practice and the defects,and analyzes the feasibility of applying the block chain technology to online audit.The operation risk level is analyzed and the corresponding countermeasures are proposed.The conclusions of this paper are:first,to achieve real-time supervision goals,China’s online audit currently needs to apply block chain technology to audit data recording and storage;second,because the block chain technology is immature,improved online audit work needs to be combined with the actual situation of the audit unit to select audit procedures to prevent from risks.
Blockchain;Real Time Supervision;Remote Auditing
作者单位:西南政法大学管理学院
F239.1
A
2096-1391(2016)10-0084-08
(责任编辑:李利华)