区块链和内部审计
2019-09-10曾繁荣
曾繁荣
[摘要]2019年8月,国际内部审计师协会(IIA)发布了题为《区块链和内部审计》的研究报告,介绍了区块链的相关概念和潜在应用场景,分析了区块链在内部审计中的潜在应用及内部审计可能面临的挑战。
[关键词]区块链 内部审计 潜在应用 挑战
引言
区块链越来越受欢迎,加上区块链从根本上改变了许多业务流程的处理方式,这为内部审计提出了一个重要问题:专业人员应采取哪些步骤来应对这种转型技术?
区块链是一个共享数据库,用于创建永久的交易记录。数据库通过带有多个相连设备的网络来共享,这些设备被称为“节点”。每当添加新交易时,网络上的所有其他节点都可立即更新并查看。此外,交易的结构设计使人们无法更改先前的记录。
区块链最初的突出优势源于它作为比特币等数字货币的底层技术。此外,该技术在各种业务流程和实体中还有许多其他应用。随着这些应用变得更加普遍,内部审计作为风险管理的第三道防线将直接受到影响。
区块链技术的某些属性和特性为许多新的、有前景的应用开辟了可能,这些应用涉及广泛的行业,从金融服务到医疗保健、从软件开发到制造业和食品生产,甚至更多。然而,在许多方面,企业范围内的区块链应用程序仍然不断出现。有证据显示,虽然一些内部审计部门正在对所在公司采用区块链作出反应,但整个行业在这方面还没有发挥主导作用。
可以肯定的是,在区块链具有最明显愿景的行业中,一些大的组织正在采取行动,以解决与该技术相关的审计挑战。然而,由于区块链交易的记录被认为是不可更改的,而且区块链交易对所有参与者都是立即可见的,因此在不同程度上存在一种误解,即认为对与区块链相关的保证活动的需求是有限的。
但是,大多数内部审计人员最终将受到区块链技术的直接和显著影响。即使他们的组织不采用区块链技术,但他们的供应商、客户或其他第三方也可能采用(如智能合约),这将使他们有必要解决相关技术问题。由于可能被要求利用新方法和工具来验证区块链的结构和可行性、评估区块链交易对其组织风险敞口的影响以及评估与区块链交易相关联的风险管理工作的适当性和有效性,内部审计人员至少需要掌握区块链技术功能和风险等相关知识。
“区块链和内部审计”研究报告旨在为各类组织的内部审计人员提供评估当前区块链技术水平的基本框架、提供制订审计计划的路线图,以解决遇到的区块链问题。
一、区块链的相关性
区块链的特征之一是它能够创建旨在不可更改的永久性交易记录,同时还具有网络透明和弹性。透明是因为没有参与者可以对现有记录进行任何更改,弹性是因为单个节点(甚至一组节点)的故障不會导致数据丢失。在需要单一、共享和不可更改的真实版本的情况下,这些特征具有明显的价值。
(一)区块链和其他技术
作为“第四次工业革命”的一部分,诸如人工智能、机器学习、机器人处理自动化、高级数据分析、增材制造(或3D打印)和物联网等数字技术,区块链有彻底改变许多业务流程(甚至整个行业)的潜力,而且当它与其他类型的数字技术相结合时,每种技术的个体影响可以成倍增加。例如,物联网连接设备允许医疗保健提供者实时远程监控患者状况——这是一项重要的进步。但是,使这些物联网功能更可行的是底层的区块链基础设施,它还可以验证物联网传感器正在生成的有效、真实信息,而没有人对这些信息进行篡改。
这种数字技术的融合有可能通过支持互操作性、机器对机器通信和新的网络物理系统来创建全新的业务模型。在某些情况下,这种融合可以创造新的收入机会。在大多数情况下,它通过允许以更快的速度和更低的成本完成现有交易,从而为提高效率创造了机会。
(二)不断变化的风险环境
尽管这些技术进步令人着迷,但它们的变革性和演变性给内部审计带来了特殊的挑战。没有任何两个组织以相同的方式处理这些功能,也没有任何组织可能只使用基于区块链的技术。区块链应用程序将在不同的位置以不同的方式与更传统的流程进行接口。
这些广泛变化的场景意味着内部审计将需要适应涉及众多数字技术应用程序的不同程度的交互和复杂性。要做到这一点,内部审计需要开发具有多种技术专长的资源,并需要创建一个能够随着区块链不断发展而迅速适应的协作环境。
二、区块链技术的运用
内部审计人员没有必要完全掌握区块链的所有技术工作,以认识到它可能给内部审计带来的潜在好处和挑战,但对以下基本概念有一个了解是有益的。
(一)公共和私人区块链
如前所述,区块链是分布在计算机网络多个节点上的共享数据库。区块链可以向公众或私人开放(即只对选定的参与者开放)。
每种区块链都提供各种用户可以采取的操作类型。某些情况提供“无授权”(permissionless)访问,允许用户读取、写入和验证交易,通常用于公共网络,如那些能够交换加密货币的网络。
其他情况提供“许可”(permissioned)访问,这限制了某些参与者的可能行为。许可访问通常与私有区块链网络相关联。大多数企业区块链(公司用于非加密目的)是私有的、许可的区块链。
私有区块链由同意参与共享的组织建立,这些组织包括大型制造商及各种供应商、控股公司及其子公司或支付处理网络及参与成员公司。建立网络的公司或财团管理网络并控制访问。
私有区块链网络提供了许多好处,这些好处对许多类型的企业都具有显著优势。区块链通过几种不同的方法在系统参与者和消费者之间建立信任,为流程、输入、过程或功能的其他方面提供所有相关方的透明性。这种透明性可以扩展到整个过程,从原材料生产者到消费者。此外,添加到区块链的交易不是通过可能受到影响或损坏的人工输入来验证的,而是通过分布在多个节点之间公正的数学方法来验证,以确认交易是否满足预先确定的条件。
(二)智能合约
区块链使用作为软件代码开发的业务流程执行交易,这些业务流程被称为智能合约。智能合约要求在下一个交易发生之前必须满足特定的合约期限或条件,它们还使自动化监测和执行合同承诺成为可能,使人力干预最少化,从而提高效率并改善以较少的额外投资扩大业务的机会。例如,在金融服务领域,以往为存货融资的某些商业贷款受到限制,因为需要进行现场审计,并对销售记录和存货进行实际核查。但当使用区块链技术时,贷款人可以使用智能合同来执行贷款条款,并自动执行销售验证过程。该功能降低了执行物理审计的成本和约束,并且显著降低了舞弊的可能性。
除了通过自动化手册和基于票据的任务来降低成本外,区块链还通过显著减少中介的使用和手工验证的需要来提高工作流程的速度。这种能力已经在支付处理行业得到了证明,大型银行已经开始使用区块链来降低成本,并显著加快全球支付交易的结算时间。
(三)区块链用例
2018年年中,一位在线研究人员兼区块链倡导者编制了一份清单——当时正在使用或正在探索区块链应用程序的全球200多家大型银行和其他金融服务企业,这份清单无疑还在继续增长。区块链可以让银行等金融服务提供商在所有业务单元之间共享和自动更新客户信息,提高客户体验,降低客户获取成本。
区块链还提供了改进其他业务功能的能力,包括营销和法规遵从性。区块链在金融服务中的其他用例包括处理国际支付的新应用程序、加速证券交易中的清算和结算流程以及处理贸易融资交易。
除了金融服务之外,许多其他行业也在积极开发区块链技术。例如,在医疗保健领域,大型供应商正在探索使用区块链的方法,以确保患者电子病历的隐私和准确性,以及医疗账单和索赔处理;中国某大型保险公司已开始与100多家医院合作,使用区块链技术安全处理患者数据和财务信息;美国一家领先的零售连锁店获得了一项通过区块链存储病人医疗记录系统的专利。
除了健康保险之外,更广泛的保险业正在探索区块链在多种业务功能中的应用,包括索赔处理、代位求偿权和再保险。科技研究公司Report Linker预测,到2023年,全球区块链保险市场可能会从2018年的6450万美元增长到14亿美元,复合年增长率接近85%。
区块链在涉及生产和移动实物产品的制造和分销业务方面也获得了相当大的关注。智能合同应用程序可以实现许多常规供应链管理流程的自动化,使用区块链将信息数字化,然后跟踪记录货物和材料的发货及运行轨迹。
2018年8月,由10家大型食品公司组成的集团宣布了一项倡议,利用区块链账本,通过在食品链上实现对农产品和商品的即时追溯,以提高食品安全。除了跟踪发货和交易的处理之外,当区块链与其他先进技术系统(如水检测机制、传感器、杀虫剂和水的精确输送系统)相结合时,还提供了更大的潜在好处。
虽然挑战可能是重大的,但是快速增长的用例数量表明,采用区块链技术的潜在回报也可能是巨大的,而且在许多情况下可能是彻底的变革。鉴于此,内部审计人员应该问这样一个问题:随着这项技术的发展,内部审计人员将扮演什么样的角色?内部审计如何才能适应这种变化,为组织提供最大的价值?
三、内部审计面临的挑战
虽然似乎还没有任何特定的将区块链应用于内部审计功能本身而开发的用例,但是内部审计人员在区块链开发中仍然可以发挥重要的作用。内部审计的功能需要拓展,以验证区块链的各个组件正常工作的能力,包括验证访问权限、加密和加密代码,以及检查智能合约交易代码、功能和安全性,相关的治理、风险管理和控制程序也需要内部审计予以考虑。
(一)目前的认识和理解
为评估内部审计对这一演变的总体准备,IIA审计执行中心与内部审计基金会和Crowe合作,对IIA成员进行了有限的调查。调查参与者代表了各种规模的组织,包括私营和上市公司、公共部门和非营利组织,来自金融和保险、制造业、教育服务、交通运输和公共行政部门的代表人数也很多。
如图1所示,调查对象涵盖不同规模的内部审计部门,从只有1人的小部门到拥有50多名雇员的大部门,其中6至10人的部门在调查中占最大比例。
当被问及组织是否已经使用区块链,或者目前是否已经或正在考虑开发区块链技术或试点项目时,三分之二的受访者表示不知道其组织有此类筹备活动(如图2所示)。
当然,至少有一些组织实际上已经开始进行区块链开发,但大量的“否”回复表明,接受调查的大多数内部审计专业人员对其组织中潜在的区块链应用很少或根本不熟悉。
当进行公司采用区块链的最大障碍调查时,允许提供开放式、无准备的回答。大多数受访者的回答表示,缺乏对基本知识的理解,还不知道或不理解区块链技术,也不知道它能为他们做什么(如图3所示)。
鉴于区块链技术仍处于萌芽阶段,IIA调查显示的缺乏理解并不完全令人意外。在许多情况下,企业还没有找到采用或了解该技术的理由,因为在他们的行业中,采用该技术还不够明显,不足以将其列为优先事项。
(二)接纳之后的运用
一些行业观察人士将如今的區块链状态与20世纪90年代初的互联网状态进行了比较。互联网在发展初期,被认为是一个有趣的新奇事物,而不是一个革命性工具。此外,当企业开始联机时,最初关注的重点是企业内部网应用程序——通常员工对web、电子邮件或其他外部资源的访问要么被禁止、要么受到严格限制。随着互联网访问变得越来越有用、IT安全协议变得越来越复杂,这些限制逐渐被解除。最终,互联网不仅变得有用,而且变得必不可少。今天的企业依赖于云解决方案来执行其业务操作的一些最关键的方面,并且使用云存储来处理最敏感的记录和文档。许多人认为,区块链的未来很有可能出现同样的模式——怀疑,然后是有限的接受和参与,最终才是广泛采用和主动使用。
随着技术得到更广泛的主流接受和更大的相关性,并且随着区块链分类账开始处理更多业务,无论是交易数量还是美元价值,组织制定包含区块链的综合政策和程序(包含协议和最佳实践)将变得越来越重要。这意味着内部审计需要制定程序来评估区块链系统的性能,内部审计师有必要更新对区块链流程相关的内部和外部风险的理解并制定相关监控程序。
四、做好运用区块链的准备
不管启动了什么特定的应用程序,采用区块链需要的不仅仅是技术专长。对于大多数组织,第一步是验证区块链是否确实是针对所处理的特定问题的最合适的解决方案,必须能够证明为什么使用区块链比使用传统数据库更好。此外,必须能够证明潜在的成本节约、收益增加,或者对其他关键业务指标的可度量的改进。
内部审计在这个阶段的投入和参与将主要集中于治理、安全、审计政策和程序以及其他风险管理和控制等。此外,内部审计应该考虑采用区块链的策略和业务案例,以便能够提供相关的输入。
内部审计涉及这些方面的程度将有所不同,这取决于组织是在内部开发区块链,还是采用第三方来源的技术。这些重点领域可以组织成由如下四个主要部分组成的框架。
(一)资源和人力资本
内部审计部门应清楚,采用区块链将需要在人力和组织资源方面作出一些调整,以便内部审计继续履行其职责。除了招聘具有内部审计或会计和财务背景的候选人外,一些内部审计部门可能还需考虑扩大招聘范围,將具备一定技术技能的候选人包括在内,如编码或网络安全,这在采用区块链时是一个相关问题。此外,在缺乏足够专业人员的情况
下,可以利用具有专门技能的外部公司提供专门知识。
因为区块链经常与其他新兴技术相结合,所以没有一种专业的单一组合适合于每个组织。尽管如此,随着业务流程日益自动化,面向技术的总体定位(尤其是在高级分析等领域)很可能成为未来吸引内部审计人才需求的重要方面。
此外,内部审计部门当然应继续寻找具有良好批判性思维和解决问题能力以及强大沟通技巧的新员工,大多数内部审计部门已经关注到这些方面。对于新员工和现有内部审计人员,也可能需要与特定区块链应用相关的专门培训。
(二)风险识别
在所有的风险管理工作中,准确和彻底地识别风险是一个重要的起点。与涉及区块链的许多其他因素一样,有些风险几乎适用于所有区块链实施,这些风险包括:
一是客户信息安全。如前所述,保护个人健康和财务信息的机密性是金融服务和医疗保健应用中公认的监管风险领域。此外,欧盟的《通用数据保护条例》(GDPR)将此保护扩展到所有类型的个人信息。内部审计将在确定现有保密性保护措施是否适应区块链采用方面发挥重要作用,同时保证符合监管要求。
二是网络复杂性。与区块链相关的固有风险可以随着网络上的节点数量、备份节点以及对备份系统的管理而发生显著变化。由供应链中的十几家供应商组成的私人区块链与包含数千名患者的医疗记录的大型医疗保健区块链相比,显然具有截然不同的风险特征。事实上,更大的网络实际上可以帮助减少某些类型的风险。例如,在一个分布在广泛区域内的由成千上万用户组成的网络中,所有节点失败并导致数据丢失的风险变得非常小。然而,低可能性、高影响风险仍然值得重视。由于网络故障对基于区块链的业务流程的影响非常大,因此必须解决这一风险。另一个相关的风险涉及网络参与者同意用于构建和记录其交易的一致性算法,该算法直接影响许多其他因素,包括块结构、存储需求和安全风险。
三是网络模型。公共和私有区块链呈现截然不同的风险状况。私有区块链几乎总是比公共区块链节点少。随着更多实体被添加到区块链中,区块链与非区块链网络交互的点数通常会增加——安全漏洞或其他漏洞的相关风险也会随之增加,这些连接网络的安全协议的变化也增加了额外的风险。
四是智能合约。随着智能合约的复杂性增加,参与者越多,指令越详细,错误的机会也会增加。一个特别关注的领域涉及系统与“oracles”的交互——即“链外”实体,它们是关键信息的可信提供者。例如,考虑作物保险或一些其他类型的参数保险,它们不会对保单持有人的特定损失进行赔偿,而是同意在发生触发事件(如洪水或冰雹)时付款。这些触发事件通常由独立的外部机构(如国家气象局)验证。当通过智能合约管理此类保险时,外部机构被称为oracle——并且与oracle性能相关的任何风险也可以嵌入到区块链中。换句话说,如果oracle引入错误信息,那么该错误会污染整个区块链。识别和量化与oracle相关的风险很容易成为内部审计最困难的风险评估挑战之一。
五是代码。用于编写区块链软件的代码提供了另一个特定于区块链采用的风险区域。使用公认的代码开发方法以及对代码根据需要执行必要功能的验证,可以准确地识别和量化这种风险。风险评估还应考虑恶意行为者在开发、实施或维护期间渗透合同代码的可能性。
上述五点仅是一个起点,仅包含与区块链采用相关风险的一些示例。实际上,探讨的目的不是制定详尽的风险识别清单,而是指出可能被视为区块链技术特有的某些类型的风险。准备采用区块链的更完整的风险评估必然包括全方位的技术相关风险,特别是网络安全风险。
(三)控制程序
当企业实施区块链应用程序时,内部审计需要评估与该应用程序相关的流程、风险和控制。内部审计不一定定义控制,但确实需要对其审查和测试,以评估其充分性并验证其是否按要求实施。需要开发的一些特定控制元素包括:
一是数据。除了理解在链的每个块中记录的数据类型外,内部审计还应该检查处理该数据所需的适当吞吐量(throughput))和交易速度(或延迟)。例如,一个每天处理数百万笔交易的信用卡处理器,其要求和控制程序将与一个仅由几十家供应商组成的私有网络的制造商大相径庭。控件还应该存在,以验证协商一致算法是否适合区块链的预期目的,是否按设计运行。数据隐私是一个相关的关注领域,尤其是在金融服务和医疗保健等行业,个人隐私是监管面临的重要问题。单个块的结构允许对数据进行安全加密,但内部审计仍需要验证这些结构是否到位并得到正确使用和运行。在所有业务流程中,个人或子流程之间的切换或转换点都容易出现故障或错误,在区块链应用中也是如此。区块链与其他传统业务系统交互的转换点需要适当的控制。
二是存储。由于区块链中每个块可以存储的数据量可能不同,因此需要定義此变量并实施适当的控制。此外,还必须建立基本的数据存储控制——无论是现场还是云端。由于区块链的分布式分类账存储在多个节点上(可能位于不同的位置),因此可以在一定程度上缓解灾难恢复和业务连续性问题,但不能完全消除这些风险。内部审计需要制定评估和验证基本数据存储控制的程序,验证相关的业务连续性计划和资源是否到位。
三是访问。控制对区块链的访问是保护隐私和数据完整性的关键领域。区块链维护交易安全性的一种方式是通过公钥和私钥——基本上是使用一系列字母和数字表示的大整数。有时将公钥与银行账号进行比较,而私钥与用于访问账户的密码相当。这些密钥必须加密并安全存储,并有足够的控制程序来限制访问。大多数私有区块链可能会根据其功能授予不同用户不同级别的访问权限。同样,每个公司或联盟都需要定义权限级别以满足自身的要求,但权限和访问权始终是任何IT审计流程中受关注的领域,需要通过内部审计来评估和验证这些访问控制的充分性和有效性。
(四)风险管理和缓解
风险缓解要点应仅被视为组织启动更完整和量身定制的风险管理和风险缓解计划的起点,最关键的是网络安全。区块链技术的引入也创造了额外的网络安全增强的需求,这包括将公认的网络安全实践应用于许可节点的验证及在制定智能合约和管理过程中涉及的必要外部交互方面验证合理的网络安全实践。理想情况下,内部审计应该能够访问并评估块本身结构的资源,以验证它们确实是不可变的、其必要的密码学特性(如公钥和私钥以及数字签名)是有效且安全的。
在较高层面,内部审计的考虑因素包括:一是治理。治理包括诸如私钥安全准则、标准操作定义、添加和删除节点过程以及各种数字签名组件和验证算法等方面。二是风险管理。风险管理包含特定风险,如私钥存储和安全性、代码错误和篡改的智能合约监控、与非区块链实体的交互以及离线数据存储。三是控制程序。控制程序包括管理网络访问、特定的网络操作、节点协议、交易排序和执行,以及当前块版本和内容维护。
除了实时智能合约监控之外,大多数组织特别是那些必须回答大量股东问题的组织,还需要定期进行审计和报告,以证明系统按预期运行,这些活动也需要纳入长期内部审计战略和计划。
结论
当区块链技术首次扩展到加密货币领域之外时,一些观察人士质疑,是否有一天财务审计和独立认证将不再必要,因为所有交易都将在廉洁的区块链上进行。在较小程度上,有关内部审计人员风险管理职责的类似猜测也出现了。在这两种情况下,很快就发现这些猜测是不准确的。可以肯定的是,内部审计日常执行的一些工作,如协调各种分类账或记录之间的差异,对一般的观察者来说可能是多余的——毕竟,在区块链环境中,参与者使用的是完全相同的分类账。但是,正如最近对加密货币网络成功的黑客攻击所显示的那样,区块链的安全性并不是绝对可靠的——这一事实对有关智能合约和其他区块链应用程序的不可变性和安全性假设提出了质疑。随着区块链应用程序变得越来越普遍,内部审计的职责实际上可能会以重要的方式得以拓展。内部审计将发现自己面临能够迅速适应的挑战,同时也受到有机会在帮助组织吸收和应用新技术方面发挥领导作用的鼓舞。
(编译者单位:中国人民银行赣州市中心支行,邮政编码:341000,电子邮箱:315421032@qq.com)
