张孝君（副教授）（安徽工商职业学院 安徽合肥 231131）

一、引言

区块链技术自产生以来，随着互联网、计算机的发展，进一步与各行各业发生联系、融合，在供应链、金融服务、分销等方面取得了一定的成果，然而区块链技术在审计方面的应用还有待进一步研究。从理论上来讲，区块链技术与审计业务有很多契合的地方，因此，应加强对审计行业的区块链技术应用的重视。

由AICPI、加拿大注册会计师协会以及滑铁卢大学联合发表的白皮书认为，区块链技术将对审计和其保证程度产生影响，并使得检查和分析客户信息的程序更加高效，区块链技术如何应用于会计师事务所以及企业也会对其实际工作效率产生不同程度的影响。而美国注册会计师协会（AICPA）发布的关于区块链技术的主题报告认为，区块链技术将对税制改革、经济业务的战略方向和审计研究等提供机会，同时区块链的出现对财务、审计以及其他需要验证和确认的复杂流程具有重大意义。从以上发展和观点来看，审计业务和区块链的技术融合的实践和理论都有很大的研究空间，因此，本文尝试探讨基于区块链技术的审计系统框架，从而增强会计师事务所利用区块链技术为客户企业提供审计服务的能力。

二、区块链技术的基础理论及算法

区块链技术是在开放式网络系统中去中心化授权的一种安全计算技术，主要解决交易过程中的信任与安全问题。区块链伴随着比特币的发展逐渐被广泛应用，它以密码学为基础构建了一个只能增加区块的交易记录链，连接到其中的每一台计算机设备作为一个节点，每一个节点都可以记录交易数据，但又不能随意记录，用户之间会通过某种形式的共识机制来维护整个分布式账本数据的真实性，并且所有账本的状态是同步的。通常，在以太坊这样的公共网络中，每个所谓的“完整节点”都会复制整个全链账本。区块链中的时间戳机制也使得每一个区块按照时间顺序形成区块链条，这更加确保了被录入数据的不可篡改性。可见，从数据管理的角度来看，区块链实质上是一个分布式数据库，通过将每一笔业务记录于每一个区块中并不断延续该链条来记录不断发展的交易记录列表。从安全性的角度来看，使用点对点的网络创建和维护区块链，并通过人工智能和去中心化的加密技术来保护区块链。

（一）共识机制

区块链的基础是一个分布式账本，在这个账本中有无数个节点，如何解决去中心化后仍保证系统的有序安全运行，除了系统正常运行的情况外，有可能出现的错误或恶意攻击等异常情况都会对去中心化系统提出挑战。保证系统中数据的真实性和有效性，共识机制扮演着关键角色。由于机制应用场景的不同，区块链技术背景下设计了不同的共识算法。在可信任系统环境下，有Paxos算法和Raft算法两类。在不可信任系统环境下，包含了常见的工作量证明（PoW）、股权证明（PoS）等，这些共识机制维护着区块链的生态系统。详见图1。

图1 共识机制构成

1.工作量证明。工作量证明最早应用于垃圾邮件的处理，在区块链的应用中借鉴工作量证明的思想，通过增加节点间的竞争性来解决去中心化系统的一致性问题。在工作量证明中，哈希函数是其重要内容。哈希函数又称散列函数，它没有固定的函数算法，其核心要义是通过录入其中的每个关键字与其存储位置之间都有一个唯一确定的关系。将任意信息录入都会生成一段唯一相关的哈希值，因为哈希数值是将任意长度的信息变成固定长度的散列，具有极强的逆向性，其逆向规律很难通过一定规律简单得到，利用哈希函数这一特性保证了区块链的不可篡改性，维护了数据的真实性。

2.拜占庭容错。拜占庭假设是基于现实世界存在的一类问题而抽象出来的模型，区块链网络环境有着与拜占庭问题同样的分布式系统环境，其中有正常运行的环境，也有存在缺陷和故障的运行环境，拜占庭容错算法主要针对私有链或联盟链的情况，能为系统提供绝对可信的节点。拜占庭容错算法（PBFT）需要频繁的通信来保证所有节点运行一致、状态相同；当然，基于该算法的系统网络不能太大，过多的节点会导致该算法无法控制恶意攻击等状况。

（二）数字签名

非对称加密技术改变了对称加密使用同一密码进行加密和解密的方式，它包含了公钥和私钥一对“对应密码”，其中公钥可以公开，而私钥要求保密，加密和解密使用不同的密码。这一技术在区块链中被应用于数字签名，在区块链中的节点间传递信息时，需要进行数字签名保证信息的真实性。数字签名又称电子签章，常用于签署电子文件，它可以保证文件的真实性，并确保文件的完整性，它是通过使用非对称密钥加密算法的“密钥对”来实现。密钥对，包括用于签名的私钥和用于验证的公钥。数字证书是用于验证与公钥对应的身份，公钥由可信任的证书颁发机构颁发。

（三）时间戳

区块链是一条有着时间顺序的一个个有内容的区块组成的链条，时间戳的存在使得要篡改区块链中记录的信息随着时间的延长难度呈指数级的增加。与数字签名有着同样作用的时间戳机制，也使得区块链网络系统中的信息更加不可篡改，并保证了数据的真实性。区块链这一机制和算法，是为了保证去中心化后的系统中所记录数据的真实性和完整性，这一属性在审计中也同样适用，因此区块链技术与审计活动能实现契合。

三、审计系统构建需注意的问题

在目前的研究中，讨论区块链技术应用于审计工作主要是从区块链算法和机制的可行性来考虑，但由于区块链技术研发人员对审计活动认知的不充分及审计人员对区块链应用认知的理想化，使得技术的应用难以顺利实现。因此利用区块链技术进行审计系统设计时，首先应对审计业务核心内容有深入了解，在把握业务精髓的基础上进行框架搭建等。审计系统框架要以业务流程为基础，以技术替代人工，目的是减少员工工作冗余，提高审计效率。如何构建基础系统，如何使用信息技术将业务流程串联起来，同时满足客户对系统的需求，这都是技术流程设计中需要考虑的问题。若不加考虑，可能会影响信息在传输以及处理过程中的可信任程度、程序流畅度和传输速度，反而增加实际的工作量。因此在设计系统架构时，应首先考虑特定组织的主要需求和面临的挑战，在对这些内容进行明确之后，才可以确定哪些技术能够应用于该设计，并评估各种方案的适用性。

（一）会计师事务所方面的考虑

从审计人员的角度来看，为了达到审计目的，收集到充分、适当的审计证据是非常重要的一环，也是最耗费时间的一环。早期研究显示，当没能收集到足够的审计证据时，就无法对财务报表内容的完整、准确进行深入验证以支持各科目账户余额的真实性，从而难以保证审计结论对利益相关者决策产生有价值的影响。当然，审计证据的收集不仅仅是审计人员的问题，客户企业的故意隐瞒、限制审计人员的权限等存在的不可控的状况都会对审计工作产生影响。我国审计准则对审计证据的定义是：审计人员获取的能够为审计结论提供合理基础的全部事实。来源不同，证据的可靠性也会不同。审计准则也对电子审计证据进行了特殊说明。审计证据的使用贯穿于整个审计流程中，由于现在企业对信息技术和数字化的依赖，除了在审计活动中保证电子形式审计证据的可靠性外，审计人员也应从多个维度对审计证据进行评价分析，以满足不同的需求。可见，对数据不同层次的充分性和适当性要求，对区块链技术应用于审计流程提出了很大的挑战；同时对审计工作来说，也是一次创新的机遇。

（二）审计客户公司方面的考虑

在关于区块链技术应用于会计核算以及审计流程的讨论中，有些学者认为应建立一个完全新的系统架构代替ERP系统，笔者认为，是否建立新的系统架构，取决于现实的情况，需要考虑几个问题，否则就是空谈。（1）根据区块链技术是否能够设计出完全代替ERP系统的新系统；（2）设计出新系统后，客户企业放弃现有系统，使用新的系统需要付出的成本；（3）在使用新系统后，投入资源的多少和过渡期限的长短以及过渡过程中可能存在的风险。以上问题会对客户企业有重大影响，也关系到系统的成功与否。除此之外，区块链技术还没有完全解决隐私性的问题，毕竟很少有企业想要将所有的数据放在公共区域完全开放浏览。这些问题的解决需要依靠一个能够严格执行的访问控制机制用以授权用户对数据进行访问以此减轻成本和机密性的问题。当然，区块链还处于发展阶段，技术有待完善，但不能等到区块链全面发展后再将技术与审计业务融合，否则会错过最佳的发展期。

（三）区块链技术方面的考虑

审计客户企业采用区块链的决定在未来可能会受到合作伙伴的压力、对自动化和透明度的需求、物联网带来的变化等因素的影响。目前为止，从客户的角度，我们需要考虑客户以及潜在客户的现实情况，维护客户公司现有系统、减少客户的审计成本，从而使得客户更为积极地接受新的审计方案以及技术。审计人员如何利用区块链更好地服务于其工作，且区块链技术应如何结合审计流程从而更好地服务于工作是首要考虑的问题。另外，当会计师事务所的审计客户接受该系统的应用时，除了考虑新技术对客户的影响，还需要考虑系统的应用对审计人员来说是否有负面效应。因此，系统设计的一个重要条件是值得注册会计师信赖并可以利用，这对区块链的应用提出了进一步的要求，在开发系统时应增强与会计师事务所合作伙伴之间的沟通，以增加系统的透明度。

四、基于区块链技术的审计系统设计

（一）审计系统的设计架构

1.基础机制。区块链系统架构是将业务策略转换为通过计算机语言形式表达的以达到一系列目标的信息系统。从会计师事务所的角度来说，收集充分适当的审计证据是审计工作中最重要的活动之一，也是审计人员花费最多时间的工作，注册会计师通过收集证据来验证财务报表中所包含的信息，如发生时间、完整性、准确性、截止和分类，以满足审计目标。系统设计的基础是为审计报告和审计业务意见所收集的证据具备相关性和可信性提供保证。鉴于现实情况中验证数字审计证据可靠性存在的问题，应首先评估系统的设计框架与区块链的相互作用。区块链的共识机制确保了数据的真实准确性和不可篡改性，这一特性符合审计流程中对数据的追踪。其中，智能合约是基于区块链运行模式中交互产生的一种合同形式的结果，通常包括托管加密货币或其他资产（有形资产和无形资产），再通过在线交易成功地、不受限制地完成一次又一次的交易。每一次交易生成合约后会发布给每一个验证节点，收到之后验证其真实性后进行存储等待共识机制认证。通过智能合约确保数据在其生命周期中具有一致性和准确性，控制可以确保收集的审计证据没有被篡改，注册会计师能够合理地保证内部来源数据的可靠性。

2.连接机制。从客户角度来讲，在完全替代性技术方案存在诸多问题难以解决的情况下，进行系统设计时可以考虑将现有的ERP操作系统或其他会计生态系统和分布式账本进行连接，在不增加客户成本的情况下为审计工作提供便利。ERP系统数据与区块链系统进行数据传递时，共识机制中的哈希函数的运用可以增强审计业务所需信息在传输过程中的不被篡改性，保证信息的完整性。因此在设计系统架构时，对传输的不同部分的信息进行散列使其生成一个对应值，从而为每段数据信息生成一个唯一的加密文档，将其应用于客户端的业务流程，为每个特定业务流程中的每一步骤生成一个哈希值，在进行审计业务时，创建的每一个步骤都会被一一对应，从而保证数据无法被更改。例如，销售流程中销售订单是第一步骤，所以在记录时相关的信息较少，对该信息生成一个加密散列，就被单一对应，其后的步骤也是如此，此方法为整个业务流程数据的完整性、准确性提供了保证。因此，业务流程越复杂，数据信息就越难被篡改，使得审计人员在对各种信息进行前后追踪时，可信度越高也越容易，审计人员通过一串串的加密散列，将各地分支机构数据进行追踪用以信息验证，无需其他方式繁复的交流。以上是审计工作流程哈希函数的应用，将此业务与ERP等其他会计生态系统连接时，除了对该系统中的数据进行加密维护，还需要对对应的会计生态系统中的数据进行维护，在两个系统之间搭建一个数据聚合器，根据业务的不断更新，每个业务流程步骤需要增加相关人员的数字签名。

3.增强机制。引入数字签名使得业务和数字签名的散列在分布账本上同步记录，数字签名和业务的不可篡改性以及分布账本上的时间戳机制可以使数据的不可信任性大大降低。因为只有当数字签名可以使用对应的公钥验证并且在账本中的数据相同时，该业务才是真实有效的。因而数据信息不需要完整地保存到区块链系统中，只需要将加密散列存储成日志文件，既降低了存储需求，随着时间的增加和账本规模的增加，数据的安全性和完整性也得到了增强。客户也可以通过维护防篡改日志文件系统来保护敏感信息不泄露给未经授权的用户，并且在数据发生变更时，审计人员可以对数据的初始录入者直接询问变更原因，同时针对防篡改日志文件系统，应选择具有智能合约的针对防篡改日志的文件系统。

本文以销售业务为例，构建了区块链的审计系统框架，如下页图2所示。

图2 基于区块链的审计系统设计框架

在设计系统时，除了考虑会计师事务所收集审计证据外，还需要针对其访问防篡改日志文件系统选择具有智能合约的分布式账本网络以及具有一致性算法的企业区块链网络，如拜占庭算法，以适应系统需求来保证审计系统和会计生态体系中的更改日志文件相匹配，确保数据在原系统中没有未经授权的修改。这有助于进行审计追踪，以识别可能导致舞弊或差异的业务和员工。以销售订单为例，注册会计师可以将销售订单顺序的散列和审计区块链系统中的散列比较，再与数据聚合器中最新版本的日志记录进行比较，如果没有差异，则可以合理地保证销售订单完成后没有发生更改；如果不匹配，那么审计人员可以识别被篡改的销售订单，当有多个销售订单不匹配时，可以识别每一个订单以供进一步研究。

（二）审计系统架构的优点

第一，系统架构对于客户和会计师事务所的投资要求降低。会计师事务所着重于开发各种单独的应用系统，使会计师事务所能够访问每一个客户数据进行审计，不必要为每个客户设计一套程序而增加成本。客户可以应用当前的财务系统，减少了投资新系统的需求，即具有经济性。第二，数据通过哈希值传递也保护了审计客户内部数据，外部区块链减少了内部威胁，即具有安全性和私密性。第三，独立的应用系统的适配性可以轻松扩展以包括需要的客户平台，即具有可扩展性。第四，区块链的应用保证了每一环节数据的不可篡改性，增强了数据完整性、可靠性和真实性等。区块链系统对属性的保障作用详见表1。

表1 区块链系统对属性的保障作用

五、结语

随着信息技术的飞速发展，许多会计信息和各类业务基础数据采用电子介质方式进行记录，电子数据在审计证据中的占比大幅提高，将区块链引入审计工作势在必行。虽然目前区块链技术仍处于开发初期，但其核心用法与审计、会计工作存在诸多的内通性，即具有高度契合性。本文探讨了利用区块链技术架构审计系统需考虑的一些问题，包括保证审计证据的可靠性、投资成本、隐私和安全性等问题。随着未来越来越多的企业应用区块链技术，会计师事务所将不再局限于目前的会计生态系统，可能在区块链技术应用上进行更为灵活的设计。