区块链重塑集团内部审计师对源数据的信任机制
2023-09-13潘小春
潘小春,肖 懿
(云南大学 经济学院,云南 昆明 650504)
一、引言
在大数据审计时代背景下,传统审计工作中纳入大数据工具能够解决审计取证的时空限制,进而提升审计工作的效率和可控程度。2021年10月,中共中央和国务院印发的《国家标准化发展纲要》中,重点提出加快建立和完善大数据与产业融合的标准,推动数字产业化和产业数字化,制定数据所有权、开放和泄漏、数字市场公平竞争、网络安全等方面的法律法规和管理制度,为数字经济发展创造良好环境。在此基础上,形成大数据思维模式,来开展审计事项研讨与分析,提高审计工作对于社会经济运行的事前风险防范和事后监督能力,能够更好地落实“研究型审计”的理念,进而补齐国家数字经济发展背景下,集团企业内部审计的数字化短板和弱项,实现数字经济的更大发展。审计是经济监督的有力手段,区块链审计作为一种新兴审计理念,更多的是强调一种新兴审计理念和方法[1],即利用区块链技术的去中心化组织、智能合约、加密算法、P2P文件传输机制、时间戳机制、权限许可与赋予等特征,为审计数据取证与审计师开展工作进行留痕[2]。对于集团内部审计而言,各业务部门的数据采集、数据传输和数据储存都存在安全风险和非系统性风险。而加强对于审计工作所需要数据进行准确溯源与追踪,并界定审计师面临由于信息不对称造成审计风险时的责任边界可以保障数据安全性。因此,区块链审计思维不仅是审计方法和工具的更新迭代,而且还牵扯到集团组织数字化转型、组织工作流程再造等战略性转变[3]。
在此背景下,本文探索发现存在基于区块链DAO和混合链技术的审计源数据追溯机理,通过在集团内部按两个层级分别创建DAO系统,并采用双层级下的“半中心化”模式,能切断集团内部不同层级利益输送环节,强化远程审计的数据可靠性;并建立混合链可以增加不同审计业务场景下的权限职能,能应对不同项目场景下的源数据处理,覆盖集团内部的源数据处理过程,提升内部审计效能,降低源数据错误产生的审计风险。同时,从集团区块链相关系统、制度、资源和人才方面提出了实现DAO和混合链联合运行的举措,为集团内部审计如何运用区块链系统强化内部审计师对于源数据的信任程度提供有益借鉴。
二、相关研究梳理
(一)区块链技术的研究应用进程
随着区块链技术的进一步迭代,业界已经逐渐达成区块链具有开放性、去中心化、不可篡改、高安全系数的特点,区块链技术基于现有的加密算法、共识机制和智能合约等多项专利技术,融合衍生出了当下新型的“区块链”思维体系。其中,区块链对于增强源数据信任机制的核心技术需要依托DAO、混合链和多重智能合约技术。DAO(Decentralized Autonomous Organization),即“去中心化的自治组织”[4]。DAO可以由区块链上的用户主动创建,在实际运作中能够将交易数据复制、共享和同步到分布在不同地理位置的多个网络和机构中,当某一节点的交易数据被人篡改时,其他已记录的账本不会发生变化,并且会主动识别被篡改的数据节点,进行系统性剔除,具有不可篡改、高透明度、高准确性的特点,能够解决信任危机和数据孤岛问题[5]。混合链(Mixed Chains)是区块链中以群体或组织为使用者的单链(Single Chain)与联盟链(Alliance Chain)的组合结果,也具备数据层、网络层、共识层、激励层、合约层和应用层的系统结构[6]。在混合链中存在多种链式结构,能够根据不同使用者的需求创造条件,在混合链架构下,组织的决策层在涉及区块链网络内治理决策中的角色分配时,能够通过区块链的混合链技术实现“半集中”或“去中心化”的组织治理方案[7]。但在混合链体系下,如果链外治理过程由少数有影响力的专业人员主导,那么去中心化的治理结构可能会像半中心化或多中心化的结构[8]。多种智能合约(Multiple Smart contract)技术作为区块链当前的流行研究热点,是在DAO中的底层算法逻辑下,将区块链上算法机制进行的横向拓展[9]。多重智能合约技术结合了综合交互算法为区块链中的利益相关者提供一个通用合约平台,可以在多种区块链节点下实现源数据分散授权、过程自动化和信息共享[10-11],也能实现更安全源数据的云端存储[7]。因此,DAO与混合链的联合支撑能够更好地提升组织内部的数据采集和存储的安全性和可靠性,为组织源数据提供访问控制管理(识别、认证和授权)、数据的安全控制和数据复原力管理。
(二)区块链技术在审计实务中的研究进展
国内外学者对于区块链审计的研究还未形成统一的理论,区块链审计的理论框架是基于区块链技术本身进行发展的,大部分学者从区块链技术如何影响传统审计模式相结合的角度提出了认知(Michael et al.,2019)[12]。
从区块链审计理论层面来看,区块链审计理论的相关研究主要是围绕传统审计行业受到的冲击展开。自区块链技术与金融行业的结合不断深入后,Dai J(2016)认为审计行业会受到区块链技术的影响,可以逐渐实现半自动化甚至全自动化,全面摆脱对审计人员的依赖,审计行业面临全方位的冲击[13]。Angelin Gladston(2020)利用区块链对时间敏感性,在将相应交易记录到区块链后,验证会经过时间戳,使用户能够检查审计员是否在规定的时间执行了验证,对云数据审核系统进行了实验验证,发现基于区块链技术的云数据审计具有更高的审计效率[14]。但Apte和Petrovsky(2016)发现区块链技术仅能保证链上数据的储存、传递和交互不被篡改,对于实物与数据的“关联关系”难以反映在区块链上,无法防止篡改二者间的“关联关系”,因此区块链会存在一定的审计“存在”和“发生”认定风险[15]。在智能合约技术与审计流程记录研究中,Coyne和McMickle(2017)认为通过借助区块链的智能合约,可以将审计业务进行编程并记录在区块链上,建立审计自动化运行机制[16]。但Rozario和Vasarhelyi(2018)却认为区块链的智能合约技术会在公允价值计量、商誉减值测试等复杂会计估计审计时难以实现自动化审计,仍需要审计人员进行职业判断[17]。
在审计实务工作视角下,区块链技术能够强化内部审计师的数据溯源效应,对交易记录的数据进行准确和快速的验证,形成对审计数据的实时追踪,表明区块链技术能够驱动持续审计或者实时审计模式,非常适宜在企业中发展。现有的研究中:一是结合了审计工作需求和区块链技术特征,指出区块链技术构建审计信息系统的可行性,区块链技术的数字加密技术能够保障业务双方节点间的匿名性,借助区块链的共识机制,内部审计更适合运用私有链进行审计,不仅减少了节点间的验证时间,还增加了审计证据的信任程度,大幅提升了审计系统效率[18]。二是在区块链审计模式与方法上进行了创新,由于区块链算力和存储机制的局限性,物联网的数据与区块链系统对接的可行性还有待验证,已有学者提出了双链审计架构、联盟链审计模式和多重科技结合的智能审计模式[19]。对于集团内部审计而言,审计的工作职责应该强化到风险管理与内部控制,并运用风险导向的科技数字化审计模式,实现集团内部审计的“全覆盖”,赋予内部审计“组织价值提升”的功能[20]。基于此,本文立足于区块链审计思维对于集团内部审计师的数据信任机制重塑,与以往的区块链审计理论和架构研究不同,综合考量到集团层面如何更好地运用区块链审计思维,运用混合链和区块链DAO的优势将集团数据的“采集”“流转”“存储”“运用”阶段进行流程再造研究,并以源数据追溯、数据信任机制、数据采集效率视角作为切入视角,详细分析集团企业内部审计在四个阶段,如何运用区块链审计思维提升审计师对于数据的信任程度和风险防范与应对的能力。这为集团企业树立区块链审计思维,改良内部大数据审计OA(内部管理)系统,厘清集团内部审计师在不同阶段的风险责任提供借鉴,并为集团企业开展大数据审计工作、健全完善“科技强审”和“研究型审计”提供一定的方向指引。
三、集团内部审计师的数据信任危机因素
(一)源数据的流动存在层级闭环
在集团内部审计的源数据传输过程中,会呈现审计所需的源数据逐层传递现象,而集团内部审计部门的业务不仅局限于财务审计领域,还要结合风险管理、内部控制、企业咨询等职能开展工作。在这样的前提下,内部审计所需要的源数据容易在数据传输和逐层存储的过程中形成失真和被篡改的风险[20]。而对集团层面的内部审计工作而言,不同母子公司间的数据孤岛和信息流动,更容易出现涉密信息被篡改和递交数据与源数据不准确的情况。针对不同的内部审计业务而言:一类是以数据为导向审计,如财务审计、业务评价和人力资源管理等,在当前大数据背景下的数据采集功能多为Oracle、SQL和Access数据库状的结构化数据,上述几类业务在数据采集时会经过“上报—收集—汇总”这一过程。虽然这类结构化的数据能够保障源数据的真实性,但是如果人员的疏忽和秩序管理的混乱,很容易造成数据在汇总递交后与源数据存在一定差异,这无疑会对内部审计师的工作形成潜在的审计风险。另一类对于风险管理和内部控制的审计中,除去对结构化的源数据需求外,在集团内部审计部门开展审计工作时,也会需要对应的非结构化数据,如部门规章制度、业务控制流程、非结构化数据编制逻辑差异等,此类数据在传输过程中,容易被各层级部门管理层修饰和美化,目的是将部分流程控制层面上的劣根表述抹除,以提高部门管理层的业绩评价。不论是结构化的数据还是非结构化的数据,在源数据收集和汇报过程中均会暴露出“部门信息闭环”,会产生集团层面的各部门审计数据采集不全面、审计数据质量不高、层级间数据口径存在差异等情况,最终影响集团内部审计师对于源数据准确性的考量与验收,在开展审计工作中可能会面临部门间博弈、源数据真伪难以识别、潜在审计风险难以量化等局面。由此可见,集团内部审计部门在开展审计工作后,如果缺乏统一的、开放权限的业务数据系统,那么在部门汇集不同口径的源数据后,将会进一步降低源数据的质量,形成源数据流动的信息闭环,导致内部审计师开展工作时将面临结构数据特性不一、与部门间交互不畅的多重问题。
(二)审计源数据信息存在不对称性
国际内部审计师协会(IIA)于2001年正式实施内部审计实务的标准框架后,已经对内部审计部门的组织职责、权限分工、信息督导和人员责任进行了规定与划分。近年来,内部审计组织已逐渐发展为矩阵型、金字塔型和大型审计项目组织[21]。在集团企业内部审计层面,当前内部审计组织多为矩阵型和大型审计项目组织,都具有“中心化”“层级繁复”的组织特点。具体问题形式可以从中心化结构下的组织关系中体现:一是内部审计组织机构难以从集团企业的整体出发,内部审计师多数情况下通过抽调的方式参与部门业务的审计,在抽调过程中内部审计师受到多方上级的压力,难以获得强有力的审计独立性,容易仅关注实际审计的具体业务,在审计源数据分析时会存在“信息不对称性”。二是在集团层面的内部审计项目涉猎信息广泛。随着集团业务的增加,母子公司的日常经营项目随之变多,在集团层面上的风险审计主要是由监事会和审计委员会主导,当部门业务的数据审计账套和取证材料过多时,不仅增加了项目审计的管理难度,而且源数据虽然在一定程度上实现了“中心组织者共享”,但在多层级的组织关系下,内部审计部门对于源数据的信息审判依赖于专业胜任能力,难以从一手源数据获取审计取证与判断。此外,审计工作可能存在由于时间不一致造成的源数据错误,由于集团企业内部审计的审计要素聚集程度高,不同的内部审计组间的成员更替和保密信息未记录时,也会形成汇总的数据存在时间线差异。但数据关联性低,就难以核实往前年度的数据,审计人员考虑到成本效益原则后,难以从时间、精力、胜任上进行不对称的数据核对,内部审计的质量和效率会受到影响。
(三)业务源数据追踪和溯源难度大
集团企业内部审计与国家审计和社会审计不同,其独立性会在一定程度上受到限制,导致集团内部审计工作难以顺利开展,也就间接造成了审计所需的源数据追踪和溯源难度大。第一,在集团内部审计项目中,内部审计工作需要更多强调对组织的价值增值,而母子公司项目涉及的业务部门跨度大,业务内容的源数据分散且彼此独立,在实行联网审计后,内部审计组成员审计到大数据技术采集到的数据后,审计取证工作会向云端存储的电子函证转变,由此会受到母子公司地域限制,难以做到错误数据溯源,无法更好地实现母子公司源数据精细化管理。第二,当前大数据审计需要复合型人才。传统的内部审计人员依靠企业管理系统(ERP、SAP系统等)导出的账套数据进行审计取证,市面上的企业管理系统质量良莠不齐,内部审计如果缺乏复合型人才和适配的大数据分析平台,很难通过大数据技术开展全面的数据实时审计和持续审计工作。大数据环境对集团内部审计师的信息技术技能和专业判断提出了更高的要求,面对大量审计工作的处理和大量数据信息时,如果集团内部审计师无法准确掌握计算机的相关知识,就只能依赖于各部门递交的二手数据,无法适应大数据背景下集团对于管理层、业务部门信息准确和透明化的要求,内部审计部门对于源数据的信任危机将会加重,难以得出可靠的审计结论。第三,随着集团内部审计部门对于企业风险管理和战略部署的职责增强,内部审计部门的需求定位逐渐发生了转变——从财务数据核对到风险识别、评估与应对,这一系列转变强调了组织内部控制制度和章程的不断调整,而内部控制制度调整前后的数据合规离不开部门人员的活动。在集团公司中,如果有人员流动频繁、系统硬件意外损坏、人员设备更换或失窃后,当部门工作交接过后,新任职的人员就很难去了解过往的业务情况,仅通过企业管理系统中的数据留档来获取业务信息,这也给内部审计的业务源数据追踪工作带来了较大难度,同时集团内部审计部门对存在的冗余数据和干扰数据无法准确定位取证,加大了内部审计师对于源数据的信任危机。
综上所述,集团内部审计师的数据信任危机因素可以从源数据处理、内部控制情况和审计限制三个方面进行讨论。首先,在数据处理的整个环节中,源数据在集团内部传输和存储过程中易受篡改,导致信息失真的风险[19-20]。集团审计部门需要注意数据的完整性和准确性,特别是在跨母子公司审计中,数据孤岛和信息流动问题更加突出。其次,集团内部审计组织通常具有矩阵型和大型审计项目组织的结构特点[21],导致审计师难以从整体角度审视业务,存在信息不对称性的问题,限制了审计师对源数据的审计分析能力[22]。同时,由于集团企业的业务部门跨度广,源数据分散且独立,而复杂的组织结构和地域限制导致了源数据追溯的困难[23-24]。最后,传统的内部审计人员缺乏大数据分析技能和适配平台,无法准确掌握计算机相关知识,导致面临大量审计工作和数据产生的挑战[26]。基于此,集团内部审计部门需要考虑进行数据的管理和保护,注重技术和专业能力的提升,并加强对内部控制制度的调整和业务流程的规范,以提高审计工作的质量和效率。
四、区块链赋能集团内部审计的创新机理
(一)区块链与审计数据信任的逻辑协同审视
1.混合链上下区块共同强化数据存储
在现有的区块链数据储存系统中,源数据通过各方节点存储了下层数据,而数据存储的过程依赖于Merkle树和带有时间戳的智能合约技术[24]。区块链的节点链上的数据无疑会造成相当大程度的存储资源浪费,这不仅会给集团内部的数据存储系统带来较大的空间压力,还会限制集团内部业务其他信息加入区块链中,随着集团业务项目的拓展,未来部门间的信息系统将难以进行数据完整的备份和存储。
集团内部源数据的存储方式可划分为区块链上储存和链下存储,分别针对不同的源数据需求与运用场景展开。区块链下的数据存储上将原有的区块节点数据转移到集团数据存储系统,此类数据的存储方式不局限于固定硬件、IPFS存储和云系统存储等,链下存储的方式十分依赖于固态硬件和系统的算法和传输效率,可以作为集团业务源数据的灾备预警系统。虽然链下存储需要借助外部存储硬件和系统,但是仍能在此过程中运用区块链的Merkle树和智能合约技术进行存储逻辑设定。考虑到链下存储的数据特征可能会改变区块链的运行逻辑,并增加源数据的验证难度,链下数据将会变得不透明和可信度低,可将链下数据的存储场景多用于往前年度的数据存储,通过拓展POS的工作量证明技术来降低已存储数据的追溯难度,实现高效的数据管理性能。链上存储的适用场景可根据当前集团的数据存储系统性能开展讨论,链上存储不需要借助外部数据存储系统,可采用拓展化的轻节点存储方案[25],在集团内部的源数据传输过程中可存储于轻节点和全节点之间,仅需保存链上头部区块的源数据,就可实现业务数据的发送与验证,轻节点的传输方案可获得更高的吞吐量算法,能够实现更多的数据存储与发送。在轻节点和全节点的链上储存方案中,集团内部的部门业务数据可以在各自的节点上实现数据存储,并将部门间的源数据以标准数据库的形式进行统一归档,保障了部门间源数据的准确性,当内部审计工作介入后,并能轻松维护各个区块链系统和节点间的源数据的稳定存储。
图1 集团内部源数据在区块链系统中的存储方式图
2.数字化账本对于源数据的可编程传输
前文已提到集团内部审计在数据采集和数据分析的过程中,会受到不同口径和结构的数据干扰,从而降低内部审计对于源数据的分析准确度。在源数据传输的过程中,区块链系统的可编程特性能进行源数据传输规则的设定和扩展。首先,在集团层面的区块链系统里,当内部审计部门发出对某一部分数据的传输请求后,在传输规则的算法设定中,可从区块链系统的数据层、合约层和应用层分别进行源数据的编程传输。其次,在数据层上,当各部门的业务数据通过P2P网络传输到所有节点后,可以通过数据层上的算法编制来减少部门间的重复数据传输,以减少区块链上的数据传输总量,并直接从源数据中筛选出内部审计部门需要的口径数据。再次,在合约层上,区块链系统封装了数据层上的算法和数据,但数据层各节点的区块数据结构大小不一,请求传输的分布也不均匀,在合约层上可以利用区块链可编程的特性,为集团内部不同部门的源数据传输设定专门的传输算法,这一过程要根据各部门数据的特殊性,设置优化型传输路线、区块链超级节点或者优先传输网络等。当集团内部的传输网络宽带越大时,可优先传播数据密集型的重要数据,如财务审计数据、项目管理数据、人力资源考核数据等;当传输宽带较小时,需要结合当前的传播网络宽带顺畅情况,可以优先传播一些非结构化的分散数据,在审计过程中完成核心数据的传输。最后,在应用层上,集团内部审计部门在运用区块链系统时,可以结合合约层的基础算法,在预审和计划审计阶段,设定不同审计项目的具体算法和场景规则,并落实到后续的持续审计环节。
总结归纳后,集团内部审计部门运用区块链系统开展审计工作,从而增强对于源数据的信任逻辑体现在:(1)集团内部区块链系统可划分为链上和链下区块,分别进行源数据的存储,增加源数据的灾备机制,防止源数据受到人为和非人为的因素破坏,并节省了数据存储的空间,改进区块链系统对于算法和电脑存储空间的高要求这一弊端,降低了内部审计部门对于源数据的验证难度。同时,单靠链上链下数据存储分区模式,仅能就当前既定的数据准确性进行核对,当审计出业务错误和进行人员责任追查时,需要结合下文去中心化的机制来共同治理。(2)区块链的可编程传输逻辑拓宽了集团内部审计的业务路线和方案,当内部审计部门对区块链的合约层和应用层进行算法设定后,能够就开展不同业务的审计工具制定区块链运用场景和规则,缩减了集团内部审计对于数据口径不一致的处理时间,能够为未来的自动化审计创造条件。
(二)DAO浇筑内部审计师数字信任的基底
1.半中心化:切断集团内部利益输送环节
DAO作为一个完全去中心化的组织架构,很难在商业领域进行完全体现,这一场景在集团内部的部署和实现可能性远高于其他场景,但仍需要考虑算法中心、责任中心和资本中心[24]。在适配集团企业的超级区块链系统中,系统论强调了该系统形成互动的相互意义赋予,“半中心化”的集团系统形成过程也是多层次互相协调的结果[22]。纳入DAO的“半中心化”机制在集团内部母子公司的部署可分为两个层次:集团业务层次和治理层次,并且两个层次分别实现内部的去中心化结构,但由于集团内部的上下层存在管理关系,在二者衔接的过程中依旧会有一个上下层级关系,这个过程如图2所示可呈现出双重“太阳系”式特征。
图2 “半中心化”下的集团双层级DAO结构图
图3 源数据审计全过程的“共识机制”图
图4 混合链下的源数据全过程处理图
图5 引援区块链提升源数据信任逻辑图
在集团管理层次中,该层次的DAO实现相互负责的原则,即治理层间的信息去中心化,将董事会、监事会、审计委员会等治理机构都纳入到该层级的DAO中,能够实现治理机构的信息互联,治理层面的DAO减少了审计委员会对于内部审计部门工作的评价程序,提高了集团治理机构间的信息交换效率,能够更快地去除向下兼并的信息不对称性。在集团业务层次中,DAO可以完全实现“去中心化”法则,在集团企业的不同业务上部署DAO后,完全消除业务层面上的信息不对称性。以总部位于美国的A互联网企业为代表,将DAO部署于该集团的内部业务区块链上,可实现类似“行星轨迹”环绕于治理层次的机构,值得一提的是,在业务层次的DAO中,可以实现内部审计部门与其他业务部门间的去中心化,这一特点使内部审计部门获取到的数据更加真实、透明和可靠,并且规避了组织层级冗余的弊端,能够减少审计取证环节、提高审计效率、促进审计师的点对点信息沟通。在此环节中,也印证了内部审计师对于错误数据的追踪和溯源逻辑,内部审计师一旦在数据层面上发现出入和漏洞,就能通过集团业务层面的DAO快速发现该业务的责任源头,进行及时校对,可以大幅度切断集团各层级的利益输送环节,防止组织层级过多和审计项目复杂所带来的限制,完全消除业务源数据的信息不对称性。但在“半中心化”的双层次DAO中,也会存在职能授权的相应限制,内部审计部门在不同职能中的权限也决定了内部审计部门的独立性强弱。
2.共识机制:强化远程审计的数据可靠性
“共识机制”作为区块链技术的去信任化条件基础,需要被理解为不存在信任危机和风险。当前对于区块链共识的理解包括机器、治理和市场共识[22],分别对应了区块链中各节点遵守的算法共识、人们相互理解的治理基础和发送交易行为验证和市场价值判断的一致性原则。在集团业务和内部审计层面,以区块链技术的POS工作量证明为例,不同于POW证明,POS拥有更快的“挖矿算力”,对于源数据的传播和存储验证具有更强的效率优势。在集团数据信任机制的考量中,集团区块链系统需要切换与传统区块链不同的思维来重塑信任机制。由于传统的区块链系统受Token(代币)数量的牵制,不需要第三方的同意验证即可完成Token转换,并将交易记录及时按“共识机制”进行各节点存储。而在集团内部审计场景中,则需要引入“共识”这一去信任机制来赋予内部审计部门更高的独立性,由内部审计部门发出的数据处理和传输区块智能合约时,集团层面的区块链需要对内部审计部门进行审计活动赋权,并通过区块链的共识机制分别追溯DAO组织中发现的数据和信息错误源头。上述特征是结合区块链“共识机制”的结果,在集团业务层面区块链上,不论是被审计部门或管理层,还是集团实物的仓储部门,新记录的交易和项目业务数据难以被篡改,并有数据和信息录入过程和人员信息,提供了区块链节点数据的所有权证明。但在“共识机制”的区块链思维模式下,智能合约的录入思维不能只赋予业务人员的“录入”权限,还应给予该部门“修改和核对”的权力,而对于内部审计部门赋权的问题于后文中将进行具体探讨。在业务部门编录并审核过智能合约后,将部门数据传输到不可篡改的节点上后,内部审计部门在进行审计取证时可以就最后修改的节点数据进行取证,一是能够厘清业务部门与上下级的责任边界;二是能够减少内部审计在数据核对中的无效沟通;三是能促进内部审计师落实审计证据,防范由于源数据信息错误产生的审计风险。
(三)混合链打造源数据全过程信任的引擎
集团内部的源数据信任提升主要从混合链上的多链架构中进行权限规划管理。当区块链技术在集团内部审计环节中,一旦依靠DAO和数字化账本解决了协作共识后,将会在集团内部各个部门间形成松散式联盟态势,不仅能够融合物联网、大数据、云端雾计算技术,还能提升内部审计部门这一单链节点对于作用于源数据采集的效率,而且在这种过程中可以把“半中心化”中的两个层级DAO分别赋予内部审计的身份权限认证,可利用区块链的单链和侧链结构开展审计工作,并从业务审计阶段、风险管理阶段、实时评价阶段分别进行身份权限设置。在不同时间阶段下,内部审计部门所采用的权限职能也不相同。在业务审计阶段,内部审计部门的成员需要采集各大母子公司业务部门的数据,开展数据分析并进行审计取证。在这一内部审计场景中,虽然DAO能够为审计所需的源数据提供安全性储存和信用背书,但内部审计部门想要快速提取到准确数据是非常困难的。例如,进行财务审计时对单一科目数据的提取,业务审计时对于合同条款数据的获取等。此时在集团内部的区块链中,内部审计部门需要采用独立化的源数据获取权限,直接从集团区块链数据库中获取,以保证能迅速并直接获取所需目标的源数据,能够使不同业务节点中的源数据互通,有利于内部审计部门建立信息交流机制,寻找可靠的结构化业务源数据。此时的业务审计仍然是传统审计中的“事后审计”思维,可以季度、半年度和年度为时间单位对被审计部门开展审计工作。
在风险管理阶段中,源数据特征主要是结构化和非结构化数据相互交织,集团内部审计的主要目标是防止风险的进一步扩大和延伸,内部审计部门可运用灵活化的权限职能,运用风险评估和风险识别功能,从业务的开展流程、部门管理行为和风险点控制等展开工作,并在业务风险发生时或发生前,内部审计部门的区块链系统能够通过集团业务层面的DAO及时连接到各个业务部门,来开展审计工作。这在一定程度上确保了风险导向审计的源数据时效性,能够在第一时间段内及时把风险扼杀在摇篮中,缓解被审计部门对于削弱风险的诉求,也为业务审计降低审计风险。在实时控制与评价阶段,集团内部审计部门应当以“持续控制”的理念采用实时化权限职能,确保录入的链上数据和储存的链下数据能够得到保障。由于区块链的不可篡改性需要在联网系统中实现,而持续控制的实时化权限可以在数据录入阶段和数据存储阶段开展审计工作,这一过程的落实能够成为区块链审计的闭环,形成源数据从“上链—链中—下链”三个阶段的保障机制,提高源数据的信赖程度,对于开展业务审计和风险管理工作都至关重要。
五、集团内部审计引援区块链提升数据信任的举措
(一)顶层设计:建构集团内部混合链实现万物互联
集团内部区块链系统的顶层设计是提升源数据信任机制的关键所在。集团各部门的混合链功能可以由内部公有链、部门私有链、特殊业务侧链组成。集团内部公有链能够降低经济管理活动间的不对称性,缓解层级传递源数据间的风险与矛盾;部门私有链可以为部门业务数据和信息的录入提高可修改的权限灵活度;特殊业务侧链可以结合具体业务场景和需求,在区块链合约层和应用层上进行特殊编码。在集团混合链的价值构想中,区块链技术的顶层设计需要从两个方面展开。第一,部门间的源数据在联盟链上达到互通,由于区块链技术的共识机制能够提升源数据的真实、可靠性,在集团内部的混合链环境中,集团组织机构间各部门的业务数据需要达成“上链共享”的共识,当各个部门的私有数据通过集团内部公有链进行源数据库或压缩包上链后,源数据的每一次传输、获取、存储和处理步骤都会被集团内部公有链记录到系统中,这个过程强化了数据防篡改。内部审计部门可按照不同的权限职能精准获取所需求的审计源数据,提高数据获取和溯源效率。第二,分别以链上和链下视角为切入点,实现区块链上与链下数据协同,在区块链上数据与实物信息的同一性问题上,集团混合链可开展有形资产和无形资产数据信息上链的管理活动,可参考全球区块链数据的演化趋势,分别将各类资产的真实性源数据记录上链,为集团内部混合链上的源数据塑造统一的数据口径和标准,确保数据与实物资产能够与联盟链相互匹配。
(二)制度创新:强化集团内DAO源数据风险管控能力
DAO逻辑下的集团内部源数据和信息管理,将能够维持DAO框架下的“共识机制”,因此需要从区块链安全性和节点责任上进行制度创新。在集团联盟链中,区块链系统也可能会受到外部黑客攻击和内部利益博弈的威胁[26]。此时需要集团内部控制和风险管理制度逐一加强对于外部和内部风险的防范,对于混合链的外部风险而言,集团企业可以采用优秀的网络安全系统和防黑客攻击系统,建立优良的网络环境,防止外部风险涉入,以保证集团内部混合链的稳定性,强化源数据信任程度;对于集团内部部门私有链或节点间的利益博弈而言,集团内部可以从参照区块链的“共识机制”原理,依据不同部门的业务特征和链上储存的数据,制定相关的责任制度和规章制度,对内部经济利益团体的相互博弈进行横向切断,厘清各部门在区块链账本上的记账权力和责任,每当发生节点和私有链层面上的博弈,能够有适配于区块链的相关制度得以执行。但制度创新对于传统的非互联网集团企业而言,将是一个极大的思维飞跃,需要做好流程改革和思想换新的准备,才能提升集团内部对于源数据的风险管控能力。
(三)资源适配:解决区块链DAO和混合链系统的资源短板
集团内部DAO和混合链审计系统的不可篡改性、共识机制等技术虽然对源数据的信任提升具有不可替代的优势,但区块链技术所需要的高性能计算机也是一个不可忽略的问题。随着集团内部采用区块链系统后,势必会增加多维异构的海量审计源数据,对于集团的硬件环境和存储容量充满了挑战[26],可以从链下数据库优化、智能合约拓展[24]和邻节点数据同步更新上来优化这一问题[27]。在链下数据库优化过程中,由于链下数据的存储需要大容量的存储机器设备,将会花费大量的硬件和系列配套资源的采购费用。集团企业需要结合自身业务特征,着重考量对于硬件资源设备的需求程度,做好业务和项目评估,来制定对于集团企业是否需要存储硬件设备的方案。也可将现有的云储存技术纳入链下数据的存储范畴,解决企业区块链系统的存储资源障碍。在智能合约的拓展过程中,集团内部审计部门应根据具体业务的需求,可采用试点拓展的试验方式,部署第一批智能合约以实现简单业务流程的自动化,如非敏感源数据的验证处理,或出于合同履行或管理目的的单一化数据,然后与集团内部的其他部门一起试验区块链的智能合约,在一个定义明确的审计业务系统中实现多方源数据的自动化处理。例如,实时账目信息核对、人力资源绩效数据采集、合同数据与条款比对等简易业务,通过联盟链上的智能合约拓展来实现数据透明化,促进源数据信任程度。邻点数据同步更新可以作为数据库优化和智能合约拓展的结合,通过区块链中的P2P网络对相邻节点的源数据进行备份,并划分不同部门存储系统的配置范围,规定在相邻节点的系统范围内,对于重复数据的备份豁免,无须进行全系统的共识存储,这样可以优化链上储存的算法和网络空间,解决区块链系统对于源数据存储的系统性短板。
(四)人才培养:打破区块链与人才间的价值孤岛
区块链思维作为新时期互联网的发展结果,自然而然会增加内部审计部门和整个集团对于人力资源的标准和要求,集团内部审计人员的复合型培养将面临严峻考验[28]。为促进集团内部审计能够顺应数字经济时代的发展,集团内部必须要强化复合型人才的培养,加强内部审计人员的计算机、学科交叉素养,提高集团员工的整体素养。人力资源的培养不仅能够提高区块链系统的利用效率,而且可以打破区块链技术与人才间的“价值孤岛”,让使用者更好地运用先进技术和思维。具体而言,首先,可通过“业务融合”的方式培养内部审计人员,在未来研发或采购集团混合链系统时,安排内部审计部门的管理人员参与到系统开发阶段,并将内部审计部门的员工轮岗纳入到研发部门或与外部科技企业部门,来开展对于内部审计部门员工的培训,让内部审计部门的成员更好地理解集团混合链的运行逻辑和思维革新,从而积极配合集团内部各部门间的相关改革创新。其次,内部审计部门的员工还可以从实际工作中记录审计问题和源数据处理难点,并与区块链系统开发端及时对接,以助于系统开发或运行能够不断完善,满足企业不断变化的经济管理活动需求。最后,人才的培养可采用“以先带后”的相关培养机制,优先培养内部审计部门的优秀人才,并让其能够产生带动示范作用,向部门内部其他人员传播新的理念和方法。
六、结论与展望
(一)结论
本研究在研究集团内部审计的源数据信任危险因素后,发现集团内部存在源数据的流动存在层级闭环、审计源数据信息存在不对称性、业务源数据追踪和溯源难度大等问题。通过分析区块链技术与审计相互结合的系列研究,发现区块链技术具有提升审计工作效率、保障数据安全、提升审计师独立性等功能,上述功能是通过区块链独有的智能合约、链式架构、分布式账本、集体维护等特点发挥作用的。在理论层面,本文审视了区块链技术对于增强源数据信任的逻辑协调性,认为区块链技术在审计源数据处理的应用逻辑如下:一是在源数据存储上,可运用区块链上和链下的多方存储工具提升存储效能,通过改进智能合约和共识机制来建立源数据协同存储信息网,从多方节点进行数据共识传播和储备,增强链上和链下对源数据的灾备容量,同时强化各方节点的数据篡改难度;二是在源数据采集和处理过程中,可进行区块链合约层的算法编制,通过运用可编程账本和多链架构实现源数据实时采集,并优化不同口径下的源数据结构,提升源数据采集和审计效率,能加强集团内部区块链系统间的权限协调度。
在上述理论基础上,本文提出了如何重塑集团内部审计师工作中对于源数据的信任机制——DAO与混合链的联合效应。DAO项目利用区块链的智能合约与公司机制,并在源数据的全过程处理上进行集体维护并实现共识,能够在集团企业内部分层次形成“半中心化”的运作模式。分别从集团业务层面和治理层面开展不同工作,能够实现治理层信息互联、业务层源数据可追溯、责任共识厘清等功能,使内部审计部门获取到的源数据更加真实、透明和可靠,并且规避了组织层级冗余的弊端,从中减少审计取证环节、促进审计师的点对点信息沟通、降低审计师对于源数据的信任风险。这也印证了内部审计师对于错误数据的追踪和溯源逻辑,能够直截了当地确定源数据生成错误的责任对象,有助于集团内部审计师规避基于源数据错误的审计风险。混合链上可根据DAO的分层架构,为内部审计和其他部门进行权限职能设计,并划分为独立化、灵活化和实时化等权限职能,目的是应对不同项目场景下的源数据处理,提升内部审计部门的源数据采集、核对、归档效率,从而提升内部审计部门与区块链系统各部门的协调效应。DAO与混合链的联合能够提升多种业务场景、数据口径和组织层级下的源数据兼容性,显著提升集团内部审计部门对于源数据的信任程度,最终巩固内部审计工作成果与收益。基于此,本文认为集团内部若想利用DAO与混合链的共同效应来提升源数据的信任程度:一是要进行顶层设计,建构适配本集团的内部混合链系统;二是提高制度创新,完备集团内各区块节点的内部控制,提升集团内部源数据的风险管控能力;三是要补齐资源短板,优化区块链上和链下资源配套,解决区块链系统的资源限制问题;四是要加强人才培养,提升内部审计人员的计算机和跨部门素养,打破区块链技术和人力资源之间的“价值孤岛”。
(二)展望
当前对于区块链和审计场景的研究虽然取得了一定成效,但还任重而道远。在本研究过程中,存在以下不足之处:第一,各大集团业务存在一定异质性,内部审计部门采用区块链技术开展审计工作时,需要在区块链的合约层和应用层分别重新编制与自身集团相适应且匹配的开源算法,才能确保区块链系统的协调共识和使用适配性;第二,DAO和混合链对源数据的信任重塑时,主要体现在数据采集、处理和存储上,对于由于部门人员的精心舞弊难以察觉,或需要完善相关内部控制、提升人员素质后才能实现理论“理想化”,在源数据的信任程度提升上仍要从组织管理层面上进一步完善。
