区块链技术在审计中的应用潜力

邓 悦

内容提要：本文通过对区块链技术的本质、特征和工作流程的介绍，指出其在传统审计工作中将发挥怎样的作用，并以销售与收款循环为例进行具体阐述。

一、引 言

社会的发展进步离不开信用二字，一直以来，人们的交易都是建立在信用之上的，从古代的以物易物到现代企业的赊销、预收，所有的交易都必须基于信任的基础，在互联网交易中由于双方互不了解且不见面，想要达成交易就更需要信任的存在。而现阶段交易都是通过第三方中介机构来为我们背书，互联网交易中我们信任对方是因为有第三方机构为对方进行信用背书，这就要求第三方机构必须实力雄厚、公平公正，且我们要先通过一系列的身份认证，信息审核以确认第三方对我们的信任，第三方也需要标准的内部规范流程和强力的外部监管以维持其公信力。这就造成了很高的信用成本、交易成本，不仅会造成时间和精力的浪费，也导致整个社会交易效率低下。

随着2013年比特币热潮的兴起，作为其底层的区块链技术逐渐进入大众视野。区块链以其去中心化的手段、非对称加密技术、不可篡改且带有时间戳的特性，将所有数据公开透明上链，很好地弥补了传统金融行业的缺陷，可以极高地提升运作效率，弱化信任风险，降低交易成本，同时也增加了运行的稳定性，消除了中心机构的垄断性，甚至可能给金融行业带来颠覆性的变化。传统审计行业有着工作量大、重复性高的特点，由于审计程序的固有限制和企业人员的道德诚信问题，使得传统审计领域存在着较高的审计风险。区块链技术在一定程度上可以简化审计工作的过程，降低审计程序的固有限制从而提高审计的保证水平。

二、区块链基础

（一）区块链的概念与运作过程

目前，学术界尚未对区块链有一个统一的定义，司淑娴（2017）认为区块链类似于一个“全球共享网络账本”对信息进行有序和公开透明记录，通过共识算法保证其不可伪造和篡改。长铗、韩峰等（2016）定义区块链为一个去中心化的分布式数据库，使用密码学产生数据区块有序链接而成。袁勇、王飞跃（2016）定义区块链是一种按时间顺序以链条方式将数据区块组合成数据结构，并以密码学方式加密成的中心化总账，使其具有防伪造、防篡改的特征。具体来说，区块链技术是很多种技术的整合应用，它是包括密码学、数学、经济学、计算机算法等在内的一系列科学技术的组合产出。它利用散列函数将输入的数据转变成一串独一无二的字符串即hash值（又称“散列”），且初始数据的细微变动都会引起输出字符串的巨大变化，从而保证了数据的准确性和灵敏性，不同交易的hash值结合形成新的hash值，按时间顺序盖上时间戳，向前延伸形成merkle树。Hash值、merkle根、时间戳和当前的共识机制、运用密码学产生的随机数构成一个数据区块，数据区块链接到前一区块，串联形成最新的区块主链。其形成过程如图1所示。

图1 区块链原理

（二）区块链的特征

1.去中心化

2.不可篡改性

区块链使用去中心化的分布式账簿，每个节点都记录有链上的所有数据信息，且随着区块的增多，节点的数量和每个节点记录的信息也越来越多，如果某人想篡改之前的信息，必须更改不少于51%的节点数据才有可能实现。想要同时攻破51%的节点所需的算力成本远远超过可能带来的收益，技术上也是几乎不可能实现的。而且每个区块都盖有时间戳，时间的不可逆性使任何意图破坏链上数据的行为会遭到其他节点的排斥而失败。因此，区块链保证了所有区块数据的安全完整，不可篡改。

3.公开透明

区块链的分布式账簿形式采用多中心记账，每个交易产生和上链时，每个节点将同步更新变化，每个节点都可以获得关于数据记录的所有信息，因此每个参与者都可以看到所有的交易信息，保障了整个区块链的高度公开透明。

4.可验证可追溯性

由于每一个区块在产生时就被盖上了“时间戳”，按时间顺序上链，随着时间的推移，链上的区块越来越多且独一无二，使区块链具有时间序列性。时间戳为交易的发生和存在提供了证明，为数据的延伸提供了时间维度，使得所有上链的区块包含的信息都具有可验证可追溯的特质。

5.非对称加密技术

非对称加密是密码学中的一种。与对称加密相对应，非对称加密会产生两种密钥，分别为公钥（public key）和私钥（private key），加密和解密使用不同的密钥，从而相较于对称加密增加了安全性。公钥随着交易信息一起对外发送，私钥则自己持有，不对外公开。非对称加密有两种使用方法，一种是使用公钥加密，私钥解密。举例来说，A把自己的公钥随着信息一起对外公布，B利用A公布的公钥对信息进行加密后再发送给A，A收到后使用自己的私钥进行解密，因为私钥只有A自己持有，所以只有A可以看到被加密过后的信息，而别人由于不知道A的私钥，所以即使截获了加密信息也没有用。另一种是使用私钥加密，公钥解密。A把信息用自己的私钥进行加密后公布，B使用A已公布在外的公钥去解密这条信息，解密成功即确保该信息是由A发布的。这种情况常被应用于数字签名、登录认证等方面。

主观社会经济地位：指被调查者在主观感受上自己所处的地位，用问卷E部分中的问题，“您家的社会经济地位在本地大体属于哪个层次”来衡量。此问题的回答分为“上层”、“中上层”、“中层”、“中下层”和“下层”五种，这些答案在分析中作为定序变量使用

6.共识开放

区块链是开放的系统，为了保证在这个系统中是由唯一一个节点产生区块且整个分布式账簿是不可逆的，就要通过 POW（proof of work，工作量证明）、POS（proof of stake，权益证明）、DPOS（delegate proof of stake，股份授权证明）等一系列共识算法，在区块之间引入算力的竞争来保障全网的一致性和共识性。在比特币中，竞争算力的这一过程被称作是“挖矿”，最先计算出来随机数的人可以获得该区块的记账权。通过共识机制可以保证记账权的随机性，确保了区块链的准确生成与添加，各节点信息的一致不分叉和去中心化。

7.智能合约

智能合约即一套有关于承诺与执行的程序语句，当条件满足协定时触发合约自动执行，不需要第三方的参与，达到自治的目的。合约的参与方只需要就多方的权利义务和承诺达成一致，并用自己的私钥进行签名后传入区块链，每个节点会收到并验证该合约，从而将其计入分布式账簿。在条件满足时，系统会自动触发并执行该合约，执行完成后系统会自动标记合约状态为“完成”，同时将其移除出最新的区块链；反之就一直保存在区块链中直至完成。整个写入和执行的过程都由系统自动完成，公开透明溯源可查且不可篡改。智能合约的过程如图2所示。

（三）区块链的工作流程与架构

如果将每笔交易进行一次记账，每一个区块就类似于一页账簿，而区块链就相当于一个巨大的无限延展的分布式账簿。区块链的核心也就在于这个巨大的分布式账簿。区块链的分布式账簿并非不建立信任机制，而是将人与人、人与机构之间的信任转变为对计算机算法的信任，从而弱化了中心化机构的地位，提高了传播速度与运行效率。利用P2P网络（peer to peer network），设计POW、POS、DPOS等共识算法，让交易双方在没有第三方参与的情况下建立信任关系，并将交易信息在P2P网络上进行全网传播，链上各节点收到广播后，利用共识机制对信息进行验证，通过验证的信息才可以计入账簿，在这个过程中，系统会建立奖励机制来激励各节点提供算力以保证交易和记录得以稳定维持下去，这样长此以往，区块链的链条越来越长，也就越来越安全。

三、区块链与审计的结合

审计工作作为一种监督机制，其工作是按照国家的法律法规、审计准则等法律规范，对被审计单位的一系列经济管理活动进行审查，合理保证其经营业务的真实性、准确性、合规性等特性，增强除管理层之外的预期使用者对财务报表的信赖程度。

在现阶段的注册会计师审计中，仍然存在很多效率低下、审计过程受阻等无法防控的风险点，也存在注册会计师未发现管理层串通舞弊从而发表了不恰当的审计意见，或是会计师事务所与被审计单位串通共同欺骗社会公众的现象，导致了社会公众对会计师事务所的不信任。这些风险点一方面是由于审计的固有限制产生的，包括财务报表的性质、审计程序的限制和在合理的时间内完成审计工作的需要等；另一方面是由于财务和审计人员的道德风险产生的。

区块链独有的技术特点，可以很好地解决现有审计过程中的大部分风险点，提高审计的效率和效果。区块链的公开透明特性可以保证注册会计师取得被审计单位的所有交易数据，防止了被审计单位有意或无意不提供全部的审计证据和数据信息；不可篡改性可以保证事务所获取的会计资料都是百分之百真实的；时间戳和可验证可追溯的特性可以很好地查验存货、固定资产等的存在性和权利与义务认定，收入费用等的发生认定、完整性认定；去中心化的特征也使得会计信息得以安全完整的保存，不会受到恶意的攻击和销毁。区块链和信息技术的结合也可以在短时间内实现全面审计，消除抽样审计带来的系统性风险。如果将公司财务人员、事务所审计人员进行的操作、做出的判断、出具的报告等信息上链，结合财政部新出台的“会计黑名单”政策，将在最大程度上提高做假账、舞弊的成本代价，消除道德风险，保障资本市场的平稳有序运行。

图2 智能合约示意图

下面将以销售与收款循环的审计为例，具体分析区块链对审计工作的影响。销售与收款循环的主要流程为：接受客户订单—批准赊销信用—根据销售单编制发运凭证并发货—按销售单装运货物—向客户开具发票—记录销售—办理和记录现金、银行存款收入—办理和记录销售退回、销售折扣与折让—提取坏账准备—核销坏账。销售与收款循环中的内部控制点有：适当的职责分离，恰当的授权审批，充分的凭证和记录，凭证的预先编号，按月寄出对账单，内部核查程序。销售与收款循环中涉及到的单据如图3所示：

图3 销售与收款循环主要单据

首先，公司将从接受客户订单到核销坏账的整个过程中所有的交易信息都录入区块链，且带有时间戳，即使有任何的细微新增、更改和删除，都会在区块链上留下痕迹，不会覆盖掉以前的信息，在注册会计师审计时，时间链条均清晰可查，防止了审计证据出现中断或缺失的现象。相较于一般的信息系统对信息的篡改不会留下痕迹，利用区块链技术可以极大地提高变造会计信息的成本，在一定程度上对造假行为起到了遏制的作用。

其次，区块链的公开透明性，大大降低了注册会计师获取信息来源的成本。以往的传统审计中，审计人员往往要通过局域网将被审计单位的数据导出，再导入到自身的信息系统中，这一过程较为麻烦。而通过区块链的去中心化账簿和非对称加密技术，只要注册会计师拥有被审计单位的密钥，就可以直接访问被审计单位的数据信息，降低了信息获取成本，保证了信息的完整性，不会出现数据的遗漏，或是被审计单位故意不让注册会计师接触到某一部分数据信息的情况。另外，利用区块链的公开透明性，如果被审计单位有关联方交易，这些关联交易很容易被注册会计师了解到，杜绝了通过未披露的关联方进行显失公允的交易的风险。交易数据的公开透明大大降低了信息不对称，让注册会计师得以获得全部的、真实准确的信息，降低审计风险，提高审计的效率和效果。

第三，在销售与收款循环中，最容易出现收入的高估、低估或虚增收入、提前或推后确认收入等舞弊行为。利用区块链的智能合约，可以很好地防范此类风险。被审计单位可以和上游供应商和下游客户达成关于收入、成本确认的一致承诺，利用智能合约，在满足收入确认条件时自动触发收入确认、成本确认，从而消除提前确认收入、推迟确认成本虚增利润和推迟确认收入、提前确认成本进行避税的风险。

利用区块链技术，在很大程度上消除了审计程序的限制和在合理的时间内完成审计工作的需要给审计工作带来的固有限制，提高审计工作的保证水平。将所有的资金流、信息流、物流上链，不仅可以进行会计监督，也可以进行业务监督，真正实现审计全覆盖，业财融合，让舞弊无处遁形。

四、面临的挑战

任何一种技术都不是完美的，都或多或少存在一些局限性。区块链技术想要进一步发展得到大规模应用，还有不少需要解决和优化的地方。

（一）算力问题

区块链技术的发展离不开计算机算力，算力类似于区块链时代的“新能源”，只有底层能源解决了，区块链技术才可能得以大规模使用。现阶段而言，区块链的交易速率的确是一大问题，以太坊每秒只能处理7—15笔交易，而在2017年的双十一，蚂蚁金服下的支付宝的支付峰值达到25.6万笔/秒，数据库处理峰值4200万次/秒。交易效率的低下限制了区块链技术的大规模落地使用。如何创造出一个效率更高、适用更广的公链是各大区块链从业人员亟待解决的问题。除了处理效率之外，存储和同步也限制了区块链的进一步发展。以比特币为例，其从问世至今区块链的数据需要约60GB的存储空间，而且随着更多区块的产生，占用的空间将越来越大。比特币每一笔交易需要约10分钟来记录。这些最基础的问题不解决，区块链离大规模商用还有很长的路要走。

（二）安全问题

区块链的分布式特征使得只有51%的节点遭到攻击才会导致数据篡改，虽然攻击51%节点所需的算力可能远远超过其可能带来的收益，但随着计算机技术的进一步发展，竞争记账权的矿池拥有越来越多的算力，对攻击51%的节点始终存在着威胁。

区块链采用非对称加密技术本身具有很高的安全性，但是密钥的保存却不尽然。密钥等信息必然要存储于某一地方，无论是第三方软件还是独立芯片，而无论采用何种方式存储密钥，都面临着被盗取的危险。近几年，也的确出现了不少比特币被盗的事件，如区块链组织The DAO所收集的比特币被黑客截取、日本比特币交易所Coincheck服务器遭黑客入侵。如何加强区块链的安全性问题，还有待进一步研究。

（三）新技术的融合问题

在审计工作中引入区块链，也会给整个财会审领域带来不小的冲击。首先，智能合约执行正确的前提是智能合约代码的正确性，智能合约代码是由人来编写的，人难免会犯错误，这就需要对智能合约代码进行审计，因此未来的审计工作可能增加一项代码审计，这可能需要在审计中更多地借助外部专家的工作。另外，利用区块链技术进行审计减少了很多简单、低级的劳动，这必然向企业的财务会计人员和事务所的审计人员提出更高的要求，财会审人员不仅需要懂得财会审领域的知识，也得掌握一定的计算机方面的知识；不仅要知道基础的流程层面的东西，更要掌握管理、分析、决策的能力。

（四）监管问题

由区块链带来的去中心化的机制挑战了一直以来人们习以为常的对权威机构与监管体系的认知。区块链的全网广播、51%节点认证通过的机制在理论上可以消除传统的权威监管机构，实现自我治理。但是完全依靠自治在当今社会条件下是否可行以及必要？如果某一参与节点故意设计虚假数据上传，其他节点是否有能力识别并防范“脏数据”对整个链条的影响？根据区块链不可篡改的特征，一旦脏数据占据了链条的大部分，那么整个区块链的可信性将大大降低。监管机构的存在不仅仅可以对信息的真实性、可靠性进行审核与管理，也会产生人与人直接的沟通交流，提示风险和注意事项。

现阶段很多企业单位或交易数据，都没有“非上链不可”的必要性。为适应不同的使用要求，现阶段发展出了共有链、私有链和联盟链三种区块链形式，私有链和联盟链并没有完全地去中心化。总体来说，依靠监管机构这种“人工”手段，相较于区块链这种“纯技术”手段，虽然成本较高，效率较低，但也有其可取之处。