郑国洪 贺子卿 黄冠华
[摘要]本文通过分析内部审计应用区块链的核心机理,探讨构建集团企业区块链内部审计的抽象逻辑与具体应用两个架构,并提出采用指标分析法对质量、效率与可持续性进行绩效评估,以促进内部审计成果运用,进一步促进集团企业高质量发展。
[关键词]区块链 内部审计 实时监督 审计信息化
一、内部审计应用区块链的核心机理
如何用信息技术探索新的审计工作方法,已成为科技强审的重要方向。区块链技术与审计相结合已有成功的应用案例:2014年国际“四大”会计师事务所之一的德勤就开发了基于区块链的Rubix平台,致力于将区块链技术的应用场景拓宽至审计鉴证领域。区块链技术通俗地被理解为“全民记账”,其不可篡改、去中心化、去信任中介、时间邮戳等特征,能够保障交易数据的真实与安全。内部审计的核心价值在于提供一种兼顾监督与咨询的双重职能,本文认为区块链技术与内部审计相结合将促进这一核心增值机制的发挥。
以大型集团企业为例,由于业财税审所使用的信息系统建设时间、项目投入、维护费用与软件接口通常存在差异并导致信息不对称,而使得集团内不同企业间出现“信息孤岛”。信息不对称增加了企业的交易费用,进而导致信任和效率难以兼顾,阻碍大型集团企业高质量发展。区块链与内部审计契合的逻辑在于:第一,区块链的“时间戳”机制确保财务信息以真实的形态产生与存储,降低了由信息不对称引发的信任危机与核对财务数据所产生的交易费用;第二,区块链的“共识机制”可提高财务信息传递效率,审计人员因此能够高效地进行财务信息的再认定;第三,区块链中“智能合约”包含一系列自动化运行的代码与程序,因此无须付出额外的交易费用维护系统稳定。
(一)时间戳:防范舞弊、跟踪审计整改和审计问责
传统的企业内部控制体系仍难以完全防范舞弊,而区块链技术与内部审计相结合能够制约集团企业信息系统中的舞弊行为。“时间戳”根据业务信息发生的先后顺序在区块中添加“邮戳编号”,同时要求不能改动或更新该唯一的编号,这就使业务信息被篡改的可能性降到零。这种企业业务行为与会计活动的时间同步性,能够防止事后新增或变更会计记录的舞弊。“时间戳”在会计确认、计量与记录过程中切断了舞弊的逻辑通道。也就是说,区块链技术将极大提升内部审计人员发现舞弊的可能性。就现行集团公司常用的“上审下”“交叉审”模式而言,对被审计子公司的经营业务、财务活动及内部控制检查需要较高的审计资源。但在“时间戳”机制下,由于业务行为与会计活动的高度时间同步性,可以轻易追溯集团内子公司的交易客户和交易源,进而高效发现审计异常事项。除此之外,审计人员本身对集团公司内部的数据读取与处理行为也会在区块上形成时间戳,因此内审不作为、审计合谋等渎职行为也会受到限制,由此极大增强内部审计质量。
区块链内部审计还有助于跟踪审计整改和审计问责。由于区块一经产生就盖上“时间戳”,按时间排序后才能确定下一个区块,进而组成区块链。由于新生成的区块保留了以前区块的“时间戳”信息,那么当前区块篡改后就与下一个区块的时间信息不匹配,而系统在自动记录这一疑似篡改的区块时就将其排除在链之外。“时间戳”提供了有效的信息追溯机制。首先就审计疑点与被审计单位交流,内部审计人员将审计发现的疑点数据与问题储存在带有“时间戳”的区块上并发送至审计平台区块链,这一行为随即记录在整个集团企业的区块链之上。接着被审计的子公司将整改落实情况上传至区块链并形成新区块。最后内部审计人员核对前两个区块,并对之前的审计疑点、审计整改落实情况进行跟踪,如果需要进行审计问责就继续生成新的区块。整个“发现—整改—验证—问责”的闭环回路都保存在集团内部审计平台中,同时记录了不可更改的“时间戳”。这种跟踪式的审计一方面能够督促被审计的子公司及时整改、保证自身的合规经营,另一方面也能够减轻内部审计人员自身的执业风险。
(二)共识机制:缓解信任危机
传统内部审计的价值增值渠道是发现问题后提出改进建议的间接咨询式增值。一方面,由于信息不对称与认知差异在集团企业的部门构架中天然存在,内部审计的咨询职能并未充分体现;另一方面,传统内审业务中信息傳递过程中需要多级审核与上报,不能及时发现差错和纠偏,信息传递速度慢也降低了内部审计监督职能的有效性,两者共同导致内部审计的增值渠道受阻。
共识机制主要用于解决集团企业治理层、内部审计与被审计单位三方在认识上的一致性问题,即区块链上的参与者对链上更新的记录信息达成统一共识即:一是公司治理层能在链上访问到内审与被审计单位双方的事项,尤其是在资金转移、交易审查等环节当中可进行代码全自动完成,提升了对基层的信赖程度;二是由于链上参与者一致认可区块链数据的准确和真实性,使得内部审计能有效借助这些数据,拓宽审计范围,同时获得被审计单位的认可。
(三)智能合约:实时审计与预警功能
以往审计模式中,内部审计主要从企业经营数据中进行分析,而这些数据存在明显的数据滞后性,导致内审人员难以实现对企业的有效监督。在引入区块链技术以后,能够有效提升对审计工作的预警与实时分析,其主要借助的工具是事件触发器。对应的工作方式是,先对数据进行记录,然后触发事件,并发送提醒,随后即进入等待处理的状态。与以往的审计预警机制相比,审计人员可以利用审计预计的“智能合约”实现对企业的实时监督,并能主动判断异常情况,进而避免监督的滞后性,其对应的流程如图1所示。对内部审计来讲,可实现对企业经营环节的全过程监控,并借助相应的预警系统,识别出审计对象可能存在的风险,做好集团的整体风险防控。
二、集团企业区块链内部审计平台构架
从会计信息层面来讲,区块链技术实际上属于网络账簿记录系统。尽管集团企业各部门与分支机构的账簿在空间分布上存在非常大的地理差异,但是在区块链技术改进下,所有区块都内置了一整套完整的账簿副本,而非依靠单一的服务器进行存储。此外,区块链技术使用了一套独特的加密技术,且数据并非统一保存在中心服务器,因而无法通过物理的方式对信息进行删除、撤销和修改,使信息的安全性、可靠性更高。
如何在集团企业中构架流程化、智能化的区块链内部审计平台?本文遵循系统论、协同论与控制论等交叉学科思想,结合大型企业内部审计的现实发展情景,将区块链技术的核心机理融入平台构架,最终形成兼具抽象逻辑和具体应用的总体平台架构。为将区块链技术融于集团企业内部审计平台建设,本文将区块链内部审计总体平台拆分为逻辑架构与应用架构两个子平台予以研究。前者按照内部审计的抽象流程,提出基于逻辑的子平台架构,旨在阐释区块链有效解决信任与效率的问题;后者则是区块链技术在企业真实业务中发挥作用的具体场景,提出基于应用的子平台架构,为集团企业在搭建区块链内部审计平台时提供参考框架。抽象逻辑和具体应用的子平台架构相结合,既契合区块链技术内在本质,又能满足大型集团企业的业务需求,最终基于企业战略层面高效提升区块链内部审计平台建设的质量与水平。
(一)区块链内部审计平台的逻辑流程
大型集团企业的数据呈现出明显的4V(体量大、速度快、样式多、价值密度低)大数据特征,因此高质量的区块链内部审计平台核心问题在于审计数据的处理逻辑。如果采用面向关系型数据的传统数据库,尽管在维护数据的完整性、一致性时具有优势,但在处理非财务的半结构化数据时通常只能通过堆砌硬件进行数据库升级,在数据分析成为技术瓶颈的同时后期维护费用也较高,无法满足集团企业内部审计实时监控的需要。因此,基于大数据和云计算的区块链内部审计平台架构成为数据处理逻辑流程的首选。目前,以通用硬件构建的大型集群运行应用程序的框架Apache Hadoop是大数据和云计算数据库的主流方案,如图2所示,以该方案为例并加入区块链技术元素,构成了集团企业内部审计的逻辑流程子平台,由审计数据采集、处理和存储与数据分析三个主要系统构成。
1. 区块链内部审计数据采集阶段。数据采集来源丰富程度对内部审计质量起到决定性作用。首先,在集团本部与子公司的网群平台中主要是Web非结构化数据,该数据起到了解被审计单位环境信息、搜集难以直接量化数据的作用,此类数据规模大且数据类型繁多的外部区块并非是进行验证的必选项。内部審计可以采集门户网站的资源有文档、照片、视频和录音等格式;通过搜索引擎寻找有关被审计单位或人员的新闻资讯、会议纪要;集团内部社交软件通常与办公OA集成,包括人员职位信息、工作团队成员、单位规章制度等隐含信息。其次,在被审计单位中搜集的数据则以结构化格式为主,具体包括集团子公司业务和财务数据。值得注意的是,由于集团整体内会计政策与账务处理较为类似,所以可以在验证后直接进入内部审计区块链。然而不同部门或子公司的业务数据通常存在一定差异,因此需要经过验证并标准化其时间戳、共识机制后才能加入区块链内部审计平台,否则容易出现区块间不匹配导致系统误报为异常事项。最后,在审计中,由于内部审计人员也需要进行鉴证、跟踪、问责等业务,因此也存在创建并管理区块的行为。为了维护集团整体的链条正常运行,需要严格管理访问区块链时的授权,按照登录角色分配不同的权限,核对公钥、私钥完整无误后内部审计人员才能访问相应权限下的信息。
2. 区块链内部审计数据处理和存储阶段。不同渠道的数据汇总进入内部审计平台后,在正式进行审计分析之前需要经过预处理以保证审计监督具有深度,特别是内部审计的咨询职能更加需要干净的数据以进行高质量的审计分析。所谓数据清洗指的是,对原有数据进行抽取、转换及加载等,进而将初始杂乱无章的数据转化为标准化数据,然后通过对这些数据的分析来发现有效信息,如果直接对原始的非标准化数据进行处理,区块链系统的数据处理与存储效率将会非常低下。标准的区块结构如图3所示,其中前一区块的哈希值与时间戳组合在一起可以通俗地理解为签名,区块链条的前后可以保障签名正确才有效。试图篡改这一区块的交易信息就意味着必须向前一区块追溯篡改,这样的设计保证了区块链整体的自洽性。由于区块链数据较多,图2中以Apache Hadoop方案为例,介绍以HDFS(分布式文件系统)、Hbase(分布式的、面向列)开源数据库和MapReduce(映射和归约)编程模型为核心,实现内部审计平台的数据存储架构。这一方案的硬件和软件具备容错性高、扩展性强、安装部署便捷等优点:HDFS在为审计主体提供高吞吐量的流式访问的前提下对服务器硬件的配置要求较低;采用Hbase数据库能够向下兼容传统数据库,方便整合集团各个子公司原有的业务与财务系统。Map Reduce编程模型开发技术较为基础,方便内部审计人员掌握。
3. 区块链内部审计数据分析阶段。与审计预警机制类似,在同一区块链上的一系列内置智能合约可以自动完成数据分析的基本任务,而把需要职业审慎与专业判断的工作自动提交给内审人员,极大地提高了审计效率。智能合约属于一种典型的计算机协议,其主要目的在于实现信息化传播与验证等。相对而言,传统的内部审计利用数据分析则需要自行学习数据挖掘、统计描述及结果可视化等技术。其中,内审人员使用数据挖掘是在大量的集团企业数据中利用算法搜索关键信息,以发现审计疑点的技术。一般包括统计描述、文本分析、多媒体与社交网络数据、机器学习等技术,属于审计人员较难掌握的技术。此外,区块链内部审计平台还具备优良的数据可视化功能,其能够通过相应的方式,将审计数据以文件、图像、地图、表格等形式输出。现阶段,还能够提供多种操作便利的方式,从而为审计主体使用,其不仅能用于数据呈现,还可以在建模分析中使用。
(二)区块链内部审计平台的应用流程
随着区块链技术的长足进步及商业智能合约的嵌入,当前的内部审计模式可能会发生根本性变革,区块链技术的应用可大大提高审计效率与质量。根据德勤Rubix平台的成功区块链应用经验,本文将其实践证明可靠的智能合约整合进入集团企业内部审计的应用流程中,所构建的集团企业内部审计应用架构如图4所示,数据层面主要包含如下内容:区块链数据、智能合约、智能支付。
1. 区块链数据层。属于一种典型的商业信息系统,能将系统所用的各类数据进行有效整理与统计,如企业业务系统信息、财务系统数据,同时也能采集到不同业务系统甚至外部的非财务信息。此外,还能针对实际业务流程的系统日志进行相应信息的提炼,确保上述信息的真实性。需要注意的是,在区块链体系当中,各类记账规则已被内化于底层协议信息化当中,并借助AI技术,实现对传统审计方式的优化与改进,提升审计工作的自动化程度。同时,还能为内部审计提供更加科学、全面的分析维度,以实现对整个集团运营的审计与分析。
2. 智能合约控制层。主要借助智能合约来完成相关的控制工作,如连续数据审计、连续控制监测(CCM)、审计数据分析等。在通过过程挖掘模型检测发现企业存在不合规定的行为时,能自动化实现事务撤销。通过过程挖掘和实时异常分析,实现区块链数据和企业数据的有效对接,以确保系统数据的准确性。需要注意的是,以上服务都能借助程序分析来完成,且可与现有智能合约融合,进而实现在集团企业的区块链上的连接,从而为风险识别、诈骗检测等提供依据来源,实现防患未然的事前预警。通过德勤 Rubix 系统记录的经济业务,可以把审计活动前移,实现事前预警,提前防止风险的发生。如利用审计数据分析技术持续对供应商的媒体报道进行舆情监测等,这类非财务信息全部会公开存储在区块链系统中,形成了隐形的供应商信用评级信息。此外,根据区块链数据真实透明、无法篡改及实时更新的特性,可以将具有“黑历史”的供应商排除在备选招标库之外,直接避免与此类供应商进行往来。内部审计人员通过区块链技术对企业的利益相关者进行治理,为企业的风险管理活动直接增加价值。
3. 智能合约支付层。由于集团总部与子公司处于同一区块链,因此内嵌的智能合约可以监控集团与子公司项目的进度,在对应的服务工作结束后便能进入支付程序。现阶段,网络信息技術发展势头强劲,通过智能合约能够实现对公司数字钱包的有效控制,在识别出母公司交易结束后,便可把加密货币金额发送至子公司钱包,确保交易环节的自动化。相反,如果交易双方没有如约完成交易,链条上的其他参与者(如内审、财务)等节点就拒绝确认交易,同时向内部审计机构自动提交风险预警。
三、区块链内部审计平台的绩效评价
区块链技术的应用,改进了集团企业内部审计的质量和效率,有助于降低集团企业大数据的交易成本、提高审计效益,同时能有效控制审计风险,优化内部审计预警机制,为审计实时监督系统的构建提供技术实现原理。为系统、准确评价改进效果,可采用指标分析法对质量、效率与可持续性三方面进行绩效评价,如表1所示。
首先,集团企业的内部审计平台设计与建设是否合规,是其质量保障的先决条件,区块链与内部审计整合的技术规范与风险控制可以相应地转换为区块链内部审计质量。因此,采用系统合规性、控制活动有效性和可审计性等指标评估其质量。其次,区块链内部审计应在完成监督的同时使集团预算资金效益最大化,有助于优化组织治理,所以需要将实时监控广度与审计预警深度作为审计平台的产出指标,同时考虑区块链内部审计平台的上线成本,综合投入产出进行效率评估。最后,集团企业需要考虑审计平台的可持续性。一是尽管信息技术迭代式发展带来了诸多红利,但是企业一味求新立异进行应用会导致较高的系统落地成本,因此系统维护、升级的预算经费与升级周期成为考核其可持续性的重要指标。二是内部审计需要深入集团企业业务全程,因此应预留其他信息系统的接口,以便区块链审计平台能够持续与其他系统相兼容。
(作者单位:西南政法大学商学院 对外经济贸易大学国际商学院,邮政编码:401120,电子邮箱:drbrucehuang@hotmail.com)
主要参考文献
陈伟,SMIELIAUSKAS Wally.大数据环境下的电子数据审计:机遇、挑战与方法[J].计算机科学, 2016(1):8-13+34
何东,卡尔·哈伯梅尔,罗斯·莱科等.虚拟货币及其扩展:初步思考[J].金融监管研究, 2016(4)
孙航.企业集团财务公司风险管理信息化思路[J].中国内部审计, 2019(3):88-93
吴勇,周才力,何长添,朱卫东.基于区块链技术的审计模式变革研究:一个整合性分析框架[J].中国注册会计师, 2019(7):85-91
郑伟,张立民,杨莉.试析大数据环境下的数据式审计模式[J].审计研究, 2016(4):20-27