区块链技术在商业银行内部控制优化中的应用研究

陈雪仪

一、问题的提出

从利用虚假承兑汇票骗取借款资金到虚假授信导致不良资产，一系列银行事件造成了社会巨大的经济损失，暴露出商业银行系统内部控制薄弱的问题。为了加强内部控制效率，提高企业经营管理水平以及风险防范能力，财政部同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》。该规范强调企业实现控制目标的过程需由企业董事会、监事会、经理层和全体员工共同参与，遵循全面性、重要性、制衡性、适应性以及成本效益原则。企业应当从内部环境、风险评估、控制活动、信息与控制和内部监督五大要素出发建立与实施有效的内部控制。相关实证研究表明有效的内部控制可以约束权力的滥用，促进权力使用过程的透明化。

作为金融行业的重要参与者，商业银行在寻求规模扩张的同时，也面临着更为严峻的挑战。随着业务量的不断增加，大量的数据和信息存储对终端服务器要求极高，且数据的同步与业务的发展存在“时间差”，导致商业银行内控效率低下，风险上升。2014年银监会印发修订后的《商业银行内部控制指引》，该指引在《企业内部控制基本规范》的基础上增加了审慎性原则，要求商业银行在设立机构或开办业务时均应坚持内控优先。作为一个负债经营和高倍杠杆的特殊金融机构，商业银行必须依赖于更优化的内部控制制度，以保持高效的风险预警和控制。

区块链技术去中心化、防篡改和可追溯的特征，为银行建立一个高效的内部控制制度提供了新的管理思路和技术支持。区块链技术附有的时间戳为商业银行客户数据库的真实性提供了保障，相关学者提出应将其应用于数据鉴定和资产管理等方面，以提高资产管理效率。区块链技术的运用重建了传统会计信息系统，通过“分布式账簿”自主完成交易记录、资金转移和审查等相关操作，有效减少信息不对称的问题；同时，区块链技术解决了审计原始数据的处理和储存容量较大的问题，以分布式节点的信息储存代替传统终端服务器，为联网审计开辟了新的途径。

二、区块链技术在商业银行中的应用

区块链技术起源于比特币，凭借其公开透明、不可篡改、可追溯等特性引起了政府部门、金融机构和资本市场广泛的关注。全球40余家大型银行机构签署了区块链合作项目，联合制定银行业的区块链行业标准，将其业务与区块链技术进行整合。银行作为金融市场的重要主体，是推行区块链技术的中坚力量。在区块链2.0时代，利用新技术降低金融交易成本，减少信息不对称，成为商业银行进入区块链技术研发领域的主要动因。2016年以来平安银行、民生银行、招商银行等金融机构陆续加入R3全球合作伙伴网络，作为中国成员企业共同开发和使用可用于金融市场的区块链技术。2016年8月，银行间市场区块链技术研究组正式在上海成立，包括中国银联、工商银行、农业银行、交通银行等19家金融机构，是继China Ledger区块链联盟和中国互联网金融协会成立的区块链研究工作组之后国内的第三个区块链组织。

不同于工业企业的物联网建设，商业银行对区块链的研究集中于支付领域、资产管理领域和数据鉴定领域。在跨行支付和跨境支付领域，相关交易需要在各个银行、代理行之间进行，流程长且易出错，而区块链技术下的去中心化支付手段有效简化了支付清算流程。在数据鉴定和资产管理方面，区块链附有的时间戳为商业银行客户数据库的真实性提供了保障，块链的运用可对相关资产进行实时授权与监管，进而大幅提升资产管理效率。

三、区块链视角的商业银行内部控制分析

互联网金融的快速发展改变了银行风险管理与业务发展的平衡，在一定程度上改变了个人和组织的风险偏好；普惠金融导致银行业大数据快速增长，短期内的信息过滤和提取技术无法满足市场需要，从而带来较大的负面影响。结合当前的大数据时代背景，并基于我国《企业内部控制基本规范》中提出的五大要素，我国商业银行目前内部控制机制仍存在诸多问题。

1.业务过度创新 内部控制环境弱化

近年来，互联网金融快速发展，基于大数据、云计算和第三方支付等金融产品的推行改变了顾客的金融业务习惯，导致银行去中心化的现象更加明显。商业银行为维持其市场份额，需持续推出新型业务以保证现有的客户群体不会流失。互联网金融推动了商业银行对其业务的创新，但是，短时间内的过度创新导致部分多层嵌套的金融衍生产品的风险评估绕过常规的内部控制渠道，从而导致银行内部控制环境弱化。多数新型金融衍生产品具有高杠杆性，交易所需的保证金只需满足基础资产价值的某个百分比即可，凭借其低门槛、高收益的特性吸引投资者。高杠杆交易要求商业银行仔细审核并保留数以万计的客户资料，以防风险暴露时有据可查。而传统商业银行缺乏相关储存空间及技术，盲目推广衍生金融产品抢占市场可能会导致内部控制人员无法进行业务流程的及时跟进与监管。

图1 商业银行控制系统

图2 商业银行区块链应用场景

图3 基于区块链技术的商业银行内部控制模式

图4 中心式和分布式储存架构

2.风险评估意识淡薄

虽然我国的经济模式已经从计划经济转向市场经济，但是银行业仍受政府扶持较强，导致其合规风险与收益不对称。在寻求业务扩张的同时，商业银行往往重业务轻内控，放松内部控制的管控要求，以追求“规模发展”。虽然区块链“分布式账簿”的属性能够加强内外部监管效力，但商业银行有关区块链在内部控制场景的应用开发仍落后于其业务发展。区块链技术开发周期长，前期投入金额巨大，银行不敢贸然开展相关项目的建设。此外，区块链技术的落地涉及多个部门，而大型商业银行职能部门、总分行结构较为复杂，短期内难以重新调整原有组织架构。因此，虽然商业银行致力于将业务发展与区块链技术进行整合，但仍未重视内部控制领域区块链的应用场景，风险评估意识较为淡薄。

3.三级管理导致控制活动效率低下

由于互联网金融的快速发展，商业银行不得不在短时间内推行新型金融衍生业务。如图1所示，商业银行的监管主要由内部控制系统和外部控制系统共同操作。针对大量的金融衍生产品创新，监管部门需要更长的时间观察相关产品的运营情况，针对后续出现的问题给出指导性意见。因此，外部控制系统的监管速度往往赶不上新型业务的更新速度，导致监测力度不足。国有商业银行的总行、分行和中心支行的三级管理导致内部控制系统执行流程冗长，使得银行的风险控制举措与业务发展存在“时间差”。一旦风险控制流程受突发性系统问题影响，则会进一步加剧“时间差”。

4.部门之间信息不对称

图5 基于区块链技术的商业银行新型金融衍生品交易事中控制流程

图6 商业银行集团内部控制预警机制

图7 财务共享与业财融合管理模式

由于商业银行的部门和开展的业务众多，从前端的业务部门、中后端的合规、管理部门，内部控制的执行被划分到众多部门中。独立的部门管理模式，难以使各个部门形成一个紧密合作的整体。在实际执行过程中，由于部门间的信息不对称，往往出现权责不明、重复管理等问题。总行和分行之间的信息不一致也是导致内部控制失效的重要原因之一。除个别业务外，大多数基本业务由分行和支行自主处理，权力的下放导致内控人员无法对银行业务的全流程进行及时监管，由此导致相关财务欺诈事件。此外，商业银行不同部门之间缺乏统一的数据收集标准，对数据的核对工作仍以人工筛选为主，难以保证内控合规信息的准确性和时效性。

5.业财部门缺乏深度融合

相较一般金融机构，银行业受国家宏观控制较强，导致商业银行更重视业务发展忽视内部控制，专业人员未能形成人才梯队。同时，商业银行的“三级管理”机构使得财务管理人员远离业务岗位，专业技能往往跟不上业务的创新，无法对新型金融衍生品进行及时有力的监测。在长期部门管理的组织模式下，商业银行内部控制缺乏统一的标准、风险评估能力参差不齐。脱离实际业务的内控管理使得执行流程片面化和检查形式化，进而影响内部控制效力。因此，内部审计机构应与业务部门深度融合，在日常监督和专项监督方面对银行实施内部控制的情况进行常规巡查以及有针对性的专项检查。

四、区块链技术对商业银行内部控制优化的应用

如图2所示，基于区块链技术，本文提出商业银行可运用分布式储存架构，通过网络实现互联，跳过终端服务器的数据存储和提取环节，缩短数据存储和提取的“时间差”。每笔交易发生时，每个节点都将收到该交易信息并同步纳入一个区块中，并自动链接到下一数据块形成区块链，块链一旦形成就无法被篡改。通过这一分布式场景运用，涉及的交易方同时拥有参与者和监督者双重身份，违约成本大幅度提高，从而抑制了高层管理者及相关参与者的违约动机。作为一个负债经营和高倍杠杆的特殊行业，商业银行可运用区块链技术对其传统业务的内部控制流程进行优化，这或将颠覆和重塑商业银行的整体风险控制效率。

（一）业务追踪和智能化合约

商业银行短时间内的过度创新导致部分新型金融衍生品的风险评估绕过常规的内部控制渠道，增加了金融风险。由于业务的不断创新，不同风险水平的业务所采用的内控模式也不尽相同。因此，商业银行需要根据其具体上线业务，设计相对统一的多种内控模式。利用区块链技术建立一个高效的分布式业务系统，每一新型金融衍生产品上线前将被录入块链中在集团内部进行广播。如图3所示，内控部门可在第一时间收到新上线产品的相关信息，并依据不同产品的风险等级进行分级控制。通过内控部门的核实和鉴别后，新型的金融产品才能正式上线并计入商业银行的业务系统。正式写入商业银行业务系统的产品信息将被再次广播到其余节点，确保了上线流程的开放性和透明性。

针对高风险的金融衍生产品，区块链的“分布式账簿”使商业银行的征信信息搜集更为便捷。同时，区块链可编程的特点使得其可以通过自动识别生效环境，实现合约的智能管理。通过区块链技术在商业银行的运用，不同网络节点可以进行数据共享，各项交易明细和客户资料可实时在块链上同步存储记录，极大减少了物理空间存储带来的冗余。一旦不良事件出现，涉及的交易记录和客户资料可在第一时间被提取及追溯。区块链的运用提高了商业银行对高风险金融衍生产品风险控制的效率。自动化智能合约在高杠杆金融衍生品交易中的运用，将大大提高银行资金的安全性。智能合约允许商业银行和客户通过代码签订金融产品交易合同，涉及的交易记录可追踪且不可篡改，一旦违约事件发生，自动化智能合约自动进入交易清算环节，迫使违约行为中断，保证资金的安全性。

（二）事前及事中风险控制机制

现阶段的风险控制机制建立在传统中心式储存架构上，主要依赖于银行内部预先设置的异常数值进行预警。所有的数据提取必须从终端服务器提取，但是由于数据量较大，提取耗费时间长，从而造成异常事件无法在第一时间得到处理。如图4a所示，在传统中心式储存架构模式下，终端服务器既要处理交易数据的采集与储存，又要接受内部审计的数据访问。因此，商业银行对其服务器储存数据容量、系统安全性和稳定性有极高的要求。在该模式下，审计人员只能从终端服务器提取相应数据，大量的数据访问容易出现数据提取难、耗时长等问题，造成内控程序耗时耗力且效率低下。在分布式储存架构模式下，“分布式账簿”跳过了终端服务器的数据提取环节，为审计人员的工作提供了便利。如图4b所示，针对异常交易信息触发警报，审计人员可以根据异常事件从相应节点上直接提取相关交易数据，保证了信息数据的时效性。区块节点上记录的交易数据具有不可逆和防篡改的特性，为内部审计提供了质量保证。通过区块链技术的运用，商业银行的风险控制从事后控制逐渐转向事前和事中控制，建立了更为高效的内控机制。

（三）去中心化的授权机制消除信息共享的“时间差”

不恰当的授权和职责划分可能会导致资金的非法挪用和财务报表的操纵。商业银行的纵向组织形式“三级管理、一级经营”使得管理层次划分过多，逐级审批链条过长。“分布式账簿”由全网节点共同运行，每个区块链上的参与者都可提取相应节点数据，简化授权流程，提高内部控制效率。在区块链交易系统中，交易完成的瞬间所有的账本信息完成同步更新，相关交易数据不再依赖于人工存储和读取，消除了前后端部门信息共享的“时间差”。同时，过多的层级结构可能引发一系列实质性漏洞，管理人员或因职务之便对下级人员施压，企图掩盖内控制度的缺陷以满足一己私利。区块链技术的去中心化的特点解决了这一授权审批问题，避免分行权力过度集中引起的上级施压致使内部控制流于形式。如图5所示，以商业银行新型金融衍生品交易为例，交易A,B,C分别被记录于相应的块链上，突发风险问题时，内控部门可越过传统的多级授权流程，第一时间追溯交易提取块链信息并加以分析与控制。

（四）交易信息实时交互

商业银行业务类型本地化给予了分行更多的自主性，但也因此引发了总行与分行之间的信息不对称问题。集团内审人员如要对分公司的业务进行追踪，需在分行数据上传总行终端服务器后才能进行相应的数据提取工作，由于服务器数据承载量较大，审计过程往往耗时较长。区块链技术能够自行进行总分行交易数据的同步备份，同时跳过了终端服务器直接将信息储存在块链上，实现内部审计脱离远程审计数据采集，保证内控数据的时效性。区块链的共识机制要求各方对数据进行共同确认，提升了内部审计数据的完整性。以图6为例，各项交易信息在集团内部广播的过程中，只有经过相关交易经手人员全网认证之后才能形成账簿。如被判断为无效业务，内审人员可直接通过集团数据中心访问块链上记录的相关交易信息追究异常原因。区块链技术的运用使实时审计成为可能，提高了信息交互的效率，节约人工成本。

（五）财务共享与业财融合

财务部门作为重要的后台管理部门，需要掌握公司全面的经营信息，而商业银行的纵向层级结构使得内控管理人员远离业务岗位，专业技能往往跟不上业务的创新，无法对新型金融衍生品进行及时有力的监测。在区块链技术支持下的内部控制系统简化了冗长的流程，减少了服务器扩容和维护等成本。商业银行可以更合理运用其资源构建云财务共享中心，集中处理同质化、日常性的交易事项。通过块链的实时记录与信息共享，将每笔业务活动和资金管理按时间顺序分摊至逐笔交易中，便于追溯。“分布式账本”在一定程度上消除了内控部门与业务部门的信息壁垒，各分行财务部门可直接对财务共享平台数据进行深入挖掘，准确对接新型业务。如图7所示，在财务共享和业财融合的财务管理模式下，前台业务部门与后台管理部门可通力合作，财务人员可直接接触一线业务部门，实时跟进业务进展，最终形成更有效的内部管理结构。

五、区块链技术在商业银行内部控制的运用展望

随着区块链技术的日益成熟，其在商业银行的运用能帮助内部控制管理者实时获取需要的信息，及时识别相关内控风险。区块链技术的共识机制理论上能够确保信息的真实性、从而加强风险管理效率。但在商业银行内部的落地中，仍存在技术、成本以及政策方面的相关挑战。

在技术层面，安全性与隐私保护难以保证。虽然“分布式账簿”具有开放透明性，强调数据共享、管理去中心化的特征，但是伴随着透明度的提高，交易信息的隐私保护也变得更为重要。大量的私人信息存储于块链上，包括历史交易记录、账户余额和交易人信息等。商业银行需明确界定共享环境和加密环境的数据类型，信息的交互必须有明确的授权许可，以防止内部信息的恶意泄露。虽然理论上区块链具有防篡改的特性，但在现实实施过程中仍存在篡改数据的可能。区块链设计为完全开放的公共网络，一旦不诚实的节点数量超过诚实的节点数量，系统则有可能受到“51%攻击”。此外，黑客攻击、智能合约的合约纠纷、账本数据归属等问题也是银行在应用区块链技术中需要解决的问题。

在构建成本方面，相较于后台内部控制管理系统的区块链构建投入，商业银行更偏向于支付领域和资产管理等前端业务领域的投入。因区块链系统的构建成本较高，而后台管理系统又无法快速产生收益，极高的沉没成本和机会成本使大多数商业银行望而却步。且区块链技术的落地涉及整个集团的部门整合和资源分配，除系统本身高额的成本外，还会产生部门与部门之间的沟通成本与人力资源成本。

在监管层面，相关法律的完善仍需要较长时间。区块链去中心化的特点，颠覆了传统的监管模式，弱化了政府宏观调控的职能。加密货币的追踪成为难题，可能滋生洗钱、偷漏税等一系列监管难题。此外，有关区块链的法律推行仍落后于其发展。出于安全、隐私和效率方面的考虑，应用于金融服务的“分布式账簿”需基于完善的政策法规才能真正推广，包括规定最低资本要求、内控系统的执行以及风险管理流程等具体要求。同时，政府需要对第三方网络提供公司进行监管，明确其对使用者的义务及承担的责任，最大程度排除第三方网络安全技术问题对交易数据泄密或篡改的影响。