高明华(副教授)
自2022年1月1日起施行的新《审计法》要求,审计工作必须更好地服务于社会经济发展,推进国家治理现代化。这就要求我们在社会经济技术日新月异发展的同时重视审计质量的提升,让审计技术与经济技术保持“同步增长”。近年来,区块链技术正日渐改变着经济社会的生产方式,也对审计工作提出了不少挑战。作为支撑数字货币发展的底层技术,区块链系统具有良好的传播机制和验证机制,被誉为“建立信任的机器”。2016年国务院发布《“十三五”国家信息化规划》,首次将区块链技术纳入国家级信息化规划范畴并作前沿布局,标志着我国开始推动区块链技术的应用发展。2019年,习近平总书记在中央政治局第十八次集体学习时再次强调,发展区块链对促进经济高质量发展、推动建立安全可信的数字经济规则与秩序、提升国家治理体系和治理能力现代化水平意义重大。截至2020年底,已有22个省区市将区块链技术写入了政府工作报告,可见区块链技术的热度非常高。
区块链技术在会计、审计行业中同样得到高度重视,现有研究成果主要聚焦于区块链技术对传统审计的影响[1-4],而关于区块链技术下审计质量提升的相关研究则较少。鉴于此,本文着重于对区块链技术下的审计冲突问题以及审计质量提升进行探讨。
1.区块链技术的主要运行模式。区块链即“连接成链的数据区块”[5],是一种由集体维护,使用密码学技术保证传输和访问安全、数据存储一致、难以篡改的分布式记账技术。区块链中的每个节点都拥有一份统一并实时更新的账本,所有交易记录必须通过共识机制,具有安全性高、交易可追溯、不可篡改、点对点传输、去中心化等特征。根据去中心化程度和读写权限的不同,区块链的运行模式可以分为公有链、联盟链和私有链三种[6]。经济主体可根据不同的应用需求与场景,在综合考虑成本效益、去中心化与安全性等问题后,选择适用的区块链运行模式。
(1)公有链模式。公有链采用全网公开的形式,系统运作公开透明,不受任何机构或个人的控制,比如比特币、以太坊智慧合约等。公有链模式无用户授权机制,访问门槛低,所有用户匿名化,任何节点可随时加入或脱离区块链网络,利用激励机制完成安全验证。
(2)联盟链模式。联盟链是指由若干机构和组织参与、建立并维护的行业性区块链网络,以金链盟、微众银行为代表,属于“广义私有链”[7]。联盟链模式中,指定节点拥有记账权限,其余节点只有交易权限。与公有链相比,联盟链模式的运行和维护成本更低,交易速度更快,具有良好的扩展性,适用于行业内不同实体间的交易和结算。
(3)私有链模式。私有链是指一个机构或系统内部的区块链网络,蚂蚁金服是其典型代表。私有链模式提供可追溯、难篡改、自执行运算平台,并授权节点进行数据读取、记账及交易等行为。私有链安全隐私性能良好,可规避来自内外部的安全攻击。
由于目前的商业模式和组织模式以中心化模式为主,因此公有链模式并不适用于审计场景。联盟链与私有链模式限制了节点数量,对用户进行权限设定,安全性较高。这两种模式“部分中心化”的理念缓解了区块链“不可能三角理论”[8](安全性、去中心化和扩展性三者不可兼得)的困境,使系统在缺乏激励机制的情况下也能平稳运行。
2.区块链技术的核心工作机制。可归纳为四种:
(1)共识机制。共识机制是区块链的重要组件,也是“去中心化”理念的核心。目前,在不同语境下对共识的理解主要分为市场共识、治理共识和机器共识三大类。其中,市场共识和治理共识同属于“人的主观共识”,若无特别说明,本文讨论的则均为机器共识。机器共识是指在不依靠中心化组织的前提下,通过机器算法促进各个节点高效达成,完成对交易的验证和确认,在一定程度上抵御恶意攻击,确保分布式账本的一致性。共识机制主要分为四类:工作量(PoW)证明机制、权益(PoS)证明机制、股份授权(DPoS)证明机制和Pool验证池[9]。
(2)时间戳机制。时间戳机制是形成链式结构的基础,确保区块之间的有序连接,赋予区块链可追溯性和不可篡改性。通过实时随机的哈希运算,予以区块相应的哈希值和时间认证,明确交易顺序。第n+1个区块的哈希值以第n个区块的哈希值和时间标记为依托生成,若修改某区块的数据记录必然影响之后产生的所有区块,随着时间的推移,变更从前的区块数据将愈加困难。
(3)默克尔树机制。默克尔树机制是实现区块数据快速查询和验证的基础。默克尔树是二叉树,由叶节点、中间节点以及一个根节点组成[10]。含有基础数据和记录的树根具有大量的叶节点。每个节点是其2个子节点的哈希值,从树根的叶节点开始衍生中间节点,自下而上逐层传递,最终形成“顶端”,即根节点。节点的传递性和关联性保证区块中的数据能够零散传递并难以篡改。用户通过验证根节点的哈希值快速验证整个区块数据的真实性。
(4)智慧合约机制。智慧合约是一种嵌入式程序化合约,由代码、代码验证与自动化软件三部分组成,可塑性强、通用性高,是区块链系统实现“去中心化”的重要依仗。智慧合约通过事件驱动,以信息化的方式传播与执行,能够在去中心化的环境中实现实体交易、管理资产等功能。可编程特征使其具有高度扩展性,除交易外,智慧合约还可广泛应用于金融、医疗及供应链管理等领域。
从实质上讲,区块链技术并未改变审计的属性和内容,改变的主要是审计模式。区块链审计本质上是一种以数据分析为核心的新型审计工作模式。
1.区块链审计模式。在数据导向的审计模式下,审计单位作为一个只读节点直接嵌入被审计单位的区块链生态,通过实时审计访问模块,实现审计数据库与被审计单位信息系统的联通,利用信息技术挖掘所需信息,收集审计证据,开展审计工作。审计人员评价系统独立性、环境可靠性,通过审计分析发现审计疑点、识别错报风险,进而精确延伸取证,最终形成实时审计报告。区块链审计模式的工作机理和流程如图1所示。
图1 区块链审计模式
2.区块链审计平台模块。区块链审计平台可以划分为以下三个主要模块:
(1)审计平台数据库。审计平台数据库与被审计方实时审计访问模块通过数据接口相互联通,联网环境下,审计人员通过电脑或手机终端对被审计单位业务状况进行实时监督。一方面,收集、更新并存储已验证的交易数据;另一方面,与链上其他节点及时沟通,对所需补充证据进行在线询问或多方函证。数据库也将实时更新有关行业准则、监管政策等外部信息。
(2)审计分析模块。在充分了解被审计单位行业状况、监管政策、业绩评价标准及内部控制等具体信息的前提下,审计部门与技术部门密切合作,共同构建合理可行的指标体系及数据分析模型。经由审计分析挖掘隐含的函数关系、相关关系,实现期间数据的合理预测。通过比较预测值和审计值,识别风险点,结合实际情况判断是否需延伸取证。
(3)审计预警模块。审计人员综合分析报告的异常结果以及其他多维度信息,利用预警模型进一步判断交易的合规性和真实性[11]。若业务真实、合规,则结束分析;若发现风险点,则将异常结果进行反馈、预警,督促被审计单位进行追查更正。被审计单位将整改与问责后的结果储存于区块链中,以便审计人员进行审计结果的追踪落实,如此循环往复,形成闭环,直至确认业务真实、合规。
1.审计证据的冲突。审计证据来源于审计载体,审计取证就是围绕特定的审计事项,从审计载体中获得审计证据的过程,该过程必须兼顾审计效率和审计质量。区块链环境下的数据均为电子数据,审计取证的内容重点围绕以区块链系统平台及其控制环境为主的非财务信息展开。电子数据的表现形式复杂多样,如何高效搜集和转换非标准化的审计证据仍是一个亟待解决的问题。另外,由于区块链审计以非现场形式为主,但区块数据与客观实物之间的“映射关系”无法上链,当链外环境发生变化时,审计人员将无法及时获知并进行取证。
此外,达成共识并非消除了信息不对称,去信任化也不意味着不存在信任风险,区块数据的真实性仍有待考证。由于共识算法具有边界性,节点在运行共识算法时,重点检验信息是否符合预先设定的算法标准,如随机数、数字签名等。当某个信息不符合算法规则而只是作为交易的附加信息上链时,节点通常不会也没有能力对其进行检验。此时,该类上链数据的质量取决于外部控制环境的可信度。另外,经济人的“自利性”也可能导致共识机制无效。一方面,如果区块链网络中存在故意偏离规则的恶意节点,共识机制未必能够杜绝或识别;另一方面,随着交易的规模化,链条越长共识成本越高,为了提高交易效率,节点很可能“被迫”牺牲验证的有效性。
2.审计分析的冲突。随着审计数字化建设的推进,审计分析是审计人员在技术环境下挖掘审计疑点、得出审计结论的核心工作。审计人员试图从大量数据中发现隐含的相关性,而审计分析不仅需要围绕区块链上的数据,对未上链、离链的数据也要保持关注,因此区块链技术下的审计分析在创造价值的同时也面临诸多挑战。
第一,在区块链技术环境下,审计人员虽能够实时掌握被审计方的交易过程、资金流向等经营信息,但大量数据仍存储于系统之外,处于可信环境中的数据更少,而缺乏可信的数据,审计分析将是“空中楼阁”。第二,区块链审计工作围绕数据分析展开,不合理的测算逻辑和分析模型将削弱分析结果的相关性和有效性。第三,区块链环境下,实现全面审计的关键在于,审计证据是否能普遍以结构化的电子数据形式存在。然而大数据时代下,非结构化数据占据着主体地位。一方面,现有的区块链标准体系尚不完善,导致诸如数据可视化、数据分析等审计分析核心技术和方法无法充分发挥其评价鉴证作用;另一方面,大量非结构化数据在技术上难以量化,无法纳入审计模型,削弱了审计结果的决策有用性。第四,审计人员分析视野与知识结构的局限性,在很大程度上限制了其对区块链内外全局的透视和把握,难以得出准确可靠的审计判断。
3.加密资产审计的冲突。随着加密行业越来越得到主流的认可,未来将会有越来越多的企业将“区块链+加密数字资产”的模式应用于实际的商业活动中。目前,加密资产尚无一个普遍适用的定义,也尚未构建出能区别其类别的框架。加密数字资产则是一种崭新的资产运作体系[12],能够有效评估资产,对任何事物的价值量进行承载和转移,广泛作用于各种形式的资产注册、存货清单、交易介质等。因此相比于传统资产,加密资产的审计工作更加复杂,主要体现在三个方面。第一,加密资产的交易可能通过不同的加密技术达成,而匿名性和去中心化特点也大幅增加了审计人员获取相关交易信息、识别欺诈或其他非法行为的难度,相关的审计工作将在很大程度上依赖于公司内控质量。第二,企业的商业模式复杂多样,基于持有目的的差别,加密资产在实务中的归类见仁见智,常见的分类有金融工具或金融衍生工具、无形资产、存货以及投资。不同会计处理下面临的审计风险也有所不同。第三,加密资产的确权和管理也是区块链审计的新难题。
4.区块链技术应用的冲突。随着区块链技术的发展,大规模的商业应用正在实现,如何达成区块链技术的产品化,提升应用的切实可行性,是区块链审计的一大关注方向。第一,区块链底层技术的不完美对拓宽去信任化环境的边界造成阻碍,导致链条节点遗漏,交易数据不完整,影响审计效果。例如,由于智慧合约只能在独立的区块链环境中运行,因此基于智慧合约的商业模式受到了很大程度的场景局限,企业在推广区块链解决方案时也将十分艰难。第二,区块链技术从实验室走向实际应用的过程中,还需要突破以“不可能三角理论”为代表的技术瓶颈,如何取得“可扩展性、安全性和去中心化”的平衡是实际商业应用中的难题。第三,在区块链的实际应用过程中不可避免地会产生输入差错,在技术层面上,基于不可篡改特性,区块链参与者只能用后续操作来弥补之前犯下的失误,区块链系统缺乏更合理的差错弥补机制。第四,除相关算法、共识机制以及智慧合约机制等底层技术亟待优化外,区块链辅助技术及相关配套设施未能全面融合和完善的形势同样没有获得根本性转变,大多数审计单位将无法负担技术应用的高昂成本。
5.隐私保护与审计取证的冲突。区块链分布式共识机制在提高系统透明性和真实性的同时,扩宽了数据被存储和散播的范围。在区块链审计的实时模式下,审计人员可随时随地查看或审核被审计单位的业财信息,进行非现场审计取证。以此为依托,借助审计分析工具,审计人员能够更加轻易地通过连续性数据变化洞察企业的经营活动和战略方向,在保密系统不完善的情况下加大商业隐私的泄露风险,从而对企业的安全性和隐私性产生威胁。
采用不同的区块链运行模式时,去中心化和透明化程度必然存在差异。对于完全去中心化的公有链,在分布式账本完全透明的同时可能暴露敏感策略和交易信息;对于部分去中心化的联盟链或私有链,企业通过设置权限缩小数据信息的共享范围,限制审计人员对合同协议、资产归属以及交易方身份的验证权限,增加审计取证的难度。区块链技术下的隐私保护侧重于保护交易的匿名性,即为了维护分布式账本的一致性和有效性,所有交易必须公开透明,但人们无法通过交易数据追溯交易双方的身份信息,因此隐私保护在保障数据信息机密性、完整性与可用性的同时,也在一定程度上损害了审计证据的充分性和适当性,甚至可能成为企业隐瞒关联方交易、实施舞弊的借口或掩护。因此,如何在保护参与者隐私的情况下,确保审计机构的监督评鉴能力,成为开展区块链审计工作的当务之急。
1.增强区块链技术的扩展性。区块链技术与现代审计作业在特点上具有与生俱来的内在耦合性,在保证上链数据真实可靠方面具有绝对优势。但同时,技术的局限性也限制了区块链审计模式的应用广度和深度,无法满足高频交易的需求。本文认为,完善区块链技术至少可以从以下两个方面进行。
(1)完善底层技术,提高应用深度。随着区块链技术的发展,相较于公有链,联盟链和私有链将成为区块链技术在商业应用中的主要落地方式。随着交易规模的不断增加,吞吐量低、共识节点接入慢等问题在一定程度上影响着区块链审计系统的应用效果。区块链底层结构是系统维持稳定运行的基石,因此,基于对区块链价值、功能及其局限性的理性认识,理论界与实务界应当加大基于区块链技术的审计应用研究,积极推动技术变革,构建底层技术的动态切换机制,推动区块链系统从单一共识向混合共识转变,降低系统运行成本。
(2)发展跨链技术,拓宽应用广度。区块链技术的广泛应用,产生了很多独立的区块链生态系统,若想实现不同账本之间的价值转移和价值交换,就需要消除“信息孤岛”。引入跨链技术,能够有效增强跨链交易的有效性和可扩展性,构建价值网络高速公路,促进区块链审计在复杂业务场景中的推广和应用。
2.建立基于博弈视角的混合型共识机制。基于博弈论视角的共识机制是一种利用协议来约束作恶的多人博弈机制,目前来看其运行过程中隐藏着较大风险。以PoW(工作量)机制为例,计算能力成为该机制下节点博弈的重点。马太效应下强者愈强,由于参与者可以通过运用资本强化算力,因此大矿池将处于竞争中的主动地位,具有占优策略,更易形成算力垄断,导致区块链系统陷入“囚徒困境”。除此之外,当发生交易的对象较为固定且个数较少,甚至多为关联方时,企业通过共谋就可以控制绝大多数节点以实现51%攻击,损害数据的不可篡改特性,造成审计风险。
因此,要想抑制系统内部的非理性行为,建立全面完善的节点共识机制,需要充分考虑区块链网络中可能涉及的所有对象之间的博弈,其中既包括各个节点间的博弈,还包括人机交互博弈、智能设备间博弈等,在此基础上形成多个协议的集合,由此才能建立真正公平的混合型共识机制。审计人员在评估共识机制的可信赖程度时,应考虑到机制内博弈关系的制衡作用,对系统参与者的能力及他们之间的关系给予充分关注,因为只有在势均力敌的条件下,才能实现区块链生态的公平与公正。
3.加快实现链内治理与链外治理的有效结合。
徐忠等[13]认为,地址匿名、去信任化环境及智慧合约自动执行是链内治理特点,而真实身份、诚信记录、重复博弈形成的信任和声誉、非正式的社会资本和社会惩罚以及正式的法律保障则为链外治理特点。目前,区块链在物理性能和经济功能方面仍然面临较大的局限性,相关治理规则嵌入区块链协议层,依靠编程执行进而实现链内治理的方式存在明显不足:第一,共识不等于共管,参与者之间的异质性使得共识机制下共管共治难以实现;第二,智慧合约和算法并不完美[14],容易导致区块链系统运行失灵;第三,区块数据上链前易受不可信因素影响,离链后也难以准确追踪。因此,在链内治理的基础上有效结合链外治理十分必要。
本文认为,治理问题需要政府和市场的共同协作,即政府在积极监管的同时,与业界共同构建链外数据的保障机制。第一,政府部门应当积极参与国际标准制定工作,建立相关的应用标准、数据标准和算法机制标准,加快区块链的法律建设、规范管理工作,进一步增强区块链审计的行业自律,加强加密资产的监管,尽早弥补立法空白。第二,需要创新监管模式。在监管体系中引入信息技术监测工具,加强对区块链平台和应用的科技监管力度,维护区块链系统运行的合规性。此外,还应严格审查上链和离链资产,进一步满足审计单位降低审计风险的诉求。第三,针对加密资产的匿名性问题,引入实名监管机制,构建可追踪、可审计的匿名隐私保护方案,保障交易的隐私性、可审计性和可追踪性。即审计方判别是否存在非法交易,监管方追踪揭示交易者身份信息。当审计人员发现存在异常交易时,可以向监管方提交追踪请求,通过审核后可获取交易方的身份信息。
4.强化数字技术的整合应用。数字技术极大地促进了审计技术和方法的变革,新兴技术的应用被纳入审计行业博弈的策略集,科技强审将成为新时代审计发展的重要主题。对于如何强化数字技术的整合应用,本文提出以下三个方面的建议。
(1)建立审计数据共享平台。多种技术结合使用的前提便是数据的联通。加快建立数据共享平台,打破时空限制,突破“信息孤岛”,令区块链系统从孤立封闭向联系开放的状态转变,提高各主体间交叉验证的可靠性和持续性,构建跨行业、跨领域的区块链审计平台。
(2)提高新兴技术的辨识和利用能力。通过技术整合保证审计数据的可获得性和真实准确性,提高审计分析的效率和效果。例如:利用物联网技术实现实物的数字化,及时捕捉外界信息,准确反映实物与数据之间的映射关系,保障数据的真实可靠;在审计分析程序中引入人工智能技术,其中自然语言技术可以实现各类文本、合同、法律法规的快速分析,人工神经网络则是自学习、自适应、自执行的代理,能增强审计结论和审计预测的准确性;结合云计算应对跨行业、跨领域背景下的规模化、复杂化的数据分析,能实现审计样本的全覆盖,减小抽样风险等。
(3)理论界与实务界应当紧密协作,尽快研究制定审计发展战略框架,指导行业有计划、有步骤地稳定发展。加快出台区块链及相关技术标准体系,完善各项技术所需的基础配套设施,鼓励跨领域、跨学科的沟通与交流。
5.开发精细化的审计挖掘模型。引入大数据技术,能够进一步加快实现审计全覆盖和审计模式变革,促进审计服务的质效提升。审计分析可分为以下三个层次:以专家经验和常规分析为基础的审计分析——以分析模型和多维数据分析技术为基础的审计分析——以数据挖掘技术为基础的审计分析。
审计证据是区块链审计的分析基础,要在审计过程中维持隐私保护与审计质量的平衡,势必要在取证的广度与深度方面妥协。审计证据的适当性在一定程度上能够负向调节审计证据的充分性,因此,审计挖掘模型与审计分析软件的研发应当侧重于提升审计证据的相关性与可靠性。模型构建的科学性直接影响审计分析质量,由于审计业务的多样性和复杂性,在构建审计模型或解决具体审计问题时,要考虑聘请金融学、医学、统计学和社会行为学等领域的专家协助。交易匿名性给反舞弊审计造成阻碍,因此审计模型的构建应当侧重围绕区块链交易之间的关联性,例如利用交易的链式结构和实时平台监控跟踪特定的资金流向,结合非财务信息分析对交易者进行画像等,以降低地址匿名性的负面影响,兼顾隐私安全与审计质量。此外,审计分析是审计预警、延伸取证的基础,因此,审计模型和分析软件不仅要有分析功能,还应具备预测功能,能够通过海量数据的相关性分析预测审计风险的发生概率。在确保信息安全的前提下,构建开源共享的审计模型与软件研发平台,从审计业务特点出发,集思广益,促进构建高效准确的大数据分析模型。考虑在更大范围引入数据挖掘技术,按照特定的审计需求建立文本挖掘模型,针对非结构化的原始数据进行处理,以期提高审计作业的效率和质量。
6.建设复合型审计人才队伍。区块链环境下,审计模式朝智能化和自动化快速发展,分布式账本的特性使得交易信息公开透明,在削弱外部审计验证职能的同时,对审计人员的洞察能力、监督能力和判断能力的要求显著提高。多种技术的跨界结合下,审计行业需要更多具备跨领域、跨学科知识技能的复合型人才。全民审计、自动审计的到来,在提高审计效率的同时进一步引发“替代论”的担忧,原有的组织架构和工作职责都将进行重塑和调整,常规的审计工作将被替代,催生出诸如建模师、分析师及系统审计师等新兴审计岗位。
因此,审计单位应当注重培养审计人员在密码学、分布式账本技术、估价和法律法规方面的专业技能和知识。目前,会计准则还未完善,各实体在加密资产的确认和后续计量上比较混乱。不同的会计处理导致不同的错报风险:作为金融工具时,可能存在非法证券化的合规性问题;作为无形资产时,应重点关注操纵公允价值、推高实体价值的利益输送行为。若加密资产的管理涉及第三方托管机构,还应围绕托管第三方实施相应审计工作。审计时,既要关注加密资产会计分类的合理性和企业层面的质量控制体系,也要注重审计策略的灵活性,还要警惕其中的特别风险,秉持实质重于形式原则,将现有法律和监管框架应用于加密资产审计中。此外,审计人员应当切实转变思维,顺应时代潮流,主动适应技术冲击下的行业变革,优化拓宽知识结构。而人才培养应当循序渐进,通过制定审计人才规范要求,制定人才培养和人才考核的长远战略,对现有从业人员进行跨学科技能的教育和培训。
区块链对促进经济高质量发展、推动建立安全可信的数字经济规则与秩序,提升国家治理体系和治理能力现代化水平意义重大。作为我国当前的战略性前沿技术之一,区块链技术的加持对审计行业的创新发展与变革具有极大的推动作用,同时也为审计实施带来诸多挑战。我们应重视区块链技术下的审计冲突问题,从审计技术、审计治理和审计系统建设等方面全方位进行改善,为解决目前区块链审计的应用困境、提高审计质量奠定基石。