基于区块链审计的高校建设项目管理风险防控研究

万琼 钟希余

[摘要]当前高校建设项目管理存在设计管理、工期管理、质量管理、人员管理等多方面风险。区块链审计作为当前审计信息化的最新成果，对助推高校有效防控基本项目建设风险具有重要意义。本文立足内部审计视角，试图利用区块链的去中心化存储、链式加密连接、共识机制核对、数字签名上链等技术特性来确保建设项目审计资料及时、真实、有效，借助区块链系统内置智能合约以实现建设项目管理全过程智能审计。并以项目变更为例，探索了区块链审计在高校建设项目管理风险防控应用中的可能性，为高校防控基本建设风险提供参考建议。

[关键词]区块链审计   建设项目   风险防控   内部审计

一、引言

随着全国高校基本建设项目的不断增多，各种基建领域风险事件不断发生。设计方案不能满足功能需求、工程质量存在缺陷、工期延误、结算资料失真等成为困扰高校建设主管部门的难题。内部审计作为组织机构内部控制、防控風险的重要环节，对高校规范建设项目管理、降低建设风险发挥至关重要的作用。然而受资金、人力资源等因素的限制，多数高校内部审计工作仍处于人工采集审计数据、现场核实建设项目情况的传统审计阶段，在建设项目风险防控上发挥的作用并没有达到预期效果。区块链作为当前新兴信息技术的典型代表，具有去中心化存储、链式加密防篡改、可溯源等特性。内部审计借助区块链非对称加密技术能有效解决信息存储的安全性问题，共识机制及智能合约可实现对项目信息的智能审核，在很大程度上可以实现对项目实施过程的智能监督，有效识别项目建设管理风险，解决传统审计对人力资源的高度依赖，提高审计效率。

二、高校建设项目管理风险矩阵

根据实践经验，按照项目建设管理风险来源不同，高校建设项目管理风险可分为内部风险和外部风险。对不同来源的风险进行识别，影响高校项目建设主要风险因素如表1所示。

按照风险事件的发生概率和造成的影响，可以建立高校建设项目管理风险矩阵（如表2所示）。将事件发生的概率和造成影响的严重程度划分为三个等级，等级越高概率越大、造成的影响越严重，同时对三个等级进行赋值，等级越高分数越大，事件的风险总值为发生概率分值与影响分值的乘积。不同的风险分值所代表的含义如下：≤2分（Ⅲ级风险区域）：低风险范围，风险因素位于该区域内，属于可接受风险范围，对该因素可不做处理；2分（不包含）—6分（不包含）（Ⅱ级风险区域）：中风险区域，风险因素位于该区域，必须采取一定措施对该风险进行控制，或编制相关预案以防止该事件的发生；≥6分（Ⅰ级风险区域）：高风险区域，风险因素位于该区域，必须编制风险处置预案并采取相应措施降低或转移风险。

根据高校项目建设管理主要风险类别和主要因素，对表2的风险类别做出评估，评估结果如表3所示。按照风险分析的结果，必须对履约管理风险、质量管理风险及人员风险（Ⅱ级风险）进行重点关注和监督，持续加强对资料管理风险、设计管理风险和工期风险（Ⅰ级风险）的控制，并编制好风险处理预案以将风险损失降至最低。

三、区块链审计应用于高校建设项目管理风险防控的可行性

（一）区块链审计技术特性

区块链审计是指在区块链技术环境下，利用区块链技术对审计业务实施应用，以发现审计问题线索、提高审计质量和效率、完成审计任务的活动（徐超、陈勇，2020）。区块链审计本质上是利用区块链技术作为审计工具的高度信息化、数据化的审计工作新方式。

1.去中心化存储+链式加密，实现全过程跟踪审计。区块链审计网络系统是典型的去中心化网络系统，链上各个节点彼此相连交互，共同承担系统中所有数据信息交互记录。采用链式加密方式，新数据区块必须包含前一个数据区块的锁定脚本唯一密匙，一旦要对区块链进行修改，必须将该区块后续所有区块上的数据和所有存储节点数据进行改变，这使存储数据几乎不可能被篡改。区块链审计去中心化存储和链式加密，使审计节点可以直接收集项目建设过程中的相关信息，实时监督项目开展情况，实现真正意义上的全过程跟踪审计。

2.共识机制审核，确保资料真实、准确。为了保证上链数据的真实性，区块链网络必须首先定义一套规则，即为共识机制。区块链技术的共识机制，是整个区块链网络一致认可的上链规则，只有当区块链网络中各个节点发生可以触发有效共识的事件，新数据区块才可以被附加数字签名及时间戳上传至区块链上。根据建设项目特点，可构建建设项目审核共识，即必须通过双重审核或所有相关单位均对上链数据做出审核通过、得到所有节点认可后，方可上链形成区块。通过共识机制可以确保所有节点了解建设项目上链区块数据，并对数据做出初步判断，确保审计数据的真实性和准确性。

3.智能合约实现自动审计。智能合约是将原本现实世界中的合约、规则引入数字领域，以约束数字网络中各参与方行为。简而言之，智能合约是将现实世界中的各项约定、规则存储在数据网络系统内，当数据网络内发生事件如更新区块数据时，智能合约脚本被触发执行，对写入数据记录事项进行智能审核，当记录事项与合约或规则相抵触时，报送异常信息。通过智能合约可以大大减少对于项目资料的人工核对，减少人力成本消耗，极大提升项目审计效率。同时，也可以减少个人对项目建设审计的干预，大大降低项目建设审计风险。

（二）区块链审计应用于高校建设项目管理风险防控的可行性

1.规范管理流程，降低风险事件发生概率。借助区块链审计去中心化特质，可实现项目建设过程中各类记录及文件资料分布式存储，使内部审计部门可以对整个项目建设情况相关数据随时调阅，避免现有传统审计资料收集难、核查难等弊端，保证项目建设记录资料的及时性和真实性，有效防控建设项目资料管理风险。链式加密方式、共识机制和智能合约则可以降低建设项目管理人员风险。共识机制保证了上链数据真实性，链式加密方式保证了数据稳定性，智能合约的存在又给避免人员之间串通风险增加了一道屏障，数字签名则有效防控了履约管理风险，促进内部管理人员及代建、监理等单位履职。数字签名附带时间戳，各个职能单位对数据块进行审核处理的时间将被实时记录在系统内，一旦职能单位履职未按时到位，智能合约机制则被触发发出警报，职能单位履职情况也将受到实时监控。

2.实时监督，及时反馈风险因素。区块链审计可以帮助高校内部审计部门实现对建设项目管理情况实时监督及资料收集、分析自动化，提高审计效率，而智能合约则保障了内部审计部门对建设项目管理风险的全面防控。只要事件发生，智能合约脚本便被触发，系统网络自动对事件数据区块比照内置规章制度、招投标文件、合同等，智能审核各类事件的处置是否及时、有效、合规，一旦存在风险点，区块链审计系统可以立即发现并发出风险预警，向审计节点报送异常信息，保证建设过程中的风险因素被及时发现，避免出现质量管理风险。

3.精准定位风险点，切实增强风险控制能力。区块链技术的链式加密，使区块链审计系统上任意数据块的形成过程都被准确记载在链上，这一特点加上数字签名和时间戳技术，保障了链上数据的可溯源性，即只要上链数据是真实的，在后续的审计调查中，区块链网络中的每一个数据块均可以查到明确来源、形成时间及所代表事件的发生节点。当数据上链后，智能审核可迅速发现风险因素并定位至具体区块。区块链审计的可溯源性保证了风险控制的精准性，内部审计节点根据区块链系统反馈的信息对建设管理风险因素进行分析后，根据预案或实际情况提出审计建议，增强内部机构对建设项目管理的风险控制力。

四、区块链审计在高校建设项目管理风险防控中的应用探索

（一）区块链审计在建设项目管理风险防控应用的基本构架

1.区块链审计节点。要实现区块链审计在高校建设项目管理风险防控的应用，首先要确定区块链上的参与节点。按照传统审计方法，建设项目审计对象包括项目建设所有参与单位。在建立区块链网络时，不仅应包括高校建设项目管理职能部门、设计单位、施工单位、监理单位、代建单位等参建方，内部审计部门和决策部门也应纳入节点网络，以满足上级单位及高校内部对于基本建设项目的监督和控制的要求，但需要注意的是，审计部门仅作为监督节点纳入网络，只对项目建设过程中的所有经济技术活动进行监督，并不履行管理职能，更不得干预链上各节点的工作和决策。

2.数据上链过程。确定区块链节点后，即可开始运行区块链网络。当实际发生经济活动时，经济活动发生主体如实记录相关情况，整理后启用自备公钥将记录数据上传至区块链网络中。区块链系统通过P2P网络将记录数据上传至各个节点。各个节点收到数据传输提示后利用自备私钥打开网络中加密数据包，对上传数据的真伪及有效性进行验证。验证通过后添加数字签名并加盖时间戳上传至区块链系统中。区块链系统内置的共识机制对各个签名及时间戳进行验证，验证通过后通过哈希加密形成数据链块保存至区块链上，事件完成数据化，新的区块形成。同时，区块链网络系统开始自动更新，新形成的数据区块通过点对点网络传输至各个节点存储。

数据上链是区块链审计的第一步。在进行数据上链时，必须对数据的真实性进行验证。内部审计人员可通过对项目建设现场实时记录进行抽查核对，如工程进度、材料进场情况、人员出勤情况等，借助物联网技术对各个参与节点的上传和审核进行验证，避免各个节点参与人的相互串通。

3.智能审计。形成区块链后，区块链网络中预设的智能审计脚本被触发运行。智能审计模块自动对上链的数据块进行合规性、有效性检验，如有异常，则向内部审计部门节点报送风险预警信息，并对区块中的异常数据段进行标记。审计部门收到风险预警信息后，对异常信息进行核查，根据风险处理预案及项目建设实际情况出具不同的审计处理建议，并上传至区块链网络。但需要注意的是，审计建议数据块并未对所有节点开放，而是通过授权节点的方式，使审计建议对应单位节点能进行查阅。

风险处理后，相关单位对事件数据重新上传，审核通过后区块形成，原上链区块数据以审计底稿的形式被存储在区块链网络中。智能审计模块的运行不仅可以节约人力成本，提高审计效率，还可以实时智能监督项目履行情况，及时发现上链数据块的问题，并发出风险预警及时进行人工干预，极大保障了项目建设的安全性和有效性，减少了项目建设管理风险。

（二）區块链审计下建设项目管理风险防控的信息传导路径模拟

以项目设计变更为例，对区块链审计在高校建设项目管理风险防控中的信息传导路径进行详细论述，以验证区块链审计应用于建设项目管理风险防控的可行性。

1.数据上链阶段。当建设项目发生变更时，施工单位收到监理单位签发的项目变更通知书后，28天内对变更引起的工期和经济损失进行评估，并利用区块链网络将索赔报告传输给监理单位节点。总监理工程师启用自备私钥查看索赔报告，按照合同约定对索赔申请进行审核，审核通过后加盖数字签名和时间戳、保存记录，并传输给建设单位节点。建设单位负责人对索赔报告进行审核，添加数字签名和时间戳后区块链共识验证通过。施工单位接收通过信息后，即可上传数据块至区块链网络并添加区块锁定脚本及时间戳、数字签名，数据上链完毕。区块完成后，即可通过P2P网络传输至各个节点存储。

2.智能审计阶段。区块上链后，智能合约模块同时触发启动，系统对照各类内置的规章制度及合同、招标文件、投标文件等自动检测上链数据模块的合理性、合法性和有效性。无异常的话，区块链系统自动对数据块增添加密脚本序列后上传至P2P网络，该区块审计数据块完成；若发现异常，如变更材料报送超过约定期限，当即发出预警并向内部审计节点报送异常信息。内部审计部门展开人工审计，对变更情况进行核实，查明原因后提出不予认可或因不可抗力导致变更程序滞后等处理建议，并通过公钥上传至区块链审计系统中，相关节点单位启用自备私钥可查看审计处理过程及审计建议（如图1所示）。

根据审计建议，相关单位及时对风险因素进行控制处理，处理完成后在区块链系统中报告风险处理情况，并对原变更事项重新进行区块化处理。这样变更事件区块链审计完成。内部审计部门可根据变更事件的区块记录，直接从系统中导出审计底稿，待项目建设完成，可直接调用审计底稿整理形成审计报告。

区块链审计独特的技术特性保证了数据的真实性、准确性和防篡改性，大大提高了审计资料的有效性；数字签名和时间戳明确了链上各个区块数据的来源，保证了链上数据的责任属性，无形中加大了对各节点的非法决策约束力。而整个区块链审计基于P2P分布式网络系统运行的特点，又可在区块链系统的任一节点实现对数据块的智能审核和反馈，减少数据审核时间，及时发现风险漏洞，降低工期风险。

五、展望

在高校实施区块链建设项目审计，既是现代社会对审计信息化、数据化要求的响应，也是解决当前高校建设项目管理及工程审计人员力量不足问题、实现风险防控的新路径。尽管因对技术水平和维持资金的较高需求使区块链技术在高校建设项目审计上的应用尚处于起步阶段，但随着国家对工程管理数据化及审计信息化的要求不断提高，区块链技术在促进内部审计工作发展、助推内部审计变革中发挥的作用将日益凸显。

（作者单位：湘潭大学，邮政编码：411105，电子邮箱：xtu1140815199@163.com）

主要参考文献

[1]樊斌，李银.区块链与会计、审计[J].财会月刊， 2018（2）：39-43

[2]高廷帆，陈甬军.区块链技术如何影响审计的未来：一个技术创新与产业生命周期视角[J].审计研究， 2019（2）：3-10

[3]李丽.试论区块链技术在工程造价审计中的应用前景[J].建筑经济， 2020（6）：80-83

[4]王莉莉，李小莉.数字经济下区块链技术与审计工作的融合[J].会计之友， 2021（21）：152-157

[5]郑子彬，陈伟利，郑沛霖.区块链原理与技术[M].北京：清华大学出版社， 2021