區(qū)塊鏈下XBRL持續(xù)審計的應(yīng)用探索

文勇 李江濤

【摘要】XBRL技術(shù)通過對財務(wù)信息添加標記的方法， 使財務(wù)信息規(guī)范化和標準化， 增強財務(wù)信息的可比性和一致性， 實現(xiàn)財務(wù)信息的自動上卷、下鉆、轉(zhuǎn)換，為持續(xù)審計提供了實時動態(tài)的財務(wù)信息。 區(qū)塊鏈的分布式賬本、共識機制、智能合約、非對稱加密和授權(quán)等核心技術(shù)， 正好滿足了持續(xù)審計的應(yīng)用需求。 區(qū)塊鏈可以實現(xiàn)審計全覆蓋， 提高審計的質(zhì)量和效益。 目前關(guān)于區(qū)塊鏈下XBRL持續(xù)審計的理論探討極少， 有必要將區(qū)塊鏈技術(shù)融入XBRL持續(xù)審計中， 找到區(qū)塊鏈、XBRL、審計三者的交集， 構(gòu)建研究模型， 探索研究思路。 為此， 通過對區(qū)塊鏈適用于審計的特征分析， 設(shè)計了區(qū)塊鏈下XBRL持續(xù)審計平臺框架， 提出了區(qū)塊鏈下XBRL持續(xù)審計的應(yīng)用風險及應(yīng)對策略。

【關(guān)鍵詞】區(qū)塊鏈;XBRL;持續(xù)審計;應(yīng)用風險

【中圖分類號】 F239.1 ? ? 【文獻標識碼】A ? ? ?【文章編號】1004-0994（2020）13-0092-7

一、引言

云計算、大數(shù)據(jù)、人工智能的飛速發(fā)展對企業(yè)的戰(zhàn)略布局、組織架構(gòu)和生產(chǎn)經(jīng)營管理模式產(chǎn)生了巨大的沖擊， 許多傳統(tǒng)的商業(yè)模式發(fā)生了翻天覆地的變化。 原來的時空觀念被打破， 數(shù)字技術(shù)被廣泛應(yīng)用到企業(yè)的采購、生產(chǎn)、銷售等各個環(huán)節(jié)， 加速了整個國民經(jīng)濟社會發(fā)展的數(shù)字化進程。 隨著數(shù)字化技術(shù)滲透到各行各業(yè)， 財務(wù)會計信息的載體逐漸由紙質(zhì)資料轉(zhuǎn)為電子檔案。 傳統(tǒng)的審計模式也須相應(yīng)轉(zhuǎn)型， 不僅要對被審計單位的會計檔案（包括電子檔案和紙質(zhì)檔案）進行審驗， 也要對被審計單位的ERP或會計信息系統(tǒng)和內(nèi)部控制等進行審計評價。

XBRL和區(qū)塊鏈技術(shù)為傳統(tǒng)審計的轉(zhuǎn)型升級提供了新技術(shù)。 XBRL統(tǒng)一了財務(wù)和商業(yè)數(shù)據(jù)格式標準， 使計算機可以自動識別財務(wù)、業(yè)務(wù)、管理數(shù)據(jù)， 增強了數(shù)據(jù)的可比性， 提高了財務(wù)、業(yè)務(wù)、管理數(shù)據(jù)的報送和轉(zhuǎn)換效率， 降低了數(shù)據(jù)采集成本， 方便了有關(guān)各方讀取和分析數(shù)據(jù)[1] 。 將XBRL應(yīng)用到審計中， 大大提高了審計取數(shù)的自動化水平， 使審計可由報表層直接下鉆到賬簿層。 但是， XBRL主要解決的是財務(wù)和商業(yè)數(shù)據(jù)格式標準化問題， XBRL審計仍然遵循傳統(tǒng)審計的流程， 不能從根本上改變傳統(tǒng)的審計理念和審計模式[2] 。 ?區(qū)塊鏈是由區(qū)塊和鏈所組成， 它是按照時間先后將數(shù)據(jù)區(qū)塊連接而成的一種鏈式數(shù)據(jù)結(jié)構(gòu)， 通過密碼學(xué)保證分布式賬本的安全可信、不可篡改、不可偽造。 區(qū)塊鏈具有分布式去中心化、去信任、數(shù)據(jù)加密等特征[3] ， 這些正好符合審計業(yè)務(wù)場景的需求。 因此， 區(qū)塊鏈有可能成為推動審計進入新時代的關(guān)鍵技術(shù)， 甚至徹底改變審計行業(yè)的現(xiàn)狀。

利用“區(qū)塊鏈+XBRL”， 建立真實透明的大數(shù)據(jù)公共“大賬本”， 企業(yè)的財務(wù)、業(yè)務(wù)、管理數(shù)據(jù)都在區(qū)塊鏈上公開且不可篡改， 使財務(wù)造假行為無處藏身。 區(qū)塊鏈與XBRL技術(shù)拓寬了審計信息自動獲取的途徑， 使企業(yè)的內(nèi)部控制更加完善， 能減少舞弊風險， 實現(xiàn)持續(xù)在線審計， 及時發(fā)現(xiàn)審計線索， 找準風控點， 構(gòu)建審計風險防范的長效機制。 因此， 本文試圖將區(qū)塊鏈技術(shù)和XBRL技術(shù)融入持續(xù)審計業(yè)務(wù)之中， 搭建區(qū)塊鏈下XBRL持續(xù)審計平臺的基礎(chǔ)架構(gòu)， 探索區(qū)塊鏈下XBRL持續(xù)審計應(yīng)用過程中可能存在的風險， 并提出相應(yīng)的對策。

二、區(qū)塊鏈下XBRL持續(xù)審計平臺框架構(gòu)建

持續(xù)審計系統(tǒng)由數(shù)據(jù)提供層、工具構(gòu)件層和系統(tǒng)應(yīng)用層組成。 其中： 數(shù)據(jù)提供層是系統(tǒng)的最底層， 它為系統(tǒng)應(yīng)用層提供XBRL數(shù)據(jù)資源; 工具構(gòu)件層主要提供數(shù)據(jù)采集、數(shù)據(jù)加工、數(shù)據(jù)建模、數(shù)據(jù)管理等工具構(gòu)件; 應(yīng)用層處于系統(tǒng)的最頂層， 主要是按照審計業(yè)務(wù)的需求和系統(tǒng)的功能開展審計工作。 另外， 持續(xù)審計系統(tǒng)并未直接與企業(yè)的業(yè)務(wù)系統(tǒng)相連， 數(shù)據(jù)提供層的XBRL數(shù)據(jù)資源是由審計人員采集整理得到的。 為保證持續(xù)審計數(shù)據(jù)的真實性和及時性， 應(yīng)優(yōu)化企業(yè)業(yè)務(wù)處理系統(tǒng)和財務(wù)處理系統(tǒng)， 使財務(wù)業(yè)務(wù)管理一體化。

按照區(qū)塊鏈的基礎(chǔ)架構(gòu)， 利用業(yè)務(wù)流程重組理論和XBRL技術(shù)對傳統(tǒng)審計的業(yè)務(wù)流程進行優(yōu)化重構(gòu)， 得到基于區(qū)塊鏈技術(shù)的XBRL持續(xù)審計平臺框架， 如圖所示。

（一）數(shù)據(jù)層

數(shù)據(jù)層是區(qū)塊鏈結(jié)構(gòu)的最底層， 被認為是不可篡改的分布式數(shù)據(jù)庫， 主要進行XBRL數(shù)據(jù)記錄和傳遞工作， 解決XBRL數(shù)據(jù)以何種方式進行組合的問題。 數(shù)據(jù)層結(jié)構(gòu)與會計三欄式明細賬結(jié)構(gòu)相似， 三欄式明細賬的每個賬頁都由日期、憑證編號、摘要、借貸方發(fā)生額、余額方向、期末余額等數(shù)據(jù)項構(gòu)成。 每個區(qū)塊結(jié)構(gòu)上包括： 區(qū)塊大?。ㄔ撟侄沃蟮膮^(qū)塊字節(jié)數(shù)）、區(qū)塊頭（組成區(qū)塊頭的字段， 對整個區(qū)塊鏈起著決定性作用）、交易計數(shù)器（統(tǒng)計交易的數(shù)量）、交易（記錄區(qū)塊里的近期交易信息， 如ERP系統(tǒng)的財務(wù)管理模組處理和存儲企業(yè)投資決策、籌資決策、營運資金管理以及股利分配業(yè)務(wù)信息， XBRL格式的銷售與收款循環(huán)、采購與付款循環(huán)業(yè)務(wù)信息、生產(chǎn)與存貨循環(huán)業(yè)務(wù)信息、貨幣資金管理等業(yè)務(wù)信息）。

當企業(yè)發(fā)生一筆交易或事項時， 先在總賬系統(tǒng)進行憑證處理和賬簿記錄， 然后通過網(wǎng)絡(luò)層將XBRL數(shù)據(jù)傳輸?shù)絽^(qū)塊鏈的下一層級。 在形成新交易信息區(qū)塊的過程中涉及區(qū)塊鏈的鏈式結(jié)構(gòu)、區(qū)塊數(shù)據(jù)、區(qū)塊上的隨機數(shù)、公鑰、私鑰、時間戳、哈希算法等技術(shù)要素。 其中， 時間戳技術(shù)可以確保區(qū)塊按時間先后順序排列， 它與哈希算法和非對稱加密技術(shù)一起， 可實現(xiàn)數(shù)據(jù)層XBRL數(shù)據(jù)的可追溯和不可篡改。

（二）網(wǎng)絡(luò)層

網(wǎng)絡(luò)層通過點對點技術(shù)實現(xiàn)對等網(wǎng)絡(luò)機制， 審計網(wǎng)絡(luò)中的每個節(jié)點地位平等， 不存在中心化的節(jié)點和層級結(jié)構(gòu)， 每個節(jié)點既可制造信息又可接收信息。 各節(jié)點創(chuàng)造出新區(qū)塊后， 通知其他節(jié)點， 其他節(jié)點收到信息后進行驗證， 然后在原區(qū)塊上增加新區(qū)塊。 節(jié)點之間通過共同維護一個區(qū)塊鏈結(jié)構(gòu)來進行溝通， 包括點對點組網(wǎng)機制、數(shù)據(jù)傳播與驗證機制等。 區(qū)塊鏈下應(yīng)用系統(tǒng)的其他各層結(jié)構(gòu)都要通過網(wǎng)絡(luò)層進行數(shù)據(jù)傳輸， 為持續(xù)審計提供安全的數(shù)據(jù)通道。 區(qū)塊鏈實質(zhì)上就是分布式大數(shù)據(jù)技術(shù)， 全部數(shù)據(jù)都存儲在去中心化分布式賬簿系統(tǒng)的每個節(jié)點上， 縱使大部分節(jié)點出現(xiàn)故障， 只要有一個節(jié)點能正常運行， 分布式賬簿系統(tǒng)的主鏈數(shù)據(jù)就能恢復(fù)正常。

（三）共識層

共識層一般包括共識機制和共識算法， 能使分散的節(jié)點在區(qū)塊鏈中對區(qū)塊數(shù)據(jù)的有效性達成共識， 即利用共識算法對數(shù)據(jù)層的XBRL數(shù)據(jù)進行驗證。 共識機制是通過共識算法來確保區(qū)塊鏈中大部分參與節(jié)點對更新賬本的交易或數(shù)據(jù)的認可。 共識層封裝了網(wǎng)絡(luò)節(jié)點的數(shù)十種共識機制算法， 如工作量證明（PoW）、權(quán)益證明（PoS）、委托權(quán)益證明（DPoS）、工作量證明（PoW）+權(quán)益證明（PoS）等。

PoW是比特幣的一種共識算法， 它是防止服務(wù)攻擊和服務(wù)濫用的手段。 PoW下， 所有參與節(jié)點通過貢獻算力來獲得記賬權(quán)， 貢獻算力越多， 工作量越大， 獲得記賬權(quán)的幾率就越大， 實現(xiàn)“多勞多得”。 該算法的優(yōu)點是利用尋找隨機數(shù)的方式， 簡便易行、安全可靠， 為業(yè)界廣泛認可; 缺點是能源消耗大、挖礦成本高。 另外， 隨著大礦池的產(chǎn)生， 區(qū)塊鏈更趨于中心化， 其聯(lián)合算力可以超過全網(wǎng)的51%， 強制交易成為可能， 這背離了區(qū)塊鏈去中心化的初心。 在這種背景下， PoS就應(yīng)勢而生了。

PoS根據(jù)參與者持有的比特幣數(shù)量和時間， 計算并發(fā)放利息。 這種情形下獲得的獎勵不是通過挖礦產(chǎn)生的， 而是通過持幣形成利息， 但礦工仍需要進行算力挖礦， 只是降低了挖礦難度， 刺激他們加快尋找隨機數(shù)， 減少計算Hash值的資源消耗。 該算法的優(yōu)點是參與者不需要為獲得比特幣而去拼命挖礦， 不會導(dǎo)致過多的算力浪費， 從而減少了達成共識的時間， 比PoW具有更高的效率; 缺點是持幣大戶可以坐收其利， 存幣獲利， 代幣流通量驟降， 無幣的人員無法獲得代幣， 甚至可能誘發(fā)黑客攻擊持幣大戶的現(xiàn)象。 為解決這個問題， 人們對PoS進行了改進， 得到了DPoS算法。

DPoS用于EOS網(wǎng)絡(luò)， 它選擇一些節(jié)點代表（EOS有21個節(jié)點）參加交易驗證和記賬。 該算法的優(yōu)點是保證通信的快速與可靠， 具有比PoS更高的效率和性能; 缺點是選擇代表節(jié)點參與新區(qū)塊的協(xié)商與生產(chǎn)， 區(qū)塊鏈網(wǎng)絡(luò)變成了“部分去中心化”。

區(qū)塊鏈的去中心化屬性易使決策權(quán)分散， 但共識機制可實現(xiàn)民主和集中的有機統(tǒng)一， 即通過共識機制實現(xiàn)審計單位與企業(yè)、客戶、供應(yīng)商等參與者對XBRL格式的交易信息達成共識， 提高新區(qū)塊的認證效率。 如： 在審計報告階段， 系統(tǒng)按照共識機制， 將根據(jù)智能合約自動生成的審計報告初稿與被審計單位管理當局達成共識; 按照智能合約規(guī)則， 觸發(fā)形成審計報告定稿， 上傳至區(qū)塊鏈審計平臺。

（四）合約層

合約層由腳本、算法機制、代碼和智能合約構(gòu)成。 合約層將代碼寫入?yún)^(qū)塊鏈或者令牌之中， 實現(xiàn)智能合約， 智能合約將事件場景、時間封裝在一起， 如可疑業(yè)務(wù)的判定條件、交易合同與協(xié)議的成立條件、三大財務(wù)報表及附表附注之間勾稽關(guān)系的判定條件、收入成立的判定條件、發(fā)生額與余額試算平衡的判定條件等。 一旦這些應(yīng)用場景發(fā)生， 系統(tǒng)將自動執(zhí)行合約， 無需第三方參與。 在區(qū)塊鏈的持續(xù)審計中， 可以將審計稽核模型、審計分析模型、審計預(yù)警模型、審計風險模型封裝在合約層的數(shù)據(jù)分析系統(tǒng)之中， 當企業(yè)的XBRL財務(wù)業(yè)務(wù)管理數(shù)據(jù)進入合約層后， 區(qū)塊鏈系統(tǒng)自動進行數(shù)據(jù)稽核、分析、預(yù)警等處理操作， 協(xié)助審計人員迅速找到審計線索和審計重點， 自動生成相關(guān)審計工作底稿。

（五）應(yīng)用層

應(yīng)用層封裝了各類XBRL審計應(yīng)用場景和案例， 類似于在蘋果移動操作系統(tǒng)和安卓系統(tǒng)上開發(fā)的第三方應(yīng)用程序。 應(yīng)用層可以部署在以太坊、柚子、小蟻或量子鏈等公鏈上面。 XBRL審計軟件利用非對稱加密機制， 通過公鑰、私鑰進行權(quán)限驗證， 公鑰對外公開， 私鑰保密， 私鑰決定了審計人員的權(quán)限等級和操作范圍。 審計人員通過防火墻、身份認證機制登錄審計平臺， 根據(jù)權(quán)限分工不同進行權(quán)限內(nèi)的操作。 應(yīng)用層實現(xiàn)了審計人員與區(qū)塊鏈系統(tǒng)的交互式實時訪問， 可以從以下三個方面改變傳統(tǒng)的審計模式。

1. 提升審計自動化水平。 在傳統(tǒng)審計模式下， 審計發(fā)現(xiàn)、分析、判斷、跟蹤處理的絕大部分仍是依靠審計人員的經(jīng)驗， 審計人員的專業(yè)水平和職業(yè)操守對審計結(jié)論有較大的影響。 雖然XBRL使計算機能自動讀懂財務(wù)數(shù)據(jù)， 但仍不具有自動預(yù)警和分析判斷的能力。 在區(qū)塊鏈下， 通過對各節(jié)點的賬本進行真實性、完整性、準確性、安全性等驗證， 可防止數(shù)據(jù)缺漏、篡改和遭受網(wǎng)絡(luò)攻擊， 實現(xiàn)對異常XBRL數(shù)據(jù)的自動報警和處理， 對于區(qū)塊鏈審計平臺無法自動處理的業(yè)務(wù)， 第一時間交給審計人員進行分析判斷， 從而可極大地提高審計的實時性。

2. 改變審計數(shù)據(jù)的存儲方式。 目前， 區(qū)塊鏈技術(shù)在普華永道、德勤、畢馬威、安永會計師事務(wù)所（簡稱“國際四大”）中得到了充分的重視， 國際四大均投入了大量人力、物力和財力研究區(qū)塊鏈審計應(yīng)用問題。 為何區(qū)塊鏈能得到國際四大的青睞呢？究其原因， 主要是區(qū)塊鏈的三個特征正好可以用來解決傳統(tǒng)審計業(yè)務(wù)中的問題。 一是區(qū)塊鏈的去中心化， 區(qū)塊鏈的任意節(jié)點可以保存區(qū)塊鏈中所有節(jié)點的XBRL財務(wù)業(yè)務(wù)數(shù)據(jù)， 而不是存放在一個中心服務(wù)器上， 當其中某些節(jié)點出現(xiàn)故障時， 不會影響到其他節(jié)點， 提高了系統(tǒng)運行速度; 二是區(qū)塊鏈的不可修改性， 寫入?yún)^(qū)塊鏈的XBRL財務(wù)業(yè)務(wù)數(shù)據(jù)被所有節(jié)點共享， 且不可修改， 系統(tǒng)可以對鏈上的XBRL財務(wù)業(yè)務(wù)數(shù)據(jù)進行自動比對， 那些擅自篡改的XBRL數(shù)據(jù)就會被自動識別出來并作為無效數(shù)據(jù)處理; 三是區(qū)塊鏈的透明化特性， 使區(qū)塊鏈中的各節(jié)點不接受任何私下的交易和事項， 保證了交易的公開性和公正性。

3. 管控區(qū)塊鏈數(shù)據(jù)的訪問權(quán)限。 根據(jù)區(qū)塊鏈中心化程度的不同， 區(qū)塊鏈分為公有鏈、聯(lián)盟鏈（行業(yè)鏈）、私有鏈。 公有鏈的權(quán)限對所有節(jié)點都開放， 私有鏈的權(quán)限只限制在一個組織之中。 聯(lián)盟鏈允許被授權(quán)的節(jié)點接入網(wǎng)絡(luò)， 并限定在權(quán)限范圍內(nèi)操作。 根據(jù)審計實務(wù)特點， 審計行業(yè)最適宜采用的是聯(lián)盟鏈。 聯(lián)盟鏈對于企業(yè)的重要商業(yè)數(shù)據(jù)進行保密， 使外部供應(yīng)商、客戶等無法查詢。 對于企業(yè)可以公開的信息， 聯(lián)盟鏈可以通過開放的應(yīng)用程序編程接口， 為外部有關(guān)各方提供查詢、下載、打印服務(wù)。 這樣既保護了企業(yè)的隱私， 也方便了外部單位的查詢， 滿足了企業(yè)與外部單位的合作、交流與共享的需求， 審計人員也能開展實時審計。 誠然， 任何事物都具有雙面性， 區(qū)塊鏈雖能夠自動驗證交易和事項、減少審計失誤， 但由于區(qū)塊鏈的不可刪除性， 會導(dǎo)致鏈條拉長， 增加磁盤存儲容量， 給計算機增加負擔。

在公有鏈中還有一個激勵層， 它主要是通過一系列的經(jīng)濟激勵制度， 給參與公有鏈安全驗證工作的節(jié)點提供經(jīng)濟上的獎勵， 對不遵守規(guī)則的節(jié)點采取相應(yīng)的懲罰措施。 區(qū)塊鏈中的驗證者越多， 系統(tǒng)越安全。 在私有鏈和聯(lián)盟鏈中不一定需要這類激勵， 因為它們都是在一家公司內(nèi)部或特定成員企業(yè)內(nèi)部， 節(jié)點之間不需要彼此交互， 鏈中驗證者更少。 在私有鏈中有一個中心化的組織來監(jiān)控整個運轉(zhuǎn)過程， 無需對驗證者進行激勵， 激勵很難成為一個自我發(fā)展的機制。 在聯(lián)盟鏈中， 多家機構(gòu)聯(lián)合運行， 形成利益共同體， 它的弱中心化使其無需激勵機制便能可靠運行。 上述分布式賬本體系沒有真正地去中心化， 過于依賴內(nèi)部的團隊， 也不需要激勵層， 但具有內(nèi)部流程優(yōu)化、交易成本低、更好地保護隱私、防止惡意攻擊、操作更靈活等優(yōu)點。

綜上， 基于區(qū)塊鏈的XBRL持續(xù)審計平臺框架分為上述五個層次， 其中網(wǎng)絡(luò)層橫跨了平臺的各層次， 使XBRL數(shù)據(jù)能夠在平臺中安全地傳輸。 每層完成自己的核心任務(wù)， 各層次之間相互合作， 其目的是共同實現(xiàn)去中心化的信任機制。

區(qū)塊鏈下的XBRL持續(xù)審計可以分為審計準備、審計實施、審計報告和審計終結(jié)四個階段。 在審計準備階段， 審計人員要明確審計目標和范圍， 了解被審單位及其環(huán)境， 初步評估XBRL和區(qū)塊鏈的信息技術(shù)風險與審計風險， 旨在決定是否接受審計業(yè)務(wù)委托， 明確審計時間、難度以及信息化審計人員的配備情況等， 制定審計實施方案。 在審計實施階段， 進一步調(diào)查被審計單位的區(qū)塊鏈平臺， 確保網(wǎng)絡(luò)層的XBRL數(shù)據(jù)暢通， 利用數(shù)據(jù)層的時間戳驗證企業(yè)財務(wù)信息的真實性和完整性。 由于被審計單位發(fā)生的各種交易或事項產(chǎn)生的XBRL數(shù)據(jù)都存儲在數(shù)據(jù)層， 通過網(wǎng)絡(luò)層輸送給共識層、合約層、應(yīng)用層。 即： 通過共識層的共識算法， 促使區(qū)塊鏈中各節(jié)點對某項交易和事項達成共識; 通過合約層的智能合約技術(shù)， 自動執(zhí)行不同部門之間共同約定的數(shù)據(jù)共享和數(shù)據(jù)利用規(guī)則， 自動進行審計數(shù)據(jù)預(yù)處理和審計數(shù)據(jù)分析， 減少人工操作， 為跨部門的XBRL數(shù)據(jù)互聯(lián)互通營造可信的開放環(huán)境。 在審計報告和終結(jié)階段， 不需像傳統(tǒng)審計方式那樣， 先歸集整理審計工作底稿， 形成審計意見， 再出具審計報告這樣繁瑣的過程。 區(qū)塊鏈平臺下， 在審計實施階段已對業(yè)務(wù)進行了實時跟蹤記錄， 通過合約層進行XBRL數(shù)據(jù)分析和實時判斷， 就可以形成審計意見， 然后與被審計單位管理當局溝通， 得到審計報告， 并存儲在數(shù)據(jù)層。

三、區(qū)塊鏈下XBRL持續(xù)審計應(yīng)用風險及應(yīng)對

（一）安全風險與應(yīng)對策略

區(qū)塊鏈的加密算法和時間戳等技術(shù)要素保證了XBRL數(shù)據(jù)信息的安全性、不可篡改性和可追溯性， 但是安全性仍是業(yè)界最為關(guān)心的問題之一[4] 。 第一， 區(qū)塊鏈可能遭受51%算力攻擊， 即利用自己的算力優(yōu)勢來篡改或偽造區(qū)塊鏈上的記錄。 因為， 當誠實節(jié)點控制算力的總和小于有合作關(guān)系的攻擊節(jié)點的算力時， 系統(tǒng)就存在被攻擊的風險。 從技術(shù)上來看， 51%算力攻擊是可能發(fā)生的; 從經(jīng)濟學(xué)角度來看， 卻不太可能發(fā)生， 這是因為算力攻擊會引起比特幣的安全質(zhì)疑， 使價格暴跌， 而且攻擊者無法獲得比特幣獎勵。 但是， 現(xiàn)實中的算力攻擊事件卻出現(xiàn)得越來越頻繁。 第二， 區(qū)塊鏈中的非對稱加密也非絕對安全， 因為隨著計算機技術(shù)、密碼學(xué)、大數(shù)據(jù)、云計算、人工智能等學(xué)科的交叉融合發(fā)展， 使得非對稱加密技術(shù)受到了挑戰(zhàn)， 區(qū)塊鏈技術(shù)下的XBRL持續(xù)審計也存在安全性風險。 第三， 智能合約代碼的bug、平臺實現(xiàn)代碼的bug、多重簽名的bug等都會破壞區(qū)塊鏈系統(tǒng)的安全。 目前， 已有數(shù)字貨幣交易平臺發(fā)生了安全事故， 如Parity多重簽名包被盜事件、The DAO事件、Bitfinex被攻擊事件等。

針對區(qū)塊鏈的安全漏洞問題， 業(yè)界和學(xué)界都進行了相關(guān)的研究， 并取得了較好的成果， 這些成果總結(jié)為以下三個方面： 第一， 對于算法的安全性問題， 可以采用新的加密技術(shù)， 如抗量子算法、多重簽名技術(shù)、盲簽名技術(shù)、門限簽名技術(shù)。 區(qū)塊鏈的經(jīng)典加密技術(shù)很容易遭到量子計算機的攻擊。 盡管真正的量子計算機尚未誕生， 但是量子算法很早就被提出， 相關(guān)研究實驗進展非常迅速， 為了提前做好防患工作， 抗量子密碼算法已被提上日程， 美國和中國分別計劃在2022年和2025年完成抗量子密碼算法的標準化工作。 這將為區(qū)塊鏈的發(fā)展提供更可靠的安全保障。 多重簽名技術(shù)是指一份電子文檔要經(jīng)過多人共同簽名和認證才有效的技術(shù)。 區(qū)塊鏈下， 使用多重簽名技術(shù)后的數(shù)字錢包需要多人的私鑰簽名才能提取出來。 盲簽名技術(shù)就是事前不讓簽名者知道所簽署信息的內(nèi)容， 讓其進行數(shù)字簽名的技術(shù)。 盲簽名技術(shù)可以保護交易人員的利益， 卻可能被不法分子所利用。 門限簽名技術(shù)融合了多重簽名技術(shù)和密鑰共享技術(shù)的優(yōu)點， 是使用多個分片的密鑰輪流簽名， 最后才生成有效簽名的技術(shù)。 第二， 對于協(xié)議安全性問題， 可以在工作量證明中使用專用集成電路密碼雜湊函數(shù)， 對關(guān)鍵代碼采用安全的智能合約和嚴格的完整測試。 第三， 針對使用安全性問題， 關(guān)鍵要保護好私鑰， 選擇安全的交易場所進行交易。

（二）技術(shù)風險與應(yīng)對策略

區(qū)塊鏈產(chǎn)業(yè)創(chuàng)新驅(qū)動發(fā)展的態(tài)勢良好， 但區(qū)塊鏈技術(shù)研究嚴重滯后， 很多“區(qū)塊鏈+”的應(yīng)用還處于實驗室階段， 并未真正落地實施， 當下的區(qū)塊鏈技術(shù)不足以支撐審計業(yè)界發(fā)展的需求。 因此， 建立政、產(chǎn)、學(xué)、研聯(lián)動機制， 由政府組織， 大型會計師事務(wù)所、科研院所、高校強強聯(lián)合， 加大投入， 從海外引進優(yōu)秀人才， 力爭在審計智能合約、審計共識機制、分布式存儲、數(shù)字加密等核心技術(shù)上取得突破[5] ; 建立區(qū)塊鏈審計開源社區(qū)， 加強社區(qū)成員單位之間的溝通交流， 鼓勵跨單位跨學(xué)科跨領(lǐng)域組織科研攻關(guān)團隊， 營造良好的學(xué)術(shù)研討氛圍; 推動區(qū)塊鏈與XBRL、審計、大數(shù)據(jù)、人工智能等技術(shù)融合， 提高對審計風險的感知能力、預(yù)測能力和防范能力。

區(qū)塊鏈是一個分布式賬簿系統(tǒng)， 所有交易參與節(jié)點共同維護鏈中的記錄。 當有新數(shù)據(jù)加入?yún)^(qū)塊鏈時， 所有參與節(jié)點都能知道并同步存儲該數(shù)據(jù)， 形成數(shù)據(jù)庫副本。 因此， 區(qū)塊鏈對數(shù)據(jù)的吞吐量和計算機的硬件存儲量有很高的要求。 在XBRL持續(xù)審計過程中， 經(jīng)常會有新用戶、新數(shù)據(jù)的加入， 全節(jié)點數(shù)據(jù)都會實時更新， 這將會占用系統(tǒng)的計算時間和硬件存儲容量。 為此， 可以利用軟件、硬件深度融合的方式打破區(qū)塊鏈審計性能瓶頸， 用芯片級引擎驅(qū)動系統(tǒng)， 軟件主要負責管理賬本數(shù)據(jù)， 這樣可以很好地提高區(qū)塊鏈持續(xù)審計平臺的負載性能。

（三）信用機制重構(gòu)風險與應(yīng)對策略

區(qū)塊鏈依靠機器之間的共識算法， 在互不信任的節(jié)點間建立了信任機制， 解決了信息采集覆蓋不足、信息不對稱、信息披露不充分、社會信用信息不共享等問題。 但由于缺乏信用機制規(guī)范， 重構(gòu)信用機制任重道遠， 需要從實現(xiàn)XBRL審計信息全面覆蓋、甄別鏈上數(shù)據(jù)真?zhèn)?、建立激勵機制三個方面努力。

1.實現(xiàn)XBRL審計信息全面覆蓋。 2015年12月， 中央辦公廳和國務(wù)院辦公廳聯(lián)合印發(fā)了《關(guān)于完善審計制度若干重大問題的框架意見》及相關(guān)配套文件， 提出了審計全覆蓋的總體要求與實施路徑。 審計信息全覆蓋包括審計對象全覆蓋、審計內(nèi)容全覆蓋與審計周期全覆蓋。 審計對象全覆蓋是指該接受審計監(jiān)管的單位、個人都必須接受審計， 掃除審計盲區(qū)。 區(qū)塊鏈下由于不需設(shè)置中心服務(wù)器， 節(jié)省了信息化設(shè)備購置費用， 減少了培訓(xùn)等費用， 有助于審計對象全覆蓋的實現(xiàn)。 審計內(nèi)容全覆蓋包括對企業(yè)經(jīng)濟業(yè)務(wù)活動的合法性、真實性、效益性、增長性、結(jié)構(gòu)性、風險性、制度性進行審查。 區(qū)塊鏈的分布式賬本可以對企業(yè)的所有交易或事項進行記錄， 審計人員通過持續(xù)在線審計系統(tǒng)訪問企業(yè)的財務(wù)業(yè)務(wù)管理數(shù)據(jù)， 及時做出審計評價。 審計周期全覆蓋是指審計工作由事后監(jiān)督向事前監(jiān)督、事中監(jiān)督延伸， 它強調(diào)審計的預(yù)防功能和實時監(jiān)管功能， 降低了企業(yè)風險， 減少了企業(yè)可能產(chǎn)生的損失。 區(qū)塊鏈采用分布式存儲架構(gòu)， 企業(yè)的每一筆經(jīng)濟業(yè)務(wù)都會傳輸和存儲在網(wǎng)絡(luò)上， 基于區(qū)塊鏈的XBRL審計系統(tǒng)可以即時捕獲這些信息， 可以說， 區(qū)塊鏈下XBRL審計系統(tǒng)的起點就是企業(yè)經(jīng)濟業(yè)務(wù)發(fā)生的時點， 只有持續(xù)跟蹤企業(yè)經(jīng)濟業(yè)務(wù)活動的進展， 才能實現(xiàn)即時預(yù)警和在線審計。

2. 甄別鏈上數(shù)據(jù)真?zhèn)巍?傳統(tǒng)的XBRL持續(xù)在線審計由于數(shù)據(jù)傳輸環(huán)節(jié)過多， 數(shù)據(jù)鏈條過長， 經(jīng)常導(dǎo)致部分數(shù)據(jù)在傳輸過程中產(chǎn)生數(shù)據(jù)失真和丟失， 影響了數(shù)據(jù)的完整性和真實性。 區(qū)塊鏈下， 審計數(shù)據(jù)分布在各節(jié)點上， 每一節(jié)點都記錄著全網(wǎng)發(fā)生的交易信息， 且具有不可篡改性， 從而保障了審計數(shù)據(jù)的完整性。 區(qū)塊鏈操作的透明性是指系統(tǒng)內(nèi)的所有交易數(shù)據(jù)都會在全網(wǎng)同步更新記錄， 數(shù)據(jù)的“時間戳”功能保障了審計證據(jù)的可追溯性。 然而， 區(qū)塊鏈是底層的數(shù)據(jù)存儲手段， 并不是數(shù)據(jù)監(jiān)管的手段， 它可以保障鏈上各節(jié)點財務(wù)業(yè)務(wù)數(shù)據(jù)的一致性， 但很難驗證鏈上財務(wù)業(yè)務(wù)數(shù)據(jù)的真實性。 譬如： 在基于區(qū)塊鏈的產(chǎn)品溯源系統(tǒng)， 區(qū)塊鏈可以保證鏈上財務(wù)業(yè)務(wù)數(shù)據(jù)不被篡改， 但無法保證最初上傳到鏈上的財務(wù)業(yè)務(wù)數(shù)據(jù)的真實性。 因此， 在這些領(lǐng)域中， 確保輸入財務(wù)業(yè)務(wù)數(shù)據(jù)的真實性才是最關(guān)鍵的。 區(qū)塊鏈無法甄別上鏈財務(wù)業(yè)務(wù)數(shù)據(jù)的真?zhèn)危?但可以用數(shù)據(jù)回溯方法增加上鏈節(jié)點的造假成本， 實現(xiàn)對鏈上財務(wù)業(yè)務(wù)數(shù)據(jù)造假的制衡。

3. 建立激勵機制。 激勵的目的是在滿足人們需求的同時， 激發(fā)人們的主觀能動性和參與熱情， 以促進區(qū)塊鏈目標的實現(xiàn)。 激勵機制主要存在于公有鏈中， 因為公有鏈的節(jié)點來自全球各地， 各節(jié)點之間的人們相互不認識， 沒有中心化管理機構(gòu)。 怎樣讓所有節(jié)點共同維護區(qū)塊鏈系統(tǒng)的安全呢？激勵機制成為提高各節(jié)點參與積極性和增強各節(jié)點粘性的重要手段， 它使更多的節(jié)點參與區(qū)塊鏈系統(tǒng)的安全驗證工作。 區(qū)塊鏈用比特幣、以太幣等數(shù)字貨幣作為激勵工具， 以比特幣為例， 在2100萬枚比特幣被挖出來之前， 系統(tǒng)對區(qū)塊創(chuàng)建者給予比特幣和手續(xù)費獎勵， 在2100萬枚比特幣被挖出來之后， 系統(tǒng)仍以手續(xù)費作為獎勵機制。 正是這種利潤誘惑， 使人們愿意投入?yún)^(qū)塊鏈系統(tǒng)的運營維護之中。

（四）跨界風險與應(yīng)對策略

現(xiàn)代社會中， 人們渴望生活在一個公平、公正的環(huán)境中， 共享社會資源， 同時也希望個人隱私不被泄露。 區(qū)塊鏈在解決這些困惑時具有天然的優(yōu)勢。 區(qū)塊鏈被認為是信息技術(shù)的第三次革命， 國內(nèi)外巨頭公司、行業(yè)翹楚都搶先布局區(qū)塊鏈產(chǎn)業(yè)， “區(qū)塊鏈+”將導(dǎo)致行業(yè)發(fā)生顛覆性變化， 甚至引領(lǐng)第五次工業(yè)革命。 區(qū)塊鏈對審計行業(yè)的影響也一樣， 國際四大都加入了區(qū)塊鏈審計的研發(fā)。 2016年， 畢馬威、德勤、安永紛紛與區(qū)塊鏈公司開展合作。 2018年3月， 普華永道與北方信托聯(lián)合推出了一項區(qū)塊鏈審計工具。

區(qū)塊鏈下的XBRL持續(xù)審計實質(zhì)上是區(qū)塊鏈技術(shù)、XBRL技術(shù)與審計的跨界， 它會對傳統(tǒng)的審計模式產(chǎn)生顛覆性影響， 對審計人員的專業(yè)技術(shù)水平和知識結(jié)構(gòu)提出更高的要求。 傳統(tǒng)的中心化審計模式耗時費力、經(jīng)濟效益低下。 而在區(qū)塊鏈下的XBRL持續(xù)審計呈現(xiàn)流程自動化、操作無人化、軟件智能化趨勢， 目前的大部分審計人員卻不具備相關(guān)專業(yè)領(lǐng)域的知識背景， 這個過程必將涉及原有的工作崗位調(diào)整、職責重新劃分等組織結(jié)構(gòu)調(diào)整的問題。 這就需要審計人員更新觀念， 拓寬知識面， 學(xué)習區(qū)塊鏈、XBRL、大數(shù)據(jù)等數(shù)字化專業(yè)技術(shù)， 切實改變思想， 主動適應(yīng)區(qū)塊鏈下XBRL持續(xù)審計的發(fā)展。

（五）監(jiān)管風險與應(yīng)對策略

由于區(qū)塊鏈從誕生至今， 歷史非常之短， 區(qū)塊鏈的規(guī)范和標準還不夠完善。 英國政府于2016年1月19日發(fā)布了《分布式賬本技術(shù)： 超越區(qū)塊鏈》報告， 在報告中指出將區(qū)塊鏈提高到國家戰(zhàn)略高度， 鼓勵企業(yè)開發(fā)區(qū)塊鏈平臺， 為政府和社會服務(wù)。 我國政府也出臺了區(qū)塊鏈扶持政策。 如廣州政府制定了《廣州市黃埔區(qū) 廣州開發(fā)區(qū)促進區(qū)塊鏈產(chǎn)業(yè)發(fā)展辦法》， 重點培育區(qū)塊鏈企業(yè)， 推進區(qū)塊鏈技術(shù)在傳統(tǒng)企業(yè)的應(yīng)用。 在國家層面， 2016年10月， 工信部發(fā)布了《中國區(qū)塊鏈技術(shù)和應(yīng)用發(fā)展白皮書（2016）》; 2016年12月， 區(qū)塊鏈被列入了國家“十三五”發(fā)展戰(zhàn)略規(guī)劃; 2019年1月國家網(wǎng)信辦發(fā)布了《區(qū)塊鏈信息服務(wù)管理規(guī)定》， 該文件針對實名制、安全監(jiān)督和評估檢查等方面進行了規(guī)范。

但基于區(qū)塊鏈審計的法規(guī)尚存在空白， 而審計是一項法規(guī)性、政策性很強的經(jīng)濟監(jiān)督和評價工作， 沒有相應(yīng)的法律法規(guī)保駕護航， 是很難保證區(qū)塊鏈下XBRL持續(xù)審計的健康快速發(fā)展的。 因此， 應(yīng)加強區(qū)塊鏈的立法， 注重頂層設(shè)計， 建立區(qū)塊鏈在XBRL持續(xù)審計中應(yīng)用的規(guī)范體系， 從軟件安全、數(shù)據(jù)安全、業(yè)務(wù)安全等多個維度出臺法律法規(guī)， 明確各級部門和審計機構(gòu)的權(quán)利與義務(wù)， 規(guī)避審計風險; 由政府牽頭， 組織企業(yè)、高校、行業(yè)協(xié)會， 加快推進區(qū)塊鏈下XBRL持續(xù)審計標準體系的構(gòu)建， 建立區(qū)塊鏈審計數(shù)據(jù)標準、算法機制標準、應(yīng)用標準， 規(guī)范區(qū)塊鏈審計的管理， 實現(xiàn)區(qū)塊鏈審計的行業(yè)自律; 積極參與區(qū)塊鏈審計領(lǐng)域國際標準制定工作， 爭取更多話語權(quán)， 將我國的區(qū)塊鏈下XBRL持續(xù)審計經(jīng)驗和技術(shù)轉(zhuǎn)化為國際標準; 創(chuàng)新監(jiān)管方式， 創(chuàng)新與規(guī)范并重， 推進區(qū)塊鏈審計新技術(shù)應(yīng)用的同時， 也要關(guān)注審計風險的防范， 重構(gòu)新的XBRL持續(xù)審計模式。

四、研究結(jié)論與展望

（一）研究結(jié)論

本文探索了區(qū)塊鏈下XBRL持續(xù)審計的應(yīng)用問題， 包括： 區(qū)塊鏈技術(shù)適宜審計的特征， 基于區(qū)塊鏈的XBRL持續(xù)審計平臺框架， 區(qū)塊鏈下XBRL持續(xù)審計的應(yīng)用風險與對策。 形成的主要結(jié)論有：

1. 區(qū)塊鏈技術(shù)應(yīng)用于XBRL持續(xù)審計具有可行性。 區(qū)塊鏈的智能合約為不同部門和不同級別單位之間的相互通信提供了開放的環(huán)境， 共識算法使不同節(jié)點對同樣的交易和事項達成了共識， 區(qū)塊鏈的去中心化、數(shù)據(jù)加密、時間戳和不可逆等特性， 使其天然具有審計應(yīng)用的潛質(zhì)。

2. 區(qū)塊鏈下XBRL持續(xù)審計平臺框架已經(jīng)搭建且需完善。 本文按照區(qū)塊鏈的基礎(chǔ)架構(gòu)， 根據(jù)業(yè)務(wù)流程重組理論， 對傳統(tǒng)審計流程進行再造， 構(gòu)建了基于區(qū)塊鏈技術(shù)的XBRL持續(xù)審計平臺框架， 該框架分為五個層次： 數(shù)據(jù)層、網(wǎng)絡(luò)層、共識層、合約層、應(yīng)用層， 并設(shè)計了各層次的功能、任務(wù)和運行機理。 將區(qū)塊鏈和XBRL技術(shù)融入持續(xù)審計之中， 建立真實透明的大數(shù)據(jù)公共“大賬本”， 拓寬審計信息獲取途徑， 使企業(yè)的內(nèi)部控制更加完善， 提高持續(xù)在線審計的有效性。

3. 應(yīng)積極應(yīng)對區(qū)塊鏈下XBRL持續(xù)審計的應(yīng)用風險。 由于區(qū)塊鏈技術(shù)歷史很短， 目前仍處于探索起步階段。 區(qū)塊鏈在XBRL持續(xù)審計中的應(yīng)用尚未得到理論界的重視， 相關(guān)研究文獻非常欠缺， 在實務(wù)界也尚未真正落地。 審計單位應(yīng)該運用區(qū)塊鏈技術(shù)， 構(gòu)建智慧型審計中心， 謹慎評估可能遇到的安全風險、技術(shù)風險、信用風險、跨界風險、監(jiān)管機制風險， 并采取有效的風險應(yīng)對策略。

（二）研究展望

“區(qū)塊鏈+XBRL”在審計中的應(yīng)用是一種新型審計模式， 其有助于對企業(yè)的經(jīng)濟業(yè)務(wù)進行實時在線監(jiān)控， 檢查企業(yè)的XBRL實例文檔與PDF版、WORD版的財務(wù)信息是否一致， 評估企業(yè)是否存在重大錯報漏報風險， 以提高企業(yè)經(jīng)濟效益、考評管理層經(jīng)營業(yè)績; 同時， 持續(xù)審計也彌補了XBRL和區(qū)塊鏈技術(shù)的不足， 為企業(yè)的生產(chǎn)經(jīng)營過程提供了保障。 限于論文內(nèi)容在理論界的關(guān)注度不高以及在實務(wù)界尚未真正落地實施的現(xiàn)狀， 本文研究比較膚淺和片面， 還需從以下兩個方面進行深入研究：

1. 對區(qū)塊鏈下XBRL持續(xù)審計平臺框架進行縱深研究。 本文提出了區(qū)塊鏈下XBRL持續(xù)審計平臺框架的五個層次， 研究了各層次的技術(shù)要素和主要功能， 后續(xù)將深入研究各層次中審計的工作過程， 特別要細化研究審計數(shù)據(jù)層、合約層和應(yīng)用層的內(nèi)容。 另外， 要根據(jù)審計業(yè)務(wù)的實際需求， 對該框架的層次進行適當?shù)脑鰷p合并， 融入大數(shù)據(jù)、人工智能、數(shù)據(jù)挖掘、物聯(lián)網(wǎng)等新興數(shù)字化技術(shù)， 不斷從實踐上檢驗完善該框架， 旨在提高該框架的科學(xué)性， 以更好地指導(dǎo)區(qū)塊鏈下XBRL持續(xù)審計工作。

2. 對區(qū)塊鏈下XBRL持續(xù)審計框架進行定量分析。 由于時間和水平限制， 課題尚未開發(fā)出真正落地的基于區(qū)塊鏈的XBRL持續(xù)審計平臺， 該平臺的開發(fā)需要人力、物力、財力、資金、技術(shù)等多個方面的支持， 才能順利完成， 這將需要一個過程。 只有研發(fā)成功并投入運行， 才能取得企業(yè)實際應(yīng)用反饋的數(shù)據(jù)。 然后， 運用Stata等軟件對區(qū)塊鏈下XBRL持續(xù)審計框架的應(yīng)用成效進行定量分析， 不斷修改和調(diào)整， 使其設(shè)計更加科學(xué)、精準。

【 主 要 參 考 文 獻 】

[ 1 ] ? 孫玉甫，劉梅玲.“互聯(lián)網(wǎng)+”時代的技術(shù)運用與會計轉(zhuǎn)型升級——第十五屆全國會計信息化學(xué)術(shù)年會主要觀點綜述[ J].會計研究，2017

（2）：90 ～ 92.

[ 2 ] ? 陳瀟怡，歐陽電平.XBRL財務(wù)報告實施現(xiàn)狀、質(zhì)量風險與對策——基于湖北企業(yè)的進一步調(diào)查[ J].財會月刊，2016（1）：24 ～ 27.

[ 3 ] ? 高廷帆，陳甬軍.區(qū)塊鏈技術(shù)如何影響審計的未來—— 一個技術(shù)創(chuàng)新與產(chǎn)業(yè)生命周期視角[ J].審計研究，2019（2）：3 ～ 10.

[ 4 ] ? 程平，王文怡.基于區(qū)塊鏈技術(shù)的稅收征管電子發(fā)票防偽追溯研究[ J].會計之友，2020（4）：154 ～ 160.

[ 5 ] ? 劉杰，汪川琳，韓洪靈，陳漢文.“區(qū)塊鏈+審計”作業(yè)模式的理想與現(xiàn)實[ J].財會月刊，2019（8）：3 ～ 10.