基于區(qū)塊鏈技術(shù)的數(shù)字化審計信任體系構(gòu)建與應(yīng)用

侯本忠 王威 黃松 李向陽

【關(guān)鍵詞】 區(qū)塊鏈; 數(shù)字化審計; 智能化應(yīng)用; 信任體系

【中圖分類號】 F239.1? 【文獻(xiàn)標(biāo)識碼】 A? 【文章編號】 1004-5937（2022）04-0153-09

一、引言

農(nóng)業(yè)文明時代基于熟人社會（宗族、村落）形成人際信任，工業(yè)文明時代基于權(quán)威規(guī)范（法律、契約）形成制度監(jiān)管和審判機(jī)關(guān)信任，在數(shù)據(jù)成為越來越重要的生產(chǎn)要素的趨勢下，如何構(gòu)建基于數(shù)字技術(shù)的虛擬空間信任體系是數(shù)據(jù)價值流動過程中的重要課題。

中央審計委員會第一次會議上，習(xí)近平總書記提出“要堅持科技強(qiáng)審，加強(qiáng)審計信息化建設(shè)”的要求，隨著審計范圍擴(kuò)大化、審計環(huán)境復(fù)雜化，數(shù)字化技術(shù)手段已經(jīng)成為提升審計效率的必要手段。審計業(yè)務(wù)在經(jīng)歷了傳統(tǒng)紙質(zhì)階段、辦公軟件階段后，逐步邁入數(shù)字化、智能化階段，大數(shù)據(jù)技術(shù)和智能算法在提高挖掘問題線索的精準(zhǔn)度方面發(fā)揮著日漸重要的作用[1]。研究表明，數(shù)字化審計擁抱信息化的程度越深，其工作效率和管理水平就越高[2-4]，部分審計實務(wù)工作者和理論研究者甚至持有數(shù)字化審計能夠顛覆傳統(tǒng)審計的觀點，其未來應(yīng)用前景不可限量[5]。但隨著數(shù)據(jù)應(yīng)用范圍的擴(kuò)大和應(yīng)用深度的增加，數(shù)字化審計也產(chǎn)生了隱私數(shù)據(jù)泄露、數(shù)據(jù)易篡改、數(shù)據(jù)不一致等方面的問題[6]，亟須建立一套可靠的信任體系來保障數(shù)據(jù)應(yīng)用各個環(huán)節(jié)的安全。

隨著區(qū)塊鏈技術(shù)研究及應(yīng)用的發(fā)展，區(qū)塊鏈技術(shù)在隱私保護(hù)[7-8]、數(shù)據(jù)防篡改[9]、數(shù)據(jù)存證[10]、數(shù)據(jù)驗證[11]、訪問控制[12-14]等方面的應(yīng)用優(yōu)勢越來越明顯，區(qū)塊鏈正助力形成新的經(jīng)濟(jì)藍(lán)圖[15]。關(guān)于區(qū)塊鏈在審計上的應(yīng)用，已經(jīng)有諸多學(xué)者開展研究，如區(qū)塊鏈在審計取證、審計模式及方法、區(qū)塊鏈審計平臺、審計質(zhì)量提升均已經(jīng)有學(xué)者開展了研究。

在審計取證的區(qū)塊鏈應(yīng)用方面，鄭石橋[16]闡述了審計載體的變化及審計風(fēng)險的變化的影響，提出不同審計業(yè)務(wù)的審計取證方式、審計取證模式和審計取證方法也不同，并提出一個區(qū)塊鏈對審計取證影響的理論框架。

在審計模式及方法的區(qū)塊鏈應(yīng)用方面，朱淵媛等[17]分析了區(qū)塊鏈技術(shù)嵌入審計工作的適用性，并提出區(qū)塊鏈技術(shù)應(yīng)用可實現(xiàn)由事后審計、抽樣審計、人工審計、數(shù)據(jù)審計，向?qū)崟r審計、全面審計、智能審計、算法審計轉(zhuǎn)變，促成審計范式的變革;徐超等[18]從審計數(shù)據(jù)質(zhì)量、審計組織管理、審計流程以及審計過程中的風(fēng)險控制四個方面進(jìn)行了分析，總結(jié)了區(qū)塊鏈審計存在資源算力不足、安全性有待加強(qiáng)、數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一以及物證難協(xié)同等問題，并提出國產(chǎn)自主可控、審計底層軟硬件、審計業(yè)務(wù)應(yīng)用及相關(guān)審計數(shù)據(jù)標(biāo)準(zhǔn)的構(gòu)建是未來面臨的主要機(jī)遇和挑戰(zhàn)。吳勇等[19]闡述了數(shù)據(jù)庫技術(shù)、ERP系統(tǒng)與區(qū)塊鏈技術(shù)的關(guān)系、基于區(qū)塊鏈技術(shù)的會計生態(tài)構(gòu)建、基于區(qū)塊鏈技術(shù)的審計模式重建，并從時間戳機(jī)制、默克爾樹機(jī)制、交易共識機(jī)制和智慧合約機(jī)制四個維度，系統(tǒng)分析了區(qū)塊鏈技術(shù)對提升審計效率、降低審計成本、遏制舞弊、解決信任危機(jī)、持續(xù)監(jiān)控異常數(shù)據(jù)、提高審計實時性等方面的系統(tǒng)性影響。

在區(qū)塊鏈審計平臺研究方面，許金葉等[20]在揭示我國現(xiàn)階段聯(lián)網(wǎng)審計所面臨問題的基礎(chǔ)上，探討了區(qū)塊鏈技術(shù)對聯(lián)網(wǎng)審計工作的影響，并構(gòu)建了基于區(qū)塊鏈技術(shù)的聯(lián)網(wǎng)審計框架;陳旭等[21]提出了基于區(qū)塊鏈技術(shù)的實時審計框架，結(jié)局審計數(shù)據(jù)資料實時獲取、處理和存儲以及數(shù)據(jù)資料進(jìn)行經(jīng)營風(fēng)險評價和審計異常預(yù)警，提出了區(qū)塊鏈環(huán)境下審計實時流程及優(yōu)越性。王琳等[22]基于區(qū)塊鏈技術(shù)構(gòu)建了一套適用于現(xiàn)代審計業(yè)務(wù)發(fā)展趨勢的實時審計框架，并詳細(xì)說明了框架內(nèi)的各個模塊的組成、功能及工作機(jī)理，提出了促進(jìn)實時審計框架發(fā)展應(yīng)用的政策性建議。

在審計質(zhì)量提升方面，王東等[23]從集成區(qū)塊鏈、安全多方計算、秘密共享的概念與技術(shù)模擬審計功能出發(fā)，提出一個提高會計信息質(zhì)量的方案，可實現(xiàn)輸入非暴露情況下保護(hù)合理會計信息隱私、發(fā)現(xiàn)虛假參與者、消除不必要人為影響和避免審計報告偏見。

本文在借鑒前人研究成果的基礎(chǔ)上，基于國家電網(wǎng)公司審計業(yè)務(wù)的區(qū)塊鏈應(yīng)用研究及示范項目，分析了基于區(qū)塊鏈技術(shù)建立審計信任體系必要性，提出了基于區(qū)塊鏈技術(shù)的信任體系構(gòu)建思路，構(gòu)建了數(shù)字化審計信任體系的整體框架，在審計數(shù)據(jù)采集、審計作業(yè)、審計管理三個方面提出多個區(qū)塊鏈審計典型應(yīng)用場景，以為項目落地提供借鑒。

二、數(shù)字化審計中信任體系的必要性

當(dāng)前數(shù)字化和智能化正成為新一輪生產(chǎn)力工業(yè)革命的重要力量，處于由導(dǎo)入期轉(zhuǎn)入拓展期的關(guān)鍵階段[24]，相較于傳統(tǒng)審計形式，數(shù)字化、智能化審計深入發(fā)展，對新時期全面審計提出了更高的要求。下面從以下幾個角度分析亟須一套信任體系提供數(shù)字化、智能化進(jìn)程中的信任保障的原因：

（一）數(shù)字經(jīng)濟(jì)環(huán)境下被審計對象發(fā)生變化

數(shù)字經(jīng)濟(jì)環(huán)境下企業(yè)的數(shù)據(jù)種類發(fā)生了較大變化，內(nèi)部審計部門搜集到的被審計對象相關(guān)數(shù)據(jù)呈現(xiàn)出復(fù)雜、量大、全面、更為及時和精準(zhǔn)的特點，形成了無紙化的電子數(shù)據(jù)存儲。

（二）中心化管理情況下審計對象無紙化環(huán)境中數(shù)據(jù)篡改成本降低，企業(yè)內(nèi)部審計對數(shù)據(jù)信任的需求愈發(fā)強(qiáng)烈

傳統(tǒng)意義上的企業(yè)內(nèi)部審計主要是通過會計人員對相關(guān)憑證、賬簿、單據(jù)等信息數(shù)據(jù)進(jìn)行審查，在這種情況下紙張是承載和傳遞信息數(shù)據(jù)的主要載體，相對于電子數(shù)據(jù)而言篡改難度大，安全性更高。但在數(shù)字經(jīng)濟(jì)時代，龐大的經(jīng)濟(jì)管理數(shù)據(jù)能方便快捷地儲存在系統(tǒng)中，然而隨著接觸數(shù)據(jù)系統(tǒng)的人員的增多，數(shù)據(jù)泄露的風(fēng)險也逐步加大，數(shù)據(jù)安全防護(hù)的手段和措施變得極為重要，企業(yè)必須保證內(nèi)部審計數(shù)據(jù)可信使用，確保數(shù)據(jù)處于持續(xù)監(jiān)控和安全防護(hù)中。

（三）全面審計要求下，對如何在不侵犯隱私的情況下實現(xiàn)數(shù)據(jù)使用成為必備需求

當(dāng)審計數(shù)據(jù)涉及人資、營銷等部門的客戶及員工敏感數(shù)據(jù)時，可能會違反隱私保護(hù)的相關(guān)規(guī)定。通過區(qū)塊鏈技術(shù)可實現(xiàn)審計人員在不接觸敏感數(shù)據(jù)的情況下進(jìn)行數(shù)據(jù)審計，實現(xiàn)數(shù)據(jù)“可用不可見”的隱私保護(hù)效果。

三、區(qū)塊鏈技術(shù)信任體系的關(guān)鍵能力

由于數(shù)字經(jīng)濟(jì)環(huán)境下審計載體的變化、中心化管理方式數(shù)據(jù)篡改成本的降低、隱私保護(hù)前提下使用數(shù)據(jù)等現(xiàn)狀和需求，亟須能利用多方多環(huán)節(jié)可信的技術(shù)保障數(shù)字化審計的順利開展，而區(qū)塊鏈的技術(shù)特性成為有利推動解決數(shù)字化審計信任問題的關(guān)鍵技術(shù)。

區(qū)塊鏈技術(shù)經(jīng)歷了區(qū)塊鏈1.0階段[25]（可編程貨幣階段）、2.0階段（可編程金融階段），進(jìn)入?yún)^(qū)塊鏈3.0階段[26]（可編程社會階段）。當(dāng)前認(rèn)可度較高的區(qū)塊鏈核心架構(gòu)是將區(qū)塊鏈架構(gòu)分為數(shù)據(jù)層、網(wǎng)絡(luò)層、共識層、合約層、應(yīng)用層，基于密碼學(xué)、共識算法、網(wǎng)絡(luò)這三項核心技術(shù)[27]，智能合約技術(shù)事實上代替了傳統(tǒng)的合約機(jī)制，無需第三方機(jī)構(gòu)確保協(xié)議的完善運行，構(gòu)建了高效信用機(jī)制。構(gòu)建基于區(qū)塊鏈的信任體系可以提供如下關(guān)鍵能力支撐。

（一）提供算法可信能力

互聯(lián)網(wǎng)與計算機(jī)系統(tǒng)是區(qū)塊鏈技術(shù)的基礎(chǔ)設(shè)施，加密算法是區(qū)塊鏈的技術(shù)基礎(chǔ)，算法信任是區(qū)塊鏈技術(shù)的核心機(jī)制。區(qū)塊鏈?zhǔn)侨ブ行幕?，涉及哈希算法、非對稱加密以及智能合約等算法，其數(shù)據(jù)的真實性、不可篡改性以及參與者對其的認(rèn)可，都是通過算法保障的。無論是數(shù)據(jù)加密算法、共識算法還是智能合約機(jī)制，都具有公開性、透明性和權(quán)威性，為區(qū)塊鏈應(yīng)用提供了可信基礎(chǔ)。

（二）提供身份可信能力

區(qū)塊鏈技術(shù)能夠為用戶建立鏈上唯一的數(shù)字賬戶，用戶在鏈上通過提交區(qū)塊鏈交易來執(zhí)行操作，而在交易提交上鏈之前，審計活動中各個角色用戶需要用自己的數(shù)字賬戶對交易簽名。簽名是一種非對稱加密的方法，可以在不泄露發(fā)送者本身私鑰的情況下，通過公鑰和簽名信息來確認(rèn)發(fā)送者持有對應(yīng)的私鑰。利用私鑰對交易進(jìn)行簽名還可將交易發(fā)送者的身份和信息綁定，同時也可防止其他人冒充發(fā)送者，這樣處理可在防止信息被篡改的同時認(rèn)證發(fā)送者的身份，防止抵賴，為系統(tǒng)提供身份可信的能力和基礎(chǔ)。

（三）提供數(shù)據(jù)可信能力

區(qū)塊鏈技術(shù)是面向聯(lián)盟的，其去中心化、開放性、防篡改等技術(shù)特質(zhì)和非對稱加密方式，可有效增加數(shù)據(jù)的透明度，提高數(shù)據(jù)篡改難度。區(qū)塊鏈默克爾樹是一種可以有效驗證部分?jǐn)?shù)據(jù)是否存在于指定數(shù)據(jù)集并且未被篡改的高效哈希樹結(jié)構(gòu)，可在審計數(shù)據(jù)驗證和溯源中大有作為。審計業(yè)務(wù)數(shù)據(jù)可信檢測技術(shù)的實現(xiàn)流程如圖1所示。

基于區(qū)塊鏈的智能合約機(jī)制，審計數(shù)據(jù)以默克爾樹根哈希的形式存證到審計區(qū)塊鏈，不僅可以實現(xiàn)審計數(shù)據(jù)的存證，而且確保該數(shù)據(jù)無法被篡改，此外，還可以提供審計數(shù)據(jù)驗證和溯源的操作，為基于區(qū)塊鏈的審計應(yīng)用奠定可信數(shù)據(jù)基礎(chǔ)。

（四）提供規(guī)則可信能力

區(qū)塊鏈智能合約機(jī)制貫徹了“代碼即法則（Code is Law）”的理念，基于智能合約的審計應(yīng)用（包括審計規(guī)則、審計處理等）均以透明的、公開的、不可篡改的方式進(jìn)行處理，為基于區(qū)塊鏈的審計應(yīng)用提供了規(guī)則可信的應(yīng)用機(jī)制，提高了審計作業(yè)和管理的公信力。

四、審計業(yè)務(wù)信任體系參考框架設(shè)計

完善的信任體系是數(shù)字化審計的核心特征，而構(gòu)建基于區(qū)塊鏈技術(shù)的審計信任體系能夠為數(shù)字化審計提供信任基石。

（一）基于區(qū)塊鏈技術(shù)的信任體系構(gòu)建思路

構(gòu)建基于區(qū)塊鏈技術(shù)的審計信任體系，需要進(jìn)行全面考慮（其中，信任體系構(gòu)建假設(shè)業(yè)務(wù)系統(tǒng)中審計相關(guān)的數(shù)據(jù)已經(jīng)形成審計中間表，可基于審計規(guī)則對審計中間表進(jìn)行操作形成審計初步結(jié)果）：

1.基于區(qū)塊鏈的身份認(rèn)證機(jī)制

審計過程中審計人員基于區(qū)塊鏈的身份賬戶進(jìn)行審計應(yīng)用，而基于區(qū)塊鏈的審計應(yīng)用則依據(jù)區(qū)塊鏈身份認(rèn)證機(jī)制，通過該機(jī)制對審計人員的身份及權(quán)限進(jìn)行分析判斷，確?？尚诺膶徲嬋藛T來審計應(yīng)用以及審計人員的審計行為記錄不可篡改。

2.基于默克爾樹機(jī)制的審計數(shù)據(jù)存證及更新

根據(jù)審計需求同步從數(shù)據(jù)中臺讀取審計中間表數(shù)據(jù)，對審計中間表數(shù)據(jù)進(jìn)行默克爾樹哈希計算，并將默克爾樹根哈希進(jìn)行數(shù)據(jù)存證?；诖孀C的默克爾根哈希，可以對審計數(shù)據(jù)進(jìn)行精準(zhǔn)驗證和溯源，從而為審計應(yīng)用提供可信的審計業(yè)務(wù)數(shù)據(jù)。

3.基于可信環(huán)境執(zhí)行隱私數(shù)據(jù)的黑盒審計機(jī)制

針對業(yè)務(wù)部門隱私數(shù)據(jù)的敏感性和安全性問題，基于區(qū)塊鏈技術(shù)，審計人員可以在不接觸敏感數(shù)據(jù)的情況下進(jìn)行數(shù)據(jù)審計，從而實現(xiàn)數(shù)據(jù)“可用不可見”的隱私保護(hù)效果。

4.基于智能合約機(jī)制的審計應(yīng)用

通過區(qū)塊鏈智能合約機(jī)制定義審計模型和審計規(guī)則，在“Code is Law”的原則下進(jìn)行的可信審計智能處理，杜絕了在審計處理環(huán)節(jié)中人為篡改相關(guān)數(shù)據(jù)的可能性;基于審計規(guī)則輸出的審計疑點問題以及后續(xù)的疑點問題處理記錄均通過智能合約的方式存證到審計區(qū)塊鏈，形成可信的審計疑點數(shù)據(jù)。

（二）數(shù)字化審計信任體系整體框架設(shè)計及示例

假定已建立數(shù)字化審計平臺和數(shù)據(jù)中臺，現(xiàn)需建立區(qū)塊鏈審計平臺，區(qū)塊鏈審計平臺由區(qū)塊鏈智能合約、區(qū)塊鏈可信執(zhí)行環(huán)境、區(qū)塊鏈處理模塊以及任務(wù)管理、流程管理、智能處理服務(wù)等組成，其中智能處理服務(wù)包含數(shù)據(jù)存證、驗證、獲取、共享等服務(wù)組件，服務(wù)組件類別可根據(jù)需求靈活調(diào)整。區(qū)塊鏈設(shè)計平臺與源端系統(tǒng)、數(shù)據(jù)中臺（如有）、數(shù)字化審計平臺的框架如圖2所示。

在上述框架中，由于當(dāng)前經(jīng)營主體多數(shù)未建立數(shù)據(jù)中臺或者部分業(yè)務(wù)部門考慮到數(shù)據(jù)隱私問題，未將數(shù)據(jù)共享至數(shù)據(jù)中臺，因此該框架還涉及源端系統(tǒng)與區(qū)塊鏈審計平臺直接交互的情況。

以調(diào)用兩個及以上單位的數(shù)據(jù)開展聯(lián)合審計場景為例，區(qū)塊鏈審計平臺可將聯(lián)合審計單位的握手協(xié)議、所用審計模型共享上鏈，在無需了解對方數(shù)據(jù)的情況下，獲取審計結(jié)果，提高聯(lián)合審計工作效率、節(jié)省資源?；趨^(qū)塊鏈的聯(lián)合審計實現(xiàn)過程如圖3所示。

五、數(shù)字化審計中的信任應(yīng)用場景

數(shù)字化審計整體流程可分為數(shù)據(jù)采集、數(shù)據(jù)處理和數(shù)據(jù)應(yīng)用，其中應(yīng)用一般可分為審計作業(yè)、審計管理，故本文從數(shù)據(jù)采集與處理、審計作業(yè)、審計管理三個方面梳理數(shù)字化審計過程中對信任的應(yīng)用場景。如表1。

（一）審計數(shù)據(jù)使用場景

數(shù)據(jù)信任是數(shù)字化審計信任體系的基石，確保審計數(shù)據(jù)的可信是構(gòu)建數(shù)字化審計信任體系的根本出發(fā)點。利用區(qū)塊鏈技術(shù)，將審計數(shù)據(jù)進(jìn)行存證上鏈，保證審計數(shù)據(jù)存證記錄的不可篡改，為審計應(yīng)用提供可信的數(shù)據(jù)憑證;通過區(qū)塊鏈的默克爾樹機(jī)制，可以對審計數(shù)據(jù)進(jìn)行高效驗證和精準(zhǔn)溯源;基于區(qū)塊鏈技術(shù)形成可信數(shù)據(jù)環(huán)境，使全鏈條業(yè)務(wù)數(shù)據(jù)能被審計信任。數(shù)據(jù)信任主要包括以下四部分：

1.內(nèi)部數(shù)據(jù)可信調(diào)用

對于已經(jīng)建立數(shù)據(jù)中臺的企業(yè)，與審計數(shù)據(jù)相關(guān)的數(shù)據(jù)從業(yè)務(wù)系統(tǒng)進(jìn)入到數(shù)據(jù)中臺，再到審計中間表。當(dāng)公司業(yè)務(wù)系統(tǒng)數(shù)據(jù)未上鏈時，數(shù)據(jù)無法可信地從審計環(huán)節(jié)追溯至業(yè)務(wù)環(huán)節(jié)。針對所有存儲到審計中間表的數(shù)據(jù)，在數(shù)據(jù)同步到審計中間表后，根據(jù)審計作業(yè)需求，將對應(yīng)的審計中間表數(shù)據(jù)集的每條記錄的數(shù)據(jù)進(jìn)行哈希計算，再基于這些數(shù)據(jù)的哈希值進(jìn)行默克爾樹轉(zhuǎn)換處理，最后將生成的默克爾樹根哈希（MerkleRootHash）進(jìn)行存證上鏈。基于區(qū)塊鏈的默克爾樹數(shù)據(jù)驗證和溯源機(jī)制，結(jié)合已存證的默克爾樹根哈希，可精準(zhǔn)高效地對審計中間表歷次變化值進(jìn)行分析并與業(yè)務(wù)原始數(shù)據(jù)對比。以國家電網(wǎng)公司省公司工程數(shù)據(jù)審計為例，數(shù)據(jù)上鏈過程如圖4所示。

2.外部數(shù)據(jù)可信采集

根據(jù)審計全覆蓋的要求，審計所需數(shù)據(jù)可能不僅來源于公司內(nèi)部，還可能需要政府公開的、行業(yè)公開的及商業(yè)互聯(lián)網(wǎng)平臺公開的數(shù)據(jù)（比如土地租金數(shù)據(jù)、工商用戶信息、企業(yè)征信信息、工程非結(jié)構(gòu)化數(shù)據(jù)等）作為支撐數(shù)據(jù)，在內(nèi)部審計中發(fā)揮協(xié)同分析的作用，從而獲得更好的審計效果。而將外部數(shù)據(jù)納入公司數(shù)據(jù)中臺后，全鏈條可能面臨數(shù)據(jù)被篡改的風(fēng)險。因此，可以利用區(qū)塊鏈存證不可篡改的特性，對外部數(shù)據(jù)的哈希指紋進(jìn)行存證處理來規(guī)避風(fēng)險。例如，通過互聯(lián)網(wǎng)或者系統(tǒng)接口的方式，外部數(shù)據(jù)獲取服務(wù)從外部環(huán)境抓取審計作業(yè)所需參考的外部數(shù)據(jù)，進(jìn)而對其進(jìn)行哈希指紋處理以固化所抓取的外部數(shù)據(jù)鏡像關(guān)系;與此同時，為了確保外部數(shù)據(jù)的可信性，需將數(shù)據(jù)原文、外部數(shù)據(jù)指紋信息以及外部數(shù)據(jù)抓取人的簽名信息一并錄入數(shù)據(jù)中臺外部數(shù)據(jù)中間表內(nèi);最后，基于區(qū)塊鏈默克爾樹機(jī)制，將外部數(shù)據(jù)中間表的數(shù)據(jù)進(jìn)行哈希處理，并將生成的默克爾樹根哈希進(jìn)行存證上鏈。外部數(shù)據(jù)存證上鏈操作，可將審計業(yè)務(wù)中使用到的外部處理依據(jù)或憑證進(jìn)行固化，從而驗證處理邏輯和處理依據(jù)是否正確有效。在外部數(shù)據(jù)發(fā)生變化時，能夠快速發(fā)現(xiàn)受影響的處理邏輯。與內(nèi)部數(shù)據(jù)相比，外部數(shù)據(jù)在數(shù)據(jù)獲取環(huán)節(jié)即進(jìn)行指紋處理、前面認(rèn)證，后續(xù)處理過程和內(nèi)部數(shù)據(jù)可信調(diào)用過程相似。

3.跨鏈數(shù)據(jù)可信共享及驗證

對于已在其他區(qū)塊鏈平臺存證的業(yè)務(wù)數(shù)據(jù)審計應(yīng)用，需要解決在其他區(qū)塊鏈平臺上存證數(shù)據(jù)的復(fù)用問題以及在數(shù)據(jù)共享過程中數(shù)據(jù)授權(quán)單位對數(shù)據(jù)是否被濫用和審計數(shù)據(jù)需求單位對數(shù)據(jù)是否真實的擔(dān)憂。已上鏈數(shù)據(jù)轉(zhuǎn)移至審計鏈的跨鏈審計業(yè)務(wù)流程如圖5所示。

基于區(qū)塊鏈技術(shù)可實現(xiàn)跨鏈數(shù)據(jù)的可信共享和可信驗證：首先，利用區(qū)塊鏈的跨鏈技術(shù)，可以實現(xiàn)審計鏈對其他區(qū)塊鏈平臺的跨鏈目標(biāo)訪問，為跨鏈數(shù)據(jù)的復(fù)用提供技術(shù)基礎(chǔ)。其次，基于區(qū)塊鏈智能合約技術(shù)，為數(shù)據(jù)授權(quán)單位提供數(shù)據(jù)訪問授權(quán)管理機(jī)制，一方面可以對審計數(shù)據(jù)需求單位進(jìn)行權(quán)限分析和管理，實現(xiàn)數(shù)據(jù)的可信共享;另一方面可以將數(shù)據(jù)訪問授權(quán)記錄存證，實現(xiàn)對數(shù)據(jù)訪問歷史的精準(zhǔn)溯源。再者，審計數(shù)據(jù)需求單位以跨鏈獲取的業(yè)務(wù)數(shù)據(jù)的哈希指紋作為基準(zhǔn)鏡像，基于區(qū)塊鏈跨鏈技術(shù)定時輪詢外部鏈存證的默克爾樹根哈希以及外部數(shù)據(jù)，通過比對外部數(shù)據(jù)的哈希指紋確定審計數(shù)據(jù)是否存在變化。在確認(rèn)數(shù)據(jù)存在變更的情況下，以告警事件的方式通知審計人員做進(jìn)一步的處理，以確?？珂湉?fù)用數(shù)據(jù)的準(zhǔn)確性和可信性。

4.隱私數(shù)據(jù)可信保護(hù)

確保敏感數(shù)據(jù)不被泄露是每個業(yè)務(wù)部門最關(guān)切的問題。為了確保敏感數(shù)據(jù)的安全性，業(yè)務(wù)部門通常不會將敏感數(shù)據(jù)同步到企業(yè)數(shù)據(jù)中臺，而且這些數(shù)據(jù)一般不向第三方明文共享。涉及諸如客戶信息或員工薪酬等方面的敏感數(shù)據(jù)的審計作業(yè)，是當(dāng)前審計應(yīng)用的一個痛點。涉及諸如客戶信息和員工薪酬等敏感數(shù)據(jù)的審計應(yīng)用中，基于區(qū)塊鏈的智能合約配置黑盒審計任務(wù)，定義數(shù)據(jù)來源和審計規(guī)則，進(jìn)而在可信執(zhí)行環(huán)境中進(jìn)行數(shù)據(jù)安全獲取、驗證、審計等處理操作，從而達(dá)到數(shù)據(jù)提供方、使用方相互信任的目的。為了確保員工薪酬隱私數(shù)據(jù)不被泄露，人力資源系統(tǒng)基于區(qū)塊鏈技術(shù)對員工薪酬數(shù)據(jù)進(jìn)行不可逆的哈希加密處理后生成默克爾樹根哈希，并通過區(qū)塊鏈智能合約完成員工薪酬數(shù)據(jù)默克爾樹根哈希的存證上鏈，以此作為隱私數(shù)據(jù)審計處理的鏡像憑證，薪酬審計場景的黑盒審計模型如圖6所示。

在進(jìn)行員工薪酬審計場景中，對于員工薪酬黑盒審計任務(wù)，審計引擎通過可信執(zhí)行環(huán)境以通知的方式向人力資源系統(tǒng)提出員工薪酬數(shù)據(jù)黑盒審計任務(wù)的申請;人力資源系統(tǒng)在收到可信執(zhí)行環(huán)境發(fā)出的申請后，對員工薪酬數(shù)據(jù)進(jìn)行不可逆的哈希處理，并將加密后的員工薪酬數(shù)據(jù)提交到可信執(zhí)行環(huán)境;可信執(zhí)行環(huán)境根據(jù)審計執(zhí)行引擎提供的審計規(guī)則哈希值，獲取到該審計規(guī)則的處理代碼;可信執(zhí)行環(huán)境依據(jù)審計規(guī)則處理代碼對加密數(shù)據(jù)進(jìn)行解密并驗證數(shù)據(jù)的正確性，同時進(jìn)行審計處理;可信執(zhí)行環(huán)境將最后產(chǎn)生的審計結(jié)果通過審計執(zhí)行引擎，返回給審計人員，并將審計結(jié)果哈希存證。至此，基于區(qū)塊鏈技術(shù)實現(xiàn)了審計人員在不接觸敏感數(shù)據(jù)的情況下實施審計任務(wù)的目標(biāo)，既確保隱私數(shù)據(jù)的可信審計處理，又達(dá)成隱私數(shù)據(jù)“可用不可見”的可信保護(hù)效果。

（二）審計作業(yè)場景

1.審計模型信任

針對涉及同時調(diào)用兩個及以上主體的數(shù)據(jù)開展審計分析的交叉審計或者聯(lián)合審計問題，基于區(qū)塊鏈技術(shù)的審計平臺，可將聯(lián)合審計單位的握手協(xié)議、所用審計模型共享上鏈，在無需了解對方數(shù)據(jù)的前提下，獲取審計結(jié)果，提高聯(lián)合審計工作效率、節(jié)省資源。例如，在審計A公司某線路運維費用時，可能需要參考經(jīng)濟(jì)發(fā)展水平相當(dāng)?shù)膯挝唬ㄈ鏐公司、C公司、D公司等）的費用情況?；谥悄芎霞s配置線路運維費用的B、C、D三家公司聯(lián)合審計任務(wù)，指定對應(yīng)的多個數(shù)據(jù)來源和審計模型;根據(jù)聯(lián)合審計任務(wù)合約的任務(wù)配置，以合約事件的方式通知B、C及D公司區(qū)塊鏈審計服務(wù)，執(zhí)行對應(yīng)的線路運維費用數(shù)據(jù)審計任務(wù); B、C及D各分公司根據(jù)聯(lián)合審計任務(wù)指定的審計模型，對本公司數(shù)據(jù)中臺的線路運維費用數(shù)據(jù)進(jìn)行審計，并分別將本次審計結(jié)果存證至聯(lián)合審計任務(wù)合約;最后，作為聯(lián)合審計發(fā)起方的A公司，根據(jù)聯(lián)合審計任務(wù)合約，匯總合并本次B、C及D公司提交的線路運維費用數(shù)據(jù)審計結(jié)果，并存證上鏈。

區(qū)塊鏈審計平臺根據(jù)聯(lián)合審計任務(wù)進(jìn)行數(shù)據(jù)獲取、驗證和審計處理，一方面，將聯(lián)合審計協(xié)議、聯(lián)合審計模型以上鏈的方式進(jìn)行公開，為聯(lián)合審計參與方提供可信的聯(lián)合審計模型和協(xié)議;另一方面，將數(shù)據(jù)和處理邏輯分離，以數(shù)據(jù)端執(zhí)行處理邏輯的方式，只對聯(lián)合審計處理的結(jié)果共享訪問，從而保證了數(shù)據(jù)的安全性，實現(xiàn)可信的聯(lián)合審計目的。

2.作業(yè)結(jié)果信任

審計作業(yè)結(jié)果主要指的是審計底稿，審計底稿作為審計過程和結(jié)果的書面證明，涵蓋審計作業(yè)全過程的原始記錄，在審計工作中至關(guān)重要。在中心化的管理中，審計底稿存在被篡改且原值無法追溯的風(fēng)險。例如，當(dāng)審計人員A某將B某的經(jīng)濟(jì)責(zé)任審計底稿上報后，B某可以串通審計人員A某更改審計底稿。非現(xiàn)場審計成果的存證及溯源過程如圖7所示。

基于區(qū)塊鏈的審計處理過程，會將產(chǎn)生的疑點問題清單同步存證于疑點問題存證智能合約中，包括疑點問題編碼、審計規(guī)則、審計業(yè)務(wù)數(shù)據(jù)及疑點問題哈希指紋等;在審計作業(yè)結(jié)束后，基于本次審計作業(yè)過程中所有疑點問題的哈希指紋生成的默克爾樹根哈希等信息，進(jìn)一步生成本次審計底稿的哈希指紋作為鏡像，并存證至審計底稿存證智能合約，實現(xiàn)底稿的智能轉(zhuǎn)化和存證上鏈。因此，基于默克爾樹機(jī)制，通過存證的審計底稿哈希指紋可以驗證疑點問題的有效性;反之，根據(jù)鏈上存證的疑點問題的哈希指紋記錄可以驗證指定審計底稿的正確性。如果審計底稿被人為篡改，那么篡改時間以及篡改前后的內(nèi)容，都可以通過區(qū)塊鏈審計平臺實時反映。通過底稿的智能轉(zhuǎn)化和存證上鏈，將智能合約維護(hù)審計記錄底稿和鏈上存證數(shù)據(jù)關(guān)聯(lián)，可快速反映其修改時間、修改內(nèi)容，實現(xiàn)各版本審計底稿內(nèi)容可追溯的目。該操作增強(qiáng)了審計底稿的可信度，提高了審計底稿的嚴(yán)肅性和權(quán)威性。

（三）審計管理場景

根據(jù)區(qū)塊鏈“Code is Law”的原則，區(qū)塊鏈智能合約機(jī)制為審計項目全流程的自動化管控應(yīng)用提供了公開、透明的審計管理流程，在可信基礎(chǔ)上提高了審計管理效率。在審計全流程的管控中，每個步驟的完成均有前置條件，為了加強(qiáng)對審計全流程的合規(guī)性管理，智能合約機(jī)制被引入來控制流程推進(jìn)和項目實施質(zhì)量的后評價，以實現(xiàn)從審計任務(wù)立項、審計模型設(shè)計、審計任務(wù)執(zhí)行到審計結(jié)果存證的整個項目流程的可信流轉(zhuǎn)、驗證，提高項目透明度及全流程管控效率。基于智能合約的項目全流程管控如圖8所示。

以區(qū)塊鏈審計平臺的智能合約為基礎(chǔ)，審計人員開展審計任務(wù)流程管理配置，由流程管理引擎查驗任務(wù)的當(dāng)前狀態(tài)，并檢測對應(yīng)階段的準(zhǔn)入條件是否滿足，如審計任務(wù)執(zhí)行環(huán)節(jié)能否正式開展，審計模型是否設(shè)計完成、是否已到審計執(zhí)行時間等;在準(zhǔn)入條件滿足的前提下，流程管理服務(wù)向環(huán)節(jié)處理人發(fā)送任務(wù)處理通知，以敦促責(zé)任人及時處理相關(guān)任務(wù);根據(jù)流程管理服務(wù)發(fā)出的審計通知，審計人員執(zhí)行對應(yīng)的審計任務(wù)，并將審計底稿、審計疑點和審計結(jié)果等存證上鏈;審計人員可以查詢每個環(huán)節(jié)的審計處理結(jié)果或者狀態(tài)。以審計問題整改為例，其基于智能合約的整改目標(biāo)自動核實的全流程如圖9所示。

以上技術(shù)方案涉及審計原始數(shù)據(jù)、審計作業(yè)模型、審計成果數(shù)據(jù)、審計全流程管理等審計作業(yè)和管理的典型場景，為區(qū)塊鏈技術(shù)在審計業(yè)務(wù)上的應(yīng)用提供了借鑒。

六、結(jié)語

本文在綜述區(qū)塊鏈技術(shù)及其應(yīng)用現(xiàn)狀的基礎(chǔ)上，強(qiáng)調(diào)了數(shù)字化審計中信任體系建立的必要性，在區(qū)塊鏈技術(shù)信任體系可提供算法可信、身份可信、數(shù)據(jù)可信、規(guī)則可信的關(guān)鍵能力和審計業(yè)務(wù)信任體系的前提下，提出審計業(yè)務(wù)信任體系的參考框架，并以電力工程物資審計場景和聯(lián)合審計場景為例進(jìn)行框架的應(yīng)用細(xì)化。

從審計數(shù)據(jù)采集、審計作業(yè)、審計管理3個維度梳理了數(shù)字化審計中的信任應(yīng)用場景。其中，審計數(shù)據(jù)采集包括內(nèi)部數(shù)據(jù)信息調(diào)用、外部數(shù)據(jù)可信采集、跨鏈數(shù)據(jù)可信共享及驗證、隱私數(shù)據(jù)可信保護(hù);審計作業(yè)包括隱私數(shù)據(jù)黑盒審計、審計模型信任、作業(yè)結(jié)果信任;審計管理則主要是指基于區(qū)塊鏈智能合約技術(shù)的審計管理流程自動化。

區(qū)塊鏈技術(shù)在數(shù)字化審計信任體系構(gòu)建中作用可期，未來可就區(qū)塊鏈審計服務(wù)各模塊開展細(xì)化研究，為區(qū)塊鏈在審計信任體系落地提供支撐。

【參考文獻(xiàn)】

[1] 王彪華.大數(shù)據(jù)審計理論與實踐研討會綜述[J].審計研究，2020（2）：52-56.

[2] 邢春玉，李莉，張莉.內(nèi)部審計：從數(shù)字化到智能化[J].財會月刊，2021（2）：100-105.

[3] 邢春玉，張莉.大數(shù)據(jù)技術(shù)下的新審計模式研究[J].財政監(jiān)督，2020（1）：100-104.

[4] 朱少如.大數(shù)據(jù)環(huán)境下內(nèi)部審計信息化研究[J].中國內(nèi)部審計，2021（2）：64-65.

[5] 李銘.組織數(shù)字化轉(zhuǎn)型中的內(nèi)審應(yīng)對[J].財經(jīng)界，2020（34）：237-238.

[6] 陳偉，SMIELIAUSKAS W.大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)審計：機(jī)遇、挑戰(zhàn)與方法[J].計算機(jī)科學(xué)，2016（1）：8-13.

[7] LE T，MUTKA M W.CapChain：a privacy preserving access control framework based on blockchain for pervasive environments[C].IEEE International Conference on Smart Computing （SMARTCOMP），2018：57-64.

[8] ZYSKIND G，ZEKRIFA D M S，ALEX P，et al.Decentralizing privacy：using blockchain to protect personal data[C].IEEE Security & Privacy Workshops，2015：180-184.

[9] 李曉明，黃慧，應(yīng)毅，等.基于區(qū)塊鏈的醫(yī)療臨床數(shù)據(jù)防篡改機(jī)制及篡改攻擊分析[J].高技術(shù)通訊，2021，31（2）：141-147.

[10] 劉品新.論區(qū)塊鏈存證的制度價值[J].檔案學(xué)通訊，2020（1）：21-30.

[11] 劉峰，趙俊峰.基于區(qū)塊鏈的云存儲數(shù)據(jù)完整性驗證方案[J].應(yīng)用科學(xué)學(xué)報，2021，39（1）：164-173.

[12] PINNO O J A，GRéGIO A，BONA L C E D.ControlChain：blockchain as a central enabler for access control authorizations in the IoT[C].Globecom IEEE Global Communications Conference，2017.

[13] MAESA D D F，MORI P，RICCI L.Blockchain based access control[C].IFIP International Conference on Distributed Applications and Interoperable Systems，2017.

[14] ALANSARI S，PACI F，SASSONE V.A distributed access control system for cloud federations[C].IEEE 37th International Conference on Distributed Computing Systems （ICDCS），2017：2131-2136.

[15] SWAN M.Blockchain：blueprint for a new economy[M].O'Reilly Media，Inc，2015.

[16] 鄭石橋.區(qū)塊鏈對審計取證的影響：一個理論框架[J].財會通訊，2021（9）：1-5.

[17] 朱淵媛，涂建明，龐琦.基于區(qū)塊鏈審計平臺構(gòu)建的審計范式變革[J].中國注冊會計師，2019（7）：67-73.

[18] 徐超，陳勇.區(qū)塊鏈技術(shù)下的審計方法研究[J].審計研究，2020（3）：20-28.

[19] 吳勇，周才力，何長添，等.基于區(qū)塊鏈技術(shù)的審計模式變革研究——一個整合性分析框架[J].中國注冊會計師，2019（3）：85-91.

[20] 許金葉，魯梅靜.基于區(qū)塊鏈的聯(lián)網(wǎng)審計框架探討[J].會計之友，2017（21）：132-135.

[21] 陳旭，冀程浩.基于區(qū)塊鏈技術(shù)的實時審計研究[J].中國注冊會計師，2017（4）：67-71.

[22] 王琳，向際鋼.基于區(qū)塊鏈技術(shù)的實時審計框架構(gòu)建[J].財會通訊，2020（9）：139-142，147.

[23] 王東，高子清，李彥萍.多方計算與區(qū)塊鏈提升會計信息質(zhì)量研究[J].會計之友，2021（10）：149-154.

[24] PEREZ，CARLOTA.Finance and technical change：a longterm view[M]//HORST H，et al.Elgar Companion to Neo-schumpeterian Economics，Edward Elgar Publishing，2007.

[25] CAO B，LIN L，LI Y，et al.Review of blockchain research[J].Journal of Chongqing University of Post and Telecommunication（Natural Science Edition），2020，32（1）：1-14.

[26] 郭上銅，王瑞錦，張鳳荔.區(qū)塊鏈技術(shù)原理與應(yīng)用綜述[J].計算機(jī)科學(xué)，2021，48（2）：271-281.

[27] 蔡曉晴，鄧堯，張亮，等.區(qū)塊鏈原理及其核心技術(shù)[J].計算機(jī)學(xué)報，2021，44（1）：84-131.