基于區(qū)塊鏈技術的智能審計系統的構建及應用

陳雪儀

一、問題的提出

隨著科學技術的迅猛發(fā)展，從20世紀90年代開始，我國制造業(yè)開始了高速發(fā)展的進程，在勞動生產率和資本密集度方面有了顯著提升。制造業(yè)由于企業(yè)基數大、競爭激烈、所需投資力度大等原因，導致其利潤獲取空間被壓縮，部分企業(yè)管理者有動機采取財務舞弊手段以謀求更大的發(fā)展空間、尋求更多的資金支持。此類企業(yè)涉及的財務舞弊手段繁多，涉及虛增收入、轉移費用、虛增資產、虛減負債等手段，甚至部分已被公告并處罰的企業(yè)，在下一年度依舊出現財務舞弊行為，以達到虛增利潤的目的。

為了達到粉飾財務報表的目的，制造業(yè)上市公司往往通過與其他方簽訂虛假購銷合同，虛構存貨，并通過偽造出入庫單據、虛開商品銷售發(fā)票來虛增收入。虛增的應收賬款或資產通過不當計提減值準備加以消化。為避免被審計工作中的函證程序所識別，舞弊企業(yè)通過偽造采購業(yè)務套取其自有資金用于貨款回籠，形成資金閉環(huán)。當虛構的采購金額小于虛構的收入金額時，企業(yè)可能通過虛假預付款項、虛增長期資產賬面價值、關聯方交易等舞弊方式套取額外資金實現貨款回籠。由于制造業(yè)企業(yè)生產經營過程中涉及的環(huán)節(jié)眾多，針對其上市公司的實物資產審計取證較為復雜，需要投入大量的人力、物力。在實際作業(yè)中，審計人員往往只能進行抽樣盤點，從而導致進銷存業(yè)務取證困難，審計結果具有不同程度的不確定性。

有研究顯示，近年來上市公司財務舞弊行為的揭露多數情況并不是由注冊會計師或監(jiān)管部門發(fā)現的，而是由于內部舉報而得到最終披露。注冊會計師在發(fā)現財務舞弊方面表現不彰，與缺乏交叉驗證的審計系統不無關系。審計系統數據庫的構建涵蓋審計方法與流程、相關法律法規(guī)、企業(yè)業(yè)務庫等資料的歸集，并通過數智化技術自動化生成審計底稿。然而，由于區(qū)域管理模式、信息化建設水平差異或商業(yè)數據保密等原因，導致中央和地方審計或審計單位與被審計單位之間缺乏有效的數據協調統籌機制，難以實現全方面的數據交互與共享?；趩我环掌鞯臄祿踩到y仍存在諸多威脅因素，在面臨黑客攻擊時，相關數據面臨極高的泄露和篡改風險。同時，服務器自身的硬件損壞，也會造成大量存儲的數據丟失，造成不公允的審計結果。現階段，對于制造業(yè)審計的研究集中于審計風險及審計質量，尚未有針對其行業(yè)特征，提出基于區(qū)塊鏈技術的智能審計系統的構建及應用研究?；谇把刂悄芑夹g，探討基于區(qū)塊鏈技術的智能審計系統的構建及應用成為現階段制造業(yè)上市公司提升會計信息質量的重要研究方向。

作為我國上市公司的重要組成部分，制造業(yè)上市公司財務舞弊成為會計監(jiān)管的熱門話題。本文基于我國制造業(yè)上市公司會計監(jiān)管現狀，將智慧物聯取證、關聯方數據共享以及實時智能審計進行有效融合，構建實現全流程自動化的智能審計系統，以解決當前制造業(yè)審計面臨的取證難、數據難以同步、審計預警低效等問題。在實際運用層面，新技術應用與推廣過程中面臨的實物驗證風險、數據交互風險、智能合約風險以及“標準化”風險仍有待進一步完善。

二、基于區(qū)塊鏈技術的制造業(yè)智能審計系統的構建

基于區(qū)塊鏈技術的制造業(yè)智能審計系統構建將物聯網、云儲存等技術進行有效融合，實現了審計數據的自動化采集上鏈、關聯方數據共享和實時智能審計?；趨^(qū)塊鏈技術的制造業(yè)智能審計系統框架如圖1所示，該系統依托于5G網絡，基于其高速度、泛在網、低延時、低功耗及萬物互聯的特性，通過聯結手機、PC端等設備端口，實現審計信息快速交互。審計數據的采集依賴于物聯網技術，通過物聯網中的各類傳感、感應器進行數據采集，隨后通過被審計單位的網絡設備將其傳輸至分布式云儲存系統，實現關聯方云端數據共享。在實時智能審計模塊，相關交易數據打包形成新的區(qū)塊進行上鏈，通過其他網絡節(jié)點的共識驗證后形成區(qū)塊并保留節(jié)點的簽名信息，使審計數據的可靠性與可追溯性得以保障。通過數據的分布式記錄簡化數據清理流程，運用智能合約技術進行鏈上治理，將審計作業(yè)中涉及的審計規(guī)則、處理規(guī)范等直接編碼到區(qū)塊鏈的網絡中，從而保證其以去中心化、安全高效的方式被執(zhí)行，提高審計作業(yè)的公信力。

圖1 基于區(qū)塊鏈技術的制造業(yè)智能審計系統框架

（一）智慧物聯取證

物聯網技術的發(fā)展為審計取證提供了更高效的路徑，通過信息傳感器、紅外感應器、激光掃描器等各種裝置和技術，打破時間和空間的限制，實現人、機、物的互聯互通，提供多途徑的信息獲取方式。為識別進銷存業(yè)務和實物資產構建的真實性，將物聯網技術應用于實物資產識別可使各類資產附有其唯一的電子標簽（FRID），包括制造業(yè)涉及的固定資產、原材料、輔助材料、半成品、產成品、低值易耗品等。經激光掃描、紅外感應等技術進行實物資產的快速識別并通過傳輸協議及時同步至云端，進行自主對賬。針對跨區(qū)域的審計項目，審計人員往往需要頻繁出差，進行現場取證。物聯網技術可實現全面的遠程聯動，通過各類可能的網絡接入，按約定的協議，進行審計證據的交換及通信，以實現對實物資產的智能化識別、定位、跟蹤、監(jiān)控和管理。

在關鍵業(yè)務追蹤環(huán)節(jié)，可利用物聯網技術對已附有電子標簽的實物資產進行實時追蹤，并為關鍵業(yè)務事項貼上電子標簽，以追索此類業(yè)務事項的履行過程，評估被審計單位內部控制的執(zhí)行情況，識別是否存在異常關聯方交易等舞弊行為。制造業(yè)上市公司的日常經濟活動主要劃分為向上游供應商采購商品和向下游經銷商出售產品，通過讀取存貨標簽，可以全程追索相關采購、生產、銷售流程，以判斷被審計單位的生產經營環(huán)節(jié)是否合規(guī)。針對重要的采購業(yè)務，從原材料的電子標簽出發(fā)，可追索上游供應商、采購經辦人員、材料流轉路徑等信息，及時發(fā)現虛增收入和虛增稅后利潤等問題。

在存貨審計的實質性分析程序階段，審計人員需要將被審計單位的數據與行業(yè)數據或上期同類數據進行比較，判斷是否存在財務舞弊的情況。例如，當在產品占存貨結構比變化較大時，判斷是否存在少結轉完工產品成本以虛增利潤的風險?；谖锫摼W技術的績效審計可實時采集并追蹤實物資產及關鍵業(yè)務，對被審計單位經濟活動的經濟性、效率性和效果性進行自動化審計。例如，貼上電子標簽后的存貨，可以通過物聯網技術自動計算存貨周轉率、存貨周轉天數等指標，以評估被審計單位的存貨管理績效。

（二）關聯方數據共享

交易造假類舞弊行為往往是由上市公司、上下游供應商以及金融機構的多方配合，僅通過函證無法驗證交易真實性。因此，應將制造業(yè)上市公司的進銷存業(yè)務全過程納入審計，通過區(qū)塊鏈技術，將購銷計劃、供應商選擇、合同確認、驗收入庫、交易支付等環(huán)節(jié)進行自主上鏈，實現關聯方數據共享，從而有效識別制造業(yè)上市公司可能存在的高風險行為。不同企業(yè)間的數據整合需要巨大的存儲空間，云儲存系統具有整合財務與非財務信息、提高信息交互效率等優(yōu)勢，通過網格技術、分布式文件系統、集群應用等功能，協同網絡中不同類型的存儲設備，為供應鏈數據共享提供了交互便捷、容量巨大的云端空間。云儲存系統的引入能很好地滿足非現場審計的需求，實現本地、異地，以及NAS之間的數據共享和備份。即便地處偏遠地區(qū)，審計數據仍能被全面獲取，保證數據在審計雙方之間進行縱向或橫向的快速傳輸與備份。

目前，集中式云儲存掌握著大量用戶的交易數據，可能導致一系列用戶隱私問題和數據安全問題。有例子表明，第三方云儲存服務供應商有動機將用戶的私人數據出售給其他國家或機構。此外，集中式云儲存架構可能會導致單點故障問題，黑客攻擊產生的安全威脅不容小覷?；趨^(qū)塊鏈技術的智能審計系統要求每個節(jié)點儲存完整的數據，因此所需的存儲空間巨大，隨著數據庫規(guī)模的擴大，每個節(jié)點的運行成本也會不斷增加。分布式云儲存技術將數據加密分布于分散的網絡，能有效避免此類問題。Amazon Simple Storage Service(Amazon S3)是當前應用較為廣泛的分布式云儲存平臺，允許用戶在Web上的任何位置通過附近AWS(Amazon Web Service)區(qū)域的多個服務器上進行任意數量的數據存儲與檢索，包括圖片、視頻、音樂和文檔等。同時，Amazon S3允許多個客戶端和應用線程并發(fā)訪問數據，具有低成本、速度快、高拓展性和安全性的特征。

分布式云儲存系統的基本架構如圖2所示。該系統主要采用扁平化的雙層結構，一層為儲存桶、二層為儲存對象。由于數據存儲的地理位置對審計工作來說至關重要，Amazon S3采用儲存桶作為用戶訪問數據的域名的一部分，能根據用戶的區(qū)域信息進行云端存儲工作，為快捷的數據存儲與訪問提供保障。多個數據桶共同參與并形成一個分布式的共享數據庫，實現了審計數據的分布式記錄，提高了存儲效率。為降低商業(yè)隱私的泄露風險，須對訪問權限進行進一步設置，允許特定用戶進行訪問，包括但不限于交易雙方、第三方審計機構，政府監(jiān)管部門等。作為審計工作取證的重要環(huán)節(jié)，制造業(yè)上市公司將經營相關基礎數據以及元數據信息上傳并生成URL，包括數據的上傳時間、責任人等信息，為審計工作的順利開展提供必要前提條件。

圖2 分布式云儲存系統的基本架構

（三）實時智能審計

制造業(yè)上市公司的業(yè)務數據類型繁多，審計作業(yè)涉及相關金融企業(yè)和上下游供應商等關聯方的關鍵信息取證。區(qū)塊鏈作為數據記錄與存儲的關鍵性技術改進了數據存儲及數據清洗的方式，提高了審計證據的獲取效率。一方面，分布式云儲存從時間和空間雙維度拓展了審計作業(yè)的范圍，在審計作業(yè)期間，擁有密鑰的審計方可隨時隨地進行遠程訪問，極大提升了審計的監(jiān)督范疇，提高了數據采集的效率。另一方面，區(qū)塊鏈技術實現了數據的分布式記錄，類似于審計驗證功能。通過去中心化協議和防篡改特性，即使在單一區(qū)塊遭到攻擊或篡改時，鏈上其他參加者仍能照常運行且保存原有完整記錄的賬簿副本。以制造業(yè)上市公司為例，第三方審計的測試對象包括收入、成本、存貨以及相關稅費，要求審計平臺數據庫與被審計單位的審計作業(yè)訪問模塊通過數據接口進行聯通，對交易數據進行實時同步，實現審計工作的實時監(jiān)督。目前，以太坊智能合約和比特幣主要采用公有鏈這一運行模式，該模式采用全網公開的形式，具有較高度的去中心化特征。然而這一模式無用戶授權機制，不符合當前制造業(yè)商業(yè)模式的中心化特征，增加了商業(yè)信息的泄露風險。為提高審計平臺的安全性和隱私性，基于區(qū)塊鏈技術的制造業(yè)智能審計系統采用聯盟鏈或私有鏈的形式，將相關上下游供應商、稅務部門、銀行等金融機構納入驗證節(jié)點，并授予數據讀取、交易或記賬的權限。進行記賬活動的同時，需在鏈上廣播并附上各節(jié)點的數字簽名，通過多節(jié)點對比，自動驗證交易的真實性，保障審計平臺數據庫的真實性與完整性。

智能合約的引入降低了財務舞弊披露對內部舉報制度的依賴程度，在審計處理的全流程管控中起到關鍵作用。圍繞“代碼即法律”這一概念，通過鏈上治理將審計作業(yè)中涉及的審計規(guī)則、處理規(guī)范等直接編碼到區(qū)塊鏈的網絡中，從而保證其以去中心化、安全高效的方式被執(zhí)行，提高審計作業(yè)的公信力?；谥悄芎霞s的實時智能審計流程如圖3所示。在運用物聯網技術進行取證后，通過ETL(Extract-Transform-Load)技術構建數據清理模型并將有效數據加載至審計平臺數據庫。對于審計方而言，只需訪問任意一區(qū)塊便可獲取真實數據，無需進行多方比對，簡化了數據清洗的流程。相關交易數據提交至智能合約模型后，根據預先設置的審計規(guī)則、審計業(yè)務數據、哈希算法的“數字指紋”等響應條件，自動執(zhí)行合約并輸出審計作業(yè)過程中可能存在的疑點問題，通過智能合約的方式生成審計底稿并存證上鏈。一旦發(fā)現財務舞弊行為，則篡改時間、內容、人員信息等將被實時智能審計平臺記錄并追蹤。審計人員通過密鑰訪問云端的任意區(qū)塊構建實質性分析模型，針對評估的重大錯報風險，設計和實施實質性程序，通過延伸取證以發(fā)現認定層次的重大錯報，并最終出具審計結果。此外，現行的審計預警機制依賴于審計數據采集模塊中的事件觸發(fā)器，當異常交易行為觸發(fā)后，需要等待人工介入處理。而區(qū)塊鏈上交易數據的傳輸和訪問會被加蓋時間戳，對于審計預警模型監(jiān)測到的可疑異常操作，可借助時間戳第一時間自動溯源驗證相關業(yè)務的合規(guī)性和真實性。在審計作業(yè)期間，基于區(qū)塊鏈技術的審計預警機制全程運行，以監(jiān)控審計項目可能存在的突發(fā)、異常情況。

圖3 基于智能合約的實時智能審計流程

三、制造業(yè)智能審計系統應用與推廣應注意的問題

當前基于區(qū)塊鏈技術的智能審計系統應用以第三方審計和內部審計為主，尚未有針對制造業(yè)這一特定行業(yè)的審計應用。以德勤區(qū)塊鏈平臺Rubix為例，該平臺通過與SAP、Oracle等財務報告系統進行數據鏈接，實現第三方審計人員的實時訪問。此外，購買服務的公司可基于該平臺在私有區(qū)塊鏈中建立公開透明的財務系統，授權用戶可通過密鑰傳輸記錄和訪問相關交易，實現交易數據的實時、真實的集中記錄。企業(yè)通過在Rubix平臺建立分布式財務系統，以降低審計成本、提高審計效率。但在實際運用層面，新技術應用與推廣過程中仍存在實物驗證風險、數據交互風險、智能合約風險以及“標準化”風險。

（一）實物驗證風險

Rubix平臺采用三方記賬模式，被審計單位與其交易方同為Rubix平臺客戶，并建立各自基于區(qū)塊鏈技術的財務系統。同時，平臺設有包括雙方記錄的獨立第三方賬簿，實現三方共同驗證。交易發(fā)生時，雙方記賬系統可以自動生成記錄，在加蓋數字簽名和時間戳后在區(qū)塊鏈系統廣播，通過全網節(jié)點的共同驗證后，最終形成交易雙方的賬簿與平臺第三方賬簿，確保交易記錄的真實性與可靠性。第三方審計人員可通過Rubix平臺直接提取所需的財務數據，并實時監(jiān)控被審計單位賬簿?；趨^(qū)塊鏈技術的分布式財務系統將會計責任進行分攤，交易涉及的所有員工對相關交易數據負責，降低了審計驗證的成本，在一定程度上實現了“自審計”。但至目前為止,區(qū)塊鏈的應用在很大程度上仍然僅限于數字資產。雖然智慧物聯的應用為審計取證提供了更為高效的路徑，通過添加電子標簽（FRID）的形式實現資產和業(yè)務的智能化識別、定位、跟蹤、監(jiān)控和管理。但制造業(yè)涉及實物資產數量、種類繁多，由于實物資產無法上鏈，鏈上鏈下數據仍可能存在區(qū)塊鏈中的數據與實物信息不一致的問題。制造業(yè)上市公司仍可利用虛假物流的形式虛構交易，無法從根本上避免財務舞弊行為。例如，在實物資產運輸的過程中，包裹中的資產被調換，但物流信息仍然依據已添加的電子標簽進行運行。因此，在審計作業(yè)中，審計人員仍需要在鏈下對實物資產進行盤點，以核對區(qū)塊鏈數據與實物的關聯性。因此，未來如何實現實物資產的上鏈是進一步研究的重點。

（二）數據交互風險

Rubix平臺的分布式財務系統采用去中心化的模式，交易雙方和第三方金融機構都可獲得交易涉及的合同、購銷發(fā)票和銀行回單等數據文件，多方共同確認交易的真實性。此外，平臺財務系統將新發(fā)生的交易數據與歷史數據進行匹配核對，實現對企業(yè)財務數據信息的實時追蹤。Rubix平臺運用加密技術保證交易節(jié)點數據的安全性，實現大規(guī)模數據存儲。雖然理論上區(qū)塊鏈技術具有防篡改的特性，但在實際應用中來自于“51%攻擊”的內部風險仍不可避免。一旦不誠實節(jié)點的數量超過誠實的節(jié)點，則非法數據篡改指令將被允許并添加至相應區(qū)塊，這一安全技術風險為某些壟斷機構以超過系統閾值的計算能力操縱審計結果提供了可能性。因此，將區(qū)塊鏈技術運用于制造業(yè)智能審計系統，如何保護可信的節(jié)點不受攻擊成為當前亟需攻克的重要技術難題。針對制造業(yè)的審計以商業(yè)信息為基礎，基于公有鏈模式的分布式數據交互可能會帶來商業(yè)機密信息及數據的泄露。私有鏈、聯盟鏈模式雖能在一定程度上避免這一問題，但被審計單位可通過限制審計人員的驗證權限或縮小其數據共享范圍來隱瞞相關舞弊行為，增加審計證據的獲取難度。此外，區(qū)塊鏈采用非對稱密鑰加密系統，以公鑰和私鑰結合的方式解決了密鑰傳輸中的安全問題，但發(fā)送方可能存在被偽造的情況，從而導致商業(yè)機密泄露。在實際操作層面，如何保證密鑰的產生、保管、傳輸及銷毀過程的安全性也是當前亟需解決的技術難點。

（三）智能合約風險

智能合約是一種采用計算機協議以信息化方式傳播、驗證和執(zhí)行的合約，跳過第三方驗證進行可信交易，通過區(qū)塊的記錄實現了合約的可追蹤和不可逆轉，有效減少與合約相關的其他交易成本。基于Rubix平臺，企業(yè)可依據自身業(yè)務特征編寫智能合約并布局區(qū)塊鏈，根據預設規(guī)則實現實時審計預警。同時，在平臺控制面板模塊可查看區(qū)塊鏈的網格狀態(tài)，通過節(jié)點監(jiān)控器對特定交易實現實時監(jiān)控。但當前研究仍缺乏智能合約相關的數據采集及實際驗證，無法準確評估智能合約的執(zhí)行風險，缺乏統一的制定及監(jiān)管標準。以2016年的The DAO事件為例，區(qū)塊鏈業(yè)界最大的眾籌項目The DAO試圖通過智能合約來主導以太幣資金的分發(fā)利用，但由于未對智能合約代碼進行安全審計，導致了300多萬以太幣資產的損失。對于審計人員而言，當面對不同代碼編制的智能合約時，僅憑借自身專業(yè)知識往往難以識別可能存在的安全漏洞。一旦合約本身出現問題，則會帶來無法挽回的損失。因此，應加快實現鏈上鏈下的共同治理，智能合約的使用及管理、其法律效益、金融資產和法律的銜接程度、應急的人工干預機制都需要進一步的深入研究及制定。

（四）“標準化”風險

基于Rubix平臺的財務系統理論上能有效防止數據的惡意篡改，但從源頭保證數據的真實可靠仍依賴于相關法規(guī)的出臺。區(qū)塊鏈具有多重上鏈方式，包括內容存證、哈希存證、鏈接存證、隱私存證等，作為新技術，實現“標準化”才有可能被廣泛接受，并作為安全、可靠的技術在制造業(yè)審計領域進行全面應用。因此，面對大數據時代海量的多源異構數據，建立統一的數據上鏈及交換標準迫在眉睫。共識機制是指以去中心化的方式就網絡的狀態(tài)達成統一協議的過程，包括工作量證明機制、權益證明機制、股份授權證明機制等，隨著區(qū)塊鏈審計平臺的大規(guī)模推行，交易的規(guī)?；赡軐е鹿沧R成本不斷攀升。區(qū)塊鏈作為一個新興產物，目前該技術仍缺乏可完美解決所有問題、支持大規(guī)模商業(yè)運用的共識機制。此外，審計系統的落地需要規(guī)范的審計流程標準及制度，現行的《注冊會計師法》《審計法》等行業(yè)相關的法律法規(guī)更適用于傳統審計工作。基于區(qū)塊鏈技術的審計系統需要大量的數據，以實現完全的自動化和程序化，而目前我國缺乏對相關數據共享機制的統一規(guī)范，導致智能審計數據庫的準確性、完整性和安全性難以保證。另一方面，區(qū)塊鏈技術的發(fā)展目前缺乏系統的監(jiān)管，在審計應用過程中，是否會出現制度或法律風險仍有待進一步商討。政府部門應與業(yè)界共同構建創(chuàng)新監(jiān)管模式，加強對區(qū)塊鏈平臺的監(jiān)管力度，降低審計風險。

基于區(qū)塊鏈技術的制造業(yè)智能審計系統通過結合智慧物聯取證、關聯方數據共享以及實時智能審計，實現了審計工作全流程的自動化，解決了當前制造業(yè)上市公司審計面臨的取證難、數據難以同步、審計預警低效等問題。然而，新技術的成熟往往需要多次迭代與不斷進化，在大規(guī)模的應用中得以實現。當前區(qū)塊鏈技術正處于不斷更迭的狀態(tài)，基于區(qū)塊鏈技術的制造業(yè)智能審計系統的應用與推廣，仍面臨實物驗證風險、數據交互風險、智能合約風險以及“標準化”風險，有待進一步完善。