顏涵

[摘要]規(guī)范的區(qū)塊鏈生態(tài)治理是推動區(qū)塊鏈技術(shù)與經(jīng)濟(jì)社會融合發(fā)展的重要條件，獨(dú)立的審計角色勢必成為鏈上治理不可或缺的一環(huán)。本文從區(qū)塊鏈的特點及應(yīng)用趨勢出發(fā)，明確審計在區(qū)塊鏈生態(tài)治理特別是聯(lián)盟鏈業(yè)態(tài)中的角色和定位，并基于區(qū)塊鏈技術(shù)的風(fēng)險分析，系統(tǒng)闡述區(qū)塊鏈審計的方法及內(nèi)容。

[關(guān)鍵詞]區(qū)塊鏈 ? ?審計 ? ?方法 ? ?程序 ? ?內(nèi)容

一、區(qū)塊鏈的特點及應(yīng)用趨勢

作為區(qū)塊鏈技術(shù)最有代表性的應(yīng)用，近年來比特幣的持續(xù)火爆使人們逐漸認(rèn)識了區(qū)塊鏈。區(qū)塊鏈?zhǔn)侵竿ㄟ^一定的共識機(jī)制建立分布式節(jié)點信任關(guān)系，基于密碼學(xué)算法及獨(dú)特的遺傳式鏈狀數(shù)據(jù)結(jié)構(gòu)保證數(shù)據(jù)不被篡改和偽造，在多個分布式節(jié)點傳遞賬本信息，通過鏈上參與節(jié)點確認(rèn)的方式形成共識的一種分布式賬本。它具有去中心化、去信任、集體維護(hù)和不可篡改的特點，但也有交易性能偏低、數(shù)據(jù)延遲、存儲資源消耗大的缺點，基于區(qū)塊鏈的技術(shù)特性，它適用于多方參與、價值鏈條長、溝通環(huán)節(jié)復(fù)雜、交易頻次低的場景?！?018年中國區(qū)塊鏈產(chǎn)業(yè)白皮書》指出，區(qū)塊鏈已在金融服務(wù)、消費(fèi)零售、醫(yī)療健康、政務(wù)服務(wù)等領(lǐng)域的數(shù)字資產(chǎn)、交易清算、供應(yīng)鏈金融、征信、票據(jù)、資產(chǎn)托管、物流溯源、版權(quán)、投票、電子存證等方面得到應(yīng)用。

按參與主體維度，區(qū)塊鏈分為公有鏈、私有鏈和聯(lián)盟鏈。公有鏈面向所有用戶開放，任何人都可以成為節(jié)點參與記賬，賬本內(nèi)容完全公開;私有鏈?zhǔn)窃谒接协h(huán)境下寫入，權(quán)限僅限于某個組織;聯(lián)盟鏈?zhǔn)莾烧呓Y(jié)合的產(chǎn)物，面向接入聯(lián)盟的組織和企業(yè)，其節(jié)點準(zhǔn)入需要由預(yù)選可信節(jié)點進(jìn)行審核控制，節(jié)點網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)隔離。筆者認(rèn)為“完全去中心化”是實踐區(qū)塊鏈分布式思想的最高境界，但從實際的商業(yè)需求分析，聯(lián)盟鏈則更適合于對隱私保護(hù)、交易速度和參與主體內(nèi)部管理有更高要求的場景，能夠更好滿足市場主體對實際商業(yè)應(yīng)用的落地要求，提升跨主體協(xié)作的效率，降低成本，并將在未來一段時間內(nèi)獲得更大的發(fā)展機(jī)遇。本文所述的區(qū)塊鏈審計是基于私有鏈及聯(lián)盟鏈所面臨風(fēng)險而開展的審計研究。

二、審計在區(qū)塊鏈治理中的定位與價值

區(qū)塊鏈技術(shù)是否可信？區(qū)塊鏈上運(yùn)行的業(yè)務(wù)和數(shù)據(jù)是否真實可靠？如何讓利益相關(guān)各方在聯(lián)盟鏈方式下能夠足夠了解和信任區(qū)塊鏈？這是區(qū)塊鏈更大規(guī)模推廣及成熟應(yīng)用需要解決，也是區(qū)塊鏈生態(tài)規(guī)范治理亟待回答的問題。

審計是一種獨(dú)立、客觀的確認(rèn)和咨詢活動。從區(qū)塊鏈生態(tài)治理角度來看，獨(dú)立的公眾審計角色將成為鏈上治理不可或缺的一環(huán)，公眾審計的監(jiān)督和披露有利于增進(jìn)區(qū)塊鏈參與各方的信息共享以及對區(qū)塊鏈的信任;從區(qū)塊鏈參與者角度來看，企業(yè)內(nèi)部審計應(yīng)關(guān)注本公司、供應(yīng)商及客戶所采用的區(qū)塊鏈技術(shù)及其應(yīng)用情況，識別區(qū)塊鏈技術(shù)與現(xiàn)有業(yè)務(wù)流程的結(jié)合以及區(qū)塊鏈設(shè)施與現(xiàn)有上下游系統(tǒng)之間的關(guān)系，緩釋區(qū)塊鏈技術(shù)的應(yīng)用風(fēng)險，護(hù)航企業(yè)的發(fā)展;從技術(shù)發(fā)展的角度來看，區(qū)塊鏈所依賴的分布式存儲、共識機(jī)制、不可篡改等技術(shù)并不完美，技術(shù)的不完美可能導(dǎo)致數(shù)據(jù)不可依賴，所以可通過持續(xù)的審計工作及反饋，降低區(qū)塊鏈開發(fā)和應(yīng)用過程中的技術(shù)風(fēng)險，促進(jìn)技術(shù)發(fā)展和完善?？梢?，審計的作用并不會隨著區(qū)塊鏈去中心化的實踐大幅減弱，相反它的功能性和價值將隨著區(qū)塊鏈的發(fā)展而增強(qiáng)。

截至2019年底，與區(qū)塊鏈相關(guān)的國際標(biāo)準(zhǔn)共計22項，主要是由國際標(biāo)準(zhǔn)化組織、電氣和電子工程師協(xié)會、國際電信聯(lián)盟三個國際組織提出。國內(nèi)發(fā)布1項區(qū)塊鏈國家標(biāo)準(zhǔn)、16項團(tuán)體標(biāo)準(zhǔn)、13項行業(yè)標(biāo)準(zhǔn)?？傮w來看，目前與區(qū)塊鏈相關(guān)的標(biāo)準(zhǔn)規(guī)范集中在基礎(chǔ)概念、通用技術(shù)、場景應(yīng)用等方面。審計領(lǐng)域當(dāng)前更多機(jī)構(gòu)側(cè)重于探索運(yùn)用區(qū)塊鏈技術(shù)開展審計工作以及基于區(qū)塊鏈的審計工具建設(shè)，而如何審計區(qū)塊鏈，包括審計方法、程序和具體內(nèi)容，尚未形成標(biāo)準(zhǔn)化或規(guī)范化的指引。

三、區(qū)塊鏈審計的方法及內(nèi)容

（一）審計的目標(biāo)和策略

審計區(qū)塊鏈的目標(biāo)是對區(qū)塊鏈及其應(yīng)用的合理性、可靠性、合規(guī)性、安全性進(jìn)行評價，獲取足夠且充分的證據(jù)，驗證和評估區(qū)塊鏈上數(shù)據(jù)和交易的真實性、完整性和準(zhǔn)確性，給予區(qū)塊鏈信息使用者信心。與傳統(tǒng)審計不同，實施區(qū)塊鏈審計的策略應(yīng)包括：

1.關(guān)注區(qū)塊鏈運(yùn)行的控制設(shè)計與執(zhí)行。區(qū)塊鏈各類數(shù)據(jù)分布式存儲于鏈?zhǔn)綌?shù)據(jù)庫中，按時間戳進(jìn)行排序，數(shù)據(jù)由所有節(jié)點共同記錄和存儲，數(shù)據(jù)的完整和準(zhǔn)確通過技術(shù)手段保障，設(shè)法控制51%的算力繼而攻擊全鏈的成本較高，單個節(jié)點的數(shù)據(jù)篡改無法改變?nèi)湹墓沧R，因此針對區(qū)塊記賬結(jié)果的實質(zhì)性測試可適當(dāng)減少，應(yīng)將區(qū)塊鏈運(yùn)行各環(huán)節(jié)控制的合理性和有效性作為測試重點。

2.關(guān)注“去中心”的中心單點風(fēng)險。區(qū)塊鏈的節(jié)點數(shù)量一定程度決定了區(qū)塊鏈固有風(fēng)險的大小，對于不同類型的區(qū)塊鏈，應(yīng)當(dāng)采取差異化的審計方法。私有鏈和聯(lián)盟鏈并非完全去中心化，對其開展審計有著更高的要求，審計實施過程中應(yīng)當(dāng)梳理和重點評估區(qū)塊鏈可能存在的功能性中心節(jié)點，實施差異化的審計程序。

3.關(guān)注區(qū)塊鏈應(yīng)用場景與技術(shù)的結(jié)合。區(qū)塊鏈?zhǔn)菓?yīng)用和數(shù)據(jù)庫的結(jié)合，智能合約被嵌入到區(qū)塊鏈中自動執(zhí)行預(yù)先設(shè)定的商業(yè)規(guī)則，在區(qū)塊鏈環(huán)境中“Code is law”，底層的商業(yè)協(xié)議、交易安排通過智能合約代碼實現(xiàn)，一旦寫入達(dá)到觸發(fā)條件便可自動執(zhí)行，因此需關(guān)注智能合約應(yīng)用與現(xiàn)行法律法規(guī)的關(guān)系和遵循性、代碼與業(yè)務(wù)邏輯的一致性、業(yè)務(wù)代碼的變更控制等方面，重視應(yīng)用控制審計。

（二）審計的方法和內(nèi)容

首先，對區(qū)塊鏈技術(shù)本身及其應(yīng)用的具體場景展開風(fēng)險分析;其次，基于風(fēng)險分析結(jié)論，對區(qū)塊鏈技術(shù)的基礎(chǔ)架構(gòu)、安全性以及可信性開展審計，判斷其數(shù)據(jù)所依賴的基礎(chǔ)系統(tǒng)是否可靠;再次，結(jié)合區(qū)塊鏈應(yīng)用的商業(yè)場景，從控制設(shè)計的適當(dāng)性及執(zhí)行的有效性兩方面開展控制測試;最后，在完成基于架構(gòu)及控制測試并獲得數(shù)據(jù)可靠性保證的基礎(chǔ)上，對區(qū)塊鏈應(yīng)用場景中的虛擬資產(chǎn)執(zhí)行實質(zhì)性測試。

基于區(qū)塊鏈的技術(shù)特點及應(yīng)用場景的風(fēng)險特征分析，筆者提出GIAA審計框架，明確區(qū)塊鏈審計的具體內(nèi)容。

1.區(qū)塊鏈管理架構(gòu)（Governance）審計。該審計模塊關(guān)注區(qū)塊鏈生態(tài)的頂層設(shè)計及基礎(chǔ)環(huán)境，見表1。

2.區(qū)塊鏈部署與運(yùn)行環(huán)境（Implementation）審計。對區(qū)塊鏈技術(shù)及其系統(tǒng)開展審計，是信息科技綜合審計的延伸，見表2。

3.區(qū)塊鏈應(yīng)用（Application）控制審計。對區(qū)塊鏈應(yīng)用場景與信息技術(shù)相結(jié)合的內(nèi)容開展審計，重點在于智能合約、外部接口以及訪問授權(quán)，見表3。

4.區(qū)塊鏈賬項及報表（Account）審計。對區(qū)塊鏈應(yīng)用中產(chǎn)生的財務(wù)和業(yè)務(wù)數(shù)據(jù)進(jìn)行驗證，重點在于驗證鏈上虛擬資產(chǎn)與實物資產(chǎn)之間的關(guān)系。可將審計作為區(qū)塊鏈節(jié)點入鏈，獲取數(shù)據(jù)開展自動化審計，提升審計效率，見表4。

四、區(qū)塊鏈審計的未來展望

一是未來分層網(wǎng)絡(luò)及互聯(lián)混合鏈將會極大提升區(qū)塊鏈性能，區(qū)塊鏈與其他數(shù)字技術(shù)（如物流網(wǎng)）相結(jié)合，將深度拓展應(yīng)用場景，當(dāng)前區(qū)塊鏈技術(shù)在虛擬貨幣以外的各行業(yè)應(yīng)用仍處于萌芽時期，而技術(shù)的不斷迭代是區(qū)塊鏈進(jìn)一步落地應(yīng)用的關(guān)鍵因素;二是當(dāng)前區(qū)塊鏈治理和運(yùn)營主要通過基金會或公司承擔(dān)，未來可能產(chǎn)生區(qū)塊鏈生態(tài)的可信管理人或仲裁人角色，區(qū)塊鏈技術(shù)將與現(xiàn)有法律法規(guī)和監(jiān)管框架逐步銜接和融合;三是區(qū)塊鏈應(yīng)用落地將促成公眾審計職能的出現(xiàn)，對審計標(biāo)準(zhǔn)與方法的探索會成為重點，區(qū)塊鏈技術(shù)對審計模式和實施方式等方面的影響將會顯現(xiàn)，同時，對審計人員的知識和能力提出更高要求和挑戰(zhàn)，引發(fā)審計工作的進(jìn)一步轉(zhuǎn)型。

（作者單位：深圳前海微眾銀行股份有限公司，

郵政編碼：518000，電子郵箱：Leslieyan@webank.com）