基于區(qū)塊鏈的內(nèi)審數(shù)據(jù)安全框架構建研究

吳花平 劉自豪

【摘 要】 基于當前內(nèi)部審計工作中面臨的數(shù)據(jù)安全風險，文章從區(qū)塊鏈技術與內(nèi)部審計相融合的視角，指出利用區(qū)塊鏈的共識機制和智能合約技術能增強數(shù)據(jù)的真實性、有效性并及時發(fā)現(xiàn)可能存在的違規(guī)數(shù)據(jù)。借助區(qū)塊鏈去中心化、可追溯和防篡改等技術優(yōu)勢，構建了基于區(qū)塊鏈技術的內(nèi)部審計數(shù)據(jù)安全框架，以增強企業(yè)數(shù)據(jù)的透明度、安全性、完整性和隱私性，從而提高內(nèi)部審計數(shù)據(jù)的利用率。通過對區(qū)塊鏈技術下的內(nèi)部審計工作流程梳理，總結(jié)了“區(qū)塊鏈+內(nèi)審”模式存在的資源、安全、觀念阻礙等問題，以期推動內(nèi)部審計工作的發(fā)展變革。

【關鍵詞】 區(qū)塊鏈技術; 內(nèi)部審計; 框架構建; 流程再造

【中圖分類號】 F239.1;TP311.1? 【文獻標識碼】 A? 【文章編號】 1004-5937（2022）06-0155-07

一、引言

近年來，區(qū)塊鏈作為“信任機器”應用在多個領域并被廣泛認可[ 1 ]。2019年10月，習近平總書記在中共中央政治局集體學習時對區(qū)塊鏈技術的重要性作了強調(diào)，指出要把區(qū)塊鏈技術作為我國技術自主創(chuàng)新的重要突破口，要加快推動區(qū)塊鏈技術和產(chǎn)業(yè)創(chuàng)新發(fā)展，發(fā)揮區(qū)塊鏈在促進數(shù)據(jù)共享、優(yōu)化業(yè)務流程、降低運營成本、提升協(xié)同效率、建設可信體系等方面的作用，提升區(qū)塊鏈技術的應用能力與水平。此次會議明確了區(qū)塊鏈發(fā)展的新階段，為區(qū)塊鏈的發(fā)展指明了方向。

大數(shù)據(jù)時代下，海量數(shù)據(jù)蘊含著無數(shù)的審計線索，將大數(shù)據(jù)技術與內(nèi)部審計工作相結(jié)合，可以減少審計數(shù)據(jù)的獲取時間和獲取成本，擴大審計的數(shù)據(jù)范圍，實現(xiàn)對企業(yè)數(shù)據(jù)的“審計全覆蓋”，具有提高審計效率、改進審計質(zhì)量的優(yōu)點。然而海量數(shù)據(jù)也意味著更多潛在的數(shù)據(jù)安全風險，如數(shù)據(jù)協(xié)同、數(shù)據(jù)失真和數(shù)據(jù)存儲安全性等制約著當前內(nèi)部審計的發(fā)展。因此對內(nèi)部審計數(shù)據(jù)安全性保障的加強，是大數(shù)據(jù)時代下企業(yè)開展內(nèi)部審計工作的基礎和關鍵所在。區(qū)塊鏈技術因其去中心化、不可篡改和可追溯等技術特點，將為解決內(nèi)部審計中的數(shù)據(jù)安全問題提供契機，并可能成為區(qū)塊鏈應用探索方面的又一大創(chuàng)新。

在內(nèi)部審計、區(qū)塊鏈信息技術和加強審計數(shù)據(jù)安全性方面，國內(nèi)外學者從不同角度進行了開創(chuàng)性研究，取得了大量的研究成果。

隨著社會發(fā)展和經(jīng)濟繁榮，內(nèi)部審計作為發(fā)現(xiàn)問題和遏制舞弊的“經(jīng)濟警察”，其職能所產(chǎn)生的效益不斷擴大，并在維護組織穩(wěn)定和促進組織創(chuàng)新方面發(fā)揮著不可或缺的基石及保障作用，已成為新時代推動我國經(jīng)濟高質(zhì)量發(fā)展的重要力量。在數(shù)字經(jīng)濟背景下，張慶龍等[ 2 ]認為數(shù)字化、智能化是當前內(nèi)部審計發(fā)展的重要趨勢，指出企業(yè)大數(shù)據(jù)是審計線索的重要來源，內(nèi)部審計工作應當結(jié)合大數(shù)據(jù)技術，從海量的數(shù)據(jù)信息中挖掘有價值的審計線索，同時內(nèi)部審計也是數(shù)據(jù)處理與應用的“中心平臺”，因此內(nèi)部審計要確保審計數(shù)據(jù)的真實與完整。邢春玉等（2021）指出當前企業(yè)的運營更加自動化和遠程化，內(nèi)部審計數(shù)據(jù)面臨著數(shù)據(jù)泄露風險、數(shù)據(jù)存儲安全風險和惡意篡改風險，如何加強審計數(shù)據(jù)的安全性和可靠性，提高內(nèi)部審計工作質(zhì)量，成為當前企業(yè)內(nèi)審部門面臨的嚴峻挑戰(zhàn)。張文秀等[ 3 ]也認為當前審計數(shù)據(jù)的傳輸鏈條較長，并且數(shù)據(jù)格式轉(zhuǎn)換工作量巨大，審計數(shù)據(jù)在轉(zhuǎn)換和傳輸過程中容易丟失信息，造成審計數(shù)據(jù)失真。王琳和張尤鳳[ 4 ]在持續(xù)審計研究的基礎上，認為當前審計工作在數(shù)據(jù)的可靠性和完整性控制方面存在缺陷，復雜的網(wǎng)絡環(huán)境增加了審計數(shù)據(jù)被篡改的風險。綜上，隨著信息技術的推廣與發(fā)展，審計數(shù)據(jù)面臨的安全性風險不斷增加，審計數(shù)據(jù)的真實性與完整性亟待提升和優(yōu)化。

在區(qū)塊鏈的研究方面，國內(nèi)外學者對區(qū)塊鏈的本質(zhì)從不同角度進行了闡述。樊斌、李銀（2018）認為區(qū)塊鏈是基于特定計算機網(wǎng)絡和共識機制的分布式記賬系統(tǒng)，可以執(zhí)行分布式記賬和存儲、點對點交易以及更新分類賬，且不需要信用中介的存在;賀慧（2019）認為區(qū)塊鏈是一個“去中心化”的“價值傳輸網(wǎng)絡”;Swan[ 5 ]認為區(qū)塊鏈本質(zhì)上是一個公共賬本，區(qū)塊鏈記錄交易信息或交易事件，并將記錄的信息按照時間順序存儲;Kavanagh和Miscione[ 6 ]指出區(qū)塊鏈是一個基于互聯(lián)網(wǎng)分布式賬本技術，具有去中心化特征的數(shù)據(jù)庫?？傊?，區(qū)塊鏈是一種具有去中心化、可追溯性和高透明度特征的分布式數(shù)據(jù)庫[ 7-8 ]。

隨著區(qū)塊鏈的發(fā)展，已有學者在區(qū)塊鏈應用于審計方面作了一定的研究。在區(qū)塊鏈技術與內(nèi)部審計融合方面，區(qū)塊鏈技術因其可靠性、可信性等特點，應用于內(nèi)部審計工作中可實現(xiàn)對數(shù)據(jù)的及時性、準確性和真實性等進行實時審計[ 9-10 ];畢秀玲等[ 11 ]認為區(qū)塊鏈是審計數(shù)據(jù)的“免疫系統(tǒng)”，區(qū)塊鏈技術的加密性、不可篡改性和多樣化存儲能夠保障審計數(shù)據(jù)的真實和完整;王涵等[ 12 ]討論了基于區(qū)塊鏈技術的數(shù)據(jù)共享方案，主要通過默克爾哈希樹機制對數(shù)據(jù)的完整性進行檢查與驗證，降低審計數(shù)據(jù)的損壞和篡改風險，提升審計數(shù)據(jù)質(zhì)量;鄭石橋[ 13 ]研究了區(qū)塊鏈技術對審計數(shù)據(jù)載體的影響，認為區(qū)塊鏈技術能夠保障審計數(shù)據(jù)的真實性，降低審計數(shù)據(jù)的篡改風險，并提高審計工作的效率和質(zhì)量。

在區(qū)塊鏈技術應用于內(nèi)部審計方面，陳元媛[ 14 ]針對集團化企業(yè)內(nèi)部審計數(shù)據(jù)面臨的數(shù)據(jù)安全問題和隱私挑戰(zhàn)，探討了基于區(qū)塊鏈分布式存儲和共識機制的集團內(nèi)審模式;李兆東和王嘉成[ 15 ]指出當前金融機構審計存在的數(shù)據(jù)篡改和數(shù)據(jù)缺失等數(shù)據(jù)安全問題，認為區(qū)塊鏈技術能夠保障金融數(shù)據(jù)的真實與完整，并在區(qū)塊鏈技術基礎上構建了內(nèi)部審計與外部審計雙向互動的審計框架，以推動金融審計的創(chuàng)新發(fā)展。

通過已有文獻和實地調(diào)研企業(yè)，“區(qū)塊鏈+內(nèi)審”模式的研究以及有關“區(qū)塊鏈+內(nèi)審”的理論和實踐還不多見。基于此，本文在對相關研究進行梳理與評析的基礎上，進一步討論當前內(nèi)部審計工作中遇到的數(shù)據(jù)安全問題，進而分析并闡述區(qū)塊鏈技術與內(nèi)部審計工作的契合點，并將區(qū)塊鏈技術與內(nèi)部審計工作相結(jié)合構建了基于區(qū)塊鏈技術的內(nèi)部審計數(shù)據(jù)安全框架，以期為解決內(nèi)部審計的數(shù)據(jù)安全問題提供思路，進一步推動內(nèi)部審計的發(fā)展。

二、區(qū)塊鏈的技術特征

（一）去中心化架構

傳統(tǒng)的互聯(lián)網(wǎng)應用多為星狀拓撲結(jié)構，這種中心化的網(wǎng)絡架構一旦發(fā)生單點故障①，將會導致整個網(wǎng)絡癱瘓，而點對點網(wǎng)絡的去中心化架構則是區(qū)塊鏈技術最重要的特性。區(qū)塊鏈采用分布式記賬與存儲的方式實現(xiàn)去中心化，可以將其看作由多個地位均等的節(jié)點共同維護的分布式賬本，即區(qū)塊鏈采用分布式結(jié)構進行數(shù)據(jù)的處理，并通過數(shù)學算法建立分布式節(jié)點之間的信任，使得相互信任的每個地位平等的節(jié)點均能參與記賬，且在節(jié)點交易過程中沒有第三方中介的參與，形成去中心化的“網(wǎng)狀”拓撲結(jié)構，避免“單點故障”的發(fā)生。

（二）集體維護數(shù)據(jù)

與傳統(tǒng)中心化應用不同，區(qū)塊鏈技術采用網(wǎng)狀拓撲結(jié)構，這意味著區(qū)塊鏈技術中不存在核心節(jié)點，并且數(shù)據(jù)存儲在區(qū)塊鏈網(wǎng)絡中各個地位均等的分散節(jié)點中，由這些節(jié)點共同維護與管理。此外，儲存在區(qū)塊鏈網(wǎng)絡中的數(shù)據(jù)具有高度的開放透明性，任何經(jīng)過允許的用戶均可在權限范圍內(nèi)通過API②查詢除隱私外的所有數(shù)據(jù)，并在多方共同維護下保證數(shù)據(jù)的安全和完整。

（三）數(shù)據(jù)安全性高

區(qū)塊鏈數(shù)據(jù)的高安全性依賴于鏈式存儲和非對稱加密機制，鏈式存儲能夠確保數(shù)據(jù)不被惡意篡改，而非對稱加密機制則能極大地降低數(shù)據(jù)的泄露風險。區(qū)塊鏈由數(shù)據(jù)區(qū)塊和哈希（Hash）鏈采用鏈式結(jié)構連接組成。數(shù)據(jù)區(qū)塊可以通過Hash證明來檢查其前區(qū)塊和后區(qū)塊的真實性及完整性，以此實現(xiàn)區(qū)塊之間的邏輯鏈接，并且數(shù)據(jù)區(qū)塊中的區(qū)塊體包含當前所有的交易信息和其相應的Hash值，一旦交易數(shù)據(jù)發(fā)生變化，那么與交易數(shù)據(jù)相對應的Hash值也會隨之改變，使得數(shù)據(jù)的篡改難度大大增加。非對稱加密是指使用兩個相匹配的且無法相互計算和推導的密鑰對數(shù)據(jù)進行加密與解密。該密鑰分為公鑰和私鑰，公鑰用于數(shù)據(jù)加密和驗證簽名，私鑰則用于解密和簽名，因密鑰算法的復雜性從而保障密文數(shù)據(jù)的安全。

（四）共識機制

區(qū)塊鏈的網(wǎng)狀拓撲結(jié)構意味著其結(jié)構分散，但共識機制使得區(qū)塊鏈系統(tǒng)能夠快速高效形成共識，從而解決了節(jié)點之間的信任問題。區(qū)塊鏈網(wǎng)絡內(nèi)的節(jié)點采用工作量證明機制、股權證明機制和授權股權證明機制等共識機制進行數(shù)據(jù)驗證和共識記賬[ 16 ]，交易的真實性和完整性經(jīng)全網(wǎng)節(jié)點驗證通過后添加到區(qū)塊鏈上形成新的數(shù)據(jù)區(qū)塊。共識機制不僅使區(qū)塊鏈系統(tǒng)能夠迅速高效地對數(shù)據(jù)進行驗證，而且能確保區(qū)塊鏈內(nèi)數(shù)據(jù)的有效性、真實性和實時性。

（五）智能合約機制

智能合約機制由可編程和可自動運行的智能合約程序構成[ 17 ]，是區(qū)塊鏈的核心技術特征。通過智能合約機制預先在程序中以代碼方式定義其運行規(guī)則，使區(qū)塊鏈能夠在沒有人工干預的情況下按照預先定義的規(guī)則運行。通過預先設置的規(guī)則和協(xié)議，區(qū)塊鏈能夠自動進行數(shù)據(jù)驗證、數(shù)據(jù)存儲、數(shù)據(jù)使用和價值傳輸，并且按照定義的規(guī)則自動判斷所收到的交易數(shù)據(jù)，一旦交易數(shù)據(jù)觸發(fā)了預先定義的規(guī)則和條件，則會自動運行相應的事件代碼，從而自動完成交易處理，因此具有高度的自治性。

三、內(nèi)部審計面臨的數(shù)據(jù)安全風險

隨著我國數(shù)字化轉(zhuǎn)型進程不斷深入，企業(yè)無紙化存儲的電子大數(shù)據(jù)正在形成。相較于傳統(tǒng)內(nèi)部審計，數(shù)字化下的內(nèi)部審計部門可利用大數(shù)據(jù)技術實時獲取審計數(shù)據(jù)，深度挖掘?qū)徲嫈?shù)據(jù)的內(nèi)在價值，探明深層次的審計線索，幫助審計人員對企業(yè)經(jīng)營活動的真實性和合法性做出更加客觀、獨立的評價，并及時發(fā)現(xiàn)企業(yè)運行中的問題，從而滿足數(shù)字經(jīng)濟時代下管理層和治理層提升企業(yè)運營透明度的需求。但數(shù)據(jù)量迅速增長的同時也帶來了更多的數(shù)據(jù)安全風險，如數(shù)據(jù)協(xié)同、數(shù)據(jù)失真和數(shù)據(jù)存儲安全性等風險，制約了當前大數(shù)據(jù)環(huán)境下內(nèi)部審計的發(fā)展。

（一）數(shù)據(jù)協(xié)同風險

在數(shù)字經(jīng)濟環(huán)境下，數(shù)據(jù)協(xié)同是開展內(nèi)部審計工作和推動內(nèi)部審計發(fā)展亟待解除的風險之一，即如何實現(xiàn)內(nèi)部審計數(shù)據(jù)和實際業(yè)務數(shù)據(jù)的一致性。一方面，企業(yè)可能由于自身內(nèi)部控制缺陷，生成錯誤的憑證或單據(jù)信息，導致輸入信息系統(tǒng)的數(shù)據(jù)與實際發(fā)生的業(yè)務數(shù)據(jù)不一致，或者因人為疏忽導致審計數(shù)據(jù)與實際單據(jù)不一致，使得審計數(shù)據(jù)在使用環(huán)節(jié)出現(xiàn)重大問題，從而增加審計人員的工作難度，影響企業(yè)內(nèi)部審計部門工作的正常開展。另一方面，企業(yè)大量的電子數(shù)據(jù)依然使用安全性較低的傳統(tǒng)存儲和加密方式，審計數(shù)據(jù)面臨被惡意篡改的風險，且被篡改過的數(shù)據(jù)在龐大的數(shù)據(jù)海洋中難以被發(fā)現(xiàn)，進而降低內(nèi)部審計的工作效率和工作質(zhì)量。

（二）數(shù)據(jù)傳輸失真風險

審計數(shù)據(jù)在傳輸過程中的安全性沒有得到用戶足夠的重視，用戶在傳輸過程中往往忽視對數(shù)據(jù)的加密，或者僅進行簡單的加密，為黑客的不法活動和計算機病毒的攻擊提供了操作空間，因此審計數(shù)據(jù)在傳輸過程中存在一定的數(shù)據(jù)泄露和數(shù)據(jù)篡改風險，從而使審計數(shù)據(jù)的安全性和完整性無法得到有效保障。此外，在傳統(tǒng)的內(nèi)部審計工作中，內(nèi)部審計數(shù)據(jù)往往通過同步數(shù)據(jù)網(wǎng)絡從嵌入式數(shù)據(jù)采集點出發(fā)，經(jīng)過數(shù)據(jù)交換機、防火墻、路由器等流程，由企業(yè)各部門信息系統(tǒng)傳遞到內(nèi)部審計部門的數(shù)據(jù)中心，而企業(yè)各部門可能存在多個層級的子部門，二級以下層級子部門數(shù)據(jù)采集點的數(shù)據(jù)需通過審計內(nèi)網(wǎng)從上級數(shù)據(jù)采集中心層層傳輸至內(nèi)部審計部門的數(shù)據(jù)中心，導致內(nèi)部審計數(shù)據(jù)的傳輸經(jīng)過多個環(huán)節(jié)，造成審計數(shù)據(jù)傳遞鏈條過長，非法截取數(shù)據(jù)、數(shù)據(jù)痕跡追蹤等情況威脅數(shù)據(jù)的傳輸安全，內(nèi)部審計數(shù)據(jù)的真實性與完整性面臨嚴峻的挑戰(zhàn)。

（三）數(shù)據(jù)存儲安全風險

數(shù)據(jù)存儲安全包括真實環(huán)境安全和虛擬環(huán)境安全兩方面。真實環(huán)境安全主要指數(shù)據(jù)存儲設施安全，企業(yè)可能因內(nèi)部管理制度的不完善及缺乏有效的保護和維護手段，導致企業(yè)數(shù)據(jù)存儲的物理設施被損壞造成數(shù)據(jù)丟失，或內(nèi)部人員的權限分配不合理導致人為惡意泄露數(shù)據(jù)和破壞數(shù)據(jù)。虛擬環(huán)境安全是指網(wǎng)絡環(huán)境安全，大數(shù)據(jù)時代已經(jīng)從海量大數(shù)據(jù)邁向價值大數(shù)據(jù)，原有存儲在私有計算機的數(shù)據(jù)資源通過互聯(lián)網(wǎng)相互連接匯集成大數(shù)據(jù)海洋，海量的數(shù)據(jù)不僅創(chuàng)造著無限的價值，而且也成為黑客和不法組織的攻擊目標，黑客活動的猖獗以及黑客技術的發(fā)展同樣威脅著企業(yè)數(shù)據(jù)的安全性。

四、構建基于區(qū)塊鏈技術的內(nèi)部審計數(shù)據(jù)安全框架

（一）區(qū)塊鏈技術在內(nèi)部審計數(shù)據(jù)安全方面的功能

1.提高內(nèi)部審計數(shù)據(jù)透明度

當前內(nèi)部審計發(fā)展存在相關審計數(shù)據(jù)透明度低的問題，企業(yè)各部門對內(nèi)部審計數(shù)據(jù)的儲存、使用和處理情況不清晰。審計數(shù)據(jù)包括企業(yè)歷史的、當前的業(yè)務數(shù)據(jù)和財務數(shù)據(jù)等多種類型，均未實現(xiàn)完全公開透明，企業(yè)管理層、治理層和各部門對內(nèi)部審計數(shù)據(jù)的完整性與隱私性存有憂慮。

將區(qū)塊鏈技術與內(nèi)部審計相結(jié)合，可提高內(nèi)部審計數(shù)據(jù)對管理層、治理層以及企業(yè)各部門的透明度。區(qū)塊鏈是由多個地位均等的節(jié)點共同維護的一本分布式賬本，所有數(shù)據(jù)在區(qū)塊鏈的各個節(jié)點中儲存并形成獨立備份，由區(qū)塊鏈網(wǎng)絡內(nèi)的節(jié)點共同維護和管理。通過區(qū)塊鏈內(nèi)部節(jié)點，企業(yè)內(nèi)部用戶可享有鏈內(nèi)信息數(shù)據(jù)的高度知情權，有助于消除信息不對稱導致的風險，提高內(nèi)部審計數(shù)據(jù)對企業(yè)各部門的透明度。此外，區(qū)塊鏈技術采用時間戳技術和數(shù)字簽名對數(shù)據(jù)的使用情況進行跟蹤和記錄，可形成完整的數(shù)據(jù)“足跡”追溯機制，確保企業(yè)對存儲在區(qū)塊鏈中的信息數(shù)據(jù)使用和管理情況進行全過程追蹤。

2.保障內(nèi)部審計數(shù)據(jù)安全性

時間戳技術、哈希算法和非對稱加密技術是區(qū)塊鏈確保內(nèi)部審計數(shù)據(jù)安全性的重要技術基礎。當企業(yè)的財務數(shù)據(jù)和業(yè)務數(shù)據(jù)上傳至區(qū)塊鏈時，區(qū)塊鏈網(wǎng)絡中會自動生成一個新數(shù)據(jù)節(jié)點，該節(jié)點包含輸入信息中的數(shù)值、時間等具體內(nèi)容。同時，采用時間戳技術和鏈式數(shù)據(jù)存儲結(jié)構，使生成的數(shù)據(jù)塊按時間順序鏈式儲存在區(qū)塊鏈中，并通過哈希證明實現(xiàn)前后區(qū)塊的邏輯鏈接，能夠極大地降低內(nèi)部審計數(shù)據(jù)被惡意篡改的風險。為了保證審計數(shù)據(jù)的隱私性，還需要通過非對稱加密技術對內(nèi)部審計數(shù)據(jù)進行加密保護，公鑰加密后的審計數(shù)據(jù)只能由與其相匹配的私鑰才能解密。此外，只有通過節(jié)點身份驗證才能訪問鏈內(nèi)數(shù)據(jù)，使得審計數(shù)據(jù)僅對少數(shù)范圍內(nèi)的用戶可見，有助于解決審計數(shù)據(jù)的隱私問題。

3.增強內(nèi)部審計數(shù)據(jù)可靠性

基于區(qū)塊鏈技術的內(nèi)部審計系統(tǒng)中，主要是共識機制和智能合約技術增強內(nèi)部審計數(shù)據(jù)的可靠性。企業(yè)上傳財務數(shù)據(jù)和業(yè)務數(shù)據(jù)至區(qū)塊鏈時，區(qū)塊鏈網(wǎng)絡中的各節(jié)點通過共識機制對企業(yè)上傳數(shù)據(jù)的有效性、完整性和真實性進行驗證，只有經(jīng)全網(wǎng)節(jié)點確認無誤后，數(shù)據(jù)才能正式儲存在區(qū)塊鏈中，形成新的數(shù)據(jù)區(qū)塊，以備內(nèi)部審計人員開展審計工作使用。智能合約按照預設的規(guī)則代碼，自動進行數(shù)據(jù)驗證、數(shù)據(jù)存儲、數(shù)據(jù)使用和價值傳輸，提升了審計數(shù)據(jù)傳輸?shù)淖詣踊椭悄芑?。通過智能合約技術將相關會計核算準則、商業(yè)規(guī)則和業(yè)務處理過程轉(zhuǎn)換成事件代碼，自動判斷交易數(shù)據(jù)是否符合相應的規(guī)則，如果企業(yè)各部門生成的數(shù)據(jù)違反了相關規(guī)則，智能合約可自動進行控制和處理，剔除違規(guī)數(shù)據(jù)和非法數(shù)據(jù)，并生成異常數(shù)據(jù)記錄，實現(xiàn)實時監(jiān)督用戶上傳的數(shù)據(jù)。因此共識機制和智能合約機制可極大地提升審計數(shù)據(jù)的可靠性，有助于內(nèi)部審計人員降低數(shù)據(jù)處理成本，提高審計工作效率，不斷提升審計工作質(zhì)量。

（二）區(qū)塊鏈技術下內(nèi)部審計數(shù)據(jù)安全框架構建

在對已有研究梳理和借鑒的基礎上，本文基于私有鏈的技術思想，利用區(qū)塊鏈技術的數(shù)據(jù)加密共享、數(shù)據(jù)不可篡改、節(jié)點數(shù)據(jù)自動同步和智能合約等技術特征，將企業(yè)各部門數(shù)據(jù)和內(nèi)部審計工作進行整合，并以區(qū)塊鏈技術架構為基礎，構建了基于區(qū)塊鏈技術的內(nèi)部審計數(shù)據(jù)安全框架，實現(xiàn)了數(shù)據(jù)安全存儲、加密共享和數(shù)據(jù)合規(guī)性實時監(jiān)督，如圖1所示?；趨^(qū)塊鏈技術的內(nèi)部審計數(shù)據(jù)安全框架主要包括企業(yè)數(shù)據(jù)模塊、數(shù)據(jù)監(jiān)控模塊和訪問模塊三大部分，其中區(qū)塊鏈技術基礎中的網(wǎng)絡層貫穿整個框架，為數(shù)據(jù)傳輸提供了安全可靠的通道。

1.內(nèi)部審計數(shù)據(jù)中心

內(nèi)部審計數(shù)據(jù)中心，即企業(yè)數(shù)據(jù)模塊，該模塊以區(qū)塊鏈技術中的“數(shù)據(jù)層”和“網(wǎng)絡層”作為技術基底，通過嵌入式數(shù)據(jù)接口與企業(yè)內(nèi)各部門的信息系統(tǒng)相連，用于實時自動獲取企業(yè)原始信息數(shù)據(jù)，主要包括企業(yè)的會計信息數(shù)據(jù)、業(yè)務信息數(shù)據(jù)和內(nèi)外部相關數(shù)據(jù)，是整個模型框架的起點。首先，企業(yè)內(nèi)各部門信息系統(tǒng)通過嵌入式數(shù)據(jù)接口實時上傳業(yè)務數(shù)據(jù)和財務數(shù)據(jù)等企業(yè)相關數(shù)據(jù)，并將其存儲在企業(yè)數(shù)據(jù)模塊中;其次，利用“數(shù)據(jù)層”中時間戳技術和Hash函數(shù)等技術及算法對數(shù)據(jù)進行處理（如通過隨機Hash值算法為新數(shù)據(jù)區(qū)塊加蓋相應的時間標記、為新數(shù)據(jù)區(qū)塊計算Hash值和按照特定信息將新數(shù)據(jù)區(qū)塊統(tǒng)一上鏈），保證了企業(yè)數(shù)據(jù)模塊中審計數(shù)據(jù)的完整性;再次，利用“網(wǎng)絡層”中的非對稱加密技術對新區(qū)塊中的數(shù)據(jù)進行加密，以保證數(shù)據(jù)的安全性;最后，通過“網(wǎng)絡層”將數(shù)據(jù)輸送到數(shù)據(jù)監(jiān)控模塊進行下一步驗證。

2.內(nèi)部審計監(jiān)控平臺

企業(yè)數(shù)據(jù)模塊保證了內(nèi)部審計數(shù)據(jù)的完整性，但內(nèi)部審計數(shù)據(jù)的真實性和合規(guī)性仍需進一步驗證。內(nèi)部審計監(jiān)控平臺即數(shù)據(jù)監(jiān)控模塊，主要通過區(qū)塊鏈技術中的“共識層”和“合約層”技術對數(shù)據(jù)模塊中的數(shù)據(jù)進行二重驗證。共識層利用其內(nèi)置的共識機制（如工作量證明、股權證明和授權股權證明等不同的共識機制），使得區(qū)塊鏈網(wǎng)絡中的各個節(jié)點能夠?qū)崿F(xiàn)對數(shù)據(jù)的有效性和真實性快速達成共識。數(shù)據(jù)的合規(guī)性分析主要基于合約層中的智能合約技術展開，通過智能合約機制將相關會計具體準則、業(yè)務規(guī)則、數(shù)據(jù)規(guī)范和風險監(jiān)控邏輯轉(zhuǎn)換成計算機可執(zhí)行的代碼形式，根據(jù)預先設定的規(guī)則對企業(yè)數(shù)據(jù)模塊傳輸數(shù)據(jù)的合規(guī)性進行驗證，并根據(jù)驗證結(jié)果自動執(zhí)行相對應的事件代碼，同時自動記錄與輸出審計線索。

如圖2所示，企業(yè)信息系統(tǒng)通過嵌入式數(shù)據(jù)接口向共識層傳輸企業(yè)的基本財務數(shù)據(jù)和業(yè)務數(shù)據(jù)，區(qū)塊鏈內(nèi)各節(jié)點通過共識機制對數(shù)據(jù)進行交叉驗證，確保內(nèi)部審計數(shù)據(jù)的真實性和有效性;若全網(wǎng)節(jié)點對數(shù)據(jù)的可靠性達成一致共識，則進一步將數(shù)據(jù)傳輸?shù)胶霞s層進行數(shù)據(jù)合規(guī)性分析，否則便將該區(qū)塊從區(qū)塊鏈條中剔除。對于通過全網(wǎng)節(jié)點共同驗證的數(shù)據(jù)，智能合約按照預設的規(guī)則和封裝的事件場景進行合規(guī)性分析，符合預設規(guī)則的數(shù)據(jù)塊將被正式添加到區(qū)塊鏈上成為新數(shù)據(jù)區(qū)塊，并在全網(wǎng)各個節(jié)點中進行備份，違反規(guī)則的數(shù)據(jù)塊將被剔除出數(shù)據(jù)鏈條。同時，對于監(jiān)控到的異常數(shù)據(jù)，智能合約會自動進行記錄并備份，從而形成審計數(shù)據(jù)風險樣本，幫助內(nèi)部審計部門快速揭示數(shù)據(jù)樣本中的風險和問題，減少審計人員工作量，提升審計效率和質(zhì)量，驅(qū)動審計計劃和任務的標準化執(zhí)行。

3.內(nèi)部審計訪問平臺

內(nèi)部審計訪問平臺，即審計訪問模塊。通過該模塊，內(nèi)部審計人員可使用計算機等設備，憑借專屬數(shù)字身份密鑰登錄區(qū)塊鏈應用平臺，瀏覽審計數(shù)據(jù)中心儲存的企業(yè)各部門數(shù)據(jù)和內(nèi)部審計監(jiān)控平臺集成的審計線索，以便開展風險評估等審計工作。該模塊基于非對稱密鑰機制進行用戶身份管理和訪問管理，即采用“公鑰加密、私鑰解密”的公開密鑰算法，根據(jù)企業(yè)內(nèi)不同部門用戶和內(nèi)部審計人員的權限所需，分別為其配置不同權限的密鑰。在權限分配基礎上，內(nèi)部審計人員可訪問企業(yè)數(shù)據(jù)模塊，瀏覽信息，并通過數(shù)據(jù)接口下載或使用開展審計工作所需要的數(shù)據(jù)。

由于數(shù)據(jù)的隱私性一直以來缺少有效保護，隱含著泄露風險，企業(yè)內(nèi)部審計數(shù)據(jù)的隱私性成為當前內(nèi)部審計發(fā)展面臨的一大痛點。審計訪問模塊基于密鑰授權機制和橢圓曲線算法，對用戶的數(shù)字身份進行管理與驗證。如圖3所示，訪問模塊的用戶主要包括企業(yè)內(nèi)各部門的子用戶和內(nèi)部審計人員。借助數(shù)字身份管理SDK③，能使不同角色和不同功能的用戶用私鑰注冊數(shù)字身份、驗證身份，并在許可的權限范圍內(nèi)上傳和訪問數(shù)據(jù)。通過數(shù)字身份管理和驗證，實現(xiàn)了數(shù)字身份的實名制，能夠有效地將惡意第三方排除在區(qū)塊鏈網(wǎng)絡之外，使企業(yè)數(shù)據(jù)的隱私得到充分保障。

（三）區(qū)塊鏈技術環(huán)境下內(nèi)部審計數(shù)據(jù)傳輸流程再造

根據(jù)流程再造理論，區(qū)塊鏈技術環(huán)境下的內(nèi)部審計數(shù)據(jù)傳輸流程將被重新構建?；趨^(qū)塊鏈技術的內(nèi)部審計流程同樣以企業(yè)的財務數(shù)據(jù)和業(yè)務數(shù)據(jù)為基礎，以企業(yè)數(shù)據(jù)流為核心展開審計工作，如圖4所示。

首先，通過嵌入式數(shù)據(jù)接口，根據(jù)相關數(shù)據(jù)標準，采用數(shù)據(jù)清理、規(guī)約和轉(zhuǎn)換等數(shù)據(jù)處理方法將從企業(yè)各部門信息系統(tǒng)中自動采集的數(shù)據(jù)進行預處理，消除重復、無效和干擾數(shù)據(jù)，確保傳輸?shù)臄?shù)據(jù)能滿足審計工作需求。同時將數(shù)據(jù)文件拆分為多個文件塊，構建相應的區(qū)塊頭和區(qū)塊體，并通過非對稱加密技術對拆分后的文件塊進行加密，加密后的文件儲存在區(qū)塊鏈網(wǎng)絡中。其中，為保證數(shù)據(jù)的完整性，使用Hash算法計算所傳輸數(shù)據(jù)的Hash值，并將其儲存在區(qū)塊鏈網(wǎng)絡中，作為企業(yè)內(nèi)各部門的“黑匣子”，用以記錄數(shù)據(jù)的使用痕跡，如使用頻率、行為類型、使用時間以及使用者信息等，實現(xiàn)對數(shù)據(jù)的追根溯源，遏制數(shù)據(jù)篡改事件的發(fā)生，保證鏈內(nèi)審計數(shù)據(jù)的真實性和完整性。

其次，新的數(shù)據(jù)被廣播到區(qū)塊鏈內(nèi)的各個節(jié)點，各節(jié)點利用共識層中的共識機制對數(shù)據(jù)進行多方交叉確認，通過對傳輸?shù)臄?shù)據(jù)逐一確認，保證數(shù)據(jù)的有效性、真實性和完整性。各節(jié)點對數(shù)據(jù)達成一致共識后，通過區(qū)塊鏈技術下的智能合約技術進一步驗證數(shù)據(jù)的合規(guī)性。智能合約中預設了數(shù)據(jù)約束規(guī)則和可自動執(zhí)行的規(guī)則代碼，自動使用規(guī)則庫中的規(guī)則模型進行驗證，對數(shù)據(jù)的真實性和合規(guī)性進一步分析驗證，根據(jù)驗證結(jié)果自動執(zhí)行對應的事件代碼。通過智能合約驗證的數(shù)據(jù)將被正式寫入?yún)^(qū)塊鏈，并在各節(jié)點中形成副本，從而實現(xiàn)對內(nèi)部審計數(shù)據(jù)真實性、完整性和合規(guī)性的實時監(jiān)控，及時發(fā)現(xiàn)和處理異常數(shù)據(jù)，保證內(nèi)部審計數(shù)據(jù)的可靠性。

最后，內(nèi)部審計人員通過其專屬數(shù)字身份密鑰進入?yún)^(qū)塊鏈網(wǎng)絡，瀏覽和獲取開展審計業(yè)務所需要的企業(yè)數(shù)據(jù)，在獲取信息的同時，計算所獲取數(shù)據(jù)的Hash值，生成只可讀取、不可修改的Hash表，用以證明內(nèi)部審計部門所獲取數(shù)據(jù)的完整性，并防止內(nèi)部審計人員修改審計數(shù)據(jù)，遏制審計舞弊的發(fā)生。此外，區(qū)塊鏈內(nèi)存儲的Hash表可作為內(nèi)部審計“黑匣子”，記錄內(nèi)部審計人員的數(shù)據(jù)使用痕跡，實現(xiàn)對“內(nèi)部審計的審計”，進而有助于內(nèi)部審計人員加強自我監(jiān)督與道德約束，客觀開展內(nèi)部審計工作。

基于區(qū)塊鏈技術環(huán)境，通過內(nèi)部審計數(shù)據(jù)傳輸流程再造，解決了傳統(tǒng)內(nèi)部審計模式下數(shù)據(jù)的安全問題、完整問題和隱私問題，提升了內(nèi)部審計數(shù)據(jù)的可靠性和安全性，增強了內(nèi)部審計工作的客觀性和獨立性。區(qū)塊鏈技術環(huán)境下的內(nèi)部審計數(shù)據(jù)傳輸流程其實質(zhì)是以區(qū)塊鏈技術為手段，以區(qū)塊鏈應用系統(tǒng)和企業(yè)的區(qū)塊鏈數(shù)據(jù)為切入點，創(chuàng)新內(nèi)部審計數(shù)據(jù)傳遞流程，進一步推動我國審計信息化的發(fā)展。

五、區(qū)塊鏈技術下內(nèi)部審計面臨的問題與挑戰(zhàn)

（一）資源問題

就區(qū)塊鏈而言，其去中心化、共識機制和智能合約的技術特性對計算機的計算能力提出了極高的要求，因此強大的計算能力是區(qū)塊鏈發(fā)展所面臨的不容忽視的問題。工作量證明機制、股權證明機制和授權股權證明機制等共識機制的每次運行均需要遍歷全網(wǎng)節(jié)點，而且智能合約的自動運行也均需要全網(wǎng)節(jié)點的響應，這對計算機的處理能力和硬件設備提出了非常高的要求。作為去中心化的分布式賬本，區(qū)塊鏈中的數(shù)據(jù)儲存在所有節(jié)點中，并自動進行同步和備份，隨著企業(yè)的運行和區(qū)塊鏈的發(fā)展，數(shù)據(jù)量不斷激增，導致每個節(jié)點存儲的數(shù)據(jù)量愈加龐大，進一步加大了計算資源的消耗，且每個新加入的用戶節(jié)點必須同步和儲存已經(jīng)存在、正在呈指數(shù)增長的海量數(shù)據(jù)，從而消耗了更多的計算資源和儲存資源。

（二）安全問題

區(qū)塊鏈的安全問題主要包括51%攻擊、內(nèi)部泄密和節(jié)點博弈三個方面。51%攻擊是指如果某些不法機構掌握了區(qū)塊鏈全網(wǎng)51%及以上的算力，或控制了區(qū)塊鏈全網(wǎng)51%及以上的節(jié)點，便可偽造或篡改區(qū)塊鏈網(wǎng)絡中的數(shù)據(jù)，對區(qū)塊鏈網(wǎng)絡中數(shù)據(jù)的安全性構成巨大威脅。內(nèi)部泄密指的是區(qū)塊鏈網(wǎng)絡中的用戶為了商業(yè)利益，主動泄露區(qū)塊鏈網(wǎng)絡中的數(shù)據(jù)，造成數(shù)據(jù)泄露，或者因用戶私鑰保管不善造成私鑰的丟失，從而導致數(shù)據(jù)泄露。因此，如何加強用戶法律意識和用戶私鑰的安全性成為區(qū)塊鏈應用于內(nèi)部審計工作所要解決的一個難題。節(jié)點博弈是指區(qū)塊鏈網(wǎng)絡內(nèi)的各節(jié)點出于自身利益相互惡意競爭，尤其是鏈條內(nèi)的節(jié)點為獲得記賬權而相互攻擊，由此陷入“囚徒困境”，使得區(qū)塊鏈網(wǎng)絡具有不安全性，不但浪費了大量的計算資源，且降低了整個區(qū)塊鏈網(wǎng)絡的運行效率。

（三）觀念問題

區(qū)塊鏈技術下的內(nèi)部審計工作，不僅對傳統(tǒng)的內(nèi)部審計模式產(chǎn)生沖擊，而且對審計人員的技術素質(zhì)提出了新的挑戰(zhàn)。內(nèi)部審計人員作為內(nèi)部審計的實施主體，一方面從區(qū)塊鏈技術中受益，如利用區(qū)塊鏈技術的數(shù)據(jù)安全優(yōu)勢，審計人員可以從數(shù)據(jù)采集、數(shù)據(jù)處理和數(shù)據(jù)驗證工作中解放出來，節(jié)省內(nèi)部審計的人力成本和時間成本;但另一方面區(qū)塊鏈技術的應用也對審計人員的技術能力提出了更高的要求，需要審計人員不斷提升信息技術素養(yǎng)，提升大數(shù)據(jù)和人工智能技術的使用水平，迫使傳統(tǒng)的財務人員向既懂管理又懂技術的復合型人才轉(zhuǎn)變。同時，區(qū)塊鏈技術的應用也對某些審計崗位的需求產(chǎn)生影響。因此在內(nèi)部審計工作中推廣區(qū)塊鏈技術容易受到現(xiàn)有審計人員的抵觸。

六、結(jié)語

區(qū)塊鏈是一種新興技術，將區(qū)塊鏈技術應用于內(nèi)部審計可以有針對性地解決內(nèi)部審計業(yè)務中存在的數(shù)據(jù)安全性差、數(shù)據(jù)傳輸失真、缺乏有效的數(shù)據(jù)監(jiān)控機制等一系列問題。本研究利用區(qū)塊鏈技術構建了包括企業(yè)數(shù)據(jù)模塊、數(shù)據(jù)監(jiān)控模塊和訪問模塊在內(nèi)的基于區(qū)塊鏈技術的內(nèi)部審計數(shù)據(jù)安全框架，不僅在一定程度上有助于保護數(shù)據(jù)隱私性，保障數(shù)據(jù)的安全性和可靠性，而且能夠?qū)?nèi)部審計數(shù)據(jù)的真實性和合規(guī)性進行實時驗證。通過對基于區(qū)塊鏈技術的內(nèi)部審計數(shù)據(jù)安全框架流程的詳細說明，分析了該框架在保障內(nèi)部審計數(shù)據(jù)的真實性、完整性方面的具體作用和效果，以期推動現(xiàn)代內(nèi)部審計發(fā)展變革。

【參考文獻】

[1] VASARHELYI M A，KOGAN A，TUTTLE B M. Big data in accounting：an overview[J].Accounting Horizons，2015，29（2）：381-396.

[2] 張慶龍，邢春玉，芮柏松，等.新一代內(nèi)部審計：數(shù)字化與智能化[J].審計研究，2020（5）：113-121.

[3] 張文秀，張琳琳，夏聰穎.大數(shù)據(jù)時代內(nèi)部審計機構組織方式研究[J].會計之友，2021（8）：22-26.

[4] 王琳，張尤鳳.基于區(qū)塊鏈技術的持續(xù)審計模型構建研究[J].會計之友，2020（19）：154-160.

[5] SWAN M.Block chain：blueprint for a new economy[M].USA：O'Reilly Media，Inc，2015：34-36.

[6] KAVANAGH D，MISCIONE G.Bitcoin and the blockchain：a coup d'état in digital heterotopia？ [C].The 9th International Conference in Critical Management Studies：Is there an alternative？ Management After Critique，University of Leicester， United Kingdom，2015.

[7] HELIANI? H，SLIMAN? L，SAMHAT? A? E，et al. On blockchain integration with supply chain：overview on data transparency[J].Logistics，2021，5（3）：46.

[8] REGUEIRO? C，SECO? I，DIEGO? S，et al. Privacy- enhancing distributed protocol for data aggregation based on blockchain and homomorphic encryption[J]. Information Processing and Management，2021，58（6）：N.PAG.doi：10.1016/j.ipm.2021.102745.

[9] 秦榮生.我國內(nèi)部審計的新使命與發(fā)展新路徑[J].會計之友，2019（8）：2-5.

[10] 袁勇，周濤，周傲英，等.區(qū)塊鏈技術：從數(shù)據(jù)智能到知識自動化[J].自動化學報，2017，43（9）：1485-1490.

[11] 畢秀玲，陳帥.科技新時代下的“審計智能+”建設[J].審計研究，2019（6）：13-21.

[12] 王涵，王緒安，周能，等.基于區(qū)塊鏈的可審計數(shù)據(jù)分享方案[J].廣西師范大學學報（自然科學版），2020， 38（2）：1-7.

[13] 鄭石橋.區(qū)塊鏈對審計取證的影響：一個理論框架[J].財會通訊，2021（9）：20-24.

[14] 陳元媛.區(qū)塊鏈技術改進集團化企業(yè)內(nèi)部審計的途徑探討[J].財會通訊，2018（19）：87-89.

[15] 李兆東，王嘉成.金融機構區(qū)塊鏈審計框架研究[J].會計之友，2020（21）：156-161.

[16] 吳勇，周才力，何長添，等.基于區(qū)塊鏈技術的審計模式變革研究：一個整合性分析框架[J].中國注冊會計師，2019（3）：85-91.

[17] 徐超，陳勇.區(qū)塊鏈技術下的審計方法研究[J].審計研究，2020（3）：20-28.