數字經濟下區塊鏈審計風險識別和防范范文
本站小編為你精心準備了數字經濟下區塊鏈審計風險識別和防范參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
摘要:隨著數字經濟的發展,區塊鏈技術的產生和發展正在顛覆審計行業的傳統作業模式,如何在審計工作中高效應用區塊鏈技術成為審計研究的重要課題。區塊鏈在提高審計質量的同時也為審計工作帶來全新的巨大風險。本文從系統層面、操作層面、應用層面識別區塊鏈審計風險,在此基礎上提出風險防范對策,為區塊鏈審計的完善和發展提供借鑒。
關鍵詞:區塊鏈;數字經濟;審計風險;區塊鏈審計;風險防范
近年來,區塊鏈技術正日漸改變著經濟社會的生產方式,也對審計工作提出了不少挑戰。作為支撐數字貨幣發展的底層技術,區塊鏈的誕生為數字經濟提供了全新的價值轉移渠道。區塊鏈審計作為數字經濟背景下發展起來的創新審計模式,在提高審計效率的同時也為審計工作帶來巨大的風險。如何識別和規避區塊鏈審計風險,已成為當前的一項重要研究課題。
一、區塊鏈審計風險識別
基于區塊鏈特點和審計工作性質,我們從系統層面、操作層面、應用層面三個層面識別區塊鏈審計的風險。
(一)系統層面風險
1、系統安全風險
系統安全風險是指由于系統性能不足、軟硬件缺陷、安全管理薄弱導致系統運行的脆弱性,進而造成審計風險。(1)隨著區塊鏈的規模化應用,數據傳輸和存儲代價日益高昂。軟硬件的不穩定性將引發數據丟失或泄露的風險。(2)目前區塊鏈的安全結構只是針對當前技術的計算能力進行了測試,但隨著新技術的出現以及算力的提高(例如量子計算機的崛起),私鑰被盜風險將大幅增加,整個區塊鏈系統也會更加脆弱。(3)區塊鏈中的共識機制、智慧合約也非絕對安全,作用范圍的局限以及可能出現的BUG將損害區塊鏈審計系統的安全性。
2、技術風險
技術風險是指在不同技術在融合應用或更新升級中產生的風險。在區塊鏈審計平臺的搭建與后續開發中充分運用新興技術,可以提高審計效率和效果,然而其中的融合風險也不容忽視。一方面,新興技術本身并不完美,盲目追求所謂技術結合,可能帶來技術黑箱、算法共振、算法歧視等風險隱患。例如,自然語言處理、深度神經網絡等算法模型的可解釋性仍有待探索。另一方面,技術跨界背景下頻繁的更新和升級可能導致兼容問題,造成系統運行停滯。
3、系統環境風險
任何區塊鏈應用系統并非天生就值得信任。區塊鏈系統的有效性高度依賴控制環境的好壞,而外部環境的可靠性會直接影響上鏈信息的質量。根據區塊鏈不可篡改的特征,倘若大量虛假錯誤的數據上鏈并占據鏈條的大部分,將損害整個系統的可信度。根據系統論,審計的內在結構決定了審計的本質和職能,而審計內在結構又分為審計各部分之間的秩序和審計過程之間的秩序,區塊鏈技術對經濟活動的顛覆性影響將重塑審計秩序,不可避免的會帶來巨大的重塑風險。
(二)操作層面風險
在區塊鏈環境下,數據上鏈后的不可篡改特性有利于操作風險的控制。然而由于區塊鏈技術的局限和尚未完善的規范體系,區塊鏈審計在操作層面依然存在以下風險。
1、密鑰管理風險
密鑰的管理對象包括密鑰本身以及根密鑰(即用于生成密鑰的材料)。攻擊者盜取密鑰可以輕易獲取所有歷史隱私數據,還可惡意修改系統參數,隨意使用數字簽名。密鑰的管理風險廣泛存在于產生、使用、保存和協商等操作環節中。
2、數據分析風險
數據分析風險是指由于數據本身的質量問題或分析方法缺乏有效性影響審計質量的風險,主要來源于三方面:(1)外部環境的可信度會影響上鏈數據的質量。一旦虛假、錯誤的數據上鏈并占據鏈條的大部分,區塊鏈不可篡改特性將直接影響審計分析的可靠性。(2)由于數據挖掘不深入,導致綜合分析時大數據關聯度不足,將直接影響分析結果的相關性。(3)囿于知識水平的局限性或缺乏與專家、技術部門的溝通,審計人員無法承受多維度的復雜分析,損害分析結果的決策有用性。
3、泄密風險
隱私泄露風險是指區塊鏈審計過程中由于不當操作、不當授權或者審計平臺存在安全隱患導致審計數據泄露的風險。區塊鏈環境的透明化、公開化使得審計人員能夠實時查看審核交易數據,了解交易的具體信息,在一定程度上接觸到更多內幕信息和商業機密。而審計所采集的數據范圍廣泛、規模巨大,除企業隱私數據外,還可能涉及到政府的敏感數據。
(三)應用層面風險
1、博弈風險
基于博弈論視角的共識機制是一種利用協議來約束作惡的多人博弈機制,目前來看其運行過程中隱藏較大風險。以PoW(工作量)機制為例,計算能力成為該機制下節點博弈的重點。馬太效應下強者愈強,由于參與者可以通過運用資本強化算力,因此大礦池將處于競爭中的主動地位,具有占優策略,更易形成算力壟斷,導致區塊鏈系統陷入“囚徒困境”。除此之外,當發生交易的對象較為固定且個數較少,甚至多為關聯方時,企業通過共謀就可以控制絕大多數節點以實現51%攻擊,損害數據的不可篡改特性,造成審計風險。
2、監管風險
目前,大多數審計單位尚未建立自身的區塊鏈,只能作為只讀節點,通過實時審計訪問模塊查看、采集被審計單位信息,再進行線下審計。這種圍繞被審計方為中心,將被審計方利益相關者和審計方作為其他節點的區塊鏈生態被稱為審計客體區塊鏈。在這種單鏈架構的審計形式下,審計過程處于黑箱模式,無法真正滿足審計服務需求方和審計服務監管方的監督需求。
3、平臺應用風險
平臺應用風險是指審計平臺功能或后續開發所引發的風險,主要表現為平臺功能完成度不足和開發進度風險兩大方面。一方面,區塊鏈審計平臺本質上為一個標準化系統。然而實務中,審計人員通常面臨非標準化場景,審計對象也具有異質性,因此平臺功能未必能實現審計對象、審計需求以及審計周期的全覆蓋,或完成覆蓋的同時缺乏有用性和效率性。另一方面,審計平臺是高度集成化平臺,即便功能設計有效,后續開發到投入使用的過程中還要歷經測試、聯合調試等環節,與審計業務進度相比具有天然滯后性。平臺升級過程也可能影響運行穩定,甚至造成癱瘓,進而影響審計效率,損害審計服務的可持續性。
二、區塊鏈審計風險防范
(一)系統層面風險防范
1、構建多元化技術共識機制
針對由于系統安全問題導致的審計風險,審計單位可以采取以下三個方面的措施進行控制或規避。(1)對于代碼質量和算法安全等技術風險,可以采用抗量子算法、量子抵抗賬本、盲簽名技術等新的加密技術,并對關鍵代碼進行安全測試。(2)通過軟件硬件深度融合的方式,用芯片級引擎驅動系統,軟件主要負責管理賬本數據,從而打破區塊鏈審計的性能瓶頸。(3)針對單一共識機制的應用缺陷,構建多種協議的混合型共識機制,提升系統安全性。
2、審慎評估和管控新技術
審計單位應當用審慎的態度對待新技術的采用。應用任何新技術之前應聘請第三方專業機構對技術本身嚴格審查,進行充分的前期測試和評估,確保適用的技術被正確、有效地融合與應用。實現不同技術的融合后,審計單位應當遵循“識別技術范圍——識別技術風險——評估技術風險——應對技術風險”的流程,將技術風險的控制和解決作為審計項目質量控制的重要任務。
3、轉變審計驗證思維
審計重點從驗證數據的準確性和真實性轉向評價系統部署及其所處的區塊鏈生態的有效性和可靠性,推動審計本質從“經濟反舞弊論”和“經濟控制論”向區塊鏈系統平臺的有效性、可靠性及合規性轉變。判斷區塊鏈系統是否值得信任主要包含以下四點:第一,加密技術是否可信賴;第二,區塊鏈軟件有無安全漏洞;第三,節點之間是否存在共謀的可能;第四,區塊鏈節點之間能否保持中立。
(二)操作層面風險防范
1、加強密鑰的管理及使用
在權限設置環節,審計人員應當重視密鑰的管理及使用,重點審查密鑰的權限設置,保證職權對應,避免權限重疊或越權導致內部控制失效。在密鑰更換環節,審計單位應當加強密鑰派生函數對于增強密鑰輪轉的有效性和可操作性,充分關注密鑰的安全管理,查看密鑰是否保存于與惡意環境隔離的安全環境,保存方法是否適當,能否實現多地容災恢復。
2、引入人工智能技術,構建分析模型
在審計取證環節,審計人員應盡量取得原始數據再進行轉換和清洗,避免一定程度的數據損耗。針對非標準化信息,考慮引入大數據挖掘技術,按照特定的審計需求構建模型進行處理,以期提高審計作業的效率和質量。此外,在審計分析環節,審計人員要結合非財務信息透視和把握被審計單位的經營活動,對異常數據保持敏感,針對審計疑點延伸取證、全面分析。
3、設置動態機制,強化數據安全保護
為控制保密信息的泄露風險,審計單位應當從以下幾個方面加強數據安全保護。(1)加強審計人員的安全意識管理,制定審計人員對數據的獲得和使用操作規范。(2)被審計單位也可以針對敏感數據進行處理。(3)審計單位自身應當謹慎監督并定期評價隱私層面的內部控制,確保其設計、運行的有效性。
(三)應用層面風險防范
1、建立混合型博弈制衡關系
要想抑制系統內部的非理性行為,建立全面完善的節點共識機制,需要充分考慮區塊鏈網絡中可能涉及的所有對象之間的博弈,其中既包括各個節點間的博弈,還包括人機交互博弈、智能設備間博弈等等。在此基礎上形成多個協議的集合,由此才能建立真正公平的混合型共識機制。
2、打造雙鏈架構的區塊鏈生態平臺
審計單位在條件成熟時,應部署安全、透明、高效的區塊鏈審計平臺。可以通過構建基于雙鏈架構的審計模式,在審計客體區塊鏈的基礎上建立審計單位自身的區塊鏈生態,即圍繞審計單位構建一條審計主體區塊鏈,審計單位在主鏈上實施審計程序,維持形式上的獨立性,將審計服務需求方與審計服務監管方都納入區塊鏈網絡作為只讀節點,授予實時訪問審計過程的權限。
3、完善審計平臺的應用場景拓展開發與維護
審計平臺是實現審計自動化、智能化的基礎工程,為了滿足跨行業、跨領域的審計需求,區塊鏈審計平臺應當具備后續開發的靈活性,能夠根據審計需求對平臺功能或分析模型進行應用場景的拓展開發。一般而言,低耦合度的系統將更適用于拓展、維護以及復用。審計分析人員應當基于細節深度挖掘審計業務的任務需求和內在規律,做好平臺的功能分配和流程分解,檢驗完善平臺功能,適當進行加減合并。
三、結束語
區塊鏈對促進經濟高質量發展、推動建立安全可信的數字經濟規則與秩序,提升國家治理體系和治理能力現代化水平意義重大。作為我國當前的戰略性前沿技術之一,區塊鏈技術的加持對審計行業的創新發展與變革具有極大的推動作用,同時也為審計實施帶來眾多挑戰。我們應重視區塊鏈技術下的審計風險識別,從系統層面、操作層面、應用層面等方面全方位進行改善,為解決目前區塊鏈審計的應用困境,提高審計質量奠定基石。
作者:高明華 單位:廈門國家會計學院
