基于區(qū)塊鏈技術的審計報告電子化方案設計

王麗娟（副教授）李向鋒

（北京農(nóng)業(yè)職業(yè)學院財金系北京100039北京數(shù)字認證股份有限公司北京100080）

一、審計報告電子化的現(xiàn)狀分析

（一）會計師事務所仍然只能提供紙質(zhì)的審計報告。盡管目前大部分企業(yè)已經(jīng)實現(xiàn)會計電算化，會計師事務所也利用各種審計軟件完成審計業(yè)務，但在出具審計報告環(huán)節(jié)仍然還是出具紙質(zhì)的審計報告并加蓋會計師事務所、注冊會計師個人的簽章。紙質(zhì)版的審計報告不但浪費紙張資源，而且紙質(zhì)審計報告的傳遞需要郵寄或?qū)Ｈ怂瓦_，會消耗諸如交通費、快遞費等相應的成本，在傳遞過程中會花費一定的時間，若審計報告需要提交給不同的部門就需要多次郵寄或傳送，從而耗費更多的人力物力。不但如此，紙質(zhì)審計報告還不便于實現(xiàn)信息共享，也不利于注冊會計師協(xié)會的業(yè)務監(jiān)管。因此，實務當中無論是被審計單位還是會計師事務所，對審計報告電子化均有現(xiàn)實需求。

（二）現(xiàn)有的理論研究方案實施成本較高。盡管實務界只能提供紙質(zhì)的審計報告，但是關于審計報告電子化的理論研究已經(jīng)成為審計界關注的焦點之一。由于電子數(shù)據(jù)易于復制和修改的特點，在提升便利性的同時，也帶來了審計報告被篡改或意外破壞等風險。針對這一情況，比較有代表性的觀點是依靠電子簽名技術來解決：由注冊會計師協(xié)會為執(zhí)業(yè)的注冊會計師和會計師事務所簽發(fā)數(shù)字證書，制定相應的操作規(guī)程和制度；注冊會計師和會計師事務所使用相應的支撐系統(tǒng)制作電子版審計報告，加上數(shù)字簽名發(fā)送給被審計單位；注冊會計師協(xié)會可以提供審計報告的備案存儲，查詢真?zhèn)蔚确眨瑘蟾媸褂梅娇梢酝ㄟ^密碼技術來驗證審計報告的完整性，驗證報告在出具后是否被篡改等；如果注冊會計師或會計師事務所違反規(guī)定出具虛假審計報告，注冊會計師協(xié)會有權吊銷其數(shù)字證書。

上述方案能夠在較大程度上保護審計報告的完整性，能夠給審計報告的使用方提供驗證機制來確認報告的真實性。但實踐中也存在一定的困難，第一，注冊會計師協(xié)會需要建設系統(tǒng)，來存儲數(shù)量龐大的審計報告，同時需要提供檢索和比對服務，建設和維護這些系統(tǒng)，需要付出很大成本。第二，密碼技術和電子簽名的保護手段基于對可信第三方中心的信任，如果所信任的第三方電子認證機構出現(xiàn)問題，可能會給審計報告相關的業(yè)務帶來嚴重的影響和后果。

（三）加速推進審計報告電子化的研究和實施已成為當前的政策要求。2019年7月3日，財政部就人大代表提出的“關于加快推進將注冊會計師行業(yè)專業(yè)業(yè)務報告形式由紙質(zhì)改為電子版的建議”給出了答復：“財政部將在充分研究論證的基礎上，結合財政會計行業(yè)管理系統(tǒng)建設，加快推進審計報告電子化改革工作，積極倡導、推動相關部門認可電子形式審計報告?！庇纱丝梢姡七M審計報告電子化已進入研究論證階段，學界也需根據(jù)政策導向加大研究力度。

二、區(qū)塊鏈技術在審計報告電子化中的技術保障作用

（一）區(qū)塊鏈的定義。顧名思義，區(qū)塊鏈也就是“區(qū)塊”形成的“鏈”。交易和信息的記錄稱為塊，它們使用密碼技術鏈接在一起。從狹義角度上來講，區(qū)塊鏈是一種以時間順序排列的鏈式結構數(shù)據(jù)，并通過密碼學的方式來保證數(shù)據(jù)的不可篡改、不可偽造。從廣義角度上來講，區(qū)塊鏈技術是利用塊鏈式數(shù)據(jù)結構來存儲數(shù)據(jù)，利用鏈式數(shù)據(jù)的前后關系來驗證數(shù)據(jù)，利用分布式節(jié)點來生成數(shù)據(jù)，利用共識算法來更新數(shù)據(jù)，利用密碼學來保證數(shù)據(jù)的真實性，利用由程序代碼組成的智能合約保證協(xié)議的不可違約性的一種同時具備高可用、高擴展、高安全等特性的全新數(shù)據(jù)系統(tǒng)。

（二）區(qū)塊鏈技術的主要特征。

1.去中心化。區(qū)塊鏈從技術本質(zhì)上來看，是一個基于網(wǎng)絡分布式共識的公共賬本，在區(qū)塊鏈中，并不依靠龐大而強力的中心系統(tǒng)，而是通過分布式節(jié)點的自治和共識，通過分布式核算和存儲，實現(xiàn)了信息自我驗證、傳遞和管理。

2.互通性。在區(qū)塊鏈中，除了交易各方的私有信息被加密外，區(qū)塊鏈的數(shù)據(jù)對所有參與節(jié)點都是互通的，任何參與方都可以通過公開的接口查詢區(qū)塊鏈數(shù)據(jù)和開發(fā)相關應用，因此實現(xiàn)系統(tǒng)信息的高度透明、流通。

3.安全性。區(qū)塊節(jié)點間通過共識協(xié)議保證數(shù)據(jù)安全，除非攻破區(qū)塊鏈的共識協(xié)議，否則無法非法篡改數(shù)據(jù)。常見的共識協(xié)議包括：以區(qū)塊鏈為代表的工作量證明（PoW，Proof of Work）；基于權益的證明（Proof of Stake）等。有了這樣的共識機制，使得對數(shù)據(jù)的攻擊實際上是不可行的。

（三）區(qū)塊鏈技術的工作機制。區(qū)塊鏈是由若干個時間順序、包含交易信息的區(qū)塊從后向前有序鏈接起來的數(shù)據(jù)結構，每一個區(qū)塊都包含了當前區(qū)塊構成時間內(nèi)所有的信息，以及上一個區(qū)塊的“指紋”?！爸讣y”是使用一種稱為摘要算法（也稱為散列算法、雜湊算法、哈希算法）對報告內(nèi)容進行處理的結果，通常是一段非常簡短的數(shù)據(jù)，也常被稱為數(shù)據(jù)的“哈?！薄８鶕?jù)審計報告內(nèi)容很容易提煉“指紋”，但根據(jù)“指紋”卻無法計算得到原始的審計報告內(nèi)容。如果一份審計報告進行過改動，重新計算的“指紋”結果也會大不相同，因此“指紋”常常用來對各種信息進行完整性驗證。由于區(qū)塊頭要包含“父系區(qū)塊”的字段，所以任何父系區(qū)塊的修改，都會引發(fā)子區(qū)塊的改變，而子區(qū)塊的改變將引起孫區(qū)塊的改變，這種變化會一直傳導到最新的區(qū)塊，并且這種改變是沒有規(guī)律的，服從“雪崩效應”，這就意味著任何人想要更改之前區(qū)塊的內(nèi)容，將會耗費大量的算力來運算更長的鏈條，即實現(xiàn)“51%攻擊”。這對于修改者來說，成本過于高昂。通過這種機制，保證了區(qū)塊鏈上數(shù)據(jù)的真實性和完整性。

三、基于區(qū)塊鏈技術的審計報告電子化方案設計

在現(xiàn)有的研究中，魏明、丁瑞（2019）提出了基于區(qū)塊鏈技術建立金融審計應用平臺，包括金融審計數(shù)據(jù)采集層、金融審計資源層、金融審計分析層與金融審計結果訪問層，以提高我國金融審計的質(zhì)量；徐京平（2020）探討了區(qū)塊鏈對會計體系的沖擊與重塑，分析了區(qū)塊鏈對會計核算、會計監(jiān)督、會計生態(tài)三大應用模塊的沖擊；李冰琨（2020）則是對區(qū)塊鏈技術與審計理念的融合性進行闡述，設計了基于區(qū)塊鏈技術的審計模型框架。本文設計了一種基于區(qū)塊鏈技術的審計報告電子化方案，在該方案中，各類相關角色圍繞審計報告存證管理系統(tǒng)相互協(xié)調(diào)展開工作。

（一）基于區(qū)塊鏈技術的審計報告存證管理系統(tǒng)?；趨^(qū)塊鏈的審計報告存證管理系統(tǒng)主要為審計報告的真實性提供“存在性證明”，由于審計報告原始文本數(shù)據(jù)量較大且包含較多敏感信息，因此，該系統(tǒng)只存儲審計報告的“指紋”信息和關鍵詞信息?！爸讣y”信息是對原始審計報告經(jīng)密碼算法形成的；關鍵詞則用于查詢、驗證審計報告，包括被審計單位名稱、審計報告時間、審計報告編號等。這些信息經(jīng)過審計報告存證管理系統(tǒng)進行安全存儲，該系統(tǒng)主要由業(yè)務門戶模塊、區(qū)塊鏈網(wǎng)絡以及業(yè)務監(jiān)管模塊三個部分構成。以下評述各部分功能。

1.業(yè)務門戶模塊。業(yè)務門戶模塊一般部署在各地的注冊會計師協(xié)會或其指定的機構。各個會計師事務所和其他類型的用戶可以通過瀏覽器進行訪問，其功能包括用戶注冊與管理、審計報告的備案與管理、查詢等。當會計師事務所形成審計報告的最終稿后，首先，可通過電子簽名和簽章機制進行簽署，作為來源鑒別和完整性保護的第一步措施，然后填寫審計報告的摘要信息，確認后將這些信息和審計報告的數(shù)據(jù)“指紋”提交到區(qū)塊鏈網(wǎng)絡進行存儲。而審計報告的原文，則可保存在會計師事務所的本地文件系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡地址上，當需要驗證審計報告時，通過該路徑能夠獲取到原始的審計報告。

2.區(qū)塊鏈網(wǎng)絡。區(qū)塊鏈網(wǎng)絡基于HyperLedger Fabric，由各地注冊會計師協(xié)會作為區(qū)塊鏈節(jié)點，組成分布式點對點網(wǎng)絡，形成一個“聯(lián)盟鏈”。節(jié)點包括區(qū)塊鏈的排序節(jié)點、背書節(jié)點或記賬節(jié)點，這些節(jié)點通過協(xié)同工作將審計報告文件的“指紋”數(shù)據(jù)存儲在區(qū)塊鏈上。首先在接收到審計報告的入鏈請求時，由背書節(jié)點進行包括數(shù)字簽名、數(shù)字證書機制的驗證，驗證是否與會計師事務所信息、審計報告相關信息相匹配，驗證確認無誤才為該報告進行背書并發(fā)送到排序節(jié)點。其次，排序節(jié)點利用Kafka分布式消息訂閱和發(fā)布系統(tǒng)，對接收到的審計報告入鏈請求進行排序，通過區(qū)塊鏈共識機制，將若干個入鏈的請求數(shù)據(jù)打包為一個“區(qū)塊”并提交給記賬節(jié)點。最后，記賬節(jié)點標記數(shù)據(jù)的有效性并存儲在區(qū)塊鏈的“賬本”中，并負責將更新后的賬本在所有節(jié)點進行同步，確保所有節(jié)點的賬本數(shù)據(jù)內(nèi)容都是一致的。

3.業(yè)務監(jiān)管模塊。業(yè)務監(jiān)管模塊部署在注冊會計師協(xié)會或其指定的機構。業(yè)務監(jiān)管模塊可按照預先設定的各種策略定期或不定期地對各個會計師事務所存儲在區(qū)塊鏈上的審計報告?zhèn)浒感畔⑦M行統(tǒng)計匯總或進行抽查。抽查時，系統(tǒng)提供驗證功能，從存證管理系統(tǒng)獲得審計報告的“指紋”，與從會計師事務所獲得的審計報告原始文檔進行比對，以確認審計報告的真實有效。

（二）電子審計報告相關主體的協(xié)調(diào)工作機制。電子審計報告相關主體包括政策指導方——財政部會計司、規(guī)則制定方——中國注冊會計師協(xié)會、報告出具方——注冊會計師及其所在的會計師事務所以及報告使用方——被審計單位、銀行以及工商、稅務等管理部門，協(xié)調(diào)工作機制如下：

1.財政部會計司制定宏觀政策，推進審計報告電子化。財政部會計司作為管理全國會計工作的職能部門，可以結合會計行業(yè)管理系統(tǒng)建設，擬訂審計報告電子化的政策制度，引導社會認可電子版的審計報告，賦予電子版審計報告與紙質(zhì)版審計報告同等重要的地位，自上而下推動審計報告電子化的進程。

2.中國注冊會計師協(xié)會制定審計報告通過區(qū)塊鏈“存真”的具體規(guī)則。中國注冊會計師協(xié)會是在財政部領導下開展行業(yè)管理和服務的法定組織，可以要求會計師事務所在審計完成發(fā)布報告時必須在指定的區(qū)塊鏈上發(fā)布該審計報告的“指紋”。在區(qū)塊鏈上發(fā)布審計報告“指紋”時，通常還會加入時間戳等信息以確保發(fā)布報告的時間準確性。

3.會計師事務所按要求在區(qū)塊鏈上發(fā)布審計報告“指紋”。注冊會計師和會計師事務所在完成審計業(yè)務出具報告時，可通過審計報告存證管理系統(tǒng)，將完整的審計報告通過電子郵件、QQ、微信等方式發(fā)送給被審計單位，同時按照注冊會計師協(xié)會的要求在區(qū)塊鏈上保存審計報告的“指紋”數(shù)據(jù)，并將“指紋”的鏈接地址交付給被審計單位。通常，可以由各省的注冊會計師協(xié)會聯(lián)合當?shù)刈缘臅嫀熓聞账餐罱▽ｉT用于發(fā)布審計報告驗證信息的“聯(lián)盟鏈”，用以發(fā)布審計報告“指紋”。

4.被審計單位和其他報告使用方通過區(qū)塊鏈查詢、驗證審計報告。被審計單位收到注冊會計師和會計師事務所出具的審計報告以后，可能會出于貸款、申報資質(zhì)等目的將審計報告提交給銀行以及工商、稅務等部門，報告使用方在接收到審計報告后，可以通過業(yè)務服務門戶檢索審計報告并進行審計報告真實性驗證。驗證方法是將報告內(nèi)容與區(qū)塊鏈上的“指紋”進行比對，如果不匹配則表示審計報告內(nèi)容在發(fā)布后可能被損壞或篡改，如果驗證通過再進行后續(xù)內(nèi)容的進一步核查。

5.財政部會計司和中國注冊會計師協(xié)會可對審計活動進行監(jiān)管。由于區(qū)塊鏈上保存了所有的審計報告的“指紋”信息，因此，財政部會計司和中國注冊會計師協(xié)會可對鏈上的各種審計業(yè)務記錄進行監(jiān)管，比如，可以采用隨機抽取的方法對會計師事務所上鏈的業(yè)務信息進行檢查，確認審計報告的真實、完整、未經(jīng)篡改，還可以查看會計師事務所是否為同一家被審計單位出具多份報告等問題。同時，監(jiān)管活動形成的書面意見等也可以存儲在區(qū)塊鏈上，以供相關部門調(diào)取查詢。

四、審計報告電子化對注冊會計師行業(yè)的積極影響

基于區(qū)塊鏈技術的審計報告電子化方案設計，能夠使審計報告的發(fā)布、流轉和驗證等過程更加高效透明。

（一）注冊會計師協(xié)會或財政部會計司對會計師事務所的業(yè)務監(jiān)管效率將極大提高。由于區(qū)塊鏈的“去中心化”或“泛中心化”特性，其用于完成審計和監(jiān)管的系統(tǒng)，一般分開部署，審計系統(tǒng)部署在各會計師事務所，監(jiān)管系統(tǒng)部署在注冊會計師協(xié)會或財政部會計司。中國注冊會計師協(xié)會無須再建設復雜的IT系統(tǒng)，用以存儲會計師事務所發(fā)布的電子版審計報告，也無須向報告使用者提供檢索和驗證服務。中國注冊會計師協(xié)會要定義規(guī)則，并推動會計師事務所按照規(guī)則執(zhí)行，一旦規(guī)則正常運轉，審計報告的發(fā)布和查詢、驗證真?zhèn)蔚裙ぷ鲗⑼ㄟ^區(qū)塊鏈自動完成，這就大大降低了管理機構的工作復雜度和監(jiān)管成本。由于所有的審計報告都在區(qū)塊鏈上保留了“指紋”信息，區(qū)塊鏈技術保證了這些審計活動信息不可撤銷、不可抵賴、不可篡改。所以，中國注冊會計師協(xié)會能夠通過這些記錄，以非常低的成本，更加陽光透明地對各個會計師事務所的業(yè)務開展情況進行監(jiān)管。

（二）區(qū)塊鏈使審計報告發(fā)布后不可篡改、不可刪除，從而避免了對審計報告的“二次加工”。注冊會計師和會計師事務所完成審計工作后將審計報告的“指紋”發(fā)布到區(qū)塊鏈上之后，區(qū)塊鏈將這些發(fā)布信息封裝成為“信息塊”并鏈接起來在全網(wǎng)發(fā)布。根據(jù)區(qū)塊鏈的原理，如果某個攻擊者或其他信息使用者出于各種目的對審計報告進行“二次加工處理”，攻擊者要篡改或刪除之前的記錄，需要掌握全網(wǎng)51%的計算能力，這在一個大規(guī)模的網(wǎng)絡上很難實現(xiàn)。區(qū)塊鏈的“不可篡改”特性，使所發(fā)布的信息、電子數(shù)據(jù)具備了“可信”“可靠”的特性，這在一定程度上避免了審計報告被篡改和刪除的可能性。

（三）報告使用方能夠更方便、快捷地驗證審計報告的真?zhèn)?。被審計單位以及銀行、工商、稅務等報告使用方能夠使用區(qū)塊鏈非常方便地驗證審計報告的真實性，而無須再依賴中國注冊會計師協(xié)會提供的檢索服務和對比服務，無須信任第三方電子認證機構，變得更加便捷。在這種情況下，即便出具審計報告的會計師事務所因合并、撤銷等原因不復存在，當初按照合規(guī)流程出具的報告仍然是真實有效的。

綜上所述，區(qū)塊鏈作為一種技術，能夠給審計報告電子化提供強有力的支撐，能夠極大地提高審計報告發(fā)布、使用、驗證的效率。當然，區(qū)塊鏈技術在審計領域的應用由于技術還不夠成熟，會帶來數(shù)據(jù)量過于繁雜、信任機制不完善、內(nèi)部信息傳遞不及時以及黑客入侵風險、財務審計人員的職業(yè)道德風險等問題，這需要各個業(yè)務應用領域、計算機和網(wǎng)絡領域、信息安全領域相互配合，進行更加深入的探索和研究。