區(qū)塊鏈環(huán)境下的企業(yè)財務(wù)舞弊機會及其審計策略

王君 周敏李 呂優(yōu) 孟金卓

【摘 要】 文章從技術(shù)層面剖析企業(yè)內(nèi)部私有鏈和內(nèi)外聯(lián)盟鏈的基本架構(gòu)與應(yīng)用模式，結(jié)合安全性問題分析了區(qū)塊鏈技術(shù)的固有局限，指出區(qū)塊鏈可能存在通過節(jié)點間的共謀使得惡意錯報成為共識、盜取用戶隱私實現(xiàn)資產(chǎn)侵占、對智能合約惡意攻擊掩蓋財務(wù)舞弊行為等舞弊機會。根據(jù)審計的技術(shù)邏輯與規(guī)范要求提出在確定審計范圍、制定溝通安排、確定審計方向、配置審計資源等方面應(yīng)當(dāng)調(diào)整審計策略，通過識別區(qū)塊鏈環(huán)境下的財務(wù)舞弊機會、評估由財務(wù)舞弊機會導(dǎo)致的財務(wù)舞弊風(fēng)險、制定區(qū)塊鏈環(huán)境下的財務(wù)舞弊風(fēng)險應(yīng)對措施等優(yōu)化具體審計計劃。研究從經(jīng)典財務(wù)審計邏輯視角，給出了區(qū)塊鏈環(huán)境下企業(yè)財務(wù)舞弊的機會及審計應(yīng)對策略和具體計劃，為區(qū)塊鏈環(huán)境下的審計實踐提供了技術(shù)指引。

【關(guān)鍵詞】 財務(wù)舞弊； 舞弊審計； 區(qū)塊鏈技術(shù)； 審計策略

【中圖分類號】 F239? 【文獻標(biāo)識碼】 A? 【文章編號】 1004-5937（2024）07-0145-07

區(qū)塊鏈技術(shù)的應(yīng)用能夠在一定程度上抑制會計舞弊和財務(wù)造假行為[ 1-2 ]，但是在抑制傳統(tǒng)舞弊手法的同時，也形成了新的舞弊形式，被審計單位仍然可以通過虛假物流[ 3 ]、串通舞弊及數(shù)據(jù)篡改[ 4 ]等方式實施財務(wù)舞弊。從舞弊因素來看，區(qū)塊鏈技術(shù)并沒有對舞弊動機或壓力產(chǎn)生重大影響，但是舞弊機會則因為區(qū)塊鏈技術(shù)的應(yīng)用產(chǎn)生了重大變化，由此需要提出針對性的審計策略。

一、區(qū)塊鏈技術(shù)原理及其在企業(yè)中的應(yīng)用模式

（一）區(qū)塊鏈的基礎(chǔ)架構(gòu)與運行原理

區(qū)塊鏈?zhǔn)且环N集成密碼學(xué)算法、信息網(wǎng)絡(luò)、共識機制、博弈論等多學(xué)科理論與技術(shù)的分布式記賬技術(shù)，具有去中心化、開放性、自治性、可追溯性、不可篡改性、不可偽造性、不可否認性、匿名性和可編程性等諸多特點。區(qū)塊鏈的技術(shù)架構(gòu)一般由數(shù)據(jù)層、網(wǎng)絡(luò)層、共識層、激勵層、合約層和應(yīng)用層組成，各層級基于不同的技術(shù)而搭建。

數(shù)據(jù)層是區(qū)塊鏈中最底層的技術(shù)，一是通過“區(qū)塊+鏈”的形式實現(xiàn)數(shù)據(jù)存儲，二是通過時間戳、哈希函數(shù)和非對稱加密等技術(shù)方法實現(xiàn)安全交易。每個數(shù)據(jù)區(qū)塊包括區(qū)塊體和區(qū)塊頭兩個必要的構(gòu)件，其中區(qū)塊體將交易以Merkle樹結(jié)構(gòu)的形式進行存儲并生成Merkle樹根記錄在區(qū)塊頭中，區(qū)塊頭中除Merkle樹根之外還記錄了版本號、前一區(qū)塊的Hash值、時間戳、隨機數(shù)及目標(biāo)Hash值[ 5 ]。由于數(shù)據(jù)區(qū)塊中包括了前一區(qū)塊的Hash值，區(qū)塊之間得以鏈接。區(qū)塊鏈中還集成了非對稱加密技術(shù)以實現(xiàn)安全性及所有權(quán)驗證的需求。

網(wǎng)絡(luò)層確保區(qū)塊鏈節(jié)點的合法加入和有效通信，一般采用P2P網(wǎng)絡(luò)組織節(jié)點進行數(shù)據(jù)驗證和記賬。某一節(jié)點生產(chǎn)區(qū)塊數(shù)據(jù)后將其廣播到其余節(jié)點，各節(jié)點將接收的交易數(shù)據(jù)存儲到一個區(qū)塊中，基于自身算力在區(qū)塊中找到工作量證明再向全網(wǎng)廣播；當(dāng)且僅當(dāng)包含在區(qū)塊中的所有交易均為有效且之前未存在，其他節(jié)點才接受該數(shù)據(jù)區(qū)塊并在其末尾制造新的區(qū)塊以延長該鏈條[ 6 ]。這樣的設(shè)計決定了區(qū)塊鏈?zhǔn)堑湫偷姆植际郊夹g(shù)，只要一個正常運行的節(jié)點就能完全恢復(fù)主鏈數(shù)據(jù)。

共識層主要封裝網(wǎng)絡(luò)節(jié)點的各類共識算法，這些算法用來確保各節(jié)點能夠高效地達成關(guān)于區(qū)塊數(shù)據(jù)有效性的共識。激勵層提供激勵相容的眾包機制，其需要解決的主要問題是經(jīng)濟學(xué)上的激勵不相容問題。為了防范某些驅(qū)利的節(jié)點采取一些不利于區(qū)塊鏈系統(tǒng)維護的策略來提高自己的收益，激勵層還需要策略性行為檢測和動態(tài)的獎勵機制優(yōu)化。合約層封裝區(qū)塊鏈系統(tǒng)的各類腳本代碼、算法以及由此生成的更為復(fù)雜的智能合約，能夠?qū)崿F(xiàn)主動或被動地處理數(shù)據(jù)，接收、儲存和發(fā)送，以及控制和管理各類鏈上智能資產(chǎn)等功能。

應(yīng)用層為用戶提供各種區(qū)塊鏈應(yīng)用，區(qū)塊鏈1.0時代主要是比特幣應(yīng)用，區(qū)塊鏈2.0時代主要是可編程金融系統(tǒng)應(yīng)用，區(qū)塊鏈3.0時代主要是公共服務(wù)與社會治理領(lǐng)域的應(yīng)用。從訪問與編寫的權(quán)限差異及去中心化的程度來看，目前已經(jīng)演化形成了公有鏈、聯(lián)盟鏈和私有鏈三種模式，后兩種模式的中心化程度較高，可能不需要設(shè)計專門的經(jīng)濟激勵[ 6 ]。

（二）私有鏈下的應(yīng)用模式

企業(yè)運用區(qū)塊鏈技術(shù)是為了滿足自身的經(jīng)營管理需要，構(gòu)造私有鏈?zhǔn)羌骖櫺逝c安全的首選，它一方面發(fā)揮了區(qū)塊鏈的技術(shù)優(yōu)勢，另一方面又支撐了企業(yè)的自主運行，其基本架構(gòu)如圖1所示。在數(shù)據(jù)層，企業(yè)運用數(shù)字簽名技術(shù)對所有節(jié)點的操作進行記錄，利用非對稱加密技術(shù)賦予各部門不同的權(quán)限。由于不同部門的操作可追溯，造假被揭露的可能性更大，而部門間分工帶來的去中心化程度提升使得原始信息造假的難度更大。在網(wǎng)絡(luò)層，企業(yè)通過構(gòu)建內(nèi)部局域網(wǎng)絡(luò)來保障各部門的經(jīng)營管理活動記錄以及由此產(chǎn)生的各類信息能有效地納入?yún)^(qū)塊之中，并且為其他節(jié)點上的部門所獲知。在共識層，企業(yè)規(guī)模大小及原有技術(shù)環(huán)境都會對共識機制的設(shè)計選用產(chǎn)生影響，目前較多使用的是Paxos算法和Raft算法[ 7 ]。在激勵層，各部門無需通過傳統(tǒng)的發(fā)幣形式進行經(jīng)濟激勵，企業(yè)內(nèi)部的各種業(yè)務(wù)流程與考核機制整體上能夠引導(dǎo)各部門達成共識。在合約層，企業(yè)預(yù)設(shè)的自動化運行程序囊括了各項政策制度、業(yè)務(wù)流程、作業(yè)標(biāo)準(zhǔn)，只要滿足特定觸發(fā)條件，信息的加工處理就會自行運轉(zhuǎn)。在應(yīng)用層，企業(yè)依據(jù)實際需要搭建具體的管理平臺，如財務(wù)管理系統(tǒng)、庫存管理系統(tǒng)等。

私有鏈環(huán)境下的記賬節(jié)點為企業(yè)內(nèi)部的各個部門，與傳統(tǒng)記賬模式的顯著不同之處在于記賬權(quán)由企業(yè)財務(wù)部門獨占轉(zhuǎn)變?yōu)槎嗖块T共享。私有鏈環(huán)境下的業(yè)務(wù)及財務(wù)處理過程如圖2所示，其中的區(qū)塊鏈技術(shù)應(yīng)用大致分為兩個階段。第一階段是交易和事項相關(guān)原始信息的記錄過程。私有鏈中的創(chuàng)世區(qū)塊構(gòu)建可能會有多種途徑，如銷售部門獲得新的銷售訂單之后建立或采購部門獲得新的采購申請之后建立等。各部門在構(gòu)建創(chuàng)世區(qū)塊時需要輸入相關(guān)的信息，對應(yīng)的原始憑證可能來自于企業(yè)之外，也可能源自企業(yè)內(nèi)部，或兼而有之。在此基礎(chǔ)上，各部門根據(jù)業(yè)務(wù)流程構(gòu)建后續(xù)的區(qū)塊，相關(guān)部門根據(jù)接收的區(qū)塊信息進行確認，直至交易和事項正式確認完成為止，如銷售貨物完成裝運或采購貨物完成驗收等。第二階段是會計處理與報告披露過程。對各個節(jié)點一致確認的信息，區(qū)塊鏈系統(tǒng)根據(jù)事先設(shè)定的智能合約生成記賬憑證以及相應(yīng)的賬目和報表，再次以加密形式向全網(wǎng)廣播，各節(jié)點解密后保存完整的財務(wù)與非財務(wù)信息。

（三）聯(lián)盟鏈下的應(yīng)用模式

聯(lián)盟鏈的實踐運用較少，需要企業(yè)之外的其他實體參與，但是在揭示問題、規(guī)范管理等方面的預(yù)期效果更為顯著，其基礎(chǔ)架構(gòu)也更為復(fù)雜（見圖3）。在數(shù)據(jù)層，不僅封裝了企業(yè)內(nèi)部的各種數(shù)據(jù)信息，還將上下游企業(yè)的相關(guān)數(shù)據(jù)、銀行及相關(guān)服務(wù)商的數(shù)據(jù)、政府監(jiān)管部門的相關(guān)信息都納入?yún)^(qū)塊之中。在網(wǎng)絡(luò)層，需要搭建分布式組網(wǎng)系統(tǒng)實現(xiàn)多元主體的有效連接，還需要接入政務(wù)數(shù)據(jù)中心確保監(jiān)管所需的基礎(chǔ)信息支持。在共識層，聯(lián)盟鏈具有部分去中心化的構(gòu)造，運用較多的共識算法如PBFT算法、SBFT算法、DBFT算法[ 7 ]。在激勵層，各方主要基于強制性的制度約束或監(jiān)管要求進行合作，也可能自發(fā)地簽署合作協(xié)議來保障區(qū)塊鏈運行。在合約層，觸發(fā)系統(tǒng)運行的條件進一步涵蓋了企業(yè)經(jīng)營范圍、經(jīng)濟法及稅法等規(guī)范要求、各種專項業(yè)務(wù)的技術(shù)流程、各類政府監(jiān)管部門的標(biāo)準(zhǔn)體系等內(nèi)容要素。在應(yīng)用層，搭建的應(yīng)用系統(tǒng)除了滿足企業(yè)自身需要外，還需要滿足外部實體的要求或需求，如稅務(wù)部門可利用區(qū)塊鏈數(shù)據(jù)加強智能化稅收大數(shù)據(jù)分析。

聯(lián)盟鏈環(huán)境下的記賬節(jié)點為企業(yè)、銀行、供應(yīng)商、銷售商、物流企業(yè)、社會中介機構(gòu)、政府監(jiān)管部門等多方實體，與私有鏈的顯著不同之處在于記賬權(quán)由企業(yè)內(nèi)部共享轉(zhuǎn)變?yōu)槠髽I(yè)與外部實體共享，如圖4所示。與私有鏈相比，聯(lián)盟鏈的實際運行呈現(xiàn)出兩方面的典型差異。一是在基礎(chǔ)信息的固化環(huán)節(jié)，來自企業(yè)外部的各類實體也參與記賬，企業(yè)造假的難度進一步提高。以銷售交易為例，在私有鏈環(huán)境下通常由銷售部門根據(jù)銷售訂單建立創(chuàng)世區(qū)塊，但是訂單真?zhèn)蝺H由銷售部門確認。在聯(lián)盟鏈環(huán)境下，銷售部門提供的銷售訂單需要由銷售商確認無誤后才能記錄到區(qū)塊之中。二是在信息處理環(huán)節(jié)，不僅要按照企業(yè)內(nèi)部流程進行會計處理并向內(nèi)部相關(guān)部門廣播信息，而且要處理其他信息并對外廣播。仍以銷售交易為例，不僅會計處理結(jié)果要全文廣播，發(fā)票開具、物流運轉(zhuǎn)等信息也要對外廣播。這不僅使交易活動的真實性及會計記錄的可靠性更高，而且便于監(jiān)管部門及社會中介開展監(jiān)督、鑒證與評價工作，還有助于驗證銷售商的采購活動及物流企業(yè)的承運活動，從而使聯(lián)盟鏈的構(gòu)建具有一定的正向外部性。

二、區(qū)塊鏈技術(shù)的缺陷及企業(yè)財務(wù)舞弊機會

（一）區(qū)塊鏈的安全性問題及其對財務(wù)舞弊治理的不利影響

由于不同層級的技術(shù)基礎(chǔ)及應(yīng)用邏輯各不相同，使得區(qū)塊鏈的安全性問題呈現(xiàn)出較為明顯的差異。數(shù)據(jù)層面臨量子計算威脅、密鑰管理不當(dāng)、交易關(guān)聯(lián)性緊密和密碼組件代碼漏洞等問題，網(wǎng)絡(luò)層面臨P2P網(wǎng)絡(luò)安全、網(wǎng)絡(luò)拓撲被用于攻擊及隱私保護等問題，共識層面臨安全性證明不完備、假設(shè)不可靠、一致性不穩(wěn)定以及擴展性差、初始化和重構(gòu)難等問題，激勵層面臨激勵不相容帶來的節(jié)點攻擊以及激勵本身的不可持續(xù)性等問題，合約層面臨智能合約代碼漏洞、外部數(shù)據(jù)源調(diào)用、缺乏形式化驗證、難實現(xiàn)隱私保護等問題，應(yīng)用層面臨跨鏈操作難、監(jiān)管技術(shù)缺失和應(yīng)用層攻擊等問題[ 8 ]。上述問題對區(qū)塊鏈技術(shù)在財務(wù)舞弊治理領(lǐng)域的應(yīng)用產(chǎn)生了一系列不利影響：

第一，技術(shù)能力不足有可能顛覆區(qū)塊鏈技術(shù)在財務(wù)舞弊治理領(lǐng)域的應(yīng)用前景。雖然當(dāng)前的數(shù)學(xué)理論、密碼學(xué)解析和計算技術(shù)難以威脅區(qū)塊鏈中運用的標(biāo)準(zhǔn)密碼算法，但已有研究表明量子計算將導(dǎo)致現(xiàn)有密碼算法的安全性降低甚至被攻破[ 9 ]。當(dāng)前的密碼學(xué)技術(shù)無法避免交易在網(wǎng)絡(luò)傳輸中與用戶IP地址之間的關(guān)聯(lián)性，攻擊者可以據(jù)此推測交易之間、交易與公鑰地址之間的關(guān)系。攻擊者還可以通過監(jiān)測網(wǎng)絡(luò)拓撲結(jié)構(gòu)獲得目標(biāo)節(jié)點的路由信息并控制其鄰居節(jié)點，進而限制目標(biāo)節(jié)點的數(shù)據(jù)交互，導(dǎo)致目標(biāo)節(jié)點保存的區(qū)塊鏈視圖與主網(wǎng)區(qū)塊鏈視圖不一致。在遭受嚴(yán)重的安全性攻擊后，如果缺少可信第三方或外界干預(yù)，區(qū)塊鏈無法有效復(fù)原回到受攻擊前的安全狀態(tài)。這些技術(shù)問題的存在，使得區(qū)塊鏈系統(tǒng)不可能固若金湯，通過偽造、篡改或者隱匿信息或利用系統(tǒng)漏洞而獲取不當(dāng)或非法利益的可能性依舊存在。一旦出現(xiàn)嚴(yán)重的安全攻擊并導(dǎo)致巨大損失，對區(qū)塊鏈技術(shù)的信仰有可能直接坍塌。

第二，設(shè)計能力不足有可能制約區(qū)塊鏈技術(shù)在財務(wù)舞弊治理領(lǐng)域的持續(xù)運用。區(qū)塊鏈共識機制要確保穩(wěn)定的一致性，必須具有良好的網(wǎng)絡(luò)環(huán)境、嚴(yán)格受限的敵手能力和強安全性假設(shè)， 在實際應(yīng)用中很難全方位全過程保障。當(dāng)某一（些）節(jié)點掌握多數(shù)算力或權(quán)益的時候，安全性假設(shè)很容易被打破。由于各節(jié)點采取自身利益最大化策略開展行動，當(dāng)其利益導(dǎo)向與區(qū)塊鏈系統(tǒng)整體利益不一致時，就可能采取自私挖礦（Selfish Mining）、扣塊攻擊（Withholding attack）等行為。這些行為在非法攫取他人利益的過程中直接破壞了激勵機制，也削弱了系統(tǒng)的可拓展性和算力資源。智能合約的語言腳本編寫難免出現(xiàn)紕漏，進而帶來時間戳依賴攻擊、操作異常攻擊、Gas限制等威脅。這些設(shè)計問題的存在，使得區(qū)塊鏈系統(tǒng)不可能盡善盡美，各種漏洞難以全面消除。如果難以精準(zhǔn)高效地查漏補缺，財務(wù)舞弊治理的效果就會大打折扣。

第三，管理能力不足可能喪失區(qū)塊鏈技術(shù)在財務(wù)舞弊治理領(lǐng)域的既有優(yōu)勢?，F(xiàn)代密碼學(xué)技術(shù)帶來的數(shù)據(jù)安全首先要求密鑰安全，但是本地存儲、離線存儲和托管錢包都可能出現(xiàn)密鑰泄露或丟失的問題，使得區(qū)塊鏈的技術(shù)優(yōu)勢蕩然無存。一旦密鑰被盜，區(qū)塊鏈不可篡改的技術(shù)優(yōu)勢必將導(dǎo)致經(jīng)濟損失無法挽回。為了保證運行的安全性，區(qū)塊鏈系統(tǒng)中應(yīng)當(dāng)內(nèi)嵌一套可以提供非法行為監(jiān)測、追蹤、分析、追責(zé)的監(jiān)管方案。然而去中心化、不可篡改、匿名等技術(shù)特點提高了監(jiān)管難度，現(xiàn)有監(jiān)管技術(shù)難以從根本上遏制敲詐勒索等犯罪行為。即便企業(yè)財務(wù)舞弊治理通常不會采用公有鏈的應(yīng)用模式，上述問題也無法完全消除。企業(yè)如何加強技術(shù)管理能力，是否需要政府執(zhí)法機關(guān)介入?yún)^(qū)塊鏈運行監(jiān)管等問題仍將長時間困擾各方。

（二）區(qū)塊鏈環(huán)境下潛在的財務(wù)舞弊機會分析

1.從技術(shù)根源看財務(wù)舞弊機會

就共性而言，在區(qū)塊鏈技術(shù)的運用環(huán)境下仍然存在一系列財務(wù)舞弊機會：一是通過節(jié)點間的共謀使得惡意錯報成為共識。區(qū)塊鏈的共識機制提供了一定的容錯能力來確保各個節(jié)點就區(qū)塊數(shù)據(jù)達成一致的共識，如PoW算法允許不超過1/2的節(jié)點失效或惡意攻擊，PBFT算法允許不超過1/3的節(jié)點失效或惡意攻擊[ 10 ]。盡管單個節(jié)點掌握大部分算力的可能性不大，但是節(jié)點間的共謀很可能實現(xiàn)對區(qū)塊數(shù)據(jù)的偽造或篡改，使得那些隱藏了財務(wù)舞弊的基礎(chǔ)信息被固化成為系統(tǒng)共識。二是通過盜取用戶隱私實現(xiàn)資產(chǎn)侵占。除了前文提及的密鑰竊取等數(shù)據(jù)隱私威脅帶來的舞弊機會外，攻擊者還可能針對網(wǎng)絡(luò)層或應(yīng)用層實施攻擊，獲取各個節(jié)點的基本信息及具體的交易信息，甚至直接獲得用戶的賬戶控制權(quán)，從而實施資產(chǎn)侵占行為。三是通過對智能合約的惡意攻擊掩蓋財務(wù)舞弊行為。攻擊者可以對智能合約或合約虛擬機發(fā)起攻擊，通過非正常的合約調(diào)用實現(xiàn)非法獲利[ 11 ]。此時，原本能在系統(tǒng)流程中被識別的舞弊行為將被自動認定為規(guī)范行為，并隱藏在系統(tǒng)誤認為正確的會計記錄及財務(wù)報告中。

就個性而言，上述機會在不同的區(qū)塊鏈應(yīng)用模式下呈現(xiàn)出不同的特征。一是節(jié)點間的共謀在私有鏈環(huán)境下更易實現(xiàn)。私有鏈上的節(jié)點數(shù)量相對較少，各節(jié)點之間的日常交往更為密切，自發(fā)形成共謀的可能性更大。更有甚者，企業(yè)管理層乃至治理層出于粉飾報表等目的有可能指使各節(jié)點實施系統(tǒng)性的造假行為。聯(lián)盟鏈上的節(jié)點不易被企業(yè)所控制，實施財務(wù)舞弊的可能性較小，但也可能出現(xiàn)上下游企業(yè)之間、關(guān)聯(lián)方企業(yè)之間、企業(yè)與中介機構(gòu)等市場主體之間乃至企業(yè)與政府部門之間的合謀。二是安全性問題帶來的舞弊機會在聯(lián)盟鏈環(huán)境下更加凸顯。聯(lián)盟鏈環(huán)境下針對網(wǎng)絡(luò)層的攻擊隱患更大，那些安全性較差的節(jié)點將影響聯(lián)盟鏈的整體安全。聯(lián)盟鏈作為一種具有典型“俱樂部產(chǎn)品”特征的系統(tǒng)，提升其整體安全性的成本難以有效地識別并在各節(jié)點之間進行分攤。缺乏提高整體安全性的內(nèi)在激勵必然導(dǎo)致安全隱患不僅無法全面識別，而且難以有效根除，使得財務(wù)舞弊行為更加難以防范。三是聯(lián)盟鏈環(huán)境下更易出現(xiàn)非常規(guī)領(lǐng)域的財務(wù)舞弊行為。與私有鏈的量身定制不同，聯(lián)盟鏈的智能合約設(shè)定及應(yīng)用系統(tǒng)設(shè)計必然需要綜合權(quán)衡各個節(jié)點的現(xiàn)實需要與實際能力來確定，通常只能適應(yīng)常規(guī)的業(yè)務(wù)領(lǐng)域和流程操作。對非常規(guī)領(lǐng)域的活動，其他節(jié)點缺乏足夠的信息或知識來驗證其真?zhèn)?，也難以有效揭示相關(guān)的財務(wù)舞弊行為。

2.從實施行為看財務(wù)舞弊機會

在編制虛假財務(wù)報告方面，企業(yè)特征與內(nèi)部控制對舞弊機會的形成具有重要影響。一是企業(yè)所處行業(yè)領(lǐng)域或其業(yè)務(wù)性質(zhì)為編制虛假財務(wù)報告提供了機會。當(dāng)企業(yè)具有顯著的行業(yè)地位時，有可能對供應(yīng)商或銷售商提出不恰當(dāng)?shù)膹娭菩砸?，從而?dǎo)致不公允的交易被記錄在區(qū)塊鏈中。要達到同樣的目的，企業(yè)還可以利用關(guān)聯(lián)方企業(yè)操控一些超出正常經(jīng)營范圍或者合理價格的重大關(guān)聯(lián)交易。此外，企業(yè)還可以人為地構(gòu)建甚至捏造異?；蚋叨葟?fù)雜的交易，或者將那些需要專業(yè)判斷的重大會計估計事項納入?yún)^(qū)塊數(shù)據(jù)，使得其他節(jié)點僅能通過“形式”而非“實質(zhì)”來驗證交易和事項。二是企業(yè)利用區(qū)塊鏈系統(tǒng)結(jié)構(gòu)的復(fù)雜性或不穩(wěn)定性為編制虛假財務(wù)報告創(chuàng)造機會。企業(yè)有可能將會計師事務(wù)所等社會中介納入?yún)^(qū)塊鏈系統(tǒng)，通過審計意見購買等方式獲得“專業(yè)背書”，從而博取其他節(jié)點的信任。同時，區(qū)塊鏈系統(tǒng)的操控人員一旦變更，就有可能為企業(yè)編制虛假財務(wù)報告提供較短的“窗口期”。三是內(nèi)部控制缺陷為企業(yè)提供了編制虛假財務(wù)報告的機會。如果對智能合約等自動化控制的監(jiān)督不夠充分、搭載的會計信息系統(tǒng)存在缺陷或相關(guān)專業(yè)技術(shù)人員缺乏必要的勝任能力，就無法有效防范或修正虛假財務(wù)報告。

在侵占資產(chǎn)方面，資產(chǎn)特征與內(nèi)部控制對舞弊機會的形成具有重要影響。一是區(qū)塊鏈安全問題增加了數(shù)字資產(chǎn)被侵占的可能性。既有研究已經(jīng)就區(qū)塊鏈技術(shù)本身的安全問題及典型案例進行了較為全面的分析，企業(yè)應(yīng)用中還可能出現(xiàn)程序編寫與審查等方面的漏洞、技術(shù)風(fēng)險監(jiān)管機制及應(yīng)對手段方面的缺失等具體問題，進一步放大了企業(yè)數(shù)字資產(chǎn)被侵占的可能[ 12 ]。二是實物資產(chǎn)、權(quán)益資產(chǎn)的數(shù)字化“上鏈”增加了傳統(tǒng)資產(chǎn)被侵占的可能性。為了在區(qū)塊鏈系統(tǒng)中實現(xiàn)數(shù)據(jù)的可信傳遞，企業(yè)必須把物權(quán)、債權(quán)、股權(quán)等傳統(tǒng)資產(chǎn)進行數(shù)字化，基于智能合約的資產(chǎn)數(shù)字化技術(shù)已經(jīng)成為便捷的資產(chǎn)流通途徑[ 13 ]。數(shù)據(jù)共享程度的提高往往導(dǎo)致企業(yè)對其自身數(shù)據(jù)的控制權(quán)弱化，隱私信息保護問題面臨著嚴(yán)峻的挑戰(zhàn)，企業(yè)資產(chǎn)被侵占的風(fēng)險不可忽視。三是不當(dāng)?shù)膬?nèi)部控制可能擴大企業(yè)資產(chǎn)被侵占的可能性。譬如，對實物資產(chǎn)的保管措施不充分且未進行及時完整的核對調(diào)節(jié)，使得實物資產(chǎn)被實際侵占，而區(qū)塊鏈上的數(shù)字信息仍然顯示正常。再如，對交易和事項的授權(quán)審批制度不完善，缺乏必要的職責(zé)分離或獨立審核，員工既負責(zé)資產(chǎn)管理又負責(zé)區(qū)塊數(shù)據(jù)的維護管理，從而滋生營私舞弊的可能。

三、區(qū)塊鏈環(huán)境下與財務(wù)舞弊機會相關(guān)的審計策略

（一）調(diào)適總體審計策略

第一，在確定審計范圍方面需要考慮區(qū)塊鏈技術(shù)應(yīng)用對審計取證的要求。一是掌握區(qū)塊鏈技術(shù)應(yīng)用對審計程序的影響。審計人員需要熟悉區(qū)塊鏈技術(shù)安全性問題帶來的財務(wù)舞弊機會，了解區(qū)塊鏈技術(shù)在企業(yè)中的應(yīng)用模式、應(yīng)用范圍及其對資產(chǎn)管理和財務(wù)報告的影響，明確審計取證所需數(shù)據(jù)的可獲得性以及所需技術(shù)的可實現(xiàn)性。二是獲取服務(wù)機構(gòu)內(nèi)部控制有效性相關(guān)證據(jù)的考量。企業(yè)不僅使用區(qū)塊鏈服務(wù)平臺的服務(wù)，而且需要利用上下游企業(yè)、銀行、社會中介乃至政府部門等外部機構(gòu)的服務(wù)。審計人員需要獲取必要的證據(jù)以了解服務(wù)機構(gòu)提供的服務(wù)及其對企業(yè)內(nèi)部控制的影響，并通過設(shè)計與實施必要的審計程序作出恰當(dāng)?shù)膽?yīng)對。三是關(guān)注數(shù)字資產(chǎn)的形成、交易、保管及其會計處理問題，以及傳統(tǒng)資產(chǎn)數(shù)字化的技術(shù)安全問題。審計人員既要獲取有關(guān)區(qū)塊鏈服務(wù)技術(shù)、流程、監(jiān)管等證據(jù)，又要獲取與資產(chǎn)余額、列報及披露相關(guān)的證據(jù)。

第二，在制定溝通安排方面需要考慮區(qū)塊鏈技術(shù)應(yīng)用對審計溝通的要求。一是與企業(yè)管理層、治理層及關(guān)鍵崗位員工的溝通安排。審計組需要了解企業(yè)應(yīng)用區(qū)塊鏈技術(shù)的總體戰(zhàn)略與具體舉措，了解區(qū)塊鏈環(huán)境下的會計處理及財務(wù)報告流程及相關(guān)內(nèi)部控制，了解過往已經(jīng)發(fā)現(xiàn)的財務(wù)舞弊行為及后續(xù)處理情況。二是與區(qū)塊鏈服務(wù)機構(gòu)及其他第三方的溝通安排。當(dāng)無法從企業(yè)獲得充分的了解時，審計組應(yīng)當(dāng)通過企業(yè)聯(lián)系相關(guān)的服務(wù)機構(gòu)以獲取特定信息，或者訪問服務(wù)機構(gòu)并實施必要的審計程序。三是審計組的內(nèi)部討論安排。審計人員應(yīng)當(dāng)就區(qū)塊鏈環(huán)境下的財務(wù)舞弊機會進行討論，使得審計組全體成員能夠充分認識財務(wù)舞弊的潛在方式與重點領(lǐng)域，共同研究適當(dāng)?shù)膽?yīng)對措施并確定審計組成員的內(nèi)部分工。

第三，在確定審計方向方面需要考慮區(qū)塊鏈技術(shù)應(yīng)用對審計重點的影響。一是考慮區(qū)塊鏈技術(shù)應(yīng)用對初步風(fēng)險識別的影響。審計組應(yīng)當(dāng)基于區(qū)塊鏈技術(shù)特性及以往已經(jīng)發(fā)生的財務(wù)舞弊典型案例，初步識別財務(wù)舞弊風(fēng)險較高的領(lǐng)域，向?qū)徲嫿M全體成員強調(diào)保持職業(yè)懷疑的必要性。二是考慮區(qū)塊鏈技術(shù)應(yīng)用對內(nèi)部控制的影響。區(qū)塊鏈技術(shù)被認為能夠在總體上降低控制風(fēng)險[ 4 ]，但它在技術(shù)、管理及操作等方面的風(fēng)險因素不可忽視，管理層凌駕于控制之上的風(fēng)險始終存在。審計組應(yīng)當(dāng)了解與區(qū)塊鏈應(yīng)用相關(guān)的內(nèi)部控制設(shè)計、運行與維護情況，關(guān)注由控制缺陷帶來的財務(wù)舞弊機會。三是考慮區(qū)塊鏈技術(shù)應(yīng)用引發(fā)的企業(yè)經(jīng)營管理領(lǐng)域的重大變化。審計組需要了解區(qū)塊鏈技術(shù)應(yīng)用帶來的企業(yè)業(yè)務(wù)流程改造以及關(guān)鍵管理人員與技術(shù)人員變化，關(guān)注由此帶來的財務(wù)舞弊機會。

第四，在配置審計資源方向方面需要考慮區(qū)塊鏈技術(shù)應(yīng)用對審計勝任能力及項目組織統(tǒng)籌的影響。一是加強財務(wù)舞弊相關(guān)領(lǐng)域的審計資源投入。對初步識別財務(wù)舞弊風(fēng)險較高的領(lǐng)域，需有針對性地委派具有勝任能力與適當(dāng)經(jīng)驗的審計人員，必要時可以就區(qū)塊鏈應(yīng)用相關(guān)的復(fù)雜問題利用專家工作。二是加強審計過程中的審計資源統(tǒng)籌。審計組既要基于審計目的與審計目標(biāo)統(tǒng)籌審計資源配置，又要根據(jù)財務(wù)舞弊的特性重點在資產(chǎn)負債表日前后實施實質(zhì)性程序。在此過程中，還要對審計工作督導(dǎo)及質(zhì)量復(fù)核提出更高的質(zhì)量要求。

（二）優(yōu)化具體審計計劃

第一，識別區(qū)塊鏈環(huán)境下的財務(wù)舞弊機會。一是充分認識區(qū)塊鏈環(huán)境下的財務(wù)舞弊機會生成框架。區(qū)塊鏈技術(shù)的應(yīng)用一方面提高了數(shù)據(jù)的真實性、完整性以及監(jiān)管的有效性，從而扼殺了部分財務(wù)舞弊機會；另一方面由于技術(shù)安全性問題而產(chǎn)生了新的財務(wù)舞弊機會。審計人員要在區(qū)塊鏈技術(shù)的固有局限上，認識企業(yè)選用的區(qū)塊鏈應(yīng)用模式的共性問題，結(jié)合對企業(yè)內(nèi)部控制的了解情況，篩選并確定具體的財務(wù)舞弊機會。二是設(shè)計必要的審計程序發(fā)現(xiàn)財務(wù)舞弊機會。審計人員應(yīng)當(dāng)通過詢問的方式了解管理層識別、評價及應(yīng)對財務(wù)舞弊風(fēng)險的過程與結(jié)果，了解治理層對管理層識別、評價及應(yīng)對財務(wù)舞弊風(fēng)險行為的監(jiān)督以及治理層為降低財務(wù)舞弊風(fēng)險而建立的內(nèi)部控制，了解管理層、治理層及其他員工是否知曉相關(guān)的舞弊事實、嫌疑或指控。審計人員還應(yīng)當(dāng)通過文件檢查、穿行測試等技術(shù)方法，利用審計組內(nèi)部討論及以往審計所取得的經(jīng)驗，綜合判斷是否存在因為區(qū)塊鏈技術(shù)應(yīng)用而引致的財務(wù)舞弊機會。

第二，評估由財務(wù)舞弊機會導(dǎo)致的財務(wù)舞弊風(fēng)險。一是評價內(nèi)部控制的影響。對于高度自動化處理的區(qū)塊鏈技術(shù)應(yīng)用，審計人員應(yīng)當(dāng)了解企業(yè)是否建立相關(guān)內(nèi)部控制用以遏制財務(wù)舞弊機會，并且評估其有效性。二是評價其他舞弊風(fēng)險因素的影響。以舞弊三角理論為例，財務(wù)舞弊行為的發(fā)生受到動機（或壓力）、機會、態(tài)度（或借口）等多重因素的影響，財務(wù)舞弊風(fēng)險評價應(yīng)當(dāng)綜合考慮上述因素。審計人員需要綜合運用觀察、詢問、檢查、分析程序等技術(shù)方法，具體了解企業(yè)及其員工的舞弊動機與態(tài)度，評估舞弊動機與態(tài)度對財務(wù)舞弊風(fēng)險生成的調(diào)節(jié)作用。三是評估管理層凌駕于控制之上實施舞弊行為的可能性。這些行為包括但不限于：與其他節(jié)點共謀，篡改真實的交易記錄或作出虛假的會計分錄，實現(xiàn)操縱經(jīng)營成果或侵占企業(yè)資產(chǎn)等目的；構(gòu)造復(fù)雜交易誤導(dǎo)相關(guān)節(jié)點，實現(xiàn)歪曲財務(wù)狀況或經(jīng)營成果等目的；篡改智能合約中有關(guān)會計假設(shè)、會計估計、會計政策等條款內(nèi)容，實現(xiàn)粉飾報表余額或歪曲披露事項等目的。

第三，制定區(qū)塊鏈環(huán)境下的財務(wù)舞弊風(fēng)險應(yīng)對措施。一是針對性地完善總體應(yīng)對措施。在指派和督導(dǎo)審計組成員時，需要重點考慮審計人員的區(qū)塊鏈知識和審計專業(yè)技能要求。審計人員需要評價區(qū)塊鏈技術(shù)應(yīng)用對企業(yè)資產(chǎn)管理及會計處理的影響，評估會計政策選擇與智能合約設(shè)計是否合理。二是針對舞弊易發(fā)高發(fā)領(lǐng)域制定綜合性方案應(yīng)對措施。在編制虛假財務(wù)報告方面，需要重點關(guān)注企業(yè)利用區(qū)塊鏈技術(shù)虛構(gòu)現(xiàn)金交易與貨幣資金、虛構(gòu)存貨、虛增或提前確認收入等方式粉飾報表，利用區(qū)塊鏈金融工具與金融產(chǎn)品或區(qū)塊鏈節(jié)點中的關(guān)聯(lián)方實施舞弊。對上述可能出現(xiàn)的關(guān)聯(lián)方實施專項審計程序，一方面對企業(yè)關(guān)聯(lián)方與關(guān)聯(lián)方交易管理中的相關(guān)內(nèi)部控制有效性進行測試，判斷區(qū)塊鏈環(huán)境下企業(yè)關(guān)聯(lián)方相關(guān)內(nèi)部控制是否存在重大內(nèi)部控制缺陷；另一方面對企業(yè)關(guān)聯(lián)方識別與關(guān)聯(lián)方交易會計處理的恰當(dāng)性和信息披露的充分性開展實質(zhì)性測試，以判斷財務(wù)報表中是否存在關(guān)聯(lián)方交易相關(guān)的重大錯報。在侵占資產(chǎn)方面，需要重點關(guān)注利用區(qū)塊鏈技術(shù)侵占貨幣資金、賬外存貨、隱瞞收入等活動，利用區(qū)塊鏈攻擊侵占數(shù)字資產(chǎn)，或變相將企業(yè)資產(chǎn)轉(zhuǎn)移至區(qū)塊鏈節(jié)點中未對外披露的關(guān)聯(lián)方。審計人員需要先運用文件檢查、訪談、穿行測試等程序了解與測試企業(yè)和上述資產(chǎn)侵占相關(guān)的內(nèi)部控制，在此基礎(chǔ)上，進一步綜合運用文件檢查、實物監(jiān)盤、函證、分析程序、走訪或?qū)嵉卣{(diào)查等方法判斷業(yè)務(wù)事項與商業(yè)邏輯的合理性，跟蹤區(qū)塊鏈數(shù)據(jù)的生成、溝通、確認及保管等過程，查驗資金流、實物流、信息流的匹配情況，驗證交易記錄及余額列報的真實性與準(zhǔn)確性。三是針對管理層凌駕于控制之上的風(fēng)險制定應(yīng)對措施。審計人員應(yīng)當(dāng)測試會計分錄是否適當(dāng)，復(fù)核會計估計是否存在偏向，評價編制報表時作出的調(diào)整是否合理、重大交易的商業(yè)理由是否充分，進而確認相關(guān)活動的最終目的與實際結(jié)果是否屬于財務(wù)舞弊。

（三）應(yīng)對審計發(fā)現(xiàn)的舞弊或舞弊嫌疑

第一，評價舞弊或舞弊嫌疑對審計工作的影響。一是重新評價舞弊風(fēng)險及其對風(fēng)險應(yīng)對程序的影響。審計人員應(yīng)當(dāng)根據(jù)已經(jīng)發(fā)現(xiàn)的舞弊或舞弊嫌疑來修正前期的舞弊風(fēng)險評估結(jié)論，進而評價前期制定的風(fēng)險應(yīng)對程序的性質(zhì)、時間安排及測試范圍是否恰當(dāng)。當(dāng)審計人員認為與區(qū)塊鏈技術(shù)運用相關(guān)的內(nèi)部控制存在缺陷或已經(jīng)失效的時候，應(yīng)當(dāng)追加審計程序或擴大審計范圍。鑒于舞弊不大可能孤立發(fā)生，審計人員應(yīng)當(dāng)“舉一反三”，將已發(fā)現(xiàn)舞弊或舞弊嫌疑相關(guān)的交易事項納入重點審計范圍，必要時可測試整個會計期間內(nèi)的相關(guān)交易事項與會計活動。二是重新考慮已獲取的審計證據(jù)的可靠性。審計人員應(yīng)當(dāng)重新評價區(qū)塊鏈環(huán)境下生成的各種記錄是否可靠，尤其是企業(yè)內(nèi)部生成的或依據(jù)區(qū)塊鏈上容易被操控的節(jié)點所確認的數(shù)據(jù)信息。如果舞弊或舞弊嫌疑涉及員工與管理層、企業(yè)與第三方等的串通舞弊，審計人員應(yīng)當(dāng)關(guān)注共識機制和（或）激勵機制失效的可能性，合理懷疑智能合約與會計系統(tǒng)的輸入數(shù)據(jù)可靠性問題；如果舞弊或舞弊嫌疑涉及管理層或治理層，審計人員應(yīng)當(dāng)評估管理層或治理層出具的書面證明的可靠性。三是重新評價舞弊或舞弊嫌疑對審計意見的影響。以財務(wù)報表審計為例，如果在實施充分的審計測試之后發(fā)現(xiàn)存在導(dǎo)致重大錯報的舞弊行為，或者無法確定是否存在由舞弊導(dǎo)致的重大錯報，審計人員應(yīng)當(dāng)出具非標(biāo)準(zhǔn)審計意見。

第二，加強與企業(yè)及外部機構(gòu)的溝通。一是加強與企業(yè)的溝通。審計人員應(yīng)當(dāng)及時與企業(yè)管理層溝通已發(fā)現(xiàn)的企業(yè)員工舞弊或舞弊嫌疑事項，溝通對象在行政級別上應(yīng)當(dāng)比（涉嫌）舞弊人員更高。如果審計發(fā)現(xiàn)（涉嫌）舞弊人員涉及管理層，或者審計認為管理層未能恰當(dāng)處置已經(jīng)識別出的（涉嫌）舞弊行為，抑或?qū)徲嬚J為控制環(huán)境不利于抑制區(qū)塊鏈環(huán)境下的舞弊風(fēng)險時，還應(yīng)當(dāng)與企業(yè)治理層進行溝通。二是加強與企業(yè)之外的適當(dāng)機構(gòu)之間的溝通。如果相關(guān)法律法規(guī)要求審計人員向外部機構(gòu)作出報告，或者審計人員的法律責(zé)任與職業(yè)道德要求向外部機構(gòu)作出報告，審計人員應(yīng)當(dāng)基于規(guī)范程序向企業(yè)之外的適當(dāng)機構(gòu)報告已發(fā)現(xiàn)的（涉嫌）舞弊行為。

【參考文獻】

［1］ 喬鵬程，李思雨.區(qū)塊鏈提升會計信息質(zhì)量的路徑與作用機理研究［J］.財會通訊，2022（11）：15-19，117.

［2］ 羅斌元，郭小雨.區(qū)塊鏈審計模式：機制、架構(gòu)及路徑［J］.中國注冊會計師，2022（9）：69-74.

［3］ 陳雪儀.基于區(qū)塊鏈技術(shù)的智能審計系統(tǒng)的構(gòu)建及應(yīng)用［J］.中國注冊會計師，2023（2）：77-81.

［4］ 張宜霞，李高，萬蔓依，等.區(qū)塊鏈環(huán)境下財務(wù)報表審計面臨的挑戰(zhàn)與對策［J］.會計之友，2022（20）：155-161.

［5］ 邵奇峰，金澈清，張召，等.區(qū)塊鏈技術(shù)：架構(gòu)及進展［J］.計算機學(xué)報，2018，41（5）：969-988.

［6］ 袁勇，王飛躍.區(qū)塊鏈技術(shù)發(fā)展現(xiàn)狀與展望［J］.自動化學(xué)報，2016，42（4）：481-494.

［7］ 譚朋柳，王潤庶，曾文豪，等. 區(qū)塊鏈共識算法綜述［J］.計算機科學(xué)，2023，50（S1）：691-702.

［8］ 韓璇，袁勇，王飛躍.區(qū)塊鏈安全問題：研究現(xiàn)狀與展望［J］.自動化學(xué)報，2019，45（1）：206-225.

［9］ CHEN L，JORDAN S，LIU Y，et al.Report on post-quantum cryptography，NIST interagency/internal report （NISTIR）［R］.National Institute of Standards and Technology，Gaithersburg，MD，2016.

［10］ 曹雪蓮，張建輝，劉波.區(qū)塊鏈安全、隱私與性能問題研究綜述［J］.計算機集成制造系統(tǒng)，2021，27（7）：2078-2094.

［11］ 田國華，胡云瀚，陳曉峰.區(qū)塊鏈系統(tǒng)攻擊與防御技術(shù)研究進展［J］.軟件學(xué)報，2021，32（5）：1495-1525.

［12］ 曾雪云，陳泓旭，趙涔.源于區(qū)塊鏈技術(shù)漏洞的數(shù)字資產(chǎn)盜用風(fēng)險與管理改進：以The DAO為例［J］.財務(wù)與會計，2022（16）：34-37.

［13］ 朱旭光，邢春曉，李雯晴，等.交易數(shù)據(jù)全生命周期區(qū)塊鏈隱私保護評估方法［J］.應(yīng)用科學(xué)學(xué)報，2022，40（4）：555-566.