数字经济下区块链审计风险识别和防范
摘要:随着数字经济的发展,区块链技术的产生和发展正在颠覆审计行业的传统作业模式,如何在审计工作中高效应用区块链技术成为审计研究的重要课题。区块链在提高审计质量的同时也为审计工作带来全新的巨大风险。本文从系统层面、操作层面、应用层面识别区块链审计风险,在此基础上提出风险防范对策,为区块链审计的完善和发展提供借鉴。
关键词:区块链;数字经济;审计风险;区块链审计;风险防范
近年来,区块链技术正日渐改变着经济社会的生产方式,也对审计工作提出了不少新的挑战。作为支撑数字货币发展的底层技术,区块链的诞生为数字经济提供了全新的价值转移渠道。区块链审计作为数字经济背景下发展起来的创新审计模式,在提高审计效率的同时也为审计工作带来巨大的风险。如何识别和规避区块链审计风险,已成为当前的一项重要研究课题。
一、区块链审计风险识别技术
基于区块链特点和审计工作性质,我们从系统层面、操作层面、应用层面三个层面识别区块链审计的风险。
(一)系统层面的风险
1、系统安全风险
系统安全风险是指由于系统性能不足、软硬件缺陷、安全管理薄弱导致系统运行的脆弱性,进而造成审计风险。(1)随着区块链的规模化应用,数据传输和存储代价日益高昂。软硬件的不稳定性将引发数据丢失或泄露的风险。(2)目前区块链的安全结构只是针对当前技术的计算能力进行了测试,但随着新技术的出现以及算力的提高(例如量子计算机的崛起),私钥被盗风险将大幅增加,整个区块链系统也会更加脆弱。(3)区块链中的共识机制、智慧合约也非绝对安全,作用范围的局限以及可能出现的BUG将损害区块链审计系统的安全性。
2、技术风险
技术风险是指在不同技术在融合应用或更新升级中产生的风险。在区块链审计平台的搭建与后续开发中充分运用新兴技术,可以提高审计效率和效果,然而其中的融合风险也不容忽视。一方面,新兴技术本身并不完美,盲目追求所谓技术结合,可能带来技术黑箱、算法共振、算法歧视等风险隐患。例如,自然语言处理、深度神经网络等算法模型的可解释性仍有待探索。另一方面,技术跨界背景下频繁的更新和升级可能导致兼容问题,造成系统运行停滞。
3、系统环境风险
任何区块链应用系统并非天生就值得信任。区块链系统的有效性高度依赖控制环境的好坏,而外部环境的可靠性会直接影响上链信息的质量。根据区块链不可篡改的特征,倘若大量虚假错误的数据上链并占据链条的大部分,将损害整个系统的可信度。根据系统论,审计的内在结构决定了审计的本质和职能,而审计的内在结构又分为审计各部分之间的秩序和审计过程之间的秩序,区块链技术对经济活动的颠覆性影响将重塑审计秩序,不可避免的会带来巨大的重塑风险。
(二)操作层面的风险
在区块链环境下,数据上链后的不可篡改特性有利于操作风险的控制。然而由于区块链技术的局限和尚未完善的规范体系,区块链审计在操作层面依然存在以下风险。
1、密钥管理风险
密钥的管理对象包括密钥本身以及根密钥(即用于生成密钥的材料)。攻击者盗取密钥可以轻易获取所有历史隐私数据,还可以恶意修改系统参数,随意使用数字签名。密钥的管理风险广泛存在于产生、使用、保存和协商等操作环节中。
2、数据分析风险
数据分析风险是指由于数据本身的质量问题或分析方法缺乏有效性影响审计质量的风险,主要来源于三方面:(1)外部环境的可信度会影响上链数据的质量。一旦虚假、错误的数据上链并占据链条的大部分,区块链不可篡改特性将直接影响审计分析的可靠性。(2)由于数据挖掘不深入,导致综合分析时大数据关联度不足,将直接影响分析结果的相关性。(3)囿于知识水平的局限性或缺乏与专家、技术部门的沟通,审计人员无法承受多维度的复杂分析,损害分析结果的决策有用性。
3、泄密风险
隐私泄露风险是指区块链审计过程中由于不当操作、不当授权或者审计平台存在安全隐患导致审计数据泄露的风险。区块链环境的透明化、公开化使得审计人员能够实时查看审核交易数据,了解交易的具体信息,在一定程度上接触到更多内幕信息和商业机密。而审计所采集的数据范围广泛、规模巨大,除企业隐私数据外,还可能涉及到政府的敏感数据。
(三)应用层面的风险
1、博弈风险
基于博弈论视角的共识机制是一种利用协议来约束作恶的多人博弈机制,目前来看其运行过程中隐藏较大风险。以PoW(工作量)机制为例,计算能力成为该机制下节点博弈的重点。马太效应下强者愈强,由于参与者可以通过运用资本强化算力,因此大矿池将处于竞争中的主动地位,具有占优策略,更易形成算力垄断,导致区块链系统陷入“囚徒困境”。除此之外,当发生交易的对象较为固定且个数较少,甚至多为关联方时,企业通过共谋就可以控制绝大多数节点以实现51%攻击,损害数据的不可篡改特性,造成审计风险。
2、监管风险
目前,大多数审计单位尚未建立自身的区块链,只能作为只读节点,通过实时审计访问模块查看、采集被审计单位信息,再进行线下审计。这种围绕被审计方为中心,将被审计方利益相关者和审计方作为其他节点的区块链生态被称为审计客体区块链。在这种单链架构的审计形式下,审计过程处于黑箱模式,无法真正满足审计服务需求方和审计服务监管方的监督需求。
3、平台应用风险大
平台应用风险是指审计平台功能或后续开发所引发的风险,主要表现为平台功能完成度不足和开发进度风险两大方面。一方面,区块链审计平台本质上为一个标准化系统。然而实务中,审计人员通常面临非标准化的场景,审计对象也具有异质性,因此平台功能未必能实现审计对象、审计需求以及审计周期的全覆盖,或完成覆盖的同时缺乏有用性和效率性。另一方面,审计平台是高度集成化的平台,即便功能设计有效,后续开发到投入使用的过程中还要历经测试、联合调试等环节,与审计业务进度相比具有天然滞后性。平台升级过程也可能影响运行稳定,甚至造成瘫痪,进而影响审计效率,损害审计服务的可持续性。
二、区块链审计风险防范
(一)系统层面的风险防范
1、构建多元化技术共识机制
针对由于系统安全问题导致的审计风险,审计单位可以采取以下三个方面的措施进行控制或规避。(1)对于代码质量和算法安全等技术风险,可以采用抗量子算法、量子抵抗账本、盲签名技术等新的加密技术,并对关键代码进行安全测试。(2)通过软件硬件深度融合的方式,用芯片级引擎驱动系统,软件主要负责管理账本数据,从而打破区块链审计的性能瓶颈。(3)针对单一共识机制的应用缺陷,构建多种协议的混合型共识机制,提升系统安全性。
2、审慎评估和管控新技术
审计单位应当用审慎的态度对待新技术的采用。应用任何新技术之前应聘请第三方专业机构对技术本身严格审查,进行充分的前期测试和评估,确保适用的技术被正确、有效地融合与应用。实现不同技术的融合后,审计单位应当遵循“识别技术范围——识别技术风险——评估技术风险——应对技术风险”的流程,将技术风险的控制和解决作为审计项目质量控制的重要任务。
3、转变审计验证思维
审计重点从验证数据的准确性和真实性转向评价系统部署及其所处的区块链生态的有效性和可靠性,推动审计本质从“经济反舞弊论”和“经济控制论”向区块链系统平台的有效性、可靠性及合规性转变。判断区块链系统是否值得信任主要包含以下四点:第一,加密技术是否可信赖;第二,区块链软件有无安全漏洞;第三,节点之间是否存在共谋的可能;第四,区块链节点之间能否保持中立。
(二)操作层面的风险防范
1、加强密钥的管理及使用
在权限设置环节,审计人员应当重视密钥的管理及使用,重点审查密钥的权限设置,保证职权对应,避免权限重叠或越权导致内部控制失效。在密钥更换环节,审计单位应当加强密钥派生函数对于增强密钥轮转的有效性和可操作性,充分
2、引入人工智能技术,构建分析模型
在审计取证环节,审计人员应尽量取得原始数据后再进行转换和清洗,避免一定程度的数据损耗。针对非标准化信息,考虑引入大数据挖掘技术,按照特定的审计需求构建模型进行处理,以期提高审计作业的效率和质量。此外,在审计分析环节,审计人员要结合非财务信息透视和把握被审计单位的经营活动,对异常数据保持敏感,针对审计疑点延伸取证、全面分析。
3、设置动态机制,强化数据安全保护
为控制保密信息的泄露风险,审计单位应当从以下几个方面加强数据安全保护。(1)加强审计人员的安全意识管理,制定审计人员对数据的获得和使用操作规范。(2)被审计单位也可以针对敏感数据进行处理。(3)审计单位自身应当谨慎监督并定期评价隐私层面的内部控制,确保其设计、运行的有效性。
(三)应用层面的风险防范
1、建立混合型博弈制衡关系
要想抑制系统内部的非理性行为,建立全面完善的节点共识机制,需要充分考虑区块链网络中可能涉及的所有对象之间的博弈,其中既包括各个节点间的博弈,还包括人机交互博弈、智能设备间博弈等等。在此基础上形成多个协议的集合,由此才能建立真正公平的混合型共识机制。
2、打造双链架构的区块链生态平台
审计单位在条件成熟时,应部署安全、透明、高效的区块链审计平台。可以通过构建基于双链架构的审计模式,在审计客体区块链的基础上建立审计单位自身的区块链生态,即围绕审计单位构建一条审计主体区块链,审计单位在主链上实施审计程序,维持形式上的独立性,将审计服务需求方与审计服务监管方都纳入区块链网络作为只读节点,授予实时访问审计过程的权限。
3、完善审计平台的应用场景拓展开发与维护
审计平台是实现审计自动化、智能化的基础工程,为了满足跨行业、跨领域的审计需求,区块链审计平台应当具备后续开发的灵活性,能够根据审计需求对平台功能或分析模型进行应用场景的拓展开发。一般而言,低耦合度的系统将更适用于拓展、维护以及复用。审计分析人员应当基于细节深度挖掘审计业务的任务需求和内在规律,做好平台的功能分配和流程分解,检验完善平台功能,适当进行加减合并。
三、结束语
区块链对促进经济高质量发展、推动建立安全可信的数字经济规则与秩序,提升国家治理体系和治理能力现代化水平意义重大。作为我国当前的战略性前沿技术之一,区块链技术的加持对审计行业的创新发展与变革具有极大的推动作用,同时也为审计实施带来众多挑战。我们应重视区块链技术下的审计风险识别,从系统层面、操作层面、应用层面等方面全方位进行改善,为解决目前区块链审计的应用困境,提高审计质量奠定基石。
- 免责声明
- 世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
- 风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
- 世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。