王君 周敏李 吕优 孟金卓
【摘 要】 文章从技术层面剖析企业内部私有链和内外联盟链的基本架构与应用模式,结合安全性问题分析了区块链技术的固有局限,指出区块链可能存在通过节点间的共谋使得恶意错报成为共识、盗取用户隐私实现资产侵占、对智能合约恶意攻击掩盖财务舞弊行为等舞弊机会。根据审计的技术逻辑与规范要求提出在确定审计范围、制定沟通安排、确定审计方向、配置审计资源等方面应当调整审计策略,通过识别区块链环境下的财务舞弊机会、评估由财务舞弊机会导致的财务舞弊风险、制定区块链环境下的财务舞弊风险应对措施等优化具体审计计划。研究从经典财务审计逻辑视角,给出了区块链环境下企业财务舞弊的机会及审计应对策略和具体计划,为区块链环境下的审计实践提供了技术指引。
【关键词】 财务舞弊; 舞弊审计; 区块链技术; 审计策略
【中图分类号】 F239 【文献标识码】 A 【文章编号】 1004-5937(2024)07-0145-07
区块链技术的应用能够在一定程度上抑制会计舞弊和财务造假行为[ 1-2 ],但是在抑制传统舞弊手法的同时,也形成了新的舞弊形式,被审计单位仍然可以通过虚假物流[ 3 ]、串通舞弊及数据篡改[ 4 ]等方式实施财务舞弊。从舞弊因素来看,区块链技术并没有对舞弊动机或压力产生重大影响,但是舞弊机会则因为区块链技术的应用产生了重大变化,由此需要提出针对性的审计策略。
一、区块链技术原理及其在企业中的应用模式
(一)区块链的基础架构与运行原理
区块链是一种集成密码学算法、信息网络、共识机制、博弈论等多学科理论与技术的分布式记账技术,具有去中心化、开放性、自治性、可追溯性、不可篡改性、不可伪造性、不可否认性、匿名性和可编程性等诸多特点。区块链的技术架构一般由数据层、网络层、共识层、激励层、合约层和应用层组成,各层级基于不同的技术而搭建。
数据层是区块链中最底层的技术,一是通过“区块+链”的形式实现数据存储,二是通过时间戳、哈希函数和非对称加密等技术方法实现安全交易。每个数据区块包括区块体和区块头两个必要的构件,其中区块体将交易以Merkle树结构的形式进行存储并生成Merkle树根记录在区块头中,区块头中除Merkle树根之外还记录了版本号、前一区块的Hash值、时间戳、随机数及目标Hash值[ 5 ]。由于数据区块中包括了前一区块的Hash值,区块之间得以链接。区块链中还集成了非对称加密技术以实现安全性及所有权验证的需求。
网络层确保区块链节点的合法加入和有效通信,一般采用P2P网络组织节点进行数据验证和记账。某一节点生产区块数据后将其广播到其余节点,各节点将接收的交易数据存储到一个区块中,基于自身算力在区块中找到工作量证明再向全网广播;当且仅当包含在区块中的所有交易均为有效且之前未存在,其他节点才接受该数据区块并在其末尾制造新的区块以延长该链条[ 6 ]。这样的设计决定了区块链是典型的分布式技术,只要一个正常运行的节点就能完全恢复主链数据。
共识层主要封装网络节点的各类共识算法,这些算法用来确保各节点能够高效地达成关于区块数据有效性的共识。激励层提供激励相容的众包机制,其需要解决的主要问题是经济学上的激励不相容问题。为了防范某些驱利的节点采取一些不利于区块链系统维护的策略来提高自己的收益,激励层还需要策略性行为检测和动态的奖励机制优化。合约层封装区块链系统的各类脚本代码、算法以及由此生成的更为复杂的智能合约,能够实现主动或被动地处理数据,接收、储存和发送,以及控制和管理各类链上智能资产等功能。
应用层为用户提供各种区块链应用,区块链1.0时代主要是比特币应用,区块链2.0时代主要是可编程金融系统应用,区块链3.0时代主要是公共服务与社会治理领域的应用。从访问与编写的权限差异及去中心化的程度来看,目前已经演化形成了公有链、联盟链和私有链三种模式,后两种模式的中心化程度较高,可能不需要设计专门的经济激励[ 6 ]。
(二)私有链下的应用模式
企业运用区块链技术是为了满足自身的经营管理需要,构造私有链是兼顾效率与安全的首选,它一方面发挥了区块链的技术优势,另一方面又支撑了企业的自主运行,其基本架构如图1所示。在数据层,企业运用数字签名技术对所有节点的操作进行记录,利用非对称加密技术赋予各部门不同的权限。由于不同部门的操作可追溯,造假被揭露的可能性更大,而部门间分工带来的去中心化程度提升使得原始信息造假的难度更大。在网络层,企业通过构建内部局域网络来保障各部门的经营管理活动记录以及由此产生的各类信息能有效地纳入区块之中,并且为其他节点上的部门所获知。在共识层,企业规模大小及原有技术环境都会对共识机制的设计选用产生影响,目前较多使用的是Paxos算法和Raft算法[ 7 ]。在激励层,各部门无需通过传统的发币形式进行经济激励,企业内部的各种业务流程与考核机制整体上能够引导各部门达成共识。在合约层,企业预设的自动化运行程序囊括了各项政策制度、业务流程、作业标准,只要满足特定触发条件,信息的加工处理就会自行运转。在应用层,企业依据实际需要搭建具体的管理平台,如财务管理系统、库存管理系统等。
私有链环境下的记账节点为企业内部的各个部门,与传统记账模式的显着不同之处在于记账权由企业财务部门独占转变为多部门共享。私有链环境下的业务及财务处理过程如图2所示,其中的区块链技术应用大致分为两个阶段。第一阶段是交易和事项相关原始信息的记录过程。私有链中的创世区块构建可能会有多种途径,如销售部门获得新的销售订单之后建立或采购部门获得新的采购申请之后建立等。各部门在构建创世区块时需要输入相关的信息,对应的原始凭证可能来自于企业之外,也可能源自企业内部,或兼而有之。在此基础上,各部门根据业务流程构建后续的区块,相关部门根据接收的区块信息进行确认,直至交易和事项正式确认完成为止,如销售货物完成装运或采购货物完成验收等。第二阶段是会计处理与报告披露过程。对各个节点一致确认的信息,区块链系统根据事先设定的智能合约生成记账凭证以及相应的账目和报表,再次以加密形式向全网广播,各节点解密后保存完整的财务与非财务信息。
(三)联盟链下的应用模式
联盟链的实践运用较少,需要企业之外的其他实体参与,但是在揭示问题、规范管理等方面的预期效果更为显着,其基础架构也更为复杂(见图3)。在数据层,不仅封装了企业内部的各种数据信息,还将上下游企业的相关数据、银行及相关服务商的数据、政府监管部门的相关信息都纳入区块之中。在网络层,需要搭建分布式组网系统实现多元主体的有效连接,还需要接入政务数据中心确保监管所需的基础信息支持。在共识层,联盟链具有部分去中心化的构造,运用较多的共识算法如PBFT算法、SBFT算法、DBFT算法[ 7 ]。在激励层,各方主要基于强制性的制度约束或监管要求进行合作,也可能自发地签署合作协议来保障区块链运行。在合约层,触发系统运行的条件进一步涵盖了企业经营范围、经济法及税法等规范要求、各种专项业务的技术流程、各类政府监管部门的标准体系等内容要素。在应用层,搭建的应用系统除了满足企业自身需要外,还需要满足外部实体的要求或需求,如税务部门可利用区块链数据加强智能化税收大数据分析。
联盟链环境下的记账节点为企业、银行、供应商、销售商、物流企业、社会中介机构、政府监管部门等多方实体,与私有链的显着不同之处在于记账权由企业内部共享转变为企业与外部实体共享,如图4所示。与私有链相比,联盟链的实际运行呈现出两方面的典型差异。一是在基础信息的固化环节,来自企业外部的各类实体也参与记账,企业造假的难度进一步提高。以销售交易为例,在私有链环境下通常由销售部门根据销售订单建立创世区块,但是订单真伪仅由销售部门确认。在联盟链环境下,销售部门提供的销售订单需要由销售商确认无误后才能记录到区块之中。二是在信息处理环节,不仅要按照企业内部流程进行会计处理并向内部相关部门广播信息,而且要处理其他信息并对外广播。仍以销售交易为例,不仅会计处理结果要全文广播,发票开具、物流运转等信息也要对外广播。这不仅使交易活动的真实性及会计记录的可靠性更高,而且便于监管部门及社会中介开展监督、鉴证与评价工作,还有助于验证销售商的采购活动及物流企业的承运活动,从而使联盟链的构建具有一定的正向外部性。
二、区块链技术的缺陷及企业财务舞弊机会
(一)区块链的安全性问题及其对财务舞弊治理的不利影响
由于不同层级的技术基础及应用逻辑各不相同,使得区块链的安全性问题呈现出较为明显的差异。数据层面临量子计算威胁、密钥管理不当、交易关联性紧密和密码组件代码漏洞等问题,网络层面临P2P网络安全、网络拓扑被用于攻击及隐私保护等问题,共识层面临安全性证明不完备、假设不可靠、一致性不稳定以及扩展性差、初始化和重构难等问题,激励层面临激励不相容带来的节点攻击以及激励本身的不可持续性等问题,合约层面临智能合约代码漏洞、外部数据源调用、缺乏形式化验证、难实现隐私保护等问题,应用层面临跨链操作难、监管技术缺失和应用层攻击等问题[ 8 ]。上述问题对区块链技术在财务舞弊治理领域的应用产生了一系列不利影响:
第一,技术能力不足有可能颠覆区块链技术在财务舞弊治理领域的应用前景。虽然当前的数学理论、密码学解析和计算技术难以威胁区块链中运用的标准密码算法,但已有研究表明量子计算将导致现有密码算法的安全性降低甚至被攻破[ 9 ]。当前的密码学技术无法避免交易在网络传输中与用户IP地址之间的关联性,攻击者可以据此推测交易之间、交易与公钥地址之间的关系。攻击者还可以通过监测网络拓扑结构获得目标节点的路由信息并控制其邻居节点,进而限制目标节点的数据交互,导致目标节点保存的区块链视图与主网区块链视图不一致。在遭受严重的安全性攻击后,如果缺少可信第三方或外界干预,区块链无法有效复原回到受攻击前的安全状态。这些技术问题的存在,使得区块链系统不可能固若金汤,通过伪造、篡改或者隐匿信息或利用系统漏洞而获取不当或非法利益的可能性依旧存在。一旦出现严重的安全攻击并导致巨大损失,对区块链技术的信仰有可能直接坍塌。
第二,设计能力不足有可能制约区块链技术在财务舞弊治理领域的持续运用。区块链共识机制要确保稳定的一致性,必须具有良好的网络环境、严格受限的敌手能力和强安全性假设, 在实际应用中很难全方位全过程保障。当某一(些)节点掌握多数算力或权益的时候,安全性假设很容易被打破。由于各节点采取自身利益最大化策略开展行动,当其利益导向与区块链系统整体利益不一致时,就可能采取自私挖矿(Selfish Mining)、扣块攻击(Withholding attack)等行为。这些行为在非法攫取他人利益的过程中直接破坏了激励机制,也削弱了系统的可拓展性和算力资源。智能合约的语言脚本编写难免出现纰漏,进而带来时间戳依赖攻击、操作异常攻击、Gas限制等威胁。这些设计问题的存在,使得区块链系统不可能尽善尽美,各种漏洞难以全面消除。如果难以精准高效地查漏补缺,财务舞弊治理的效果就会大打折扣。
第三,管理能力不足可能丧失区块链技术在财务舞弊治理领域的既有优势。现代密码学技术带来的数据安全首先要求密钥安全,但是本地存储、离线存储和托管钱包都可能出现密钥泄露或丢失的问题,使得区块链的技术优势荡然无存。一旦密钥被盗,区块链不可篡改的技术优势必将导致经济损失无法挽回。为了保证运行的安全性,区块链系统中应当内嵌一套可以提供非法行为监测、追踪、分析、追责的监管方案。然而去中心化、不可篡改、匿名等技术特点提高了监管难度,现有监管技术难以从根本上遏制敲诈勒索等犯罪行为。即便企业财务舞弊治理通常不会采用公有链的应用模式,上述问题也无法完全消除。企业如何加强技术管理能力,是否需要政府执法机关介入区块链运行监管等问题仍将长时间困扰各方。
(二)区块链环境下潜在的财务舞弊机会分析
1.从技术根源看财务舞弊机会
就共性而言,在区块链技术的运用环境下仍然存在一系列财务舞弊机会:一是通过节点间的共谋使得恶意错报成为共识。区块链的共识机制提供了一定的容错能力来确保各个节点就区块数据达成一致的共识,如PoW算法允许不超过1/2的节点失效或恶意攻击,PBFT算法允许不超过1/3的节点失效或恶意攻击[ 10 ]。尽管单个节点掌握大部分算力的可能性不大,但是节点间的共谋很可能实现对区块数据的伪造或篡改,使得那些隐藏了财务舞弊的基础信息被固化成为系统共识。二是通过盗取用户隐私实现资产侵占。除了前文提及的密钥窃取等数据隐私威胁带来的舞弊机会外,攻击者还可能针对网络层或应用层实施攻击,获取各个节点的基本信息及具体的交易信息,甚至直接获得用户的账户控制权,从而实施资产侵占行为。三是通过对智能合约的恶意攻击掩盖财务舞弊行为。攻击者可以对智能合约或合约虚拟机发起攻击,通过非正常的合约调用实现非法获利[ 11 ]。此时,原本能在系统流程中被识别的舞弊行为将被自动认定为规范行为,并隐藏在系统误认为正确的会计记录及财务报告中。
就个性而言,上述机会在不同的区块链应用模式下呈现出不同的特征。一是节点间的共谋在私有链环境下更易实现。私有链上的节点数量相对较少,各节点之间的日常交往更为密切,自发形成共谋的可能性更大。更有甚者,企业管理层乃至治理层出于粉饰报表等目的有可能指使各节点实施系统性的造假行为。联盟链上的节点不易被企业所控制,实施财务舞弊的可能性较小,但也可能出现上下游企业之间、关联方企业之间、企业与中介机构等市场主体之间乃至企业与政府部门之间的合谋。二是安全性问题带来的舞弊机会在联盟链环境下更加凸显。联盟链环境下针对网络层的攻击隐患更大,那些安全性较差的节点将影响联盟链的整体安全。联盟链作为一种具有典型“俱乐部产品”特征的系统,提升其整体安全性的成本难以有效地识别并在各节点之间进行分摊。缺乏提高整体安全性的内在激励必然导致安全隐患不仅无法全面识别,而且难以有效根除,使得财务舞弊行为更加难以防范。三是联盟链环境下更易出现非常规领域的财务舞弊行为。与私有链的量身定制不同,联盟链的智能合约设定及应用系统设计必然需要综合权衡各个节点的现实需要与实际能力来确定,通常只能适应常规的业务领域和流程操作。对非常规领域的活动,其他节点缺乏足够的信息或知识来验证其真伪,也难以有效揭示相关的财务舞弊行为。
2.从实施行为看财务舞弊机会
在编制虚假财务报告方面,企业特征与内部控制对舞弊机会的形成具有重要影响。一是企业所处行业领域或其业务性质为编制虚假财务报告提供了机会。当企业具有显着的行业地位时,有可能对供应商或销售商提出不恰当的强制性要求,从而导致不公允的交易被记录在区块链中。要达到同样的目的,企业还可以利用关联方企业操控一些超出正常经营范围或者合理价格的重大关联交易。此外,企业还可以人为地构建甚至捏造异常或高度复杂的交易,或者将那些需要专业判断的重大会计估计事项纳入区块数据,使得其他节点仅能通过“形式”而非“实质”来验证交易和事项。二是企业利用区块链系统结构的复杂性或不稳定性为编制虚假财务报告创造机会。企业有可能将会计师事务所等社会中介纳入区块链系统,通过审计意见购买等方式获得“专业背书”,从而博取其他节点的信任。同时,区块链系统的操控人员一旦变更,就有可能为企业编制虚假财务报告提供较短的“窗口期”。三是内部控制缺陷为企业提供了编制虚假财务报告的机会。如果对智能合约等自动化控制的监督不够充分、搭载的会计信息系统存在缺陷或相关专业技术人员缺乏必要的胜任能力,就无法有效防范或修正虚假财务报告。
在侵占资产方面,资产特征与内部控制对舞弊机会的形成具有重要影响。一是区块链安全问题增加了数字资产被侵占的可能性。既有研究已经就区块链技术本身的安全问题及典型案例进行了较为全面的分析,企业应用中还可能出现程序编写与审查等方面的漏洞、技术风险监管机制及应对手段方面的缺失等具体问题,进一步放大了企业数字资产被侵占的可能[ 12 ]。二是实物资产、权益资产的数字化“上链”增加了传统资产被侵占的可能性。为了在区块链系统中实现数据的可信传递,企业必须把物权、债权、股权等传统资产进行数字化,基于智能合约的资产数字化技术已经成为便捷的资产流通途径[ 13 ]。数据共享程度的提高往往导致企业对其自身数据的控制权弱化,隐私信息保护问题面临着严峻的挑战,企业资产被侵占的风险不可忽视。三是不当的内部控制可能扩大企业资产被侵占的可能性。譬如,对实物资产的保管措施不充分且未进行及时完整的核对调节,使得实物资产被实际侵占,而区块链上的数字信息仍然显示正常。再如,对交易和事项的授权审批制度不完善,缺乏必要的职责分离或独立审核,员工既负责资产管理又负责区块数据的维护管理,从而滋生营私舞弊的可能。
三、区块链环境下与财务舞弊机会相关的审计策略
(一)调适总体审计策略
第一,在确定审计范围方面需要考虑区块链技术应用对审计取证的要求。一是掌握区块链技术应用对审计程序的影响。审计人员需要熟悉区块链技术安全性问题带来的财务舞弊机会,了解区块链技术在企业中的应用模式、应用范围及其对资产管理和财务报告的影响,明确审计取证所需数据的可获得性以及所需技术的可实现性。二是获取服务机构内部控制有效性相关证据的考量。企业不仅使用区块链服务平台的服务,而且需要利用上下游企业、银行、社会中介乃至政府部门等外部机构的服务。审计人员需要获取必要的证据以了解服务机构提供的服务及其对企业内部控制的影响,并通过设计与实施必要的审计程序作出恰当的应对。三是关注数字资产的形成、交易、保管及其会计处理问题,以及传统资产数字化的技术安全问题。审计人员既要获取有关区块链服务技术、流程、监管等证据,又要获取与资产余额、列报及披露相关的证据。
第二,在制定沟通安排方面需要考虑区块链技术应用对审计沟通的要求。一是与企业管理层、治理层及关键岗位员工的沟通安排。审计组需要了解企业应用区块链技术的总体战略与具体举措,了解区块链环境下的会计处理及财务报告流程及相关内部控制,了解过往已经发现的财务舞弊行为及后续处理情况。二是与区块链服务机构及其他第三方的沟通安排。当无法从企业获得充分的了解时,审计组应当通过企业联系相关的服务机构以获取特定信息,或者访问服务机构并实施必要的审计程序。三是审计组的内部讨论安排。审计人员应当就区块链环境下的财务舞弊机会进行讨论,使得审计组全体成员能够充分认识财务舞弊的潜在方式与重点领域,共同研究适当的应对措施并确定审计组成员的内部分工。
第三,在确定审计方向方面需要考虑区块链技术应用对审计重点的影响。一是考虑区块链技术应用对初步风险识别的影响。审计组应当基于区块链技术特性及以往已经发生的财务舞弊典型案例,初步识别财务舞弊风险较高的领域,向审计组全体成员强调保持职业怀疑的必要性。二是考虑区块链技术应用对内部控制的影响。区块链技术被认为能够在总体上降低控制风险[ 4 ],但它在技术、管理及操作等方面的风险因素不可忽视,管理层凌驾于控制之上的风险始终存在。审计组应当了解与区块链应用相关的内部控制设计、运行与维护情况,关注由控制缺陷带来的财务舞弊机会。三是考虑区块链技术应用引发的企业经营管理领域的重大变化。审计组需要了解区块链技术应用带来的企业业务流程改造以及关键管理人员与技术人员变化,关注由此带来的财务舞弊机会。
第四,在配置审计资源方向方面需要考虑区块链技术应用对审计胜任能力及项目组织统筹的影响。一是加强财务舞弊相关领域的审计资源投入。对初步识别财务舞弊风险较高的领域,需有针对性地委派具有胜任能力与适当经验的审计人员,必要时可以就区块链应用相关的复杂问题利用专家工作。二是加强审计过程中的审计资源统筹。审计组既要基于审计目的与审计目标统筹审计资源配置,又要根据财务舞弊的特性重点在资产负债表日前后实施实质性程序。在此过程中,还要对审计工作督导及质量复核提出更高的质量要求。
(二)优化具体审计计划
第一,识别区块链环境下的财务舞弊机会。一是充分认识区块链环境下的财务舞弊机会生成框架。区块链技术的应用一方面提高了数据的真实性、完整性以及监管的有效性,从而扼杀了部分财务舞弊机会;另一方面由于技术安全性问题而产生了新的财务舞弊机会。审计人员要在区块链技术的固有局限上,认识企业选用的区块链应用模式的共性问题,结合对企业内部控制的了解情况,筛选并确定具体的财务舞弊机会。二是设计必要的审计程序发现财务舞弊机会。审计人员应当通过询问的方式了解管理层识别、评价及应对财务舞弊风险的过程与结果,了解治理层对管理层识别、评价及应对财务舞弊风险行为的监督以及治理层为降低财务舞弊风险而建立的内部控制,了解管理层、治理层及其他员工是否知晓相关的舞弊事实、嫌疑或指控。审计人员还应当通过文件检查、穿行测试等技术方法,利用审计组内部讨论及以往审计所取得的经验,综合判断是否存在因为区块链技术应用而引致的财务舞弊机会。
第二,评估由财务舞弊机会导致的财务舞弊风险。一是评价内部控制的影响。对于高度自动化处理的区块链技术应用,审计人员应当了解企业是否建立相关内部控制用以遏制财务舞弊机会,并且评估其有效性。二是评价其他舞弊风险因素的影响。以舞弊三角理论为例,财务舞弊行为的发生受到动机(或压力)、机会、态度(或借口)等多重因素的影响,财务舞弊风险评价应当综合考虑上述因素。审计人员需要综合运用观察、询问、检查、分析程序等技术方法,具体了解企业及其员工的舞弊动机与态度,评估舞弊动机与态度对财务舞弊风险生成的调节作用。三是评估管理层凌驾于控制之上实施舞弊行为的可能性。这些行为包括但不限于:与其他节点共谋,篡改真实的交易记录或作出虚假的会计分录,实现操纵经营成果或侵占企业资产等目的;构造复杂交易误导相关节点,实现歪曲财务状况或经营成果等目的;篡改智能合约中有关会计假设、会计估计、会计政策等条款内容,实现粉饰报表余额或歪曲披露事项等目的。
第三,制定区块链环境下的财务舞弊风险应对措施。一是针对性地完善总体应对措施。在指派和督导审计组成员时,需要重点考虑审计人员的区块链知识和审计专业技能要求。审计人员需要评价区块链技术应用对企业资产管理及会计处理的影响,评估会计政策选择与智能合约设计是否合理。二是针对舞弊易发高发领域制定综合性方案应对措施。在编制虚假财务报告方面,需要重点关注企业利用区块链技术虚构现金交易与货币资金、虚构存货、虚增或提前确认收入等方式粉饰报表,利用区块链金融工具与金融产品或区块链节点中的关联方实施舞弊。对上述可能出现的关联方实施专项审计程序,一方面对企业关联方与关联方交易管理中的相关内部控制有效性进行测试,判断区块链环境下企业关联方相关内部控制是否存在重大内部控制缺陷;另一方面对企业关联方识别与关联方交易会计处理的恰当性和信息披露的充分性开展实质性测试,以判断财务报表中是否存在关联方交易相关的重大错报。在侵占资产方面,需要重点关注利用区块链技术侵占货币资金、账外存货、隐瞒收入等活动,利用区块链攻击侵占数字资产,或变相将企业资产转移至区块链节点中未对外披露的关联方。审计人员需要先运用文件检查、访谈、穿行测试等程序了解与测试企业和上述资产侵占相关的内部控制,在此基础上,进一步综合运用文件检查、实物监盘、函证、分析程序、走访或实地调查等方法判断业务事项与商业逻辑的合理性,跟踪区块链数据的生成、沟通、确认及保管等过程,查验资金流、实物流、信息流的匹配情况,验证交易记录及余额列报的真实性与准确性。三是针对管理层凌驾于控制之上的风险制定应对措施。审计人员应当测试会计分录是否适当,复核会计估计是否存在偏向,评价编制报表时作出的调整是否合理、重大交易的商业理由是否充分,进而确认相关活动的最终目的与实际结果是否属于财务舞弊。
(三)应对审计发现的舞弊或舞弊嫌疑
第一,评价舞弊或舞弊嫌疑对审计工作的影响。一是重新评价舞弊风险及其对风险应对程序的影响。审计人员应当根据已经发现的舞弊或舞弊嫌疑来修正前期的舞弊风险评估结论,进而评价前期制定的风险应对程序的性质、时间安排及测试范围是否恰当。当审计人员认为与区块链技术运用相关的内部控制存在缺陷或已经失效的时候,应当追加审计程序或扩大审计范围。鉴于舞弊不大可能孤立发生,审计人员应当“举一反三”,将已发现舞弊或舞弊嫌疑相关的交易事项纳入重点审计范围,必要时可测试整个会计期间内的相关交易事项与会计活动。二是重新考虑已获取的审计证据的可靠性。审计人员应当重新评价区块链环境下生成的各种记录是否可靠,尤其是企业内部生成的或依据区块链上容易被操控的节点所确认的数据信息。如果舞弊或舞弊嫌疑涉及员工与管理层、企业与第三方等的串通舞弊,审计人员应当关注共识机制和(或)激励机制失效的可能性,合理怀疑智能合约与会计系统的输入数据可靠性问题;如果舞弊或舞弊嫌疑涉及管理层或治理层,审计人员应当评估管理层或治理层出具的书面证明的可靠性。三是重新评价舞弊或舞弊嫌疑对审计意见的影响。以财务报表审计为例,如果在实施充分的审计测试之后发现存在导致重大错报的舞弊行为,或者无法确定是否存在由舞弊导致的重大错报,审计人员应当出具非标准审计意见。
第二,加强与企业及外部机构的沟通。一是加强与企业的沟通。审计人员应当及时与企业管理层沟通已发现的企业员工舞弊或舞弊嫌疑事项,沟通对象在行政级别上应当比(涉嫌)舞弊人员更高。如果审计发现(涉嫌)舞弊人员涉及管理层,或者审计认为管理层未能恰当处置已经识别出的(涉嫌)舞弊行为,抑或审计认为控制环境不利于抑制区块链环境下的舞弊风险时,还应当与企业治理层进行沟通。二是加强与企业之外的适当机构之间的沟通。如果相关法律法规要求审计人员向外部机构作出报告,或者审计人员的法律责任与职业道德要求向外部机构作出报告,审计人员应当基于规范程序向企业之外的适当机构报告已发现的(涉嫌)舞弊行为。
【参考文献】
[1] 乔鹏程,李思雨.区块链提升会计信息质量的路径与作用机理研究[J].财会通讯,2022(11):15-19,117.
[2] 罗斌元,郭小雨.区块链审计模式:机制、架构及路径[J].中国注册会计师,2022(9):69-74.
[3] 陈雪仪.基于区块链技术的智能审计系统的构建及应用[J].中国注册会计师,2023(2):77-81.
[4] 张宜霞,李高,万蔓依,等.区块链环境下财务报表审计面临的挑战与对策[J].会计之友,2022(20):155-161.
[5] 邵奇峰,金澈清,张召,等.区块链技术:架构及进展[J].计算机学报,2018,41(5):969-988.
[6] 袁勇,王飞跃.区块链技术发展现状与展望[J].自动化学报,2016,42(4):481-494.
[7] 谭朋柳,王润庶,曾文豪,等. 区块链共识算法综述[J].计算机科学,2023,50(S1):691-702.
[8] 韩璇,袁勇,王飞跃.区块链安全问题:研究现状与展望[J].自动化学报,2019,45(1):206-225.
[9] CHEN L,JORDAN S,LIU Y,et al.Report on post-quantum cryptography,NIST interagency/internal report (NISTIR)[R].National Institute of Standards and Technology,Gaithersburg,MD,2016.
[10] 曹雪莲,张建辉,刘波.区块链安全、隐私与性能问题研究综述[J].计算机集成制造系统,2021,27(7):2078-2094.
[11] 田国华,胡云瀚,陈晓峰.区块链系统攻击与防御技术研究进展[J].软件学报,2021,32(5):1495-1525.
[12] 曾雪云,陈泓旭,赵涔.源于区块链技术漏洞的数字资产盗用风险与管理改进:以The DAO为例[J].财务与会计,2022(16):34-37.
[13] 朱旭光,邢春晓,李雯晴,等.交易数据全生命周期区块链隐私保护评估方法[J].应用科学学报,2022,40(4):555-566.
