区块链越来越受欢迎,加上区块链从根本上改变了许多业务流程的处理方式,这为内部审计提出了一个重要问题:专业人员应采取哪些步骤来应对这种转型技术? 区块链是一个共享数据库,用于创建永久的交易记录。数据库通过带有多个相连设备的网络来共享,这些设备被称为“节点”。每当添加新交易时,网络上的所有其他节点都可立即更新并查看。此外,交易的结构设计使人们无法更改先前的记录。 区块链最初的突出优势源于它作为比特币等数字货币的底层技术。此外,该技术在各种业务流程和实体中还有许多其他应用。随着这些应用变得更加普遍,内部审计作为风险管理的第三道防线将直接受到影响。 区块链技术的某些属性和特性为许多新的、有前景的应用开辟了可能,这些应用涉及广泛的行业,从金融服务到医疗保健、从软件开发到制造业和食品生产,甚至更多。然而,在许多方面,企业范围内的区块链应用程序仍然不断出现。有证据显示,虽然一些内部审计部门正在对所在公司采用区块链做出反应,但整个行业在这方面还没有发挥主导作用。 可以肯定的是,在区块链具有最明显愿景的行业中,一些大的组织正在采取行动,以解决与该技术相关的审计挑战。然而,由于区块链交易的记录被认为是不可更改的,而且区块链交易对所有参与者都是立即可见的,因此在不同程度上存在一种误解,即认为对与区块链相关的保证活动的需求是有限的。 但是,大多数内部审计人员最终将受到区块链技术的直接和显著影响。即使他们的组织不采用区块链技术,但他们的供应商、客户或其他第三方也可能采用(如智能合约),这将使他们有必要解决相关技术问题。由于可能被要求利用新方法和工具来验证区块链的结构和可行性、评估区块链交易对其组织风险敞口的影响以及评估与区块链交易相关联的风险管理工作的适当性和有效性,内部审计人员至少需要掌握区块链技术功能和风险等相关知识。 “区块链和内部审计”研究报告旨在为各类组织的内部审计人员提供评估当前区块链技术水平的基本框架、提供制订审计计划的路线图,以解决遇到的区块链问题。 一、区块链的相关性 区块链的特征之一是它能够创建旨在不可更改的永久性交易记录,同时还具有网络透明和弹性。透明是因为没有参与者可以对现有记录进行任何更改,弹性是因为单个节点(甚至一组节点)的故障不会导致数据丢失。在需要单一、共享和不可更改的真实版本的情况下,这些特征具有明显的价值。 (一)区块链和其他技术 作为“第四次工业革命”的一部分,诸如人工智能、机器学习、机器人处理自动化、高级数据分析、增材制造(或3D打印)和物联网等数字技术,区块链有彻底改变许多业务流程(甚至整个行业)的潜力,而且当它与其他类型的数字技术相结合时,每种技术的个体影响可以成倍增加。例如,物联网连接设备允许医疗保健提供者实时远程监控患者状况——这是一项重要的进步。但是,使这些物联网功能更可行的是底层的区块链基础设施,它还可以验证物联网传感器正在生成的有效、真实信息,而没有人对这些信息进行篡改。 这种数字技术的融合有可能通过支持互操作性、机器对机器通信和新的网络物理系统来创建全新的业务模型。在某些情况下,这种融合可以创造新的收入机会。在大多数情况下,它通过允许以更快的速度和更低的成本完成现有交易,从而为提高效率创造了机会。 (二)不断变化的风险环境 尽管这些技术进步令人着迷,但它们的变革性和演变性给内部审计带来了特殊的挑战。没有任何两个组织以相同的方式处理这些功能,也没有任何组织可能只使用基于区块链的技术。区块链应用程序将在不同的位置以不同的方式与更传统的流程进行接口。 这些广泛变化的场景意味着内部审计将需要适应涉及众多数字技术应用程序的不同程度的交互和复杂性。要做到这一点,内部审计需要开发具有多种技术专长的资源,并需要创建一个能够随着区块链不断发展而迅速适应的协作环境。 二、区块链技术的运用 内部审计人员没有必要完全掌握区块链的所有技术工作,以认识到它可能给内部审计带来的潜在好处和挑战,但对以下基本概念有一个了解是有益的。 (一)公共和私人区块链 如前所述,区块链是分布在计算机网络多个节点上的共享数据库。区块链可以向公众或私人开放(即只对选定的参与者开放)。 每种区块链都提供各种用户可以采取的操作类型。某些情况提供“无授权”(permissionless)访问,允许用户读取、写入和验证交易,通常用于公共网络,如那些能够交换加密货币的网络。 其他情况提供“许可”(permissioned)访问,这限制了某些参与者的可能行为。许可访问通常与私有区块链网络相关联。大多数企业区块链(公司用于非加密目的)是私有的、许可的区块链。 私有区块链由同意参与共享的组织建立,这些组织包括大型制造商及各种供应商、控股公司及其子公司或支付处理网络及参与成员公司。建立网络的公司或财团管理网络并控制访问。 私有区块链网络提供了许多好处,这些好处对许多类型的企业都具有显著优势。区块链通过几种不同的方法在系统参与者和消费者之间建立信任,为流程、输入、过程或功能的其他方面提供所有相关方的透明性。这种透明性可以扩展到整个过程,从原材料生产者到消费者。此外,添加到区块链的交易不是通过可能受到影响或损坏的人工输入来验证的,而是通过分布在多个节点之间公正的数学方法来验证,以确认交易是否满足预先确定的条件。 (二)智能合约 区块链使用作为软件代码开发的业务流程执行交易,这些业务流程被称为智能合约。智能合约要求在下一个交易发生之前必须满足特定的合约期限或条件,它们还使自动化监测和执行合同承诺成为可能,使人力干预最少化,从而提高效率并改善以较少的额外投资扩大业务的机会。例如,在金融服务领域,以往为存货融资的某些商业贷款受到限制,因为需要进行现场审计,并对销售记录和存货进行实际核查。但当使用区块链技术时,贷款人可以使用智能合同来执行贷款条款,并自动执行销售验证过程。该功能降低了执行物理审计的成本和约束,并且显著降低了舞弊的可能性。