《加密数字货币审计问题分析》

加密数字货币审计问题分析

【摘要】近年来，加密数字货币发展迅速，币种繁多，交易量巨大，上下游产业链日渐完善，对其进行审计是一项新兴的、具有挑战性的工作。基于区块链技术的加密数字货币具有分布式记账、交易记录不可篡改和匿名性等技术特点，以这些特点为出发点，从加密数字货币审计业务的承接、审计目标和审计应对等方面展开分析，建议审计师在确认交易真实性、完整性等时可以借助区块链技术并利用区块链浏览器和默克尔树等工具，同时指出区块链技术所带来的数字货币所有权和截止确认等问题上的风险。最后，探讨安全风险评估、场外交易以及涉税问题并进行总结与展望。

【关键词】加密数字货币；区块链技术；审计；区块链浏览器；默克尔树

一、研究背景

近年来，以区块链（blockchain）为底层技术的加密数字货币（cryptocurrency，简称“数字货币”，由于数字金币、网络游戏币等虚拟货币也属于广义的数字货币，但没有运用区块链技术，因此不在本文探讨范围内）发展迅速，引发了空前的投资热情，催生了首次代币发行融资（initialcoinoffering，简称“ico”）等新型融资模式，以及供投资者买卖数字货币的交易所和场外交易平台等。据中国人民银行发布的《中国金融稳定报告（2018）》统计结果，2017年年末，全球数字货币币种达到1335种，总市值突破5700亿美元。在数字货币中最具代表性的比特币（bitcoin）经历了2018年的价格下挫后，在2019年2月月底，市值依然高达680亿美元。如今，数字货币行业已形成较完整的上下游产业链，包括数字货币发行、挖矿、交易和存储等基本环节，也衍生出矿机生产、矿场和矿池运营、场外交易、数字货币托管、数字货币投资理财、数字货币钱包开发等相关业务。数字货币行业内企业基于业务开拓、股权融资和获得征信等需求，聘请外部审计师对其财务报表等进行审计。2018年，以生产比特币矿机而闻名的北京比特大陆科技有限公司（简称“比特大陆公司”），聘请毕马威会计师事务所作为申报会计师，为其向香港联交所提交的招股说明书中的财务报表数据提供审计服务。同年，欧洲数字资产管理公司iconomi聘请德勤华永会计师事务所对其偿付能力做出鉴证。那么，对数字货币行业内企业以及数字货币交易进行审计，需开展哪些不同于传统审计的工作呢。本文试图根据数字货币的技术特点，并结合某些业务模式，从审计业务的承接、审计目标和审计应对以及其他关注事项等方面对数字货币相关审计问题展开探讨。

二、数字货币技术简介

数字货币最重要的底层技术是区块链技术。区块链是一种处理增量数据记录与存储的分布式记账技术，通过去中心化、去信任中介的方式，利用计算机网络中的所有节点来维护信息的安全性和可靠性。该技术方案主要是将数据区块通过密码学方法相互关联，每个数据区块记录一定时间内的所有系统交易信息的副本，通过数字签名验证信息的有效性，并链接到下一个数据区块而形成一条主链[1]。区块链中的每一个区块均带有一个时间戳，使得若要对离当前时刻越远的区块进行修改就需要与越多的参与者达成共识，篡改难度也就越高。因此，作为区块链技术应用之一的数字货币具有了分布式记账、记录不可篡改、匿名性、可跨境流动和数量既定不会超发等特点。以比特币为例，2008年中本聪发表的比特币论文《比特币：一种点对点的电子现金系统》中写明了该币的产生机制，即利用计算机的运算能力解答复杂的加密方程来参与交易验证，当此解答被接受后，就能获得新开采的一定数量的比特币作为区块奖励，同时，新的交易区块能够被添加到主链中。在比特币区块链中，任何人可查看记录比特币交易情况的账簿，且每台计算机维护着自区块链开始每项交易的完整记录。由于单台计算机解答加密方程的效率低且难度大，数字货币行业中衍生出了矿场和矿池，将计算机算力聚集在一起进行运算。数字货币钱包是储存数字货币的工具，它提供了钱包地址的创建、转账、交易历史的查询等基础金融功能。数字货币的持有者可以将数字货币出售或者兑换成其他利益，兑换需求促使了数字货币交易所和场外交易平台的产生。

三、数字货币审计业务的承接

在审计业务承接阶段，审计师需要从以下几个方面入手：

1.了解客户持有和交易数字货币的目的，高度关注业务活动的合法性。数字货币行业涉及的业务多样，不同的国家和地区对不同的业务有各自的监管要求。审计师需要了解客户所在国家和地区对数字货币业务的具体规定，明确业务活动的合法性，对严令禁止的业务活动予以警惕。例如，在我国大陆地区，根据2017年中国人民银行等七部委发布的《关于防范代币发行融资风险的公告》，首次代币发行融资（ico）不具有合法性。然而，在我国香港，部分ico活动属于合法证券发行行为，可纳入证券法律监管框架。再例如，在我国开设数字货币交易所不是合法活动，而在日本，数字货币交易所可以在金融厅注册登记，获得许可即可运营。此外，无论客户在何地，审计师都须明辨伪数字货币业务，识别那些打着“数字资产创新”“区块链”等旗号的非法集资、传销和诈骗活动。因此，审计师需要了解客户的股东和高级管理层的诚信情况，他们是否有参与非法业务的历史，必要时对客户的股东和高级管理层展开深度背景调查。

2.对客户所涉数字货币业务相关内部控制进行初步评估。除常规审计需要关注的内部环境、风险评估、控制活动、信息与沟通以及内部监督等方面之外，还需特别关注与数字货币相关的内部控制流程，包括但不限于数字货币钱包层级设置、数字货币钱包的管理权限设置、反黑客的技术手段等。尤其对于那些数字货币是其重要资产的客户，数字货币的安全性管理是第一要素。基于区块链的匿名性和数字货币转移的便利性，如果缺乏数字货币安全管理的系列方法，企业将面临巨大的风险。

3.评估自身对数字货币业务进行审计的胜任能力。数字货币行业属于新兴产业，随着技术的革新和商业模式的创新，新业务层出不穷。对数字货币行业缺乏了解可能是审计师对该行业进行审计的最大障碍。审计师需要了解该行业的概况、产业链价值分布、区块链基本原理，知晓行业术语，掌握必要的信息技术，创新审计技术方法。审计师还可以利用信息技术专家的工作，有助于其理解数字货币交易发行和交易原理，从而获取充分、适当的审计证据。

四、数字货币审计目标和审计应对

根据财务报表审计总目标，确定数字货币项目的具体审计目标时，本文建议审计师关注以下几个方面：

1.真实性。审计师须验证涉及数字货币各类交易和事项的发生以确定已记录的交易是真实的，且期末账户显示数字货币是存在的。数字货币所依托的区块链技术采用的是分布式记账，即区块链上所有节点都会参与新数据的录入工作，并且也都参与数据的更新和维护。分布式记账保证了数据记录具有高度安全性，不易被篡改[2，3]。若试图更改区块链上的记录或者阻止新的记录被记录在区块链上，需要联合全网一半以上的算力，亦称为“发起51%攻击”。发起51%攻击的难度极高，可能性极小，因此，一般认为被记录在区块链上的记录是真实的。分布式记账为查阅区块链上的记录提供了技术支持，审计师可以借助区块链浏览器（blockchainex⁃plorer）来验证数字货币钱包交易和数字货币钱包余额。区块链浏览器是提供账户查询、区块查询和交易查询的工具。审计师只需输入某钱包地址或某笔交易id，就可以查询到此钱包的余额和任意一笔交易的详细信息。例如，在某区块链浏览器上查询地址为“3jvjgoylv7q4tda35boxeazarrk6atnedg”的比特币钱包的余额和历史交易情况，查询结果显示，该比特币钱包余额在查询时为零，该钱包曾于2017年12月30日分别转入和转出过249.296599枚比特币，这两笔交易的发生均被记录在区块高度（某区块在区块链中的位置）为501741的区块上。在查询时，这两笔交易已经得到了64395块区块的确认，随着时间的推移，它们将得到更多的区块确认。在对数字货币交易所或者数字货币管理平台进行审计时，笔者建议审计师借助默克尔树（merkletrees）。默克尔树是存储哈希值（即hash值，是通过对数据进行加密运算得到的数值）的二叉树，又称为哈希树。下图简单展示了默克尔树的原理。首先，一个任意长度的数据通过哈希算法映射成固定长度数据的函数，例如a1转化为b1。哈希值放置于默克尔树的叶子节点上，叶子节点的值两两运算得到新的哈希值，例如b1和b2运算得到c1。然后，层层递归，最终得到默克尔树根节点，即图中的root。新记录的生成先影响默克尔树某个叶子节点，最终影响默克尔树的根节点。默克尔树的运算原理保证了审计师能识别未经授权的记录篡改行为。在运用默克尔树进行审计的过程中，审计师的关注点不再是逐一对各笔交易记录进行复核，而是关注哈希值生成的合理性，以及各级叶子节点运算的正确性。在对欧洲数字资产管理公司iconomi的用户持有的数字货币进行鉴证的过程中，德勤华永会计师事务所就采用了默克尔树。他们利用用户账号和持有的数字货币余额数生成随机审计编号，再通过哈希sha256算法将用户账号、持有的数字货币余额数和随机审计编号三者联合生成哈希值。这一哈希加密过程保障了iconomi的用户数据的匿名性，审计师在不接触用户账号的情况下获得了所有用户数据。随后，审计师检验了默克尔树各级叶子节点计算的正确性，并公开了最终的根节点值。iconomi公司的用户可以借助该公司的查询平台，输入自己的账号，查询默克尔树的部分叶子节点值以及最终的根节点值。如果得到的根节点值与德勤公开的根节点值一致，则说明所持账号显示的数字货币资产是真实、完整的2.完整性。审计师须验证数字货币各类交易和事项发生的完整性以及期末余额所显示数字货币的完整性。如上文所释，在区块链上的交易经过区块的确认，被永久地写入区块链数据中，除非发起51%攻击才能修改、删除这些记录。基于分布式记录原理，借助区块链浏览器，审计师可以核实某特定钱包地址的交易完整性。然而，这仅是针对特定钱包进行的审计。每个人可以拥有多个数字货币钱包地址，开具多个数字货币账户。如果被审计单位未提供完整的数字货币钱包清单，审计师无法核实数字货币钱包的数量，未知账户的存在性难以确定。

[3]樊斌，李银.区块链与会计、审计［j］.财会月刊，2018（2）：39~43.

[4]蹇薇，夏玉梅.数字货币相关会计问题探讨［j］.会计之友，2018（23）：120~125.

[5]黄智文.对比特币市场税收管理的思考和建议［j］.税务研究，2018（7）：110~115.