云顶财说 | 加密数字货币审计问题研究

论坛 期权论坛 期权     
云顶财说   2020-3-28 02:12   460   0
编者按
新华社北京10月25日电中共中央政治局10月24日下午就区块链技术发展现状和趋势进行第十八次集体学习。中共中央总书记习近平在主持学习时强调,区块链技术的集成应用在新的技术革新和产业变革中起着重要作用,我们要加快推动区块链技术和产业创新发展。受该消息以及其他利好消息共同影响,以区块链技术为底层技术的加密数字货币龙头比特币25日至26日价格急速攀升,涨幅曾一度超40%,价格突破1万美元大关,后小幅回落。本文试图根据数字货币的技术特点,从审计业务的承接、审计目标和审计应对以及其它关注事项等方面对数字货币相关审计问题展开探讨。原文载于《财会月刊》2019年第19期,本文对此有删节。


加密数字货币审计问题研究蹇薇1  夏玉梅2
1厦门国家会计学院   2中审众环会计师事务所



一、研究背景

近年来,以区块链(blockchain)为底层技术的加密数字货币(cryptocurrency)发展迅速,已形成较完整的上下游产业链,包括数字货币发行、挖矿、交易和存储等基本环节,也衍生出矿机生产、矿场和矿池运营、场外交易、数字货币托管、数字货币投资理财、数字货币钱包开发等相关业务。数字货币行业内企业基于业务开拓、股权融资和获得征信等需求,聘请外部审计师对其财务报表等进行审计。2018年,以生产比特币矿机而闻名的中国比特大陆公司,聘请毕马威会计师事务所作为申报会计师,为其向香港联交所提交的招股说明书中的财务报表数据提供审计服务。同年,欧洲数字资产管理公司iconomi聘请德勤华永会计师事务所对其偿付能力做出鉴证。



二、审计业务的承接

在审计业务承接阶段,审计师首先需要了解客户持有和交易数字货币的目的,高度关注业务活动的合法性,对严令禁止的业务活动予以警惕。例如,在我国大陆地区,根据2017年发布的《关于防范代币发行融资风险的公告》,首次代币发行融资(ICO)不具有合法性。然而,在我国香港,部分ICO活动属于合法证券发行行为,可纳入证券法律监管框架。再例如,在我国大陆地区,开设数字货币交易所亦非合法活动,而在日本,数字货币交易所可以在金融厅注册登记,获得许可即可运营。此外,无论客户在何地,审计师都须明辨伪数字货币业务,识别那些打着“数字资产创新”“区块链”等旗号,实则开展的非法集资、传销和诈骗活动。因此,审计师需要了解客户股东和高级管理层的诚信,是否有参与非法业务的历史,必要时,对股东和高级管理层展开深度的背景调查。


其次,审计师需对客户所涉数字货币业务相关内部控制进行初步评估,除常规审计需要关注的内部环境、风险评估、控制活动、信息与沟通以及内部监督等方面外,需特别关注与数字货币相关的内部控制流程,包括但不限于数字货币钱包层级设置、数字货币钱包的管理权限设置,反黑客的技术手段等。尤其对于数字货币是其重大资产的客户,数字货币的安全性管理是第一要素。基于区块链的匿名性和数字货币转移的便利性,缺乏数字货币的安全管理方法,企业将面临巨大的风险。


再次,审计师需要评估自身对数据货币进行审计的胜任能力。数字货币行业属于新兴产业,随着技术革新和商业模式创新,新业务层出不穷。对行业缺乏了解可能是审计师对数字货币行业进行审计的最大障碍。审计师需要了解该行业概况、产业链价值分布、区块链的基本原理,知晓行业术语,掌握必要的信息技术,创新审计技术方法。审计师还可以利用信息技术专家的工作,以协助理解数字货币交易发行和交易原理,从而获取充分、适当的审计证据。



三、审计目标和审计应对

根据财务报表审计总目标,确定数字货币项目的具体审计目标时,我们建议审计师关注以下几个方面:


(一)真实性


审计师须验证涉及数字货币各类交易和事项的发生,以确定已记录的交易是真实的,且期末账户显示数字货币是存在的。


分布式记账为查阅区块链上的记录提供了技术支持,审计师可以借助区块链浏览器(blockchain explorer)来验证数字货币钱包交易和数字货币钱包余额。区块链浏览器是提供账户查询、区块查询和交易查询的工具。审计师输入某钱包地址或某笔交易ID,就可以查询此钱包的余额和任意一笔交易的详细信息。例如图1,我们在某区块链浏览器上查询的地址为“3JVjgoyLv7Q4TdA35boXeAzARrK6atNEDg”的比特币钱包的余额和历史交易情况。查询结果显示,该钱包在查询时,比特币余额为零,该钱包曾于2017年12月30日各转入和转出过249.296599枚比特币。这两笔交易的发生均被记录在区块高度为501741的区块上。在查询时,这两笔交易已经得到了64395块区块的确认,随着时间的推移,它们将获得更多的区块确认。
在对数字货币交易所或者数字货币管理平台审计时,笔者建议还可以借助默克尔树(Merkle Trees)。默克尔树是存储哈希值的二叉树,又称为哈希树。图2 简单展示了默克尔树的原理。首先,一个任意长度的数据通过哈希算法映射成固定长度数据的函数,例如A1转化为B1。哈希值放置于默克尔树的叶子节点上,叶子节点的值两两运算得到新的哈希值,例如B1和B2运算得到了C1。随后,层层递归,最终得到默克尔树根节点。新记录的生成先影响默克尔树某个叶子节点,最终影响默克尔树的根节点。默克尔树的运算原理保证了识别未经授权的记录篡改行为。在运用默克尔树进行审计过程中,审计师的关注点不再是逐一对各笔交易记录进行复核,而是关注哈希值生成的合理性,以及各级叶子节点运算的正确性。在对欧洲数字资产管理公司iconomi的用户持有的数字货币进行鉴证过程中,德勤华永会计师事务所就采用了默克尔树。他们利用用户账号和持有的数字货币余额数生成随机审计编号,再通过哈希SHA256算法将用户账号、持有的数字货币余额数和随机审计编号三者联合生成哈希值。这一哈希加密过程保障了iconomi的用户数据的匿名性,审计师在不接触用户账号具体情况下获得了所有用户数据。随后,审计师检验了默克尔树各级叶子节点计算的正确性,并公开了最终的根节点值。iconomi公司的用户可以借助该公司的查询平台,输入自己的账号,查询默克尔树的部分叶子节点值以及最终的根节点值。如果得到的根节点值与德勤公开的根节点值一致,则说明所持账号所显示的数字货币资产真实、完整。


(二)完整性


审计师须验证数字货币各类交易和事项的发生的完整性,以及期末余额所显示数字货币的完整性。


基于分布式记录原理,借助区块链浏览器,审计师可核实某特定钱包地址的交易完整性。然而,这仅是针对特定钱包进行的审计。每个人可以拥有多个数字货币钱包地址,开具多个数字货币账户。如果被审计单位未提供完整的数字货币钱包清单,审计师无法核实数字货币钱包的数量,未知账户的存在性难以确定。


(三)所有权


审计师须明确期末余额所显示的数字货币的所有权。


基于非对称加密的哈希算法,区块链上各个节点之间的数据交换都是按固定规则进行的,因此可以实现仅通过地址而非个人实际身份进行数据交换。这一技术特点赋予了数字货币以高度匿名性。从审计师的角度来看,匿名性为数字货币地址或者钱包的所有权的核实带来了巨大的困难。目前,只有通过私人密钥持有和使用来证明数字货币的所有权。我们建议审计师预先持有一个供测试用的钱包地址,然后与被审计单位约定,令其在特定时间新启一笔交易,用自身钱包向测试钱包进行约定金额的转账,以验证被审计单位是否持有该钱包密钥,并是否可以正常使用该钱包。但如果多人或多个机构拥有数字钱包密钥,就难以判断钱包所有权。因此,该审计过程只能是间接推断,难以直接证明数字货币的所有权。


(四)计量准确性


审计师须确定已记录的交易是按正确金额反映的。


数字货币在不同的数字货币交易所报价存在价格差异,有的数字货币在某交易所某段时间内的成交量较小。因此在确定可参考的交易所报价时,我们建议选择成交量最大的三家数字货币交易所的报价,取加权平均值作为最新市价。此外,鉴于众多的交易所都采用24小时全天候交易,建议在获取价格时以确定的固定时间点为依据。如果数字货币不具有活跃交易市场,审计师需警惕其减值风险。因为目前行业内无活跃交易市场的数字货币以“空气币”居多,其数字货币变现风险和减值风险巨大。


(五)截止


审计师须确定数字货币业务会计记录归属期是否正确,防止跨期事项。


数字货币的交易需若干网络节点的确认,完成这个过程的时间一般为几分钟到几个小时不等。以比特币钱包的转账为例,需等待交易打包和6个区块确认,才能完成这笔转账,而这个过程大概需要花费30分钟至1小时。但是,有的数字货币交易时间需要滞后数天,这将为截止性测试带来难题。我们建议审计师对发生在接近截止日期但尚未得到区块认证的交易予以警惕,如果存在大额或者较长时间尚未得到确认的交易,应询问被审计单位,查明原因。



四、其它关注事项

(一)安全风险评估


数字货币由于自身技术依赖、发行机制及交易特点,存在诸多安全风险。审计师除了在业务承接阶段需了解被审计单位的风险管理和内部控制,在审计过程中也应格外关注数字货币的安全风险,了解相关制度的设计、制定的合理性及执行的有效性。


以存储数字货币的钱包为例,钱包密钥的存储方式不同,面临的安全风险也不同。钱包可以被分为热钱包和冷钱包,其中热钱包是保持联网上线的在线钱包,冷钱包是脱离网络连接的离线钱包。热钱包存在遭受网络黑客和木马攻击,导致钱包密钥丢失和被盗币的风险。冷钱包的被盗风险较低,但又面临着较高的物理丢失风险,例如电脑硬盘损坏,电脑丢失等。审计师应查看被审计单位是否选择了安全可靠的数字货币钱包,对钱包密钥的管理是否启用了助记词,对重大的数字货币支付是否采用了多重签名管理制度等。


(二)场外交易


数字货币交易所在某些国家和地区存在合法性问题,致使场外交易(Over-the-CounterMarket,简称OTC)近年发展迅速。场外交易主要形式包括线上P2P交易、线上B2C交易和线下交易等,交易渠道包括P2P平台、即时通讯软件,甚至有的交易是个人面对面完成的。


在场外交易的形式下,缺乏交易所的集中撮合,交易双方信任不足,划转资金或者数字货币存在更高的风险。某些P2P平台虽然提供了交易撮合服务,但交易双方可能没有使用数字货币钱包,而将数字货币交由平台代管,因此,交易记录并没有记录在区块链上。此时,审计师只能借助场外交易平台的后台系统提供的流水、日志、聊天记录等进行审计,这些数据的质量良莠不齐,可信度难以保证。此外,有的场外交易平台提供杠杆交易,即将数字货币抵押给交易平台作为保证金,从交易平台借出数倍于自有货币的货币数量进行交易的形式。杠杆交易具有极高的风险,因为数字货币本身价格波动较大,再带杠杆投机炒作,盈亏将被数倍放大。如果被审计单位涉及数字货币场外交易,数字货币的账户余额和交易的真实性、完整性更难验证,审计风险更高,审计师需投入更多的内部控制测试和实质性测试。


(三)涉税问题


数字货币价格和交易量的上升引起了税务监管机构的关注。部分国家和地区已经或计划对数字货币资产及交易征税,增加了持有和交易的涉税风险。


美国是数字货币应用和监管的先驱。2014年,美国国家税务局发布《投资者指南和规则》(IRS Notice 2014-21),将数字货币视为财产(property),其适用财产交易的一般税收原则。个人接受数字货币作为出售商品的收入或提供劳务的报酬,必须以接受时的公允价格为基准,以美元为计价单位计入当期应纳税收益中。若将数字货币作为交易或是投资工具进行持有,此时数字货币被定性为资本资产(capital asset),出售数字货币的盈利,需缴纳资本利得税。在监管途径上,美国国家税务局通过数字货币交易平台来对数字货币纳税进行监控,要求在交易平台上同年内有超过200笔交易且交易金额超过2万美元的客户,须要填写美国国税局的1009-K《支付卡和第三方网络交易》纳税表单。

五、总结与展望

加密数字货币作为当前区块链技术最令人瞩目的应用,对数字货币审计进行研究,是对“区块链+审计”探索作出的有益尝试。加密数字货币行业存续时间尚短,技术含量高,业务形式新颖,对数字货币业务进行审计时,一些传统的审计方法可能失效,审计师可以根据数字货币的分布式记账、记录可追溯等技术特征,借助新的技术手段开展审计。此外,审计师应加强对数字货币行业的了解,学习必要的信息技术,并充分利用外部专家的工作。(完)






编辑 / 郑慧敏





分享到 :
0 人收藏
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

积分:
帖子:
精华:
期权论坛 期权论坛
发布
内容

下载期权论坛手机APP