加密数字货币审计问题分析

时间:2022-10-11 03:38:38

加密数字货币审计问题分析

【摘要】近年来,加密数字货币发展迅速,币种繁多,交易量巨大,上下游产业链日渐完善,对其进行审计是一项新兴的、具有挑战性的工作。基于区块链技术的加密数字货币具有分布式记账、交易记录不可篡改和匿名性等技术特点,以这些特点为出发点,从加密数字货币审计业务的承接、审计目标和审计应对等方面展开分析,建议审计师在确认交易真实性、完整性等时可以借助区块链技术并利用区块链浏览器和默克尔树等工具,同时指出区块链技术所带来的数字货币所有权和截止确认等问题上的风险。最后,探讨安全风险评估、场外交易以及涉税问题并进行总结与展望。

【关键词】加密数字货币;区块链技术;审计;区块链浏览器;默克尔树

一、研究背景

近年来,以区块链(blockchain)为底层技术的加密数字货币(cryptocurrency,简称“数字货币”,由于数字金币、网络游戏币等虚拟货币也属于广义的数字货币,但没有运用区块链技术,因此不在本文探讨范围内)发展迅速,引发了空前的投资热情,催生了首次代币发行融资(InitialCoinOffering,简称“ICO”)等新型融资模式,以及供投资者买卖数字货币的交易所和场外交易平台等。据中国人民银行的《中国金融稳定报告(2018)》统计结果,2017年年末,全球数字货币币种达到1335种,总市值突破5700亿美元。在数字货币中最具代表性的比特币(bitcoin)经历了2018年的价格下挫后,在2019年2月月底,市值依然高达680亿美元。如今,数字货币行业已形成较完整的上下游产业链,包括数字货币发行、挖矿、交易和存储等基本环节,也衍生出矿机生产、矿场和矿池运营、场外交易、数字货币托管、数字货币投资理财、数字货币钱包开发等相关业务。数字货币行业内企业基于业务开拓、股权融资和获得征信等需求,聘请外部审计师对其财务报表等进行审计。2018年,以生产比特币矿机而闻名的北京比特大陆科技有限公司(简称“比特大陆公司”),聘请毕马威会计师事务所作为申报会计师,为其向香港联交所提交的招股说明书中的财务报表数据提供审计服务。同年,欧洲数字资产管理公司iconomi聘请德勤华永会计师事务所对其偿付能力做出鉴证。那么,对数字货币行业内企业以及数字货币交易进行审计,需开展哪些不同于传统审计的工作呢?本文试图根据数字货币的技术特点,并结合某些业务模式,从审计业务的承接、审计目标和审计应对以及其他关注事项等方面对数字货币相关审计问题展开探讨。

二、数字货币技术简介

数字货币最重要的底层技术是区块链技术。区块链是一种处理增量数据记录与存储的分布式记账技术,通过去中心化、去信任中介的方式,利用计算机网络中的所有节点来维护信息的安全性和可靠性。该技术方案主要是将数据区块通过密码学方法相互关联,每个数据区块记录一定时间内的所有系统交易信息的副本,通过数字签名验证信息的有效性,并链接到下一个数据区块而形成一条主链[1]。区块链中的每一个区块均带有一个时间戳,使得若要对离当前时刻越远的区块进行修改就需要与越多的参与者达成共识,篡改难度也就越高。因此,作为区块链技术应用之一的数字货币具有了分布式记账、记录不可篡改、匿名性、可跨境流动和数量既定不会超发等特点。以比特币为例,2008年中本聪发表的比特币论文《比特币:一种点对点的电子现金系统》中写明了该币的产生机制,即利用计算机的运算能力解答复杂的加密方程来参与交易验证,当此解答被接受后,就能获得新开采的一定数量的比特币作为区块奖励,同时,新的交易区块能够被添加到主链中。在比特币区块链中,任何人可查看记录比特币交易情况的账簿,且每台计算机维护着自区块链开始每项交易的完整记录。由于单台计算机解答加密方程的效率低且难度大,数字货币行业中衍生出了矿场和矿池,将计算机算力聚集在一起进行运算。数字货币钱包是储存数字货币的工具,它提供了钱包地址的创建、转账、交易历史的查询等基础金融功能。数字货币的持有者可以将数字货币出售或者兑换成其他利益,兑换需求促使了数字货币交易所和场外交易平台的产生。

三、数字货币审计业务的承接

在审计业务承接阶段,审计师需要从以下几个方面入手:1.了解客户持有和交易数字货币的目的,高度关注业务活动的合法性。数字货币行业涉及的业务多样,不同的国家和地区对不同的业务有各自的监管要求。审计师需要了解客户所在国家和地区对数字货币业务的具体规定,明确业务活动的合法性,对严令禁止的业务活动予以警惕。例如,在我国大陆地区,根据2017年中国人民银行等七部委的《关于防范代币发行融资风险的公告》,首次代币发行融资(ICO)不具有合法性。然而,在我国香港,部分ICO活动属于合法证券发行行为,可纳入证券法律监管框架。再例如,在我国开设数字货币交易所不是合法活动,而在日本,数字货币交易所可以在金融厅注册登记,获得许可即可运营。此外,无论客户在何地,审计师都须明辨伪数字货币业务,识别那些打着“数字资产创新”“区块链”等旗号的非法集资、传销和诈骗活动。因此,审计师需要了解客户的股东和高级管理层的诚信情况,他们是否有参与非法业务的历史,必要时对客户的股东和高级管理层展开深度背景调查。2.对客户所涉数字货币业务相关内部控制进行初步评估。除常规审计需要关注的内部环境、风险评估、控制活动、信息与沟通以及内部监督等方面之外,还需特别关注与数字货币相关的内部控制流程,包括但不限于数字货币钱包层级设置、数字货币钱包的管理权限设置、反黑客的技术手段等。尤其对于那些数字货币是其重要资产的客户,数字货币的安全性管理是第一要素。基于区块链的匿名性和数字货币转移的便利性,如果缺乏数字货币安全管理的系列方法,企业将面临巨大的风险。3.评估自身对数字货币业务进行审计的胜任能力。数字货币行业属于新兴产业,随着技术的革新和商业模式的创新,新业务层出不穷。对数字货币行业缺乏了解可能是审计师对该行业进行审计的最大障碍。审计师需要了解该行业的概况、产业链价值分布、区块链基本原理,知晓行业术语,掌握必要的信息技术,创新审计技术方法。审计师还可以利用信息技术专家的工作,有助于其理解数字货币交易发行和交易原理,从而获取充分、适当的审计证据。

四、数字货币审计目标和审计应对

根据财务报表审计总目标,确定数字货币项目的具体审计目标时,本文建议审计师关注以下几个方面:1.真实性。审计师须验证涉及数字货币各类交易和事项的发生以确定已记录的交易是真实的,且期末账户显示数字货币是存在的。数字货币所依托的区块链技术采用的是分布式记账,即区块链上所有节点都会参与新数据的录入工作,并且也都参与数据的更新和维护。分布式记账保证了数据记录具有高度安全性,不易被篡改[2,3]。若试图更改区块链上的记录或者阻止新的记录被记录在区块链上,需要联合全网一半以上的算力,亦称为“发起51%攻击”。发起51%攻击的难度极高,可能性极小,因此,一般认为被记录在区块链上的记录是真实的。分布式记账为查阅区块链上的记录提供了技术支持,审计师可以借助区块链浏览器(blockchainex⁃plorer)来验证数字货币钱包交易和数字货币钱包余额。区块链浏览器是提供账户查询、区块查询和交易查询的工具。审计师只需输入某钱包地址或某笔交易ID,就可以查询到此钱包的余额和任意一笔交易的详细信息。例如,在某区块链浏览器上查询地址为“3JVjgoyLv7Q4TdA35boXeAzARrK6atNEDg”的比特币钱包的余额和历史交易情况,查询结果显示,该比特币钱包余额在查询时为零,该钱包曾于2017年12月30日分别转入和转出过249.296599枚比特币,这两笔交易的发生均被记录在区块高度(某区块在区块链中的位置)为501741的区块上。在查询时,这两笔交易已经得到了64395块区块的确认,随着时间的推移,它们将得到更多的区块确认。在对数字货币交易所或者数字货币管理平台进行审计时,笔者建议审计师借助默克尔树(MerkleTrees)。默克尔树是存储哈希值(即HASH值,是通过对数据进行加密运算得到的数值)的二叉树,又称为哈希树。下图简单展示了默克尔树的原理。首先,一个任意长度的数据通过哈希算法映射成固定长度数据的函数,例如A1转化为B1。哈希值放置于默克尔树的叶子节点上,叶子节点的值两两运算得到新的哈希值,例如B1和B2运算得到C1。然后,层层递归,最终得到默克尔树根节点,即图中的Root。新记录的生成先影响默克尔树某个叶子节点,最终影响默克尔树的根节点。默克尔树的运算原理保证了审计师能识别未经授权的记录篡改行为。在运用默克尔树进行审计的过程中,审计师的关注点不再是逐一对各笔交易记录进行复核,而是关注哈希值生成的合理性,以及各级叶子节点运算的正确性。在对欧洲数字资产管理公司iconomi的用户持有的数字货币进行鉴证的过程中,德勤华永会计师事务所就采用了默克尔树。他们利用用户账号和持有的数字货币余额数生成随机审计编号,再通过哈希SHA256算法将用户账号、持有的数字货币余额数和随机审计编号三者联合生成哈希值。这一哈希加密过程保障了iconomi的用户数据的匿名性,审计师在不接触用户账号的情况下获得了所有用户数据。随后,审计师检验了默克尔树各级叶子节点计算的正确性,并公开了最终的根节点值。iconomi公司的用户可以借助该公司的查询平台,输入自己的账号,查询默克尔树的部分叶子节点值以及最终的根节点值。如果得到的根节点值与德勤公开的根节点值一致,则说明所持账号显示的数字货币资产是真实、完整的2.完整性。审计师须验证数字货币各类交易和事项发生的完整性以及期末余额所显示数字货币的完整性。如上文所释,在区块链上的交易经过区块的确认,被永久地写入区块链数据中,除非发起51%攻击才能修改、删除这些记录。基于分布式记录原理,借助区块链浏览器,审计师可以核实某特定钱包地址的交易完整性。然而,这仅是针对特定钱包进行的审计。每个人可以拥有多个数字货币钱包地址,开具多个数字货币账户。如果被审计单位未提供完整的数字货币钱包清单,审计师无法核实数字货币钱包的数量,未知账户的存在性难以确定。3.所有权。审计师须明确期末余额所显示的数字货币的所有权。基于非对称加密(加密和解密使用不同密钥的加密方法)的哈希算法,区块链上各个节点之间的数据交换都是按固定规则进行的,因此可以实现仅通过地址而非个人实际身份进行的数据交换。这一技术特点赋予了数字货币的高度匿名性,这也是为何人们推断第一笔50枚比特币被这位比特币的发明者中本聪持有(钱包地址为1A1zP1eP5QGe⁃fi2DMPTfTL5SLmv7DivfNa)的原因,而数十年过去了,人们不断挖掘这个钱包地址上的蛛丝马迹,但中本聪为现实生活中何人依然是个谜。从审计师的角度来看,匿名性为数字货币地址或者钱包所有权的核实带来了巨大的困难。目前,只有通过私人密钥持有和使用来证明数字货币的所有权。本文建议审计师预先持有一个供测试用的钱包地址,然后与被审计单位约定,令其在特定时间新启一笔交易,用自身钱包向测试钱包进行约定金额的转账,以验证被审计单位是否持有该钱包密钥以及是否能正常使用该钱包。但如果多人或多个机构拥有数字钱包密钥,就难以判断数字钱包的所有权。因此,该审计过程只能是间接推断数字货币的所有权,而难以直接证明数字货币的所有权。4.分类和准确性。审计师须确定已记录的交易是按正确金额反映的。然而,数字货币作为新兴事物,属于较新的资产类别,会计准则制定机构尚未从持有者的角度对这种资产的会计处理具体准则或解释公告,因此数字货币的确认和计量对财务会计提出了挑战。(1)数字货币是否应被确认为资产的问题。根据资产的定义,资产是由企业过去的交易或者事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源。企业和个人通过挖矿或者数字货币交易获得数字货币,在妥善保管密钥的情况下,这些数字货币是为企业和个人所控制的。目前,数字货币市场交易活跃,主流数字货币也与若干法定货币或者其他类数字货币有交易报价,因此预期可以带来经济利益。可见,数字货币符合资产定义。然而,数字货币到底是不是一种货币?根据美国国家税务局(IRS)于2014年的《投资者指南和规则》(IRSNotice2014-21),美国政府将比特币等数字货币当作财产而不是货币。针对数字货币的货币属性争议,2013年中国人民银行等五部委出台的《关于防范比特币风险的通知》(银发[2013]289号)明确了比特币是一种特定的虚拟商品,不具有与法定货币等同的法律地位。那么,数字货币到底是无形资产还是存货,抑或是金融工具?数字货币并不是一项合同,在一方获得金融资产时,并没有形成其他方的金融负债或权益工具,因而将其划分为金融工具不恰当[4]。作为权宜之计,澳大利亚会计准则委员会建议对数字货币的会计处理参考现有的无形资产和存货的做法。普华永道会计师事务所建议将数字货币划分为使用寿命不确定的无形资产,在实务中也存在将数字货币划分为无形资产的先例。例如,比特大陆公司招股说明书显示,其将自矿机销售、自营挖矿和矿池运营中获得的加密数字货币在资产负债表中作为使用年限不确定的无形资产,按照成本法入账,并在报告日进行减值测试,而非在各个会计期间按照公允价值进行重估。据此,2018年6月30日比特大陆持有的数字货币价值为9.9亿美元,计提减值约1亿美元,净值为8.9亿美元。(2)数字货币的价值计量问题。数字货币具有开源性,大多数不与任何法定货币、商品或利率锚定或挂钩,其价值在很大程度上取决于用户的信心,其价格波动也颇为剧烈。日本会计准则委员会建议对数字货币建立新的独立的资产项目,对于为自身持有数字货币的实体,当数字货币存在活跃市场时,在资产负债表日,以市场价格对其进行重估计量,价格变动差额计入损益;当数字货币不存在活跃市场时,以成本进行计量,如果处置价格低于成本,则计提减值至处置价格。另外,数字货币在不同数字货币交易所的报价存在差异,有的数字货币在某交易所某段时间内的成交量较小。因此,在确定可参考的交易所报价时,笔者建议选择成交量最大的三家数字货币交易所的报价,取其加权平均值作为最新市价。此外,鉴于众多交易所都采用24小时全天候交易,建议在获取价格时以确定的固定时间点为依据。如果数字货币不具有活跃交易市场,审计师需警惕其减值风险。因为,目前数字货币行业内无活跃交易市场的数字货币以“空气币”(虽然通过ICO,但是没有实体项目支撑的数字货币)居多,其数字货币变现风险和减值风险巨大[4]。5.截止确认。审计师须确定数字货币业务会计记录归属期是否正确,以防止跨期事项。数字货币的交易需得到若干网络节点的确认,完成这个过程的时间一般为几分钟到几个小时不等。以比特币钱包的转账为例,需等待交易打包和6个区块确认,才能完成这笔转账,而这个过程大概需要花费30分钟至1个小时。但是,有的数字货币交易时间需要滞后数天[3],这将为截止性测试带来困难。交易确认时滞问题并非数字货币交易所特有,通过银行这一中心化的机构进行转账时,也存在结算凭证传递上的确认时间差,即产生了“未达账项”。审计师可以向银行发送询证函并获取《银行存款余额调节表》来进行查验。数字货币交易的“未达账项”需要得到区块链上若干节点的确认,而非通过某一个中心化的记账组织确认,因此发送询证函的审计方法无法执行。本文建议,审计师对发生在接近截止日期但尚未得到区块认证的交易予以警惕,如果存在大额或者较长时间尚未得到确认的交易,应询问被审计单位,并查明原因。

五、其他关注事项

1.安全风险评估。数字货币由于自身技术依赖、发行机制及交易特点,存在诸多安全风险。审计师除了在业务承接阶段需了解被审计单位的风险管理和内部控制,在审计过程中也应格外关注数字货币的安全风险,了解相关制度设计、制定的合理性及执行的有效性。以存储数字货币的钱包为例,钱包密钥的存储方式不同,面临的安全风险也不同。钱包可以被分为热钱包和冷钱包,其中热钱包是保持联网上线的在线钱包,冷钱包是脱离网络连接的离线钱包。热钱包存在由于遭受网络黑客和木马攻击等导致钱包密钥丢失和被盗的风险。冷钱包的被盗风险较低,但面临着较高的物理丢失风险,例如电脑硬盘损坏、电脑丢失等。审计师应查看被审计单位是否选择了安全可靠的数字货币钱包,对钱包密钥的管理是否启用了助记词,对重大的数字货币支付是否采用了多重签名管理制度等。2.场外交易。数字货币交易所在某些国家和地区存在合法性问题,致使场外交易(Over-the-CounterMarket,简称OTC)近年来发展迅速。场外交易的主要形式包括线上P2P交易、线上B2C交易和线下交易等,交易渠道包括P2P平台、即时通讯软件,甚至有的交易是个人面对面完成的。在场外交易形式下,由于缺乏交易所的集中撮合,交易双方信任不足,划转资金或者数字货币存在更高的风险。某些P2P平台虽然提供了交易撮合服务,但交易双方可能没有使用数字货币钱包,而将数字货币交由平台代管,因此,交易记录并没有记录在区块链上。此时,审计师只能借助场外交易平台后台系统提供的流水、日志、聊天记录等进行审计,这些数据的质量良莠不齐,可信度难以得到保证。此外,有的场外交易平台提供杠杆交易,即将数字货币抵押给交易平台作为保证金,从交易平台借出数倍于自有货币数量的货币进行交易的形式。杠杆交易具有极高的风险,因为数字货币本身的价格波动较大,如果再利用杠杆投机炒作,盈亏将被放大数倍。如果被审计单位涉及数字货币场外交易,数字货币的账户余额和交易的真实性、完整性更难以验证,审计风险更高,审计师需进行更多的内部控制测试和实质性测试。3.涉税问题。数字货币价格和交易量的上升引起了税务监管机构的关注。部分国家和地区已经或计划对数字货币资产及交易征税,增加了持有和交易数字货币的涉税风险。美国是数字货币应用和监管的先驱[5]。2014年美国国家税务局(IRS)《投资者指南和规则》(IRSNotice2014-21),将数字货币视为财产(property),适用财产交易的一般税收原则。个人接受数字货币作为出售商品的收入或提供劳务的报酬,必须以接受数字货币时的公允价格为基准,以美元为计价单位计入当期应纳税收益。若将数字货币作为交易或投资工具进行持有,数字货币会被定性为资本资产(capitalasset),对出售数字货币的盈利需缴纳资本利得税。在监管途径上,美国国家税务局通过数字货币交易平台对数字货币纳税进行监控,要求在交易平台上同年内超过200笔交易且交易金额超过2万美元的客户,填写美国国家税务局(IRS)的1009-K《支付卡和第三方网络交易》纳税表单。我国政府亦没有承认数字货币的货币地位,对数字货币纳税的依据可参考2008年国家税务总局的《关于个人通过网络买卖虚拟货币取得收入征收个人所得税问题的批复》(国税函[2008]818号)。个人通过网络买卖虚拟货币所得,按照“财产转让所得”项目计算缴纳个人所得税。

六、总结与展望

加密数字货币作为当前区块链技术最令人瞩目的应用,对数字货币审计进行研究是对“区块链+审计”探索做出的有益尝试。加密数字货币行业存续时间尚短、技术含量高、业务形式新颖,对数字货币业务进行审计时,一些传统的审计方法可能会失效,审计师可以根据数字货币的分布式记账、记录可追溯等技术特征,借助新的技术手段开展审计。此外,审计师应加强对数字货币行业的了解,学习必要的信息技术,并充分利用外部专家的工作。

参考文献:

[1]黄冠华.区块链改进联网审计途径研究[J].财政科学,2016(10):84~91.

[2]秦荣生.区块链技术在会计、审计行业中的应用[J].高科技与产业化,2017(7):64~67.

[3]樊斌,李银.区块链与会计、审计[J].财会月刊,2018(2):39~43.

[4]蹇薇,夏玉梅.数字货币相关会计问题探讨[J].会计之友,2018(23):120~125.

[5]黄智文.对比特币市场税收管理的思考和建议[J].税务研究,2018(7):110~115.

作者:蹇薇 夏玉梅 单位:厦门国家会计学院教研中心