前言

建設統一電子函證中心是符合我國函證數字化趨勢的有力舉措，是提高審計人員效率和審計結果質量的有效途徑。但統一電子函證中心的建立還需要足夠的資金投入和技術準備，部分地區和行業還不具備參與和建立電子函證中心的前提條件，可以採取先試點後推廣的方式，在推廣過程中吸收國內外先進例子的經驗。區塊鏈技術安全問題並非不用擔憂，目前技術不成熟的情況下，如果大規模應用，代碼未經過攻擊測試，相關審計仍然存在黑客攻擊、隱私洩露等風險。另外，由行業協會作為統一電子函證平臺的建設主體，還需要理性定位行業自律與監管之間的關係。

一、建設統一電子函證平臺的具體規劃

（一）統一電子函證平臺的建設主體

統一電子函證平臺應由協調政府與企業的社會中介組織，即行業協會來主導。首先，平臺在建設初期，需對目標用戶需求進行調研，這需要建設者有一定號召力。從搭建平臺底層架構到上層應用，以及建成後的持續運營和維護，需要一定的人力財力。因此，可以由行業協會下發關於如何建設統一電子函證平臺的相關征求意見，召開專家會議，制定方案，再報政府有關部門審批，同時由政府給予資金支持。其次，建設電子函證平臺，需要制定一系列規範標準，確定具體函證流程，明確各方權利義務，定期對系統進行風險評估和內控審計。行業協會走在行業前沿，具有信息優勢和專業性。信息技術快速更新迭代，僅依靠政府上傳下達很難做出及時正確的決策。從成本效益的角度看，行業協會通過集體行動和制定合約，以內部監管成本來取代市場上各主體互相締結條約帶來的交易成本。長此以往，各方自覺遵守規則，形成行業自律，帶來市場經濟效益的提升和秩序的良性循環。最後，考慮到統一電子函證平臺投入使用後需要進行持續監督，有人提出可以由行業主管部門、監管機構來建設，但政府監管機構具有事後監督的特性，還會帶來自己建設、自己監管的獨立性問題。監管機關的監督應當以尊重行業協會制定的規則為前提。對於目前監管效率較差，相關法律不健全的領域，行業協會自律監管比起政府監管具有天然內生優勢。

（二）統一電子函證平臺的底層核心技術

1.加密技術。伴隨區塊鏈技術產生了分佈式賬本這種新的記賬單位。其賬戶體系由私鑰、公鑰、地址三部分組成。私鑰是一個隨機數，通過哈希加密算法生成公鑰，公鑰再生成地址，整個過程單向不可逆。公鑰和私鑰構成一個密鑰對，私鑰簽名，公鑰驗籤。僅憑公鑰幾乎不可能推算出私鑰，因此保證了賬戶交易記錄的安全性。在傳統函證方式下，審計人員在函證信息的整個傳輸過程須不斷驗證信息來源渠道的準確性，嚴重影響審計效率。應用區塊鏈技術，通過加密、授權等行為，減少函證過程被幹擾，信息被截獲，來源被偽造的概率，提升了審計效率和審計證據的質量。

2.分佈式存儲。分佈式賬本不只是簡單將紙質賬本數字化，而是各個參與者共同維護的一個存儲和處理信息的數據庫。在整個區塊鏈網絡中，每個參與者都是一個節點，每個節點的權利義務相同，高度自治。傳統中心化的平臺，通常有一個固定強制的中央系統，負責對經過的信息確認處理，這意味著如果中控系統出了問題，整體參與者擁有的信息都會失真，帶來利益受損。而分佈式賬本下，每個節點都是信息的處理者和管理者，對於自身賬本的改動只有當所有節點都達成共識才會被記錄下來，並且信息添加至賬本，便永久存儲。此時只有通過同時控制整個平臺超過51%的賬戶節點，對其進行修改，才可以對信息進行修改，違規成本極高。這就降低了通過控制底層架構、破壞中控系統篡改信息的風險。此外，區塊鏈自帶時間戳功能，它是一段完整可驗證的數據，記錄了信息、交易的時間，並定時向全網各節點發送。如果想篡改某一區塊的數據，由於時間戳的存在，需要對之後所有區塊的數據進行改動，很難做到。函證過程中每一項控制環節諸如被審單位的授權、詢證函的發出、被詢證者的回函產生的信息以及數據本身一旦放入區塊中就很難被修改，是可溯源的，有效杜絕了詢證函在流轉過程中被篡改的可能。即使單個賬本發生異常錯誤，也可通過其他節點復原信息。

3.聯盟鏈。區塊鏈按開放程度可劃分為私有連、聯盟鏈和公有鏈。聯盟鏈有若干個機構共同參與管理，針對特定節點或第三方，內部指定多個預選節點共同來記錄交易數據。與其他兩種相比，聯盟鏈的隱私權限有所不同，一般這些預選節點都有對應的實體機構組織，通過授權後才能加入與退出區塊鏈，且信息交互無需向全網廣播，因此聯盟鏈相比於私有鏈和公有鏈，更適用於需多方參與、保密要求較高的電子函證平臺。

（三）統一電子函證平臺的操作流程

平臺使用者進行註冊，申請准入許可，獲得許可的節點才可以進入區塊鏈網絡中。註冊主體可以是法人也可以是自然人。企業註冊需要工商登記註冊號，自然人註冊需相應法人授權。獲得准入許可後得到私鑰。平臺委任可信記賬節點，進行輪流出塊。

1.簽署審計業務約定書後，成立審計項目組。審計人員初步瞭解被審單位環境、經營狀況等，實施內控測試，識別關鍵風險點。

2.審計人員使用私鑰登入平臺，獲取授權。添加被審單位相關信息，選擇所需函證的賬戶信息。平臺從被審單位系統獲取授權，通過數據傳輸導入所需函證內容，蓋上時間戳，並存儲。審計人員填寫詢證函，將詢證函加密後發送給各許可節點，並支付函證費用。

3.各節點使用私鑰登入平臺，解密後自動核對，確認所函證信息無誤後系統提取電子簽章，回覆給審計人員。

4.審計人員可以利用該平臺對函證過程和函證數據進行智能分析，統計發回函情況、函證差異、回函率等信息，作為電子審計證據，填寫審計工作底稿。

5.如果被詢證者遲遲未回函或函證內容，可通過該平臺再次發送詢證函。

6.函證數據在雲端保存後，可以供函證的雙方、監管機關、司法機關予以查詢，確認。

（四）統一電子函證平臺的網站界面

1.客戶列表。客戶列表模塊安排搜索、添加選項，便於審計人員根據公司名稱進行檢索以及新客戶和其賬戶的添加。通過點進客戶列表中的具體客戶，可以實時查詢有無客戶授權以及詢證函的處理情況。

2.狀態欄。狀態欄模塊展示當前各詢證函的簡要情況，如待定、已完成、需要更多信息、被拒、函證費用等。

3.報告。報告模塊可以下載已完成的詢證函，導出詢證函處理的控制記錄，每日狀態的摘要總結。

4.統計分析。統計分析模塊可以查看詢證函的發回函情況、函證不符事項，以及函證差異率等，對數據反映出的異常現象，智能分析後給出可能發生錯報的概率，並給予相應的審計工作建議。

5.更新。更新模塊，當相關用戶查看並進行操作時，該模塊會產生更新動態供審計人員瞭解。

二、建設統一電子函證平臺過程需要注意的問題

1.保障信息系統安全有效運行。比如，數據加密和存儲、數字簽名、防火牆、入侵檢測等。對區塊鏈上的智能合約需進行審計，測試智能合約的攻擊手段，保證代碼的安全性。建立有效的內部控制手段，做到能及時有效地識別、評估、報告和處理系統風險。

2.公示相關運行規則和規章制度。將相關企業的註冊審批，准入準出、授權認證、控制措施予以公示，包括所依據的法律法規以及實際操作的流程指南。這類信息的公開不僅可以更好地幫助平臺使用者瞭解平臺運行規則和具體操作，吸引更多用戶使用，還可以讓各方評價其平臺內部控制的有效性，共同監督。

3.平臺可提供個性化的詢證函來取代固定的模板。例如現在銀行業務日趨多樣化，不同業務的關注重點也不一樣。現有的電子函證除了銀行賬號、幣種、日期等信息，很少有類似擔保、銀行票據、信用證等其他信息，也不能詢證資金是否受限、大筆資金往來等重要信息。另一方面，詢證函回函的模板也較固定，且陳述較為消極。

4.建立或運用一套標準的信息數據語言，如XBRL（可拓展商業報告語言）等。平臺接受傳輸被審單位財務非財務信息時，最好有一個標準的數據接口來接受這些信息，否則審計人員還需投入大量精力將這些個性化的企業信息轉換成可供信息傳輸的語言。

結語

區塊鏈近年來已在各個領域得到廣泛應用。在大數據時代，數據信息的處理、加工、保密等是各企業信息化建設過程中的重點關注對象。區塊鏈技術的天然優勢與電子函證平臺建設結合是合理的。