首页
-> 内审园地 -> 内审经验 -> 理论研究
基于COBIT的央行区块链项目审计框架思考
发布日期:2021-11-25 15:05信息来源:宁波市审计局浏览次数: 字号:[ ] 色调调节:

内容摘要:随着区块链等新一代信息技术的快速发展,全球新一轮技术革命与产业变革正在蓬勃兴起,不断推动金融供给侧结构性改革加快落地。近年来,人民银行利用区块链技术在跨境贸易、贸易融资、票据处理等领域开展了积极有益的探索和应用。随着人民银行区块链项目的逐渐落地,加快构建区块链项目审计体系建设具有十分重要的意义。本文从实际出发,借鉴COBIT的思想构建了基于COBIT的央行区块链项目审计框架,从区块链项目全生命周期角度重点研究了审计目标、控制流程及审计内容等。

关键词:区块链 审计框架 COBIT

一、研究背景

(一)区块链技术介绍

区块链技术被认为是引领信息互联网向价值互联网转变的关键技术,能够不依赖第三方可信机构在陌生节点之间建立点对点的可信价值传递,有助于降低交易成本,提高交互效率。目前,全球还没有一个统一的区块链技术定义。我国工信部2017年发布的《区块链参考架构》中将区块链定义为:“一种在对等网络环境下,通过透明和可信规则,构建不可伪造、不可篡改和可追溯的块链式数据结构,实现和管理事务处理的模式”。区块链常见部署包括公有链、联盟链和私有链,在金融领域使用较为广泛的是联盟链。

(二)我国区块链技术标准建设情况

我国在区块链标准研究方面走在世界前列,截至2020年12月,我国已发布区块链/分布式账本技术行业标准3项、省级地方标准5项、团体标准34项。总体来看,主要集中在基础概念、通用技术、场景应用等方面。人民银行作为金融科技的主管部门,2020年先后发布《金融分布式账本技术安全规范》(JR/T 0184-2020)、《区块链技术金融应用评估规则》(JR/T 0193-2020)两项行业标准,其中《金融分布式账本技术安全规范》是我国金融业第一个区块链技术规范,《区块链技术金融应用评估规则》则是第一个由人民银行发布、较为完整的区块链相关技术标准和评估办法。在内部审计领域,金融机构更多关

注如何运用区块链技术开展审计或建设审计系统,尚未在区块链项目审计问题上形成标准或规范化指引。

(三)人民银行区块链技术应用情况

1.跨境业务区块链服务平台。2019年3月,跨境业务区块链服务平台在上海等地区试点运行,通过构建出口应收账款质押融资等应用场景,建立外汇局、海关、税务、银行、市场主体等端对端的可信信息交换和有效核验,实现资金收付、质押物凭证等信息共享协作,解决虚假、重复融资问题,提升融资效率。该平台是我国首个中央国家机关在国家互联网信息办公室进行备案的区块链平台。

2.贸易金融区块链平台。2018年9月4日,人民银行在深圳试点上线贸易金融区块链平台,成功实现了供应链应收账款多级融资、跨境融资、国家贸易账款监管、对外支付税务备案表等多项业务上链运行。截至2020年9月底,贸易金融区块链平台上线银行共50家,业务超过5万余笔,业务金额超过1940亿元。

3.数字票据交易平台。2018年1月25日人民银行数字货币研究所与上海票据交易所联合研发并在实验性生产系统成功上线数字票据交易平台,顺利完成数字票据签发、承兑、贴现和转贴现业务上链运行,是我国金融业将区块链技术运用到票据业务真实生产环境的首次实践。

二、区块链项目审计需关注的重点

区块链项目审计应坚持风险导向,对区块链技术的基础架构、安全性以及可信性进行系统分析,评估具体应用场景所依赖的基础系统的可靠性。实施区块链项目审计前,要充分认识到区块链技术本身所引入的风险。

(一)安全风险

安全性是金融领域区块链应用的根本保障。现阶段,区块链技术尚未完全成熟,在安全方面仍存在一些未知的漏洞。同传统信息系统相比,区块链不支持取消、撤回等相关操作,当出现安全问题时,难以回退更正。在底层架构上,区块链普遍采用的密码算法、虚拟机、智能合约等核心组件均由国外公司掌握,并非完全自主可控,增加了受攻击的风险。此外,智能合约被视作一种以信息化方式传播、验证或执行合同的计算机协议,一旦约定条件达成,无人能阻止程序执行。随着智能合约复杂度的增加,出错机率也会随之增加。

(二)性能风险

区块链交易底层采用分布式账本技术,各参与方都有一套账本记录数据,每一次区块链交易都要将交易记录同步到所有参与方节点。对于交易量大、实时性要求高的业务,不可避免地会产生系统处理性能瓶颈问题。不同的区块链部署类型也要考虑性能问题,如公有链有严格的共

识机制,但数据处理速度慢,而私有链可完全自己定制策略,速度极快,但不具备去中心化特点。此外,全量备份的存储机制会面临存储性能瓶颈问题,这将对存储设备的性能指标提出较高的要求。

(三)法律合规风险

保护个人金融信息安全是公认的监管风险领域,欧盟的《通用数据保护条例》于2018年5月25日起正式实施,该条例旨在保护欧盟和欧洲经济区域内的个人数据隐私,免受数据滥用和泄露的影响。我国《数据安全管理办法》、《个人信息保护法》已经列入人大立法进程,运营区块链项目必须符合个人信息保护等法律法规和监管要求。

(四)协同治理风险

区块链参与方不断增加,以及网络接入方式多样化,必然导致组网复杂、一链一应用等问题。区块链应用上线前应建立安全管理委员会或联席协调机制,参与方的加入或退出、系统升级、业务规则更新等,都需要多方线下沟通才能处理链上的协同治理问题。此外,区块链与非区块链网络通过接口调用交互协同会间接引入安全问题或漏洞风险,增加了协同治理难度。

三、构建基于COBIT的央行区块链项目审计框架

(一)COBIT介绍

COBIT(Control Objectives for Information and related Technology)是美国信息系统审计与控制协会 ISACA 制订的面向信息技术治理和管理的综合性框架,它可以辅助管理层进行 IT 治理,指导组织有效利用信息资源,有效地管理与信息相关的风险。COBIT的内容覆盖信息系统整个生命周期中的各个过程,可指导开展基于风险导向的信息系统审计,涉及IT治理、内部控制、IT服务、信息安全等多方面。COBIT标准作为当前国际上最主要的信息技术审计标准,已经在160多个国家的组织和企业中应用,在我国也得到了较为广泛的研究和使用。目前,最新版COBIT 2019 核心模型将管理目标分为四个领域,包括:

调整、规划和组织(APO):针对IT的整体组织、战略和支持活动。

建立、获取和实施(BAI):针对IT解决方案的定义、采购和实施以及与业务流程的整合。

交付、服务和支持(DSS):针对IT服务的运营交付和支持。

监控、评价和评估(MEA):针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。

(二)构建原则

构建区块链项目审计框架应遵循以下原则:

一是风险导向原则。构建以风险为导向的审计模式,意在更大程度上发挥内部审计效能,对区块链项目生命周期过程中可能存在的问题或风险及时反馈给领导层,做到事前、事中防范,给领导层提供参考建议或对策,以便于作出正确决定。

二是突出重点原则。区块链项目生命周期长,工作量大,内部审计不可能全程实施监督和服务,需结合区块链项目特点确定关键IT流程,并对其进行重点跟踪

审计评价,对实施过程中发现的问题及时提出建议。

三是科学审慎原则。在区块链项目生命周期过程每一个阶段的关键IT流程都有其自身特点,如在计划阶段侧重于区块链项目规划与组织,而在建设阶段,主要是关注区块链项目的开发、测试及试运行,对于不同阶段要审慎采取不同审计方法、审计策略以满足实际需要。

(三)基于COBIT的央行区块链项目审计框架

区块链项目审计是人民银行内审部门对其合法合规性、内部控制有效性、系统安全性、业务流程合理有效性、系统运行经济性进行的检查与评价活动。参照一般信息系统审计模式,区块链项目审计应包括审计计划、审计依据、审计方法、审计技术、审计实施流程及审计质量控制等。按照COBIT标准理论,我们将研究重点放在明确审计目标、确定控制流程、细化审计任务三个方面。

1.明确审计目标

对区块链项目进行审计,其最终目标是通过评价区块链项目生命周期的各项关键IT活动以防范可能出现的风险,提出改进意见和建议,最终确保区块链项目顺利实施。一般意义上,一个信息系统的生命周期至少包括规划、设计、运行、监控、运行、更新等五个阶段,按照人民银行IT发展现状和规划,结合COBIT管理架构,我们将区块链项目生命周期分为计划、建设、运行和监控四个阶段。在此基础上,按照生命周期不同阶段确定各自的高级控制目标和详细控制目标。如在计划阶段,应达到的高级控制目标是可行性,即实施区块链项目应具备的前提条件,包括IT规划和架构、资金、风险管控机制、软硬件资源、人力资源等是否具备相应条件。在建设阶段,应达到的高级控制目标是可控性,可控性是指实施区块链项目的各项关键活动和资源使用是否能够能得到有效控制。最后,根据各个阶段涉及的范围及关键IT活动情况,最终确定每个阶段的详细控制目标。

2.确定控制流程

人民银行区块链项目审计应覆盖区块链活动的事前、事中、事后各个阶段,将审计节点作为区块链网络中的一个节点进行实时审计,或将审计方作为区块链网络之外的第三方机构,确保能够根据审计需要定期或者实时收集审计证据。在此基础上,充分利用COBIT通用性和可裁剪性等特点,按照计划、建设、运行和监控四个阶段全方位对区块链项目生命周期进行风险控制,同时针对每个阶段确定相应的控制流程。经过反复论证,我们共确定28个控制流程,最终形成基于COBIT的人民银行区块链项目审计控制流程图。

3.细化审计内容

在确定各阶段控制流程后,为提升审计标准的规范性和操作性,对每个控制流程进行自上而下的层层细化。通过对控制流程进行细分确定控制活动,针对这些控制活动进一步确定各个控制流程的控制风险点、审计内容及相关的衡量指标等,并给出审计依据予以参考。受篇幅限制,本文仅以计划阶段作以说明。该阶段主要是关注区块链项目的顶层设计,其控制流程包括IT管理框架、IT系统架构、IT预算和成本、IT服务协议、风险管理、安全管理、数据管理和隐私管理。关于计划阶段各控制流程的控制风险点、审计内容见表所示。

控制流程

控制风险点

审计内容

IT管理框架

IT治理架构不健全,角色职责和决策程序不清晰

审查治理架构以及链上参与方的角色和职责,分析和评估技术和管理层面决策机制

IT系统架构

技术架构不够成熟稳定,无法支撑业务应用场景

审核区块链技术与业务场景的适用性,评估区块链处理数据的吞吐量和交易速度能够满足业务需求

IT预算和成本

IT相关资源利用低效,投入产出不成正比,甚至造成IT资源重复建设或浪费

审查成本管理流程、预算和实际支出,评估预算绩效

IT服务协议

违反区块链统一框架协议,导致参与方之间产生法律纠纷风险

评估区块链第三方及供应商服务能力,审查合作协议

风险管理

未建立风险管理机制,或风险敞口未覆盖,风险评估流于形式等

审查是否构建风险评估体系,收集数据、分析风险、评估风险、风险应对策略等措施是否到位得当

安全管理

网络安全治理不完善或不健全,区块链技术依赖的底层核心技术或组件依赖国外产品,安全可控水平不高

网络安全治理架构是否建立,网络安全等保测评是否开展,重点审查共识机制、账本记录、加密、摘要、数字签名、时序服务、智能合约等核心功能的组件安全问题。

数据管理

数据的完整性、可用性和保密性遭到破坏,数据一致性无法保障

审查数据治理机制,包括数据加密保护,数据授权管理,数据交互与同步机制,离线数据存储等

隐私管理

个人隐私信息泄露

审查区块链应用中个人身份信息、交易处理等敏感信息不被泄露或非法获取,是否必须通过充分授权才能被访问。

四、总结

本文从实际出发,借鉴COBIT的思想构建了基于COBIT的央行区块链项目审计框架,从区块链项目全生命周期角度重点研究了审计目标、控制流程及审计内容等。当前,区块链项目推广应用处于早期阶段,对区块链项目的审计研究还尚需实践检验。下一步,人民银行将依托安全可信的内部网络环境,充分发挥区块链技术特点,积极研究区块链技术在内部审计或者内控管理领域的底层架构设计,为更好地开展区块链项目审计奠定坚实基础。

参考文献:

[1]颜涵,2020:对区块链审计的相关思考[J],中国内部审计(7),P14—18.

[2]《COBIT2019》ISACA(Information Systems Audit and Control Association).COBIT 2019.2018.www.isaca.org/cobit/.

[3]中国人民银行济南分行课题组,2012:基于COBIT的央行信息技术审计标准研究[J],金融理论与实践(12),P

[4]樊斌, 李银,2018:区块链与会计、审计[J], 财会月刊(2),p39-p43.

[5]穆长春,狄刚,钱友才,卿苏德,2020:现有区块链不适合传统零售支付等高并发场景[J],中国金融(4)

[6]杜涛,2017:区块链发展研究[J],华北金融(12),p75-80

[7]张文秀,齐兴利,黄溶冰,2010:基于COBIT的信息系统审计框架研究[J],南京审计学院学报(4),p29-34 (人民银行宁波市中心支行内审处课题组 组长:毛剑锋,成员:高睿、王利兴、卢俊峰、钟丽丽。执笔:王利兴。)
分享: