Audyt i blockchain
Jako że blockchain mozolnie wychodzi poza ramy niezdrowej ekscytacji, kolejna branża stawia słuszne pytanie. Jaki wpływ będzie miała ta technologia, określana przez wielu jako zmiana paradygmatu kulturowego, na tradycyjny proces audytu i zapewnienia?
Internet został zalany informacjami o blockchainie w ciągu ostatnich kilkunastu miesięcy. Wiąże się z tym wykładniczy wzrost wartości kryptowalut — takich jak bitcoin. Wirtualna waluta oparta na technologii blockchain stała się jednym z najgorętszych tematów drugiej połowy roku 2018. Obserwatorzy twierdzą, że blockchain ma zrewolucjonizować wiele branż: bankowość, usługi finansowe, media społecznościowe i nieruchomości. To tylko kilka wybranych przykładów sektorów, które oceniają wykorzystanie technologii blockchain, aby czerpać korzyści z jej podstawowych cech. Sama rozproszona księga główna mogłyby pomóc w ulepszeniu procesów operacyjnych. Audyt nie jest wyjątkiem i istnieje kilka potencjalnych korzyści, które mogą zostać zrealizowane w postępowaniach kontrolnych poprzez rosnące zastosowanie blockchain.
Blockchain w praktyce
Zgodnie z założeniami, łańcuchy bloków są z natury odporne na modyfikację wszelkich przechowywanych danych. Funkcjonalnie blockchain może służyć jako otwarta, rozproszona księga, która może rejestrować transakcje między dwiema stronami w sposób efektywny i możliwy do zweryfikowania i stały. Blockchain może być wykorzystywany jako źródło weryfikacji zgłaszanych transakcji. Przykładem może być sytuacja, w której zamiast pytać klientów o wyciągi bankowe lub wysyłać prośby o potwierdzenie do stron trzecich. Audytorzy mogą łatwo zweryfikować transakcje w publicznie dostępnych eksploratorach blockchain, takich jak blockchain.info lub blockexplorer.com. Automatyzacja tego procesu weryfikacji spowoduje wzrost efektywności kosztowej w środowisku sprawozdawczości finansowej.
Dni audytu opartego o testy wyrywkowe na podstawie prób transakcji zostaną wkrótce ograniczone. Audytorzy wykorzystując technologię blockchain do przetestowania całej populacji transakcji mogą na bieżąco wyszukiwać niezgodności. Tak szeroki zakres badania radykalnie poprawi poziom pewności uzyskany w ramach związanych z weryfikacją transferów środków i aktywów.
W blockchain transakcja o niskiej wartości wymaga obecnie około 10 minut do sprawdzenia, ponieważ weryfikacja pojedynczego bloku jest wystarczająca. Im więcej bloków upłynie, zanim transakcja zostanie uznana za zweryfikowaną, tj. im dalej w łańcuchu się znajdzie, tym bardziej powiązane transakcje są niezmienne. Zazwyczaj transakcja o wysokiej wartości będzie wymagać około 1 godziny do zweryfikowania (6 bloków). Porównując to z tradycyjnymi transakcjami finansowymi, gdzie w pewnych sytuacjach rozliczenie może nastąpić nawet po miesiącu, to proces wręcz natychmiastowy.
Ta charakterystyka ciągłości narastania sieci blockchain w trybie prawie rzeczywistym pozwoli na nowe funkcje audytowe. Zamiast oceny na koniec roku (lub w okresie przejściowym) firmy audytorskie będą w stanie wykonywać ciągłe oceny on-line przez cały okres objęty audytem. Deloitte Deutschland przewiduje, że na końcu drogi blockchain może w pełni zautomatyzować kontrole finansowe. Ocena oświadczeń sprawozdania finansowego, takich jak istotność, występowanie, dokładność i kompletność informacji, jest jednym z głównych kandydatów do automatyzacji audytu.
Niezbezpieczeństwa nowego rynku
Chociaż blockchain obiecuje wysoce bezpieczne transakcje, nie można w pełni wyeliminować przypadków oszustw. W lipcu 2017 r. nieznany haker zdołał ukraść wartość Ethereum, jednej z najpopularniejszych walut wirtualnych, wartej 32 miliony dolarów amerykańskich. Podstawowa przyczyna tego oszustwa nie była związana z brakami w technologii blockchain, ale raczej ze względu na lukę w oprogramowaniu używaną do zarządzania portfelami Ethereum. Oszustwo zostało szybko wykryte, a związana z nim luka w zabezpieczeniach podwójnej sygnatury została odpowiednio poprawiona, aby zabezpieczyć pozostałe portfele. To naruszenie sugeruje, że powszechna adopcja blockchain w dużym stopniu zależy od bezpieczeństwa środowiska bazowego. Aby być w stanie zapewnić niezbędny poziom zgodności, procesy audytu muszą przejść dalej w kierunku oceny skuteczności działania wewnętrznych mechanizmów kontrolnych IT.
Aby podać konkretne przykłady:
- Jeśli pracownik jednostki przypadkowo lub celowo wysyła Bitcoiny na zły, lub nieautoryzowany adres, nie ma obecnie możliwości cofnięcia tej transakcji. Audytorzy są zatem zobowiązani do oceny, czy istnieją skuteczne automatyczne mechanizmy kontrolne do sprawdzania transakcji przed ich wykonaniem.
- Jeśli jednostka działająca na blockchain doświadcza ataku typu phishing, to nie możliwości zgłoszenia takiego incydentu. Ponieważ na blockchain nie ma centralnej administracji ani zespołów compliance czy też bezpieczeństwa. Taka sytuacja może również przełożyć się na ryzyko oszustwa poprzez wyłudzenie kluczy prywatnych. W obliczu takiego ryzyka audytorzy będą musieli określić, czy wewnętrzne mechanizmy kontrolne w celu zapobiegania ataków phishingowych rzeczywiście działają skutecznie.
- Jeśli klucz prywatny zostanie utracony (np. przez awarię sprzętu), jednostka traci dostęp do dowolnej kryptowaluty, która jest z nim powiązana. Bitcoiny te staną się niedostępne dla wszystkich w sieci blockchain. Zostaną uznane za tzw. martwy adres, niektóre szacunki mówią, że nawet 10% Bitcoinów przebywa na takich kontach. Procedury tworzenia kopii zapasowych i przywracania danych pomagają zapobiegać takim sytuacjom. Ryzyko to będzie musiało być bardzo jasno komunikowane każdej jednostce i użytkownikowi używającego publicznej sieci blockchain.
Chociaż technologia blockchain oferuje z natury bezpieczne rozwiązania, to czynnik ludzki będzie najbardziej podatny na uchybienie. Ludzie będą projektować niezbędne oprogramowanie do integracji i komunikacji z blockchain. Zgodnie z wymogami Międzynarodowych Standardów Rewizji Finansowej (audytorzy ISA), audytorzy są zobowiązani do zrozumienia specyficznego ryzyka związanego z jednostkowymi sprawozdaniami finansowymi wynikającymi z IT, oraz sposobu, w jaki jednostka reaguje na te ryzyka poprzez wdrożenie kontroli IT. Wraz z rosnącą popularnością technologii blockchain, audytorzy będą musieli podnieść poprzeczkę, zapewniając coraz bardziej złożone usługi atestacyjne. W bardziej złozonych środowiskach biznesowych i wspierając nadchodzące przekształcenia cyfrowe. Aby spełnić oczekiwania zainteresowanych stron i właścicieli firm w tym nowym świecie. Wymagany będzie inny profesjonalny zestaw audytów i wiedza specjalistyczna, która w dużej mierze będzie opierać się na praktycznej znajomości IT.
Konkluzja
Wraz z rozprzestrzenianiem się Internetu w ciągu ostatnich kilku dekad doświadczyliśmy gwałtownego postępu w kierunku cyfrowego świata. Blockchain ma być kolejnym krokiem w tej ewolucji. Chociaż sama konstrukcja blockchain wydaje się być wręcz wyjątkowo bezpieczna. To środowisko blockchain jest nadal podatne na różne zagrożenia technologiczne związane z jego administracją i dostępem. Efektywność, która zostanie uzyskana dzięki automatyzacji kontroli, prawdopodobnie zostanie zrównoważona przez wymogi dotyczące nowych procedur w celu przeciwdziałania zagrożeniom związanym ze środowiskiem blockchain. Zmiany te prawdopodobnie wpłyną na audyt blockchain, w ramach którego mechanizmy IT zyskają bardziej istotną rolę. Będzie ona miała na celu zapewnienie uzasadnionej pewności, że sprawozdanie finansowe jako całość nie zawiera istotnych nieprawidłowości.
Tomasz Kurowski, maj 2018.
Źródła i referencje:
- https://www.pwc.com/us/en/industries/financial-services/research-institute/blog/blockchain-audit-a-michael-smith.html PwC o Audycie na blockchain.
- https://www2.deloitte.com/mt/en/pages/audit/articles/mt-blockchain-a-game-changer-for-audit.html Deloitte bada rozwiązania audytowe związane z rejestrami rozproszonymi.
- https://www.coindesk.com/northern-trust-and-pwc-launch-instant-blockchain-audits/ Projekt PwC oraz Northern Trust w sprawie natychmiastowego audytu funduszy na blockchain.
