Что скрывается за понятием «аудит» в криптовалютной индустрии?
Понятие «аудит» для многих инвесторов олицетворяет безопасность, хотя в случае с криптоиндустрией это достаточно далеко от классических представлений об аудите.
Бизнес-эксперты вроде Джона Рида Старка, которые имеют опыт работы в регулирующих органах или международных корпорациях, выражают скептицизм и негодование относительно массового и бездумного применения данного термина. Они считают, что большинство криптовалютных компаний, включая децентрализованные проекты, никогда не проходили настоящий аудит, ограничиваясь только локальными оценками финансового состояния или мер безопасности.
Поэтому пользователям и инвесторам важно понимать, какие из типов проверок часто скрываются под словом «аудит».
1. Отчет об аттестации
Содержит оценку работы сотрудника, процесса или организации. И хотя структура документа меняется в зависимости от области использования, он не в состоянии заменить полноценный аудит, который дополнительно учитывает сложные взаимосвязи внутри компании. Среди криптовалютных проектов такие проверки в основном запрашивают централизованные биржи и эмитенты стейблкоинов. В будущем этот процесс будет расширяться из-за давления регуляторов и создания общемировых стандартов к требуемой документации.
2. Согласованная процедура (AUP)
Применяется для подтверждения и анализа определенного факта или события, согласно предварительным требованиям заинтересованной стороны. Например, отображает наличие криптовалюты на кошельке, но без предоставления каких-либо связующих данных. Одна из последних публичных согласованных процедур описывала проверку Binance международным аудитором Mazars для подтверждения наличия активов на холодных кошельках компании. Как правило, такие результаты не предоставляют пользователям никакой ценной и полезной информации: биржа может просто депонировать активы на нужный кошелек специально для аудита, а затем снова их оттуда вывести.
3. Отчет о средствах контроля систем и организации (SOC)
Дает возможность контролировать информационные данные об услугах третьей стороны, чтобы иметь полноценное представление о рабочих процессах партнерской организации. Всего существует два уровня и три вида отчетов: финансы (SOC1), безопасность и конфиденциальность (SOC2), а также публичный вариант оценки безопасности без чувствительных данных (SOC3). Пока криптовалютные проекты не спешат массово проходить подобные проверки, но со временем это может измениться: во многом это вопрос доверия, что является важной частью бизнеса.
4. Аудит смарт-контрактов
Исследует код на предмет ошибок, уязвимостей и правильности выполнения заложенной логики. Это также нельзя назвать полноценным аудитом: отсутствуют как мировые общепринятые стандарты, так и гарантии от компаний-аудиторов. Конечно, благодаря проверке разработчики, инвесторы и пользователи получают дополнительную уверенность при взаимодействии с приложением. Но проектам рекомендуется регулярно тестировать безопасность написанного кода.
5. Подтверждение резервов
Проверяет наличие заявленных средств на специальных адресах хранения. Теоретически это должно повышать доверие со стороны клиентов и инвесторов. Однако без информации об обязательствах компании любая проверка ее резервов теряет смысл. По сути, это просто элемент финансовой отчетности, которым можно легко манипулировать, чтобы создать положительное впечатление без реальных гарантий. Поэтому криптовалютные компании (Binance, Nexo, Tether и другие) часто сталкиваются с критикой за то, что они называют такие проверки аудитами.
Существует еще множество различных вариантов проверок, не связанных с классическим аудитом. Например, оценки AML/KYC или отчеты для SEC, CFTC, IRS и других регуляторов. Проблема в том, что криптовалютные проекты часто нестабильны, а такие проверки не всегда отображают реальную картину даже для традиционных компаний. Именно поэтому разработчикам в области цифровых активов нужно проводить настоящие ежегодные аудиты, а пользователи и инвесторы должны настаивать на подобной практике.