Що приховано за поняттям «аудит» у криптовалютній індустрії?
Термін «аудит» для багатьох інвесторів уособлює безпеку, хоча у випадку з криптоіндустрією це доволі далеко від класичних уявлень про аудит.
Бізнес-експерти на кшталт Джона Ріда Старка, які мають досвід роботи в регулювальних органах чи міжнародних корпораціях, скептично сприймають цей термін та обурюються через масове та бездумне його застосування. Вони вважають, що більшість криптовалютних компаній, включно з децентралізованими проєктами, ніколи не проходили справжній аудит, а обмежувалися лише локальними оцінками фінансового стану чи заходів безпеки.
Тому користувачам та інвесторам важливо розуміти, які типи перевірок часто приховані за терміном «аудит».
1. Звіт про атестацію
Містить оцінку роботи працівника, процесу чи організації. І хоча структура документа змінюється залежно від сфери використання, він не здатен замінити повноцінний аудит, який додатково враховує складні взаємозв’язки всередині компанії. Серед криптовалютних проєктів такі перевірки здебільшого замовляють централізовані біржі та емітенти стейблкоїнів. Надалі цей процес розширюватиметься через тиск регуляторів та створення загальносвітових стандартів необхідної документації.
2. Узгоджена процедура (AUP)
Застосовується для підтвердження та аналізу певного факту чи події, згідно з попередніми вимогами зацікавленої сторони. Наприклад, відображає наявність криптовалюти на гаманці, але без надання будь-яких сполучних даних. Одна з останніх узгоджених публічних процедур описувала перевірку Binance з боку міжнародного аудитора Mazars для підтвердження наявності активів на холодних гаманцях компанії. Зазвичай такі результати не надають користувачам жодної цінної та корисної інформації: біржа може просто депонувати активи на потрібний гаманець спеціально для аудиту, а потім знову їх звідти вивести.
3. Звіт про засоби контролю систем та організації (SOC)
Дає можливість контролювати інформаційні дані про послуги третьої сторони, щоб мати повноцінне уявлення про робочі процеси партнерської організації. Загалом існує два рівні та три види звітів: фінанси (SOC1), безпека та конфіденційність (SOC2), а також публічний варіант оцінки безпеки без чутливих даних (SOC3). Поки що криптовалютні проєкти не поспішають масово проходити подібні перевірки, але згодом все може змінитися: багато в чому це питання довіри, що є важливою частиною бізнесу.
4. Аудит смартконтрактів
Досліджує код на наявність помилок, вразливостей і правильності виконання закладеної логіки. Це також не можна назвати повноцінним аудитом: відсутні як світові загальноприйняті стандарти, так і гарантії від компаній-аудиторів. Звісно, завдяки перевірці розробники, інвестори та користувачі отримують додаткову впевненість під час взаємодії з застосунком. Але проєктам рекомендовано регулярно тестувати безпеку написаного коду.
5. Підтвердження резервів
Перевіряє наявність заявлених коштів на спеціальних адресах зберігання. Теоретично це має підвищувати довіру з боку клієнтів та інвесторів. Однак без інформації про зобов’язання компанії будь-яка перевірка її резервів втрачає сенс. Фактично це просто елемент фінансової звітності, яким можна легко маніпулювати, щоб створити позитивне враження без реальних гарантій. Тому криптовалютні компанії (Binance, Nexo, Tether та інші) часто зазнають критики через те, що називають такі перевірки аудитами.
Існує також безліч різних варіантів перевірок, не пов’язаних з класичним аудитом. Наприклад, оцінки AML/KYC або звіти для SEC, CFTC, IRS та інших регуляторів. Проблема в тому, що криптовалютні проєкти часто є не стабільними, а такі перевірки не завжди відображають реальну картину навіть для традиційних компаній. Саме тому розробникам у галузі цифрових активів потрібно проводити справжні щорічні аудити, а користувачі та інвестори повинні наполягати на подібній практиці.