Что скрывается за понятием «аудит» в криптовалютной индустрии?

Бизнес-эксперты вроде Джона Рида Старка, которые имеют опыт работы в регулирующих органах или международных корпорациях, выражают скептицизм и негодование относительно массового и бездумного применения данного термина. Они считают, что большинство криптовалютных компаний, включая децентрализованные проекты, никогда не проходили настоящий аудит, ограничиваясь только локальными оценками финансового состояния или мер безопасности. 

Поэтому пользователям и инвесторам важно понимать, какие из типов проверок часто скрываются под словом «аудит».

Содержит оценку работы сотрудника, процесса или организации. И хотя структура документа меняется в зависимости от области использования, он не в состоянии заменить полноценный аудит, который дополнительно учитывает сложные взаимосвязи внутри компании. Среди криптовалютных проектов такие проверки в основном запрашивают централизованные биржи и эмитенты стейблкоинов. В будущем этот процесс будет расширяться из-за давления регуляторов и создания общемировых стандартов к требуемой документации.

Применяется для подтверждения и анализа определенного факта или события, согласно предварительным требованиям заинтересованной стороны. Например, отображает наличие криптовалюты на кошельке, но без предоставления каких-либо связующих данных. Одна из последних публичных согласованных процедур описывала проверку Binance международным аудитором Mazars для подтверждения наличия активов на холодных кошельках компании. Как правило, такие результаты не предоставляют пользователям никакой ценной и полезной информации: биржа может просто депонировать активы на нужный кошелек специально для аудита, а затем снова их оттуда вывести.

Дает возможность контролировать информационные данные об услугах третьей стороны, чтобы иметь полноценное представление о рабочих процессах партнерской организации. Всего существует два уровня и три вида отчетов: финансы (SOC1), безопасность и конфиденциальность (SOC2), а также публичный вариант оценки безопасности без чувствительных данных (SOC3). Пока криптовалютные проекты не спешат массово проходить подобные проверки, но со временем это может измениться: во многом это вопрос доверия, что является важной частью бизнеса.

 Исследует код на предмет ошибок, уязвимостей и правильности выполнения заложенной логики. Это также нельзя назвать полноценным аудитом: отсутствуют как мировые общепринятые стандарты, так и гарантии от компаний-аудиторов. Конечно, благодаря проверке разработчики, инвесторы и пользователи получают дополнительную уверенность при взаимодействии с приложением. Но проектам рекомендуется регулярно тестировать безопасность написанного кода. 

Проверяет наличие заявленных средств на специальных адресах хранения. Теоретически это должно повышать доверие со стороны клиентов и инвесторов. Однако без информации об обязательствах компании любая проверка ее резервов теряет смысл. По сути, это просто элемент финансовой отчетности, которым можно легко манипулировать, чтобы создать положительное впечатление без реальных гарантий. Поэтому криптовалютные компании (Binance, Nexo, Tether и другие) часто сталкиваются с критикой за то, что они называют такие проверки аудитами.

Существует еще множество различных вариантов проверок, не связанных с классическим аудитом. Например, оценки AML/KYC или отчеты для SEC, CFTC, IRS и других регуляторов. Проблема в том, что криптовалютные проекты часто нестабильны, а такие проверки не всегда отображают реальную картину даже для традиционных компаний. Именно поэтому разработчикам в области цифровых активов нужно проводить настоящие ежегодные аудиты, а пользователи и инвесторы должны настаивать на подобной практике.