تعیین خطرات ذاتی رمزنگاری: تجزیه و تحلیل نظرسنجی

نویسندگان از دنیس دیکینز (ویراستار) و دو داوری ناشناس و همچنین حمایت از یک کمک هزینه تحقیقاتی از دانشکده حسابداری در دانشگاه میشیگان مرکزی تشکر می کنند.

استیون A. هراست ، دبرا مک گیلسکی و یان (Tricia) Sun ، دانشگاه میشیگان مرکزی ، دانشکده مدیریت بازرگانی ، گروه حسابداری ، کوهستان دلپذیر ، MI ، ایالات متحده.

یادداشت سردبیر: توسط دنیس دیکینز پذیرفته شده است.

دریافت شده: 01 نوامبر 2020 پذیرفته شده: 01 مه 2021 2022 موضوعات فعلی در حسابرسی (2022) 16 (2): A10 - A17. استناد

استیون A. هاراست ، دبرا مک گیلسکی ، یان (Tricia) خورشید ؛تعیین خطرات ذاتی رمزنگاری: تجزیه و تحلیل نظرسنجی. موضوعات فعلی در حسابرسی 1 سپتامبر 2022 ؛16 (2): A10 - A17. https://doi. org/10. 2308/ciia-2020-038

دانلود پرونده استناد:

نوار ابزار

خلاصه

ارزهای رمزپایه چندین خطرات را به وجود می آورند که بر ارزیابی ریسک ذاتی حسابرسان تأثیر می گذارد. SEC هشدارهایی در مورد خطرات صادر کرده است (Clayton 2017) ، و PCAOB دارایی های مجازی را به عنوان یک منطقه تمرکز اصلی در بازرسی های آینده ذکر می کند (وینسنت و ویلکینز 2020). این مطالعه به بررسی چگونگی درک متخصصان حسابداری خطرات ذاتی مرتبط با رمزنگاری بر اساس احتمال بروز آنها و تأثیر مورد انتظار بر صورتهای مالی می پردازد. ما می دانیم که خطر تعیین ارزش cryptocurrency به عنوان بالاترین احتمال بروز درک می شود و دسترسی به کلید خصوصی غیر مجاز بالاترین تأثیر را دارد. با ترکیب ارزیابی های احتمال و تأثیر ، ما خطر کنترل ناکارآمد سطح مبادله را به عنوان بالاترین خطر ذاتی رتبه بندی می کنیم. ما همچنین می دانیم که قضاوت های ریسک ذاتی با تجربه cryptocurrency منفی است. متخصصان با تجربه قبلی cryptocurrency ، یا افرادی که برای یک شرکت کار می کنند که قصد پردازش معاملات cryptocurrency را دارد ، ریسک ذاتی را پایین تر از کسانی که تجربه کمتری دارند ، ارزیابی می کنند.

کلید واژه ها:

مقدمه

مفهوم رمزنگاری خصوصی (یا معدن) از زمان اولین بار بیت کوین در سال 2009 ، توجه و منابع مالی قابل توجهی را به خود جلب کرده است (Clayton 2017 ؛ Marr 2017). بخشی از توجه احتمالاً به دلیل تازگی ارز در خارج از سیستم سنتی بانکی و نمادگرایی فناوری اطلاعات مدرن به چالش کشیدن و شاید تضعیف کننده مؤسسات طولانی مدت و قدرتمند است. ارزهای رمزنگاری شده به شبکه غیررسمی از رایانه های همسالان برای اعتبارسنجی و ضبط معاملات به جای یک سیستم رسمی بانکی متکی هستند. آنها با داشتن کارت اعتباری در دسترس هر کسی هستند و با استفاده از برنامه ها ، وب سایت ها یا کیوسک ها در هتل ها بدون هیچ گونه شناسایی قابل خریداری هستند. cryptocurrency برای پرداخت توسط لیست رو به رشد شرکت ها (هاپکینز 2020) ، از جمله شرکتهای جنایی که خواستار پرداخت اخاذی برای حملات باج افزار هستند ، پذیرفته می شود (پوپر 2015).

ارزهای رمزپایه می توانند نوسانات قابل توجهی در قیمت را تجربه کنند زیرا برخلاف یک سیستم پولی در معرض خطر کم خطر ، به سرعت قابل دستکاری نیست. به عنوان مثال ، در سپتامبر سال 2020 ، یک بیت کوین در حدود 11000 دلار معامله شد. تا فوریه 2021 با بیش از 50،000 دلار معامله شد.

با توجه به این خصوصیات ، ارزهای رمزپایه بیشتر از اوراق بهادار به نظر می رسد تا ارزهای پایدار. با این حال ، تنظیم ارزهای رمزنگاری شده با لغزش از مرزهای ملی ، لغزنده است و معاملات در فضای مجازی با استفاده از مقادیر کلیدی ناشناس که فاقد شناسه های بیوگرافی یا شرکت هستند ، انجام می شود. ارزهای رمزپایه توانسته اند بیشتر ثبت نام را به عنوان اوراق بهادار دور بزنند ، و از سال 2017 کمیسیون اوراق بهادار و بورس (SEC) یک پیشنهاد سکه اولیه (ICO) را ثبت نکرده است (Clayton 2017). اخیراً ، SEC عدم موفقیت شرکت ها در ثبت نام ICO را به عنوان اوراق بهادار (Sec 2020) به چالش کشیده است ، و حداقل یک شرکت ادعا می کند که ثبت نام کرده است (IPX 2021). سرویس درآمد داخلی (IRS) هیچ راهی رسمی برای ردیابی سود و زیان رمزنگاری پیدا نکرده است ، اگرچه اخیراً اطلاعات دارنده حساب را از صرافی هایی که برای هشدار دادن حدود 10،000 دارندگان حساب از تعهد خود برای گزارش وقایع مشمول مالیات بدست آورده بود ، بدست آورد (ERB 2019).

SEC به سرمایه گذاران هشدار داده است که با ارزهای رمزپایه محتاط باشند (Clayton 2017). مطابق اظهارات عمومی SEC در مورد cryptocurrency "حمایت از سرمایه گذار نسبت به بازارهای اوراق بهادار سنتی ما ، با فرصت های بیشتر برای کلاهبرداری و دستکاری وجود دارد" (کلیتون 2017 ، تأکید در اصل). PCAOB اخیراً اعلام کرده است که دارایی های مجازی را به عنوان یک منطقه اصلی برای بازرسی های آینده اضافه کرده است (وینسنت و ویلکینز 2020). این امر باعث افزایش سهام برای حسابرسان می شود و شناسایی ریسک را به یک کار مهم تبدیل می کند.

کارگروه دارایی های دیجیتال (DAWG) موسسه حسابداران عمومی معتبر آمریکا (AICPA) اخیراً کمک عملی را برای ارائه راهنمایی در مورد حسابداری و حسابرسی دارایی های دیجیتال صادر کرده است (AICPA 2020). این بیانیه بیان می کند که ارزهای رمزنگاری شده باید به عنوان دارایی های نامشهود گزارش شده و برای اختلال آزمایش شوند. همچنین چهار حوزه حسابرسی را که باید قبل از پذیرش یا ادامه تعامل با اشخاص در اکوسیستم دارایی دیجیتال ارزیابی کنند ، ارزیابی کنند. آنها عبارتند از: (1) مجموعه مهارت ها و صلاحیت های حسابرس ، (2) مجموعه مهارت های مدیریت و صلاحیت ها ، (3) یکپارچگی مدیریت و استراتژی کلی کسب و کار نهاد ، و (4) فرآیندها و کنترل ها ، از جمله سیستم های فناوری اطلاعات. هر منطقه خطرات و چالش های منحصر به فردی را ارائه می دهد.

وینسنت و ویلکینز (2020) در مورد خطرات و چالش های حسابرسی تحمیل شده توسط تازگی ، ابهام و عدم راهنمایی رسمی پیرامون معاملات رمزنگاری بحث می کنند. استرلی (2019) و اسمیت و Castonguay (2019) موافقند که حرفه حسابداری فاقد راهنمایی رسمی در زمینه حسابداری و حسابرسی رمزنگاری است. وینسنت و ویلکینز (2020) یک مدل پذیرش مشتری را بر اساس شایستگی و منابع شرکت و همچنین یک چارچوب ریسک رمزنگاری ارائه می دهند. این چارچوب به طور خلاصه ادعاهای مالی استفاده شده ، رویه های حسابرسی فعلی و خطرات و چالش های اضافی ذاتی در ارزهای رمزنگاری شده برای حسابرسان را می توان هنگام برنامه ریزی و انجام حسابرسی در نظر گرفت.

تحقیقات ما با تمرکز بر درک خطرات ذاتی رمزنگاری در یک زمینه حسابرسی ، کار وینسنت و ویلکینز (2020) را تکمیل می کند و به راهنمایی AICPA در ارزیابی دانش و تخصص حسابرسان در دارایی های دیجیتال می پردازد. ارزیابی خطر ذاتی رمزنگاری برای کاهش خطر پذیرش درگیری که حسابرس قادر به انجام مؤثر نیست ، لازم است. به طور خاص ، ما از متخصصان حسابداری خواسته ایم تا مؤلفه های کیفی خطر ذاتی رمزنگاری ، احتمال بروز و تأثیر مورد انتظار بر صورتهای مالی را ارزیابی کنند. 1 ترکیب این خطرات ما را قادر می سازد خطرات ذاتی رمزنگاری را رتبه بندی کنیم. ما همچنین ارتباط بین ویژگی های متخصصان حسابداری (به عنوان مثال ، تجربه حرفه ای ، تجربه رمزنگاری) و قضاوت های ریسک ذاتی آنها را بررسی می کنیم.

ii. بررسی

هر دو حسابداران حرفه ای Chartered Canada (CPAC) و DAWG ملاحظات حسابرسی مربوط به ارزهای رمزپایه را منتشر کردند (CPAC 2018 ؛ AICPA 2020). AICPA (2020) نشان می دهد كه بنگاهها باید "آگاهی عمومی را در بین كاركنان شركت از خطرات ذاتی در اکوسیستم دارایی دیجیتال قرار دهند ، به گونه ای كه حسابرسان فعلی چنین خطرات را درک كنند و چه منابعی برای مشاغل مشتری موجود در دسترس هستند."CPAC (2018) لیستی از نه خطرات خاص رمزنگاری شده را منتشر کرد که باید هنگام برنامه ریزی درگیری ها در نظر بگیرد یا هنگام تصمیم گیری در مورد اینکه آیا یک حسابرس دارای تخصص رمزنگاری کافی برای پذیرش یک درگیری است. این خطرات عبارتند از:

1. این نهاد تصمیم می گیرد از مبادله رمزنگاری استفاده کند که کنترل موثری بر معاملات خود به نمایندگی از نهاد یا بیش از توازن رمزنگاری شده در حساب های نهاد ندارد.
2. این نهاد دارای یک کیف پول cryptocurrency است که به حساب نیامده است.
3. نهاد یک کلید خصوصی را از دست می دهد و بنابراین دیگر نمی تواند به رمزنگاری مربوطه دسترسی پیدا کند.
4. یک حزب غیرمجاز به کلید خصوصی نهاد دسترسی پیدا می کند و رمزنگاری نهاد را به سرقت می برد.
5. این نهاد مالکیت یک کلید خصوصی و بنابراین از رمزنگاری مربوطه را نادرست نشان می دهد.
6. نهاد cryptocurrency را به یک آدرس نادرست می فرستد و cryptocurrency قابل بازیابی نیست.
7. این نهاد با یک طرف مرتبط وارد یک معامله cryptocurrency می شود و به دلیل ناشناس بودن طرفین در معاملات blockchain نمی توان شناسایی کرد.
8. تأخیرهای قابل توجهی در پردازش معاملات cryptocurrency در پایان یک دوره وجود دارد.
9. وقایع یا شرایط تعیین ارزشی که در آن باید یک رمزنگاری برای اهداف گزارشگری مالی ثبت شود ، دشوار می کند.

برخی از خطرات نسبت به سایرین احتمال و تأثیر بالاتری دارند. به عنوان مثال ، یک کلید خصوصی یک شماره مخفی است که فقط برای شخصی که آن را تولید کرده است شناخته شده است که به دارنده اجازه می دهد تا به صندوق های موجود در یک blockchain دسترسی پیدا کند. از دست دادن یک کلید خصوصی از دسترسی یا استفاده از رمزنگاری جلوگیری می کند و این یک خطر ابتلا به تأثیر دارد. در مقابل ، تأخیر در پردازش رمزنگاری در پایان دوره گزارش ممکن است احتمال بروز بالایی داشته باشد ، اما برای شرکتهای خصوصی تأثیر آن می تواند اندک باشد.

به شرکت کنندگان گفته می شود:

برای این بخش از نظرسنجی ، شما در حال ارزیابی خطر سوءاستفاده مادی از صورتهای مالی مشابه آنچه یک حسابرس ممکن است در مراحل برنامه ریزی یک ممیزی انجام دهد. لطفاً ده سناریو ریسک را بخوانید و سپس احتمال وقوع و تأثیر وقوع آن بر صورتهای مالی را ارزیابی کنید. لطفاً در تمام سناریوها فرض کنید: (1) این شرکت در حال حاضر درگیر معاملات رمزنگاری و/یا معدن است و (2) کلیه معاملات و توازن رمزنگاری مادی است (یعنی بیش از 5 درصد از کل دارایی).

خطرات CPAC پایه و اساس نه از ده سناریوی نظرسنجی است. به عنوان مثال ، ما از شرکت کنندگان می خواهیم:

این نهاد تصمیم می گیرد از مبادله رمزنگاری استفاده کند که کنترل موثری بر معاملات خود به نمایندگی از نهاد یا بیش از توازن رمزنگاری شده در حساب های نهاد ندارد. به بهترین وجه قضاوت خود ، لطفاً احتمال وقوع این سناریو را ارزیابی کنید (مقیاس 1 = بسیار بالا ، تا 5 = بسیار کم ، و 6 = قادر به تعیین) و تأثیر آن بر صورتهای مالی (مقیاس یکسان)اگر سناریو رخ داد.

ما همچنین داده های جمعیتی و تجربه شرکت کنندگان را جمع می کنیم. 2

پاسخ از 52 متخصص حسابداری به عنوان پایه ای برای نتایج مطالعه است. داده های دموگرافیک شرکت کنندگان در جدول 1 گزارش شده است. 3 از شرکت کنندگان ، 56 درصد در حال حاضر در حسابداری عمومی ، 81 درصد بیش از دو سال سابقه کار و 69 درصد دارای گواهینامه حسابداری حرفه ای هستند. مهم برای هدف از مطالعه ما ، 17 درصد تجربه شخصی با cryptocurrency دارند - آنها شخصاً صاحب یا کنترل شرکتی هستند که صاحب cryptocurrency است ، 17 درصد برای شرکتی کار کرده اند که دارای معاملات cryptocurrency است ، 8 درصد روی مشاغل مشتری کار کرده انددر جایی که مشتری مشغول Cryptocurrency Cryptocurrency بوده و یا 31 درصد از آنها آموزش حسابرسی Cryptocurrency و/یا بحث و گفتگو را در شرکت یا شرکت خود در مورد ارزهای رمزنگاری داشته اند. فراتر از دستورالعمل رسمی ، این احتمال وجود دارد که متخصصان حسابداری در معرض به روزرسانی های شرکت و گزارش های رسانه ای در مورد خطرات رمزنگاری باشند.

میز 1

ویژگی های نمونه 52 موضوع

iiiنتایج

در جدول 2 ارزیابی شرکت کنندگان از احتمال و تأثیر خطرات رمزنگاری که به ترتیب خطر ذاتی رتبه بندی شده اند (جمع احتمال و تأثیر). اقدامات احتمال و تأثیر دارای حداکثر نظری 5 و حداقل 1 (صفر و تهی در این تجزیه و تحلیل گنجانده نشده است) ، بنابراین ریسک ذاتی حداکثر نظری 10 و حداقل 2 دارد.

جدول 2

عوامل خطر و رتبه بندی

خطر cryptocurrency که شرکت کنندگان درک می کنند داشتن بالاترین احتمال بروز مشکل در تعیین ارزش رمزنگاری است. ارزش cryptocurrency برای تعیین ارزش امنیت یا ارز مبادله ای مبادله بسیار دشوارتر است. اگرچه ارزهای رمزپایه محبوب اغلب مورد معامله قرار می گیرند ، اما صرافی های مختلف دارای ارزش ارزهای مختلف هستند و هیچ قیمت سکه ای استاندارد وجود ندارد. هر عکس فوری از قیمت فقط می تواند راهنمایی هایی را برای تعیین ارزش رمزنگاری ارائه دهد (Deloitte 2021). بیشتر قیمت های سکه منتشر شده به طور متوسط بر اساس معاملات اخیر در صرافی های برجسته (Reiff 2019) است. کمبود معاملات ارزیابی را ذهنی و دشوار می کند. وینسنت و ویلکینز (2020) چندین عامل خطر ارزیابی نادرست (حجم پایین تجارت و مشکل در تبدیل ارزهای رمزنگاری شده به پول نقد و غیره) را شناسایی کرده و پیشنهاداتی را برای کاهش خطرات ، مانند تعیین روش مدیریت مدیریت ارائه می دهند.

شرکت کنندگان حرفه ای حسابداری دسترسی کلید خصوصی غیرمجاز را به عنوان بالاترین تأثیر در صورتهای مالی درک می کنند. ارزهای رمزنگاری شده در یک کیف پول نرم افزاری که برای استفاده از یک کلید خصوصی قابل دسترسی است ذخیره می شود. دسترسی به یک مقدار کلید خصوصی امکان استفاده از ارز در کیف پول نرم افزار را تشکیل می دهد. اگر کلید خصوصی به خطر بیفتد ، ضررها می توانند برای یک موجودیت که مقدار قابل توجهی از رمزنگاری را در کیف پول خود ذخیره می کند ، حیرت انگیز باشد. AICPA (2020) نشان می دهد که حسابرسان در مورد تفکیک وظایف مربوط به اجازه معاملات cryptocurrency و همچنین تعیین اینکه چه کسی به کلیدها دسترسی دارد و تعداد کاربران برای پردازش معامله نیاز دارند ، سؤال می کنند. موقعیت فیزیکی و امنیت آن مکان نیز مورد توجه زیادی قرار دارد.

ترکیب گزارش های شرکت کنندگان از احتمال و تأثیر ، کنترل مبادله ناکارآمد بر معاملات بالاترین رتبه ریسک ذاتی رمزنگاری شده است. کنترل های ناکارآمد در سطح مبادله می تواند منجر به کلیدهای خصوصی ناامن و نقل و انتقالات غیرمجاز تعادل شود. این مورد برای Coincheck بود که هنگام نگهداری کلیدهای خصوصی به صورت آنلاین در "کیف پول داغ" ، 520 میلیون دلار تخمین زده می شود (بلومبرگ 2018). به کیف پول داغ دسترسی پیدا کرد و صدها میلیون در رمزنگاری از حساب های مبادله به سرقت رفت. کنترل های ناکارآمد در سطح مبادله ریسک بالایی دارند و ممکن است از منظر صاحب سکه قابل کنترل نباشد. با این حال ، صرافی های تعیین شده بیشتر ممکن است منابع لازم برای توسعه کنترل های قوی تر را داشته باشند. AICPA (2020) توصیه می کند فرایند تعامل با مبادلات و تأیید مانده های رمزنگاری را برای کمک به کاهش این خطر درک کند.

برای تعیین تأثیر تجربه یک حسابدار با رمزنگاری در ارزیابی ریسک آنها ، ما اقدامات ریسک ذاتی و هزینه های حسابرسی (به عنوان یک پروکسی برای خطر حسابرسی) را بر روی هر یک از تجربه ها و خصوصیات جمعیتی گزارش شده در جدول 2 نشان دادیم. متغیرها در جدول 3 شرح داده شده است.