Автор оригинальной статьи: Доктор Шон Штайн Смит (Sean Stein Smith), DBA, CPA, CMA, CGMA, CFE, доцент Колледжа Лемана при Городском университете Нью-Йорка, член консультативного совета ассоциации сертифицированных бухгалтеров Нью-Джерси (NJCPA)
По материалам: AccountingWeb
Многие профессиональные бухгалтеры начинали свое знакомство с блокчейном через биткоины и другие криптовалюты, однако сфера применения технологии только этим, как известно, не ограничивается. Обвал котировок криптовалют в прошлом году привел к тому, что теперь основной зоной их внимания являются не волатильность курсов, а другие способы применения блокчейна компаниями-клиентами. Как и в случае с любой новой (пускай относительно новой) технологией, здесь требуется тщательно проведенный дополнительный анализ влияния блокчейна на систему внутреннего контроля и другие управленческие аспекты.
Кибербезопасность, как известно - очень актуальная тема, которая в информационном поле возникла задолго до обсуждений технологии распределенных реестров, но только сегодня она начинает подниматься по ходу практически каждой дискуссии в советах директоров из-за огромного риска для операционной деятельности и финансовых результатов, который несут с собой взлом и утечки конфиденциальных данных.
Распределенные реестры, как известно, благодаря децентрализованному шифрованию обеспечивают очень высокую защиту от взлома. Технологию, среди прочего, продвигали как готовое решение по хранению и безопасному обмену данными между сторонами. Потенциально это очень важная со стратегической позиции тема, поэтому давайте взглянем, какие факторы профессиональным бухгалтерам и другим участникам процесса следует в этой связи понимать и учитывать.
Итак, хотя одной из базовых основ блокчейна является повышенная безопасность сберегаемой информации, полностью риск взлома отнюдь не нивелируется. Для разработки и/или внедрения любой платформы на основе этой технологии необходимо присутствие трех ключевых элементов:
- Люди
- Компьютерное оборудование
- Программное обеспечение
Однако каждая из этих трех компонент несет с собой риск ошибок или осознанного пропуска данных, которые создадут проблемы как для самих систем, так и для хранимых в них данных. Кроме того, даже в предположении, что базовые процессы надежны и строго документируются, нельзя забывать об особенностях обмена данными в случае с блокчейном. В зависимости от специфики используемой платформы, публичной ли (как в случае с биткоином), частной ли (как те, что применяются непубличными компаниями), или же некой смешанной разновидности (как в совместной деятельности), могут отличаться и механизмы обеспечения контроля и безопасности. Поэтому последовательно применяемые стандарты защиты всеми участниками сети распределенных реестров являются необходимой мерой.
Профессиональные бухгалтеры в бизнесе часто обращаются с чувствительной информацией и имеют доступ к данным по клиентам, поэтому кибербезопасность здесь – отнюдь не абстрактные обсуждения, какими она может показаться на первый взгляд. И пусть вопросы кибербезопасности и регулирование в данной сфере пока что не входят в традиционные обязанности практикующих специалистов, важность сохранности и целостности данных трудно переоценить. Многочисленные примеры показали, насколько большой ущерб может быть причинен взломом, компрометацией или потерей контроля за организационными данными - и с финансовой, и с операционной точки зрения. Одним из самых показательных примеров уже в этом году стала канадская криптобиржа Quadriga, чей владелец умер, унеся с собой в могилу доступ к ноутбуку, с которого единственного был возможен доступ к счетам пользователей, а значит – и всем принадлежащим им средствам.
Обмен пусть и закодированной информацией не только способен нарушить актуальные для отдельных отраслей нормы регулирования (например, Закон об охране и ответственности за информацию, полученную в результате медицинского страхования - HIPAA), но может стать неприятным сюрпризом также для клиентов. Поэтому важным аспектом кибербезопасности является соблюдение организацией адекватных отношений со своими внешними партнерами, к которым относятся как клиенты, так и регуляторы.
Общеевропейские требования к сохранности данных (General Data Protection Regulation - GDPR), местное законодательство в отношении сохранности персональных данных в Калифорнии и множество других требований, действующих в разных странах мира, знаменуют собой лишь начало разработки централизованного регулирования в отношении определенных классов отдельно идентифицируемой информации в распоряжении организаций. Информационные данные уже где-то окрестили “нефтью” 21 столетия, поэтому все заинтересованные стороны ожидают от компаний полной ответственности за эффективный надзор в данной области.
Все это интересные размышления с концептуальной точки зрения, однако они уже оказывают прямое влияние на работу профессиональных бухгалтеров. Безопасность данных, контроль информационного потока, отвечающих их целям инструменты контроля и процессы – все это теперь имеет огромное значение.
Однако важно также понимать, какие следующие конкретные шаги будут предприняты для внедрения этих политик в практику. Кибербезопасность и блокчейн – обе эти темы по весомой причине привлекли внимание представителей профессии, причем не по отдельности. Наибольшую важность сегодня представляет кибербезопасность в контексте блокчейна и других передовых технологий в бизнесе. И хотя возможности использования блокчейна широки, совсем необязательно, что связанные с ним меры кибербезопасности обязательно должны характеризоваться повышенной сложностью или быть чем-то принципиально новым. Вот примерный и далеко не исчерпывающий список решений, который предлагает автор статьи:
- Если вы, либо клиентская организация планирует (-ете) внедрение решения на основе технологии распределенных реестров в отдельных областях бизнеса, очень важно контролировать и документировать доступ к базовому программированию. В случае привлечения сторонних консультантов предоставленный им доступ должен быть ограниченным; та же логика применяется в отношении программистов, занятых разработкой продуктов и услуг на основе блокчейна. С этой точки зрения кибербезопасность и внутренний контроль в области блокчейна не так уж отличаются от традиционно использующихся инструментов контроля в IT-проектах.
- Если речь идет о клиентах, которые инвестируют, или же только думают об инвестициях в криптовалюты и другие криптоактивы, необходимо тщательно проинструктировать их в отношении важности контроля за доверительным управлением этими инвестициям. В качестве примера такого инструктажа можно привести список контрольных вопросов или аналогичный документ, который объясняет основные отличия между различными категориями криптовалют, а равным образом и различные методы хранения таких активов: “холодные” кошельки (устройства накопления, напоминающие флешку) или же “горячие” кошельки (сервисы, позволяющие получить доступ с любого мобильного устройства) и так далее. Но и после разработки таких документов важно постоянно их обновлять, чтобы экосистема блокчейн развивалась ускоряющимися темпами.
- Регулярное обновление инструментов контроля. Возможно, тема внутреннего контроля и не является самой интересной в обсуждениях, однако внедрение блокчейна в различных областях бизнеса делает обязательными регулярные пересмотр, обновление и, что важнее всего - внедрение процессов внутреннего контроля. Пример ключевых вопросов: в случае с частной системой блокчейн, каким должен быть процесс предоставления индивидуального и организационного доступа к хранимой там информации? А в предположении, что все процессы стандартны, каким образом осуществлять обновление политики в целях отражения изменений делового окружения?
Кибербезопасность – это и риски, и возможности. Велик соблазн отнестись к ней как еще одной области расходов, о которой следует просто помнить, но такое восприятие будет неполным. Профессиональные бухгалтеры в бизнесе – не единственные, на кого влияет корпоративная информация, ведь и сегодняшние, и будущие клиенты ищут у них профессиональной рекомендации. Эффективный профессиональный бухгалтер – это проактивно мыслящий профессиональный бухгалтер, который уже сегодня использует любую новую возможность в сфере кибербезопасности.