Unabhängig vom „Auf und Ab“ der verschiedenen Krypto-Währungen von Bitcoin bis Ethereum steigt die Bedeutung der Blockchain-Technologie unaufhaltsam. Zwar variieren die Prognosen, doch die jährlichen Investitionen in Blockchain in der kommenden Dekade werden auf einen mindestens zweistelligen Milliardenbetrag geschätzt. Vor diesem Hintergrund kommen auch interne Revisoren nicht daran vorbei, sich mit dem Thema zu befassen. Nur so sind sie in der Lage, die Risiken rechtzeitig zu erkennen und ihren Unternehmen die nötige Sicherheit zu geben.
Wir erläutern, was die Blockchain-Technologie ausmacht und zeigen auf, welche Risiken beachtet werden sollten und welche Implikationen sich für die Interne Revision ergeben.
Was ist Blockchain?
Die erste technische Umsetzung einer Blockchain erfolgte 2009 mit Veröffentlichung der Bitcoin-Software durch eine Person oder Personengruppe unter dem Pseudonym „Satoshi Nakamoto“. Die „Blöcke“ sind die einzelnen Datensätze, die in der Blockchain miteinander „verkettet“ werden. Im Unterschied zu einer herkömmlichen Datenbank entstehen durch die Verkettung eine Historisierung und Unveränderbarkeit, da jeder Block nur in Verbindung mit dem vorangegangen und dem nachfolgenden Block gültig ist und somit eine nachträgliche Änderung nicht möglich ist. Hinzu kommt, dass die Blockchain nicht zentral gespeichert wird, sondern jeder Netzwerkteilnehmer den kompletten Datenbestand abgespeichert hat (Distristributed-Ledger-Technologie oder DLT) und alle Änderungen an Daten von allen Netzwerkteilnehmern akzeptiert werden müssen (Konsens-Mechanismus). Das Risiko von Datenmanipulationen und -verlusten ist daher um ein Vielfaches geringer als bei herkömmlichen Datenbanken.
Ein weiterer Vorteil ist die Transparenz, da alle Informationen, die einsehbar sein sollen, für alle Netzwerkteilnehmer auch einsehbar sind. Dies führt zu einer Kosten- und Zeitersparnis, weil Kontrollinstanzen überflüssig sind und der Kommunikationsaufwand für die Beteiligten verringert wird.
Use Cases – warum es für Unternehmen sinnvoll sein kann, auf Blockchain zu setzen?
Blockchain ist keine Allzweckwaffe, die sich gegen jede Form von herkömmlicher Datenbank richtet. Dies liegt insbesondere an der eingeschränkten Möglichkeit zur Skalierung sowie am hohen Speicher- und Energieverbrauch. Für besonders schützenswerte Daten, deren Unveränderbarkeit von höchster Bedeutung ist, kann aber ein echter Mehrwert durch die Blockchain-Technologie geschaffen werden. Die folgenden Beispiele verdeutlichen dies:
Lieferketten
Während die Überwachung und Optimierung der Lieferkette aus Effizienz- und Qualitätsgründen schon lange unerlässlich ist, steigt die Bedeutung eines lückenlosen Monitorings durch Vorgaben wie das Lieferkettensorgfaltspflichtengesetz auch unter Compliance-Gesichtspunkten. Eine Blockchain ermöglicht es dank der Unveränderbarkeit sowie der Transparenz der Daten, den gesamten Weg eines Produkts durch die Supply Chain nachzuverfolgen und Manipulationen frühzeitig zu erkennen. Zudem können durch Smart Contracts Effizienzen erzielt werden, weil bestimmte Ereignisse (wie etwa Zahlungen) automatisch ausgelöst werden können.
Gesundheitswesen
Eine unvollständige Patientenhistorie erschwert es Ärzten heute, dem Patienten die optimale Versorgung zu bieten. Eine manipulationssichere Speicherung sämtlicher Gesundheitsdaten auf einer Blockchain ermöglicht einen holistischen Blick auf die jeweilige Krankengeschichte. Gleichzeitig ergeben sich aus dieser Transparenz Möglichkeiten für die Krankenkassen zu einer patientenspezifischen Bepreisung der Versicherungen. Eine Speicherung der elektronischen Patientenakte auf einer Blockchain könnte zahlreiche Bedenken von Datenschützern langfristig entkräften.
Risiken
Während die Verwendung der Blockchain-Technologie in den entsprechenden Anwendungsfällen großen Mehrwert stiften kann, so müssen diverse Risiken beachtet werden, wie zum Beispiel die folgenden:
Datenschutzrisiken
Blockchains führen zu einer hohen Transparenz für die Teilnehmer des Netzwerks. Doch während dies in vielen Anwendungsfällen einer der großen Vorteile der Technologie ist, so ist damit auch das Risiko verbunden, dass vertrauliche Daten für Dritte einsehbar sind oder – auch bei anonymisierten Daten – zumindest nachvollziehbar werden. Zudem sind Blockchains nicht immun gegen technische Schwächen und Angriffe, wie zum Beispiel Malware, Trojaner oder Hacks. Bei Implementierung von Blockchain-Lösungen sind daher Maßnahmen zum Schutz sensibler Daten unerlässlich.
Integrationsrisiken
Bei Integration neuartiger, auf Blockchain basierender Systeme in vorhandene Prozesse innerhalb der Organisation können technische Probleme wie Kompatibilitäts- und Interoperabilitätsprobleme auftreten, aber auch logistische und operative Herausforderungen. So muss beispielsweise bei Implementierung eines blockchainbasierten Supply-Chain-Management-Systems darauf geachtet werden, dass das System nahtlos in die vorhandene ERP-Software integriert wird. Andernfalls drohen Verzögerungen bei der Implementierung, höhere Kosten und eine verringerte Effizienz. Ein entsprechendes Projektmanagement unter Einbezug der relevanten Stakeholder ist daher von herausragender Bedeutung.
Governance-Risiken
Blockchain-Systeme sind dezentralisiert, was bedeutet, dass es keine zentrale Autorität gibt, die das Netzwerk kontrolliert. Dies kann Governance-Herausforderungen schaffen, wie zum Beispiel wie Konflikte gelöst, wie Entscheidungen über Änderungen am System getroffen oder wie Konsensmechanismen ausgestaltet werden sollen. Unternehmen sollten klare Governance-Strukturen etablieren, um sicherzustellen, dass ihre Blockchain-Systeme effektiv und fair betrieben werden.
Was bedeutet die Blockchain für die Interne Revision?
Zum einen ist es von entscheidender Bedeutung, dass die Interne Revision so gut in die Informationsflüsse ihres Unternehmens integriert ist, dass sie sich rechtzeitig in Projekte mit Blockchain-Bezug involvieren und ihrem Anspruch als Beratungsfunktion gerecht werden kann. Zum anderen muss die Blockchain Eingang in das Audit Universe finden, damit sichergestellt werden kann, dass die von der Blockchain tangierten Prozesse adäquat im Prüfungsplan berücksichtigt werden.
Anpassung des Prüfungsansatzes
Um ein wertstiftendes Prüfungsurteil abgeben zu können, muss die Interne Revision ihren Prüfungsansatz an die Besonderheiten anpassen, die die Blockchain mit sich bringt. Da davon auszugehen ist, dass die einzelne Transaktion, die in der Blockchain gespeichert ist, so gut wie fälschungssicher ist, muss der Fokus auf das System als Ganzes sowie Input- und Output-Kontrollen gelegt werden.
Neues Kompetenzprofil
Auch diese Technologie führt dazu, dass Revisoren sich stärker mit technischen Fragestellungen auseinandersetzen und die entsprechenden Kompetenzen mitbringen müssen. Hierzu gehören insbesondere Kenntnisse in Programmierung, IT Application Controls und Cyber Security.
Chancen durch Nutzung verfügbarer Daten
In der Blockchain stehen ständig validierte Echtzeitdaten bereit. Dies ermöglicht es der Internen Revision, durch intelligente Datenanalyseroutinen einen großen Schritt in Richtung Continuous Auditing zu machen und so ihrem Unternehmen einen umfassenden Mehrwert zu bieten. Dies wird die Rolle der Internen Revision als Inhouse-Berater enorm stärken.
Fazit
Kryptowährungen basieren auf Blockchains. Dementsprechend ist die Technologie in dieser Industrie stark verwurzelt. In anderen Branchen und Anwendungsgebieten steckt sie noch in den Kinderschuhen. Doch dass sie weiter an Bedeutung gewinnen wird, ist mehr als wahrscheinlich. Daher ist es für Revisoren schon heute wichtig, das Thema Blockchain bewusst zu beobachten und in die Informationsflüsse ihres Unternehmens so eingebunden zu sein, dass sie sich bei entsprechenden Projekten frühzeitig einbringen und so die Governance stärken können.
Steht das Thema Blockchain schon heute auf Ihrer Agenda? Unsere Experten unterstützen Sie gerne.
