Autorinnen und Autoren: Diego Oliveira Farias (oliveiraf@tcu.gov.br), Eldon Teixeira Coutinho (eldonc@tcu.gov.br), Monique Louise de Barros Monteiro (moniquebm@tcu.gov.br), Tibério Cesar Jocundo Loureiro (tiberio.loureiro@tcu.gov.br)
1. Einleitung
Die Blockchain-Technologie hat ihren Ursprung im Jahr 2008, als ein Autor mit dem Pseudonym Satoshi Nakamoto ein Dokument mit dem Titel „Bitcoin: A Peer-To-Peer Electronic Cash System“ (dt. etwa „Bitcoin: ein elektronisches Peer-to-Peer-Bezahlsystem“) veröffentlichte. In der Publikation wurde eine innovative Kombination aus rechnergestützten Konzepten vorgestellt: Rechnernetze aus gleichberechtigten Computern (P2P), Kryptografie, digitale Signatur, Hash-Funktionen und ein neuer Konsensalgorithmus für dezentrale Netzwerke.
Das Bitcoin-Netzwerk nutzt die Blockchain-Technologie, um Transaktionen sicher zu verarbeiten und aufzuzeichnen, und führt Online-Zahlungen durch, ohne eine zuverlässige dritte Partei zu benötigen. Die Transaktionen werden validiert und in Blöcken aufgezeichnet, die im Ledger-Format in den Nodes gespeichert werden. Ein „Block“ bezieht sich auf den Netzwerkstatus, der in sequentiellen Blöcken, die Transaktionen enthalten, gespeichert wird, daher der Begriff Blockchain.
Eine der Einschränkungen von Bitcoin ist, dass die Blockchain nur das Senden von Geldtransaktionen erlaubt. Im Jahr 2013 stellte Vitalik Buterin, ein ehemaliges Mitglied der Bitcoin-Gemeinschaft, eine Plattform für die Entwicklung dezentraler Anwendungen namens Ethereum vor. Auf dieser Blockchain können sogenannte Smart Contracts ausgeführt werden, das heißt Rechencodes (Programme), die selbstständig und zuverlässig auf der Blockchain ablaufen.
1.1 Hauptmerkmale der Blockchain-Technologie
1.1.1. Hypertransparenz und Prüfbarkeit
Die Transparenz der Blockchain ermöglicht es allen Netzwerkteilnehmenden, die Transaktionshistorie in Echtzeit einzusehen, was die Nachvollziehbarkeit erhöht. Die Nutzerinnen und Nutzer können Transaktionen gründlich überprüfen. Das ist besonders wichtig für staatliche Anwendungsfälle, da viele Informationen aus staatlichen Programmen öffentlich sein müssen.
1.1.2. Verteilung und Dezentralisierung
Dezentralisierung bedeutet, dass die Kontrolle und Entscheidungsfindung von einer zentralisierten Einheit (Einzelperson, Organisation oder Gruppe) auf ein dezentrales Netzwerk übertragen wird.
Das Blockchain-Netzwerk kann als Datenbank-Integrationsebene verwendet werden. Dies lässt eine gemeinsame Nutzung durch Organisationen sowie externe Mitarbeiterinnen und Mitarbeiter zu, wodurch eine hypervernetzte Verwaltung ermöglicht wird.
1.1.3. Keine Mittlertätigkeit
Die Blockchain-Technologie führt ein neues Paradigma ein: Verschiedene Parteien haben die Möglichkeit, Transaktionen durchzuführen, ohne sich auf einen zentralen Vermittler verlassen zu müssen. Darüber hinaus verringert sie die Notwendigkeit, komplexe Abstimmungsprozesse zwischen den Parteien vorzunehmen, und senkt die Kosten, da es möglich ist, Smart Contracts, die automatisch nach vordefinierten Regeln ausgeführt werden, zu verwenden.
1.1.4. Verfügbarkeit
Da alle Beteiligten über eine lokale Netzwerkkopie verfügen, kann über andere Nodes auf das Ledger zugegriffen werden, wenn ein Node nicht verfügbar ist. Das heißt, die Blockchain ist ein widerstandsfähiges Netzwerk mit mehreren gemeinsam genutzten Datenkopien, sodass öffentliche Dienste, die diese Informationen benötigen, weiterarbeiten können, auch wenn einige Nodes nicht verfügbar sind.
1.1.5. Unveränderlichkeit und Integrität
Die Blockchain nutzt Verschlüsselungstechniken, unter anderem Hash-Funktionen und digitale Signaturen, zum Schutz ihrer Aufzeichnungen. Dies führt dazu, dass Manipulationen bemerkt werden, da sie eine mathematische Verletzung der Blockchain darstellen.
Diese Eigenschaft stellt sicher, dass die Blockchain eine unveränderliche Aufzeichnung ist und dass keine Einrichtung bzw. Person vergangene Daten ändern kann, ohne dass eine Warnung an das Netzwerk geschickt wird.
1.1.6. Unwiderlegbarkeit
Zu den wesentlichen Eigenschaften der Blockchain-Technologien zählt die Public-Key-Verschlüsselung, die als Grundlage für die Authentifizierung der Netznutzerinnen bzw. -nutzer dient. Digitale Signaturen auf Transaktionen liefern einen unwiderlegbaren Beweis dafür, wer die Absenderin bzw. der Absender der Nachricht ist (Unbestreitbarkeit).
Abbildung 1 – Eigenschaften der Blockchain-Technologie
2. Blockchain, Prüf- und Kontrollwesen
Der Einsatz von Blockchain-Technologie in öffentlichen und privaten Einrichtungen wird zur Entstehung neuer Bestätigungs- bzw. Prüfungsdienstleistungen führen, da sowohl interne als auch externe Prüferinnen und Prüfer Berichte in Echtzeit erhalten können.
Darüber hinaus führt die Blockchain zu erheblichen Veränderungen bei der Eingabe, Verarbeitung und Ausgabe von Organisationsdaten. So kann der Datenverarbeitungszyklus die Art und Weise, wie das Prüfungspersonal Nachweise erhebt, maßgeblich verändern: Es kann sich mehr auf die Beurteilung der Zuverlässigkeit des Blockchain-Netzwerks als auf die Auswertung der Daten selbst konzentrieren.
Die von der ORKB Brasilien durchgeführte Studie darüber, wie sich Blockchain-Innovationen auf die Prüfungstätigkeit auswirken können, wird anhand verschiedener Transformationsaspekte näher erläutert:
2.1. Kontinuierliche Prüfungen in Echtzeit
Dezentrale Lösungen verbessern die Führung und Transparenz staatlicher Stellen, indem sie der Gesellschaft und Kontrollorganen sofortigen sowie uneingeschränkten Zugang zu Daten ermöglichen. Die Integration des Prüfwesens in operative Prozesse ermöglicht die kontinuierliche Kontrolle öffentlicher Handlungen und Ausgaben. Die Blockchain verkürzt die Zeit für die Beschaffung von Informationen und die Überprüfung von Transaktionen. Prüferinnen und Prüfer können Automatisierungs-, Analyse- sowie maschinelle Lernfunktionen nutzen, um die Führungsebene nahezu in Echtzeit auf verdächtige Transaktionen hinzuweisen.
2.2. Paradigmenwechsel von stichprobenbasierten Prüfungen hin zu datenbasierten Prüfungen
Bei einer Prüfung ist die zu prüfende Stichprobe abzugrenzen und das jeweilige Auswahlkriterium, der erfasste Zeitraum sowie ihr Umfang festzulegen. Die verallgemeinerten Schlussfolgerungen aus der ausgewählten Stichprobe bergen einen gewissen Grad an Unsicherheit, der statistischen Berechnungen innewohnt.
Eine Blockchain kann stichprobenartige Prüfungen ersetzen, da die Untersuchung und Prüfung des gesamten Datenuniversums innerhalb des Beobachtungszeitraums mithilfe der Ledger-Kopie möglich ist.
2.3. Automatisierte Prüfungen
Blockchain-Transaktionen sind transparent, sicher und zuverlässig. Prüferinnen und Prüfer können automatisierte Verfahren entwickeln, um Nachweise direkt aus der Blockchain zu gewinnen. Dadurch entfällt nicht nur der Datenabgleich über mehrere Datenbanken hinweg, auch das Fehlerrisiko wird verringert. Dies erleichtert die Arbeit des Prüfungspersonals, da Datenbankabfragen, die Automatisierung von Berichten sowie die automatische Aufdeckung von Betrug und Unregelmäßigkeiten ermöglicht werden.
2.4. Prüfungspersonal benötigt neue Kenntnisse
Prüferinnen und Prüfer sollten blockchainspezifische Risiken verstehen und wissen, wie die geprüfte Stelle Kontrollen durchführt, um diese Risiken zu bewältigen. Das Prüfungspersonal muss sich Kenntnisse über dezentrale Systeme, Netzwerke, Sicherheit, Kryptografie, Schlüsselverwaltung und Technologieprozesse aneignen.
Der zunehmende Einsatz von Smart Contracts erfordert auch Kenntnisse in Programmiersprachen, um zu überprüfen, ob Geschäftsregeln korrekt programmiert werden. Mit der Blockchain steigt die Menge der verfügbaren Informationen. Daher müssen Prüferinnen und Prüfer planen, wie sie Nachweise in den neuen sich aus dieser Technologie ergebenden Formaten erheben können.
2.5. Neue Risiko- und Betrugsarten
Um das nötige Maß an Vertrauen zu schaffen, müssen Prüfungsverfahren bei der Beurteilung der operativen Wirksamkeit von Kontrollen in den Bereichen Technologie und Kryptografie noch weiter gehen. Darüber hinaus stellen Schwachstellen in Smart Contracts neue Bereiche dar, auf die das Prüfungspersonal achten muss.
2.6. Compliance by Design
Der Begriff „Compliance by Design“ (dt. etwa „geplante Konformität“) bezieht sich auf die Validierung von Kontrollen vor der Einführung der Blockchain-Lösung. So wird sichergestellt, dass die Regeln dafür, was innerhalb und außerhalb des Netzwerks erlaubt ist, Gesetzen und rechtlichen Vorschriften entsprechen.
Es wird also einen größeren Bedarf für das Prüfungspersonal sowie geprüfte Stellen geben, sich an der Phase der Anwendungsplanung zu beteiligen. Anstatt zu versuchen, Unregelmäßigkeiten ausfindig zu machen, werden Smart Contracts mit der Absicht geschrieben, dass diese gar nicht auftreten. Es ist viel einfacher, Steuerungsaspekte, Risikomanagement und Kontrollen von Beginn eines Projekts an einzubeziehen, als diese anzupassen, nachdem ein Problem festgestellt wurde.
2.7. Off-Chain-Informationen müssen überprüft werden
Wenn eine Blockchain digitale Vermögenswerte wie Kryptowährungen erfasst, bietet sie eine sichere und vertrauenswürdige Quelle. Wenn die Blockchain jedoch zur Aufzeichnung von Transaktionen aus der realen Welt verwendet wird, gibt es keine Garantie, dass die Transaktion auch wirklich stattfindet.
In der Blockchain aufgezeichnete Lügen bleiben Lügen. Das wirft die Frage auf, wie die Prüferin bzw. der Prüfer die Echtheit der in der Blockchain aufgezeichneten Transaktionen garantieren kann. Es ist daher Aufgabe des Prüfungspersonals, Mechanismen zu finden, um die in der Blockchain aufgezeichneten Transaktionen mit den realen Transaktionen abzugleichen, insbesondere in Bezug darauf, wie Netzwerkteilnehmende Transaktionen anstoßen, verarbeiten und aufzeichnen.
2.8. Neue Herausforderungen und Chancen
Selbst in einem Umfeld, in dem sämtliche Tätigkeiten der Organisation in der Blockchain aufgezeichnet werden, wird für die Auswahl und Durchführung der Prüfungstests weiterhin das Fachwissen des Prüfungspersonals benötigt. Die Frage, wie der Wahrheitsgehalt der Transaktionen festgestellt wird und wie das Netzwerk kontrolliert wird, ist von wesentlicher Bedeutung für Prüferinnen und Prüfer. Nachweise, die von Netzwerken mit angemessenen internen Kontrollen erhoben werden, sind zuverlässiger als solche mit weniger wirksamen Kontrollen. Prüfungen werden sich wahrscheinlich stärker an der Informationstechnologie orientieren und zukunftsgerichteter werden, wobei der Schwerpunkt auf der Verhinderung von Fehlverhalten, Betrug und Korruption liegen wird.
Der Einsatz von Blockchain-Anwendungen seitens der geprüften Stellen steigert Transparenz, da sie gezwungen sind, zuvor nicht aufgezeichnete Transaktionen offenzulegen. Kontrollorgane müssen somit nach Möglichkeiten suchen, um den Wert der in Echtzeit zur Verfügung gestellten Informationen zu maximieren. Diesbezüglich bilden der Einsatz von Analytik und künstlicher Intelligenz (KI) zwei Möglichkeiten.
3. Abschließende Überlegungen
Trotz des enormen Potenzials, das wir uns für die Anwendbarkeit der Technologien des Blockchain-Ökosystems in der Finanzkontrolle vorstellen können, stellen diese die Prüfgemeinschaft auch vor Herausforderungen, die es zu bewältigen gilt. Diese Herausforderungen reichen angesichts der ständigen technologischen Innovationen in diesem Bereich von der Notwendigkeit kontinuierlicher Fort- und Weiterbildung für Prüferinnen und Prüfer bis hin zu regulatorischen Anpassungen, die erforderlich sein könnten, um die Verwendung von Blockchain-Technologien im Prüfwesen zu regeln.
