INTEROPERABILITY BLOCKCHAIN CENTER

#INNOVAZIONE #INTEROPERABILITA

BLOCKCHAIN Fattori di rischio

  • Home
  • BLOCKCHAIN Fattori di rischio

Panoramica

Le nuove tecnologie comportano potenziali svantaggi che devono essere identificati e gestiti. Ciò è particolarmente vero quando quella tecnologia non è semplicemente un’applicazione sovrapposta, ma piuttosto una parte fondamentale dell’infrastruttura IT sottostante dell’organizzazione, come spesso accade con la blockchain.

L’elenco di controllo incluso in questo modulo copre alcuni potenziali rischi e passi falsi associati allo sviluppo di tecnologie blockchain. Si noti, tuttavia, che questo elenco non intende essere esaustivo. Tenendo presente ciò, i project manager dovrebbero visualizzare le informazioni come guida generica e collaborare con le parti interessate interne rilevanti, quali team di cybersecurity, audit interno, finanza, conformità, legali, operazioni e informatica per identificare e dare priorità ai rischi significativi per i loro diffusione e sviluppo di meccanismi per gestire i rischi in modo proattivo.

Quali sono i nuovi rischi associati alla distribuzione della soluzione blockchain?

Nessuna tecnologia, inclusa la blockchain, è senza rischi. I vincitori a lungo termine nello spazio blockchain sanno come riconoscere il rischio, quantificare il rischio e gestire il rischio in un’applicazione basata su blockchain.

Michael Prokop , Leader Blockchain, Deloitte US Risk & Financial Advisory

Poiché l’organizzazione considera lo sviluppo di casi d’uso di blockchain, la creazione di prove concettuali o il ridimensionamento e la distribuzione in un ambiente di produzione, l’attenzione non dovrebbe essere diluita dal catering per i rischi critici correlati alla blockchain. Inoltre, è importante studiare se il framework di rischio aziendale dell’organizzazione tiene conto dei rischi specifici della blockchain.

Le organizzazioni dovrebbero adottare un approccio proattivo nel riconoscere i nuovi rischi derivanti dalla blockchain. La gestione del rischio non dovrebbe essere un ripensamento; piuttosto, dovrebbe essere inserito nel set di considerazioni dalla fase iniziale di scoping e strategia di un progetto blockchain stesso. Mentre questo elenco di potenziali rischi può sembrare piuttosto lungo e scoraggiante, molte di queste insidie ​​sono quelle che la tua organizzazione dovrà affrontare anche nell’implementazione di qualsiasi altra nuova tecnologia. Questa lista di controllo è progettata per aiutare le organizzazioni a identificare quei rischi che sono significativi per loro al fine di guidare il successo della loro iniziativa blockchain.

Con una comprensione più ricca, più collettiva e sfumata delle opportunità e dei rischi della blockchain, i decisori saranno meglio attrezzati per implementare sistemi che supportano le loro esigenze aziendali generando fiducia.

I rischi comuni possono essere ordinati in cinque grandi categorie
Figura 15.1 – I rischi comuni possono essere ordinati in cinque grandi categorie

Elenco di controllo per l’identificazione dei rischi

Di seguito è riportato un elenco di controllo di potenziali rischi e passi falsi spesso associati alle distribuzioni di blockchain. Sebbene tutti i casi d’uso della blockchain potrebbero non coinvolgere risorse digitali, questa lista di controllo delinea anche i rischi relativi ai casi d’uso che coinvolgono risorse digitali. Si noti che questo elenco include alcuni dei rischi rilevanti, ma non intende essere esaustivo. Gli elementi della checklist non sono né classificati in ordine di priorità né equamente ponderati. La probabilità che i rischi si manifestino in eventi reali dipende da una serie di fattori.

Le organizzazioni dovrebbero considerare questo elenco di controllo come una guida generica e collaborare con le parti interessate interne rilevanti per identificare, dare priorità e gestire i rischi rilevanti per il loro progetto specifico in modo proattivo. Lo scopo di questo modulo non include indicazioni sui programmi di gestione dei rischi aziendali.

Si noti inoltre che alcuni dei rischi specifici menzionati di seguito, ad esempio Cybersecurity , sono trattati in maggior dettaglio in altri moduli di questo toolkit. Assicurati di fare riferimento ai moduli dedicati a quei problemi particolari come richiesto dalle esigenze del tuo progetto.

Rischi tecnologici

Lo sviluppo e l’implementazione efficaci di soluzioni basate su blockchain richiedono l’identificazione e l’indirizzamento di un elenco di rischi e sfide tecnologici. L’elenco include la privacy dei dati e delle transazioni sulla blockchain, i rischi per la sicurezza, i limiti relativi alle prestazioni della piattaforma blockchain sottostante e i problemi relativi all’integrazione con altri sistemi aziendali.

Rischi per la privacy dei dati

  • I difetti nella progettazione del sistema basato su blockchain potrebbero portare alla non conformità alle normative o agli accordi di riservatezza che regolano i dati? Ad esempio, l’applicazione comporta informazioni di identificazione personale (PII) o dati di trasporto riservati? I requisiti consentono l’archiviazione on-chain dei dati o devono essere archiviati off-chain?
  • L’applicazione incorpora controlli adeguati attraverso il ciclo di vita dei dati (ad es. Raccolta / creazione, archiviazione, utilizzo e condivisione / trasferimento quando i dati vengono condivisi tra i nodi blockchain)?
  • Esiste il rischio di esposizione di dati sensibili a causa di politiche, procedure, standard e linee guida inadeguate per la crittografia e l’offuscamento dei dati?
  • I dati in entrata potrebbero essere potenzialmente inaccurati? In tal caso, come identificare e correggere gli errori?
  • Il sistema blockchain è tenuto a rispettare le norme sul “diritto all’oblio”? In tal caso, è in conflitto con la potenziale immutabilità dei dati su una blockchain?

Per una panoramica dettagliata sulla protezione dei dati sensibili e considerazioni sul GDPR, fare riferimento ai moduli Protezione dei dati e Gestione dei dati personali .

Rischi connessi alle prestazioni

  • Quali sono i limiti relativi alle prestazioni della piattaforma blockchain sottostante relativamente al caso d’uso della blockchain proposto (ad esempio, throughput delle transazioni, tempo di regolamento e disponibilità)?
  • La piattaforma blockchain utilizzata potrebbe non essere ottimale in termini di supporto per gli sviluppatori e / o blocco del fornitore?
  • Il protocollo blockchain selezionato è interoperabile con altri protocolli richiesti dal progetto?

Per ulteriori dettagli sull’interoperabilità del protocollo blockchain con altri protocolli, consultare il modulo Interoperabilità .

Rischi per la sicurezza

Come altri sistemi abilitati alla tecnologia, anche i sistemi blockchain devono essere valutati per una varietà di rischi per la sicurezza informatica, come la riservatezza degli utenti, la sicurezza delle chiavi private che proteggono l’accesso alle risorse digitali e la protezione degli endpoint. Per ulteriori dettagli sui rischi per la sicurezza, consultare il modulo Cybersecurity .

Rischi correlati all’integrazione

  • Ci saranno problemi di integrazione con i sistemi legacy mission-critical utilizzati all’interno dell’organizzazione?
  • Ci sono standard disponibili per l’integrazione delle applicazioni blockchain con i sistemi aziendali?
  • Esistono test di integrazione appropriati sia per le entità partecipanti che per le entità del consorzio blockchain?
  • La mancanza di un’architettura e di una directory di dati comuni può portare i sistemi aziendali a fornire dati disallineati al sistema blockchain?

Rischi operativi

L’implementazione di applicazioni basate su blockchain, specialmente in un consorzio di diverse organizzazioni, è complessa e comporta la risoluzione di una serie di problemi di rischio operativo come governance, controlli, verificabilità delle transazioni blockchain e prova della proprietà degli asset.

Governance e controllo dei rischi

  • La struttura dell’entità legale del consorzio blockchain è appropriata per le implicazioni fiscali e i benefici dei partecipanti?
  • Il processo decisionale all’interno di un consorzio potrebbe non essere ottimale a causa della mancanza di strutture e processi adeguati?
  • Esistono controlli adeguati per mitigare i conflitti derivanti dalla responsabilità decentralizzata e dalla proprietà condivisa?
  • C’è una mancanza di struttura e politica nel consorzio per integrare nuovi membri e accettare nuovi casi d’uso?
  • I contratti intelligenti sono stati controllati per evitare l’implementazione errata di accordi commerciali o legali?

Per i dettagli su importanti elementi di governance da considerare, consultare i moduli Formazione del consorzio e Governance del consorzio .

Rischi di audit

  • C’è abbastanza esperienza tecnica o capacità nel condurre audit IT / tecnologia dell’applicazione o della piattaforma blockchain?
  • La direzione e / o i revisori dei conti saranno in grado di ottenere le informazioni necessarie per supportare l’informativa di bilancio?
  • La direzione sarà in grado di valutare le risorse digitali in conformità con le politiche contabili pertinenti?
  • Esiste il rischio di un “hard fork” della blockchain per modificare le transazioni passate, consentire transazioni precedentemente non consentite o apportare altre modifiche strutturali alla blockchain?

Rischi di proprietà delle attività

  • Esiste il rischio di furto o perdita di risorse digitali a causa della natura irreversibile delle transazioni nel protocollo blockchain?
  • In che modo il cambiamento reale della proprietà degli attivi è reso coerente con il cambiamento che si riflette sulla catena?
  • L’identità del mondo reale può essere adeguatamente confermata per stabilire la proprietà dei beni quando richiesto? C’è ulteriore complessità dovuta al potenziale anonimato dei partecipanti sul protocollo blockchain?
  • Sono disponibili standard industriali adeguati per la progettazione di token interoperabili basati su blockchain?

Per informazioni più dettagliate sulle domande trattate in questa sezione, consultare il modulo Rapporti finanziari e controlli .

La blockchain come tecnologia potrebbe non essere regolamentata, ma le applicazioni sviluppate utilizzando la tecnologia blockchain dovranno rispettare le normative pertinenti, come il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea relativo alla protezione e alla privacy dei dati. I rischi legali e normativi includono incertezza su normative trans-giurisdizionali, violazioni di antitrust, esecutività di contratti intelligenti, antiriciclaggio (AML) e know-your-customer (KYC) e protezione della proprietà intellettuale (IP).

Rischi legali e regolamentari

  • Quali sono i potenziali rischi e sfide legali e regolamentari da prevedere con la distribuzione di questa applicazione basata su blockchain? Questi possono includere incertezza in merito alle normative inter-giurisdizionali, violazioni dell’antitrust, esecutività degli smart contract, antiriciclaggio (AML) e know-your-customer (KYC) e protezione della proprietà intellettuale (IP).
  • Potrebbero esserci conflitti legali tra i partecipanti del consorzio o i consumatori a causa di responsabilità legale poco chiara in una rete autorizzata per casi come violazione dei dati o errori di contratto intelligente?
  • Esistono rischi derivanti dalle incertezze normative relative alle blockchain e ai sistemi correlati, in particolare tra le giurisdizioni? Ad esempio, diverse normative sulla privacy e la sicurezza dei dati possono essere applicate in diverse giurisdizioni in tutto il mondo.

Per ulteriori dettagli su elementi importanti da considerare, consultare il modulo Conformità legale e normativa .

Rischi antitrust

  • Esistono garanzie contro un consorzio blockchain che fissa o manipola i prezzi per ottenere un vantaggio competitivo?
  • I membri significativi all’interno di un consorzio blockchain potrebbero colludere, portando alla manipolazione dei servizi offerti alle entità più piccole o al trattamento preferenziale di determinate transazioni?
  • Esistono rischi antitrust derivanti da un certo consorzio blockchain che potenzialmente trascina una quota significativa del mercato in un ecosistema chiuso, causando così svantaggi per concorrenti e consumatori?
  • Un grande consorzio blockchain potrebbe sfavorire i concorrenti, ad esempio escludendoli, offrendo sconti a partner selezionati o punendo i concorrenti utilizzando valute private alternative?

Rischi AML e KYC

  • Il sistema blockchain è soggetto alla conformità alle normative AML o KYC che disciplinano le attività di servizi di moneta?
  • Sono necessari rigorosi controlli “conosci il tuo fornitore” per la conformità?
  • Esistono garanzie contro il pagamento da o verso parti o paesi soggetti a sanzioni internazionali o con lo status di “persona politicamente esposta”?
  • È possibile distribuire applicazioni decentralizzate (Dapps) che accettano o trasmettono valore senza i necessari controlli e programmi di conformità?
  • Sono previsti controlli di sorveglianza e monitoraggio necessari per rilevare e prevenire le attività di riciclaggio?
  • Ci sono ulteriori rischi dovuti all’anonimato delle transazioni e delle identità sulla blockchain?

Per maggiori dettagli sui rischi legali e normativi evidenziati in questa sezione, consultare il modulo Conformità legale e normativa . Maggiori dettagli sull’IP all’interno dei consorzi sono disponibili nel modulo Governance del consorzio .

Rischi finanziari

Un obiettivo comune della distribuzione della blockchain è facilitare i trasferimenti di valore. È necessario prendere in considerazione una varietà di rischi finanziari durante la progettazione di tali applicazioni, piattaforme e infrastrutture blockchain, come potenziale perdita finanziaria, finalità di transazione, rischi relativi al finanziamento del consorzio e problemi di protezione della proprietà intellettuale. Inoltre, ci sono una serie di sfide contabili e di segnalazione che dovrebbero essere prese in considerazione quando dipendono dalle applicazioni basate su blockchain per le transazioni finanziarie e per le informazioni utilizzate nel reporting finanziario.

Rischi connessi ai finanziamenti

  • I fondi potrebbero essere insufficienti per gestire il consorzio a causa della scelta inappropriata del modello di finanziamento? Verranno utilizzate un’offerta iniziale di monete (ICO), la struttura delle commissioni dei soci, il finanziamento azionario tra i partner, i contributi pubblici o qualche altra fonte di finanziamento?
  • Il modello di finanziamento del consorzio definisce chiaramente quale entità partecipante finanzierà cosa?

Rischi connessi ai benefici

  • È stato definito un modello di condivisione delle entrate e di altri benefici tra le entità del consorzio blockchain?
  • I partecipanti potrebbero essere soggetti a perdite finanziarie a causa dell’assenza di un intermediario di fiducia nei modelli di business basati su blockchain per correggere errori o ripristinare transazioni? Potrebbe essere creato un metodo alternativo per risolvere le controversie?

Rischi di controllo interno

  • Esiste il rischio di perdite finanziarie dovute all’assenza di un intermediario di fiducia nei modelli di business basati su blockchain per correggere errori o ripristinare transazioni?
  • Esiste il rischio di perdite finanziarie dovute a un’errata rappresentazione dei contratti commerciali nel codice degli smart contract?

Rischi di contabilità e rendicontazione finanziaria

  • Se le risorse digitali (ad esempio i token di criptovaluta) vengono utilizzate per effettuare transazioni nel sistema blockchain, esiste il rischio di una contabilità errata a causa della mancanza di una guida standard sulla contabilità delle risorse digitali?
  • Esiste il rischio di interpretazioni errate della letteratura contabile esistente durante la contabilizzazione delle transazioni di attività digitali?
  • I diritti e gli obblighi sottostanti associati alle risorse digitali potrebbero essere potenzialmente fraintesi?
  • Quando il caso d’uso riguarda risorse digitali, è disponibile esperienza tecnica per determinare il fair value delle risorse digitali?
  • È disponibile esperienza tecnica per svolgere le tradizionali attività di rendicontazione finanziaria (ad es. Complessità legata alla riconciliazione dei record detenuti internamente con i dati blockchain)?
  • Esiste il rischio di non conformità a causa della continua evoluzione del mercato e dell’industria e delle mutate esigenze dei regolatori e dei regolatori standard?
  • Il management è in grado di mitigare le forme nuove e impreviste di operazioni con parti correlate o schemi di frode nel reporting finanziario?
  • Esiste un meccanismo per valutare i beneficiari dei servizi forniti da terze parti che sono tenuti a rimanere obiettivi di una o più entità della rete blockchain?
  • L’affidabilità dei sistemi blockchain può rendere inaccessibili i dati blockchain e le risorse digitali?

Maggiori dettagli sui requisiti di rendicontazione finanziaria dei partecipanti e dei loro revisori esterni nel modulo Rapporti finanziari e controlli .

Rischi di protezione della proprietà intellettuale del consorzio

  • Il consorzio blockchain ha un modello di gestione della proprietà intellettuale (IP) adeguato? Ad esempio, l’IP può essere di proprietà dei membri principali, di un’entità legale separata del consorzio o essere fornita con licenza open source.
  • È stato stabilito un modello di monetizzazione IP appropriato?
  • Potrebbe esserci una violazione della proprietà intellettuale all’interno di un consorzio o da altri consorzi a cui le organizzazioni membri partecipano?
  • Esistono controlli appropriati che regolano il modo in cui membri e terze parti possono contribuire o migliorare le risorse IP sulla blockchain?
  • Se l’applicazione si basa su un protocollo che è open source, ad esempio Bitcoin o Ethereum, esiste un rischio di non conformità alle condizioni di licenza open source sottostanti?
  • Potrebbe esserci una mancanza di supporto da parte dei membri nel ciclo di vita dello sviluppo IP o della manutenzione?
  • Se l’entità legale del consorzio dovesse diventare insolvente, esistono piani di emergenza relativi alla custodia e al mantenimento della proprietà intellettuale? Ad esempio, potrebbe essere che l’IP sia tenuto in un account di deposito in garanzia in un tale scenario.

Per i diversi moduli di proprietà IP da prendere in considerazione, vedere l’area di interesse Proprietà intellettuale nel modulo Consorzio Governance . Per le principali preoccupazioni legali e normative e le domande relative all’IP nella blockchain, vedere l’area di interesse Proprietà intellettuale nel modulo Conformità legale e normativa .

Rischi strategici

L’adozione di tecnologie e modelli di business blockchain è una scommessa strategica per le organizzazioni. Implica quindi una serie di domande strategiche, come la definizione della proposta di valore applicabile, la gestione del marchio e della reputazione e la gestione della gestione del cambiamento.

Proposta di valore e modello di incentivazione

  • Quali sono i potenziali rischi e sfide strategici da prevedere con lo spiegamento del sistema blockchain?
  • La proposta di valore della blockchain (caso d’uso) è stata chiaramente comunicata ai partecipanti? (ad es. transazioni sicure, risparmi operativi, entrate o altri benefici)
  • Il modello di incentivazione della rete è strutturato correttamente per attrarre i partecipanti desiderati o per convincere i partecipanti a impegnare il livello di risorse desiderato?
  • Esiste il rischio che i partecipanti non siano disposti a condividere informazioni sensibili o ad accettare regole che potrebbero essere contrarie ai loro interessi individuali?

Rischi di marca e di reputazione

  • Potrebbero esserci azioni legali per violazione del contratto, compromissione dei dati o altri incidenti se le aspettative degli stakeholder non vengono soddisfatte?
  • Chi è responsabile delle comunicazioni esterne nel consorzio? Come verrà attribuito il credito per i risultati degli sforzi congiunti all’interno del consorzio?

Rischi di gestione del cambiamento

  • Sono stati formulati piani di gestione del cambiamento tenendo conto di potenziali scenari futuri derivanti da modelli di business basati su blockchain?
  • C’è chiarezza sulla forza lavoro, i talenti e i cambiamenti di ruolo necessari per rendere efficace il modello di business basato sulla blockchain?
  • Esistono misure appropriate per tenere conto dei cambiamenti culturali all’interno del consorzio (ad esempio responsabilità condivisa)? Esiste un piano per comunicare le modifiche agli stakeholder all’interno e all’esterno dell’entità legale del consorzio?
  • È stata definita una strategia di uscita per i partecipanti al consorzio che potrebbero voler partire?

Man mano che arrivi alla fine di questo elenco di controllo, ricorda che sebbene questo elenco copra una vasta gamma di rischi specifici della blockchain, non intende includere tutti i possibili rischi. Come tale, delinea solo i rischi rilevanti. È necessario tenere presente una serie di fattori, molti dei quali possono essere specifici dell’organizzazione o del progetto, per valutare il profilo di rischio del progetto.

Quindi, come dovrebbe la tua organizzazione pensare alla gestione dei rischi identificati da una blockchain? Il prossimo passo è affrontare in modo proattivo i rischi prioritari identificati attraverso un quadro di gestione dei rischi.

Lo scopo di questo toolkit non include indicazioni sui programmi di gestione dei rischi aziendali. Tuttavia, nella casella di riepilogo che segue è disponibile un riferimento al framework di gestione dei rischi che può fungere da base per la formulazione di un piano appropriato per la propria organizzazione o progetto specifico.

14_2-Risk-Management-quadro - Esempio- @ 2x-1-