Die vorliegende Arbeit beschäftigt sich mit der Blockchain-Technologie im Zusammenhang mit der Zukunft der Wirtschaftsprüfung (Audit 4.0). Aufbauend auf einer theoretischen Grundlage hat sie zum Ziel, die möglichen Auswirkungen des Einsatzes der BCT, im Kontext der nächsten industriellen Revolution (Industrie 4.0), zum einen auf die bestehenden Informationsasymmetrien und zum anderen auf die Prüfungsqualität zu untersuchen.
Aus agencytheoretischer Sicht dient die Rechnungslegung und somit der Jahres- bzw. Konzernabschluss dazu, Informationsasymmetrien zwischen der Unternehmensführung (Agent) und den Kapitalgebern (Prinzipal) zu beseitigen. Gäbe es die Jahresabschlussprüfung nicht, verbliebe den Kapitalgebern die Informationsunsicherheit, ob der vorgelegte Abschluss tatsächlich die Vermögens-, Finanz- und Ertragslage des Unternehmens zutreffend wiedergibt. In vorliegender Arbeit wird dargelegt, dass durch die Beauftragung eines Abschlussprüfers neue Prinzipal-Agenten-Beziehungen entstehen, die von opportunistischem Verhalten und Informationsasymmetrien geprägt sind. In diesem Zusammenhang sind Transparenz und Reputation seitens der Wirtschaftsprüfer und Vertrauen von Seiten der Kapitalgeber wesentliche Faktoren für die Abschlussprüfung.
1.2 Forschungsfrage und Zielsetzung der Arbeit
1.3 Aufbau und Gang der Untersuchung
2 Prüfungstheorie und ökonomischer Rahmen der Abschlussprüfung
2.1 Abschlussprüfung und Continuous Auditing
2.2 Ökonomischer Rahmen der Abschlussprüfung
2.2.1 Wesentliche Annahmen der Agency-Theorie und Informationsökonomie
2.2.2 Agencytheoretische Betrachtung der Abschlussprüfung
2.2.2.1 Prinzipal-Agenten-Beziehungen in einer Kapitalgesellschaft
2.2.2.2 Arten der Informationsasymmetrien
2.2.3 Informationsökonomische Betrachtung der Abschlussprüfung
2.3 Definition der Prüfungsqualität
3 Grundlagen der Blockchain-Technologie
3.1.2 Distributed-Ledger-Technologie
3.1.3 Kryptografische Elemente
3.1.3.1 Asymmetrische Verschlüsselung
3.1.3.2 Kryptografische Hashfunktion und digitale Signatur
3.1.5 Ausprägungen der Blockchain
3.3.3 Smart Contract Oracles und dApps
3.3.4 Dezentrale autonome Organisationen
3.5 Potenziale und Risiken der Blockchain-Technologie
4 Blockchain-Technologie in der Wirtschaftsprüfung heute und in der Zukunft – von Audit 3.0 zu Audit 4.0
4.1 Digitale Technologien in der Wirtschaftsprüfung – Audit 3.0
4.1.1 Digitalisierungs- und Automatisierungspotenzial der Wirtschaftsprüfung
4.1.2 Einsatz innovativer Technologien bei den Big Four
4.1.3 Einschätzung des aktuellen Entwicklungsstands
4.2 Blockchain-Technologie in der Zukunft der Wirtschaftsprüfung – Audit 4.0
4.2.1 Definition Industrie 4.0
4.2.2 Definition Audit 4.0
4.2.3 Einfluss der Blockchain-Technologie auf Audit 4.0
4.2.3.1 Interoperabilität und Dezentralisierung
4.2.3.2 Virtualisierung und Echtzeiterfassung
4.2.3.3 Serviceorientierung und Modularität
5 Praxisbeispiel: Integration der Blockchain-Technologie in ein Continuous-Auditing-Konzept am Beispiel Auditchain
5.1 Projektziel und Mitglieder
5.2 Aufbau und Funktionsweise des Auditchain-Ökosystems
5.2.1 Die Schichtenarchitektur
5.2.2 AUDT Token
5.2.3 Nodes und Nutzer
5.2.4 Konsensmechanismus
5.2.5 Transaktionslebenszyklus
5.3 Potenziale und Defizite des Konzepts
6 Analyseergebnisse und Beantwortung der Forschungsfragen
6.1 Auswirkungen der Blockchain-Technologie auf Wirtschaftsprüfungsgesellschaften
6.2 Blockchain-Technologie zur Minderung von Informationsasymmetrien
6.2.1 Hidden Characteristics und Hidden Information
6.2.2 Hidden Action und Hidden Intention
6.3 Blockchain-Technologie zur Erhöhung der Prüfungsqualität
7 Fazit und Ausblick
Anhang
I. Anhang: Glossar
Quellenverzeichnis
Verzeichnis der Gesetze, Verordnungen und Verwaltungsanweisungen
Darstellungsverzeichnis
Abbildungen
Abbildung 1: Skizze einzelner Arbeitsschritte im risikoorientierten Prüfungsansat
Abbildung 2: Prinzipal-Agenten-Beziehung zwischen Hauptversammlung und Vorstand
Abbildung 3: Prinzipal-Agenten-Beziehung zwischen Hauptversammlung, Vorstand und Aufsichtsrat
Abbildung 4: Prinzipal-Agenten-Beziehungen innerhalb einer AG
Abbildung 5: Kriterienkatalog zur Beurteilung der Prüfungsqualität.
Abbildung 6: Definitionen der Blockchain-Technologie.
Abbildung 8: Asymmetrische Verschlüsselung
Abbildung 10: Erzeugung einer digitalen Signatur
Abbildung 11: Validierungsverfahren im Blockchain-Netzwerk
Abbildung 12: Generierung eines Hashwerts für einen Block (Hashwert generiert mit hashgenerator.de).
Abbildung 13: Ausprägungen des Blockchain-Netzwerks
Abbildung 14: Zusammenfassende Darstellung der wesentlichen Blockchain Elemente
Abbildung 15: Die vier Stufen der industriellen Revolution
Abbildung 16: Cyber-Physische Systeme
Abbildung 17: Angestrebte Roadmap – Auditchain
Abbildung 18: Schichten des Auditchain-Ökosystems
Tabellen
Tabelle 1: Informationsasymmetrien und Lösungsmöglichkeiten
Tabelle 2: Ausgewählte Blockchain 3.0 Projekte
Tabelle 3: Gegenüberstellung von Potenzial und Risiken der BCT
Tabelle 4: Auswertung – Einsatz innovativer Technologien bei den Big Four
Abkürzungsverzeichnis
AICPA American Institute of Certified Public Accountants
AKEIÜ Arbeitskreis Externe und Interne Überwachung der Unternehmung der Schmalenbach-Gesellschaft für Betriebswirtschaft e. V.
AktG Aktiengesetz
BCT Blockchain-Technologie
BGB Bürgerliches Gesetzbuch
BGB1 Bundesgesetzblatt
BilMoG Bilanzmodernisierungsgesetz
BSI Bundesamt für Sicherheit in der Informationstechnik
CAAT Computer Assisted Audit Techniques
CPS Cyber-Physical Systems
DAC Decentralized Autonomous Co-Operative
DAO Decentralized Autonomous Organization
dApp Decentralized Application
DCARPE Decentralized Continuous Audit & Reporting Protocol Ecosystem
DL Distributed Ledger
DLT Distributed Ledger Technology
DPR Deutsche Prüfstelle für Rechnungswesen
ERP Enterprise-Resource-Planning
ESEF European Single Electronic Format
ESMA Europäische Wertpapier- und Marktaufsichtsbehörde
HGB Handelsgesetzbuch
IAASB International Auditing and Assurance Board
ICO Initial Coin Offering
IDW Institut der Wirtschaftsprüfer in Deutschland e. V.
IFAC International Federation of Accountants
IFRS International Financial Reporting Standards
IKS Internes Kontrollsystem
IoT Internet of Things
ISAE International Standard on Assurance Engagements
ISO International Organization for Standardization
IT Informationstechnik
MVP Minimum Viable Product
NIÖ Neue Institutionenökonomie
o.J. Ohne Jahresangabe
o.O. Ohne Ortsangabe
o.V. Ohne Verfasserangabe
P2P Peer-to-Peer
PCAOB Public Company Accounting Oversight
PoS Proof of Stake
PoW Proof of Work
PS Prüfungsstandard
QS Qualitätssicherungsstandard
RFID Radio Frequency Identification
RPA Robotics Process Automation
SOC System and Organization Controls
SSAE Statement on Standards for Attestation Engagements
TWh Terrawattstunden
US GAAP United States Generally Accepted Accounting Principles
WiPrPrüfV Wirtschaftsprüferprüfungsverordnung
WPG(en) Wirtschaftsprüfungsgesellschaft(en)
XBRL eXtensible Business Reporting Language
1 Einleitung
1.1 Motivation und Relevanz
„The advancement of accounting, audit automation, machine learning, and artificial intelligence technology combined with the immutability and decentralized aspect of blockchain make it the perfect time to begin moving traditional and decentralized enterprises toward the adoption of decentralized continuous audit and reporting using a blockchain.“[1] (Jason Meyers, Gründer Auditchain)
Aus agencytheoretischer Sicht dient die Rechnungslegung und somit der Jahres- bzw. Konzernabschluss dazu, Informationsasymmetrien zwischen der Unternehmensführung (Agent) und den Kapitalgebern (Prinzipal) zu beseitigen.[2] Gäbe es die Jahresabschlussprüfung nicht, verbliebe den Kapitalgebern die Informationsunsicherheit, ob der vorgelegte Abschluss tatsächlich die Vermögens-, Finanz- und Ertragslage des Unternehmens zutreffend wiedergibt.[3] In vorliegender Arbeit wird dargelegt, dass durch die Beauftragung eines Abschlussprüfers neue Prinzipal-Agenten-Beziehungen entstehen, die von opportunistischem Verhalten und Informationsasymmetrien geprägt sind. In diesem Zusammenhang sind Transparenz und Reputation seitens der Wirtschaftsprüfer und Vertrauen von Seiten der Kapitalgeber wesentliche Faktoren für die Abschlussprüfung.
Wenn Medien über Bilanzskandale berichten, suchen sie oft nach möglichen Schuldigen. Hierbei wird immer wieder auch eine Mitschuld des jeweiligen Wirtschaftsprüfers wie aktuell im Postauto-Subventionsskandal[4] diskutiert. Durch den Enron-Skandal 2002 verloren Mandanten weltweit das Vertrauen in die damals zu den „Big Five“ gehörende Wirtschaftsprüfungsgesellschaft Arthur Andersen (heute Accenture), da diese die Bilanzfälschungen des Energie-Konzerns Enron nicht erkannt hatte.[5] Im Jahr 2008 und 2009 gerieten auch EY (damals Ernst & Young) nach der Insolvenz von Lehman Brothers und PricewaterhouseCoopers (PwC) durch den größten Betrugsfall eines börsennotierten Unternehmens in Indien in die öffentliche Diskussion.[6]
Mit den aufstrebenden Technologien der Industrie 4.0, muss sich auch die Wirtschaftsprüfung auf die Zukunft vorbereiten (Audit 4.0). Die Abschlussprüfung steht bisher am Ende des Abschlussprozesses. Teilweise erzeugen hochkomplexe Enterprise-Resource-Planning-Systeme (ERP-Systeme*) die Daten der Finanzbuchhaltung, aus denen in großen kapitalmarktorientierten Aktiengesellschaften[7] (AG) innerhalb kurzer Zeit der Jahres- bzw. Konzernabschluss erstellt und veröffentlicht werden muss. Auch für die Abschlussprüfung erwachsen aus den Datenmengen, aber auch der zunehmenden Komplexität der Geschäftsmodelle, Anforderungen, die die traditionellen Prüfungshandlungen auf die Probe stellen. Vollprüfungen sind aus diesem Grund nur in seltenen Fällen möglich oder wirtschaftlich sinnvoll. Um sich auf das Wesentliche konzentrieren zu können, basiert die Abschlussprüfung daher auf einem risikoorientierten Prüfungsansatz[8] und sorgfältig ausgewählten Stichproben[9].
Die Bilanzskandale können jedoch ein Zeichen dafür sein, dass diese retrospektiven Prüfungsansätze den zunehmenden Datenmengen und der Komplexität neuer Geschäftsmodelle nicht mehr gerecht werden. Seit den 1980er Jahren wird in diesem Zusammenhang über „Continuous Auditing“ im Sinne einer automatisierten, kontinuierlichen Vollprüfung in Echtzeit diskutiert. Während das Konzept bislang am Vorhandensein ganzjähriger Prüfungsmethoden und geeigneter Werkzeuge scheiterte und vorwiegend bei internen Überwachungssystemen zum Einsatz kam, ist der Einsatz in der externen Abschlussprüfung mit fortschreitendem technologischem Fortschritt wieder zu einem Thema geworden. Unter anderem durch den Einsatz der Blockchain-Technologie (BCT) soll die Abschlussprüfung nun revolutioniert werden, indem sie als Vertrauensbasis genutzt wird, um Informationsasymmetrien zu mildern, die Prüfungsqualität zu erhöhen und eine kontinuierliche Prüfung der Unternehmen zu ermöglichen.
1.2 Forschungsfrage und Zielsetzung der Arbeit
Die vorliegende Arbeit beschäftigt sich mit der BCT im Zusammenhang mit der Zukunft der Wirtschaftsprüfung (Audit 4.0). Aufbauend auf einer theoretischen Grundlage hat sie zum Ziel, die möglichen Auswirkungen des Einsatzes der BCT, im Kontext der nächsten industriellen Revolution (Industrie 4.0), zum einen auf die bestehenden Informationsasymmetrien und zum anderen auf die Prüfungsqualität zu untersuchen.
Die zentrale Forschungsfrage wird wie folgt formuliert:
Die übergeordnete Fragestellung konkretisiert sich über folgende Forschungsfragen:
I. Welches Potenzial bietet die BCT und wo liegen die Risiken?
II. Wo steht die Wirtschaftsprüfung jetzt und welche Herausforderungen birgt ihre Zukunft (Audit 4.0) in Anbetracht der nächsten industriellen Revolution?
III. Kann ein auf der BCT basierendes Ökosystem den Wirtschaftsprüfer ersetzen?
1.3 Aufbau und Gang der Untersuchung
Die Vorgehensweise der Untersuchung orientiert sich an den Forschungsfragen, die unter Punkt 1.2 formuliert wurden. Zu Beginn wird im zweiten und dritten Kapitel die terminologische und theoretische Basis der Arbeit geschaffen. Die Abschlussprüfung wird zunächst aus agencytheoretischer und informationsökonomischer Sicht betrachtet, um die Ansatzmöglichkeiten der BCT zu erarbeiten. Im nächsten Schritt wird die Prüfungsqualität definiert und ein Kriterienkatalog zu ihrer Bewertung erstellt. Durch die Definition zentraler Begriffe und Funktionen der BCT in Kapitel drei, soll ein grundlegendes Verständnis für die wesentlichen Charakteristika der komplexen BCT sichergestellt werden.
Das vierte Kapitel gibt einen kurzen Überblick zum Digitalisierungs- und Automatisierungspotenzial und zum aktuellen Stand der Digitalisierung in der Wirtschaftsprüfung gegeben. Anschließend wird Audit 4.0 skizziert und auf Grundlage der Industrie 4.0 Prinzipien der mögliche Einsatz der BCT diskutiert. Um die theoretische Betrachtung mit einem praktischen Anwendungsbeispiel zu ergänzen, wird im darauffolgenden Kapitel ein auf der Blockchain basierendes Continuous-Auditing-Projekt vorgestellt und auf Potenzial und Defizite analysiert.
Im sechsten Kapitel werden zunächst die allgemeinen Erkenntnisse der Analyse zusammengetragen und anschließend die im zweiten Kapitel festgelegten Ansatzmöglichkeiten und der Kriterienkatalog überprüft. Im letzten Kapitel werden die wichtigsten Erkenntnisse der Arbeit im Rahmen der Reflexion der aufgestellten Forschungsfragen zusammenfassend dargestellt und diskutiert. Die Arbeit schließt mit einem Ausblick.
Begriffe, die zusätzlich im Glossar erklärt werden, werden bei ihrer ersten Nennung mit einem * gekennzeichnet.
2 Prüfungstheorie und ökonomischer Rahmen der Abschlussprüfung
Im folgenden Kapitel wird zunächst der theoretische Rahmen der Untersuchung erarbeitet. Es wird auf wesentliche Funktionen der Abschlussprüfung und ihre Prüfungsansätze eingegangen und die Idee des Continuous Auditing umrissen. Anschließend wird die Abschlussprüfung sowohl im Kontext der Agency-Theorie als auch im Kontext der Informationsökonomie näher betrachtet. Im letzten Teil wird der Begriff der Prüfungsqualität definiert und ein Kriterienkatalog für die Beantwortung der Forschungsfrage entwickelt. Das Kapitel schließt mit einem Zwischenfazit.
2.1 Abschlussprüfung und Continuous Auditing
Während „continuous“ aus dem Englischen übersetzt „kontinuierlich, nicht endend“ bedeutet, kann „auditing“ im Allgemeinen als Untersuchungsprozess oder Prüfung übersetzt werden. Im Speziellen wird der Begriff „Continuous Auditing“ in der internationalen Fachliteratur für Konzepte der internen und externen Unternehmensprüfung genutzt. So definieren Bumgarner/Vasarhelyi (2015) in einer Publikation des American Institute of Certified Public Accountants (AICPA*) Continuous Auditing als:
„a methodology that enables auditors to provide assurance on a subject matter (…) using a continuous opinion schema issued virtually simultaneously with, or a short period of time after, the occurrence of events underlying the subject matter. (…) The audit will be by analytic, by exception, adaptive, and cover financial and non-financial functions“[10].
In anderen Worten soll durch Continuous Auditing der gesamte Datenstrom, der durch diverse Geschäftsprozesse in einem Unternehmen erzeugt wird, kontinuierlich und automatisch überwacht und analysiert werden. Dies benötigt zum einen voll automatisierte Prozesse und ununterbrochenen Zugang zu relevanten Daten und zum anderen flexible Prüfungsansätze sowie den Einsatz angemessener Informationstechnologie.[11] Diese Voraussetzungen waren bisher nur unzureichend vorhanden, um das Konzept effektiv für die externe Abschlussprüfung zu nutzen.
Abschlussprüfungen umfassen in Deutschland gemäß HGB die Prüfung der Buchführung, des Jahresabschlusses und des Lageberichts.[12] Dazu gehören ebenso die Prüfungen von nach international anerkannten Rechnungslegungsgrundsätzen aufgestellten Jahres- und Konzernabschlüssen[13] und andere gesetzlich vorgeschriebene Prüfungen (z. B. Sonderprüfungen nach dem Aktiengesetz).
Die Abschlussprüfung hat drei Funktionen:[14]
- die Kontrollfunktion, in Form der Bestätigung der Abschlussinformationen,
- die Informationsfunktion gegenüber gesetzlichen Vertretern, Aufsichtsorganen und Gesellschaftern/Kapitalgebern sowie
- die Beglaubigungsfunktion per Bestätigungsvermerk gegenüber externen Abschlussadressaten.
Über die Abschlussprüfungstätigkeit hinaus können Wirtschaftsprüfer gemäß § 2 WPO auch als Berater oder Sachverständige Aufgaben übernehmen. Laut IDW liegt die Verantwortung für die Vermeidung und Aufdeckung von Unrichtigkeiten und Verstößen jedoch bei den gesetzlichen Vertretern des Unternehmens sowie bei den maßgeblichen Aufsichtsgremien wie dem Aufsichtsrat.[15] Die gesetzlichen Vertreter sind damit verpflichtet, mittels geeigneter Maßnahmen, wie bspw. einem internen Kontrollsystem, das Risiko von Unrichtigkeiten und Verstößen zu verringern.[16]
Der § 317 Abs. 1 S. 3 HGB schreibt vor, dass die Abschlussprüfung so angelegt sein muss, dass trotz geeigneter Maßnahmen wesentliche beabsichtigte (Fraud) oder unbeabsichtigte (Error) Unrichtigkeiten und Verstöße gegen Vorschriften bei der Darstellung der Vermögens-, Finanz- und Ertragslage des Unternehmens vom Wirtschaftsprüfer erkannt werden.[17] Das Ziel der Abschlussprüfung ist es, die Verlässlichkeit und Ordnungsmäßigkeit der Rechnungslegung und somit ihre Glaubwürdigkeit zu erhöhen.[18]
Auch wenn die Going-Concern-Prämisse des Jahresabschlusses vom Abschlussprüfer beurteilt werden muss[19], ist die Abschlussprüfung keine Wirtschaftlichkeitsprüfung und gibt auch keine Gewähr über die zukünftige Unternehmensentwicklung.[20] Vielmehr sind Vertrauenswürdigkeit des Prüfungsurteils und Wirtschaftlichkeit der Urteilsgewinnung wesentliche Formalziele.[21] So richtet der Abschlussprüfer, im Rahmen des risikoorientierten Prüfungsansatzes, die Prüfung darauf aus, mit hinreichender Sicherheit falsche Angaben aufzudecken.[22]
Das Grundprinzip des risikoorientierten Prüfungsansatzes besteht darin, dass der Hauptprüfung Analysen aller potenziell Fehler verursachenden Risiken vorgeschaltet werden und die Risikoanalyse maßgeblich für die Prüfungsplanung ist.[23] Um festzustellen, ob der Abschluss den gesetzlichen Vorgaben gerecht wird, werden stichprobenartig ausgewählte Prüfungshandlungen zur Risikobeurteilung und Funktionsprüfung durchgeführt.[24] Dazu gehören unter anderem die Prüfung des Systemaufbaus im Rahmen der Aufbauprüfung und die Beurteilung des vom Unternehmen eingerichteten internen Kontrollsystems.[25]
Die rasante technologische Entwicklung und komplexe Geschäftsmodelle, die maßgeblich von Big Data geprägt sind und innovative Technologien einsetzen, erfordern Prüfungshandlungen, die mit traditionellen Prüfungsansätzen scheinbar nur unzureichend geleistet werden können, um eine glaubwürdige Finanzberichterstattung zu attestieren. Indiz dafür sind unter anderem auch die Skandale der vergangenen Jahre, in denen Wirtschaftsprüfer aufgrund unentdeckter Scheinbuchungen[26] oder der Attestierung fehlerhafter Buchführungen[27] in die öffentliche Diskussion geraten sind. Der risiko- und stichprobenorientierte Prüfungsansatz ist bisher jedoch notwendig, da eine absolute Prüfungssicherheit mit den bislang verfügbaren Arbeitsmitteln nicht zu gewährleisten und der zeitliche, personelle und finanzielle Einsatz wirtschaftlich nicht vertretbar ist.[28]
Continuous-Auditing-Konzepte setzen dort an, wo stichproben- und risikoorientierte Prüfungsansätze prüferisches Ermessen unerlässlich machen und die Prüfungsqualität[29] maßgeblich beeinflussen können. Folgende tabellarische Darstellung von PwC zeigt auf, wie viele Prozessschritte 2016 noch vom Ermessen des Prüfers oder von manuellen Tätigkeiten abhingen:
Abbildung 1: Skizze einzelner Arbeitsschritte im risikoorientierten Prüfungsansat
(Quelle: im Internet König/Rechkammer (PwC) et al. (2016), S. 4.)
Cash et al. (1977) diskutierten bereits Ende der 1970er Jahre die Wichtigkeit der Automatisierung von Prüfungsprozessen und den Einsatz von kontinuierlichen Prüfungssystemen vor dem Hintergrund der damals neu aufkommenden elektronischen Datenverarbeitung und Digitalisierung von Geschäftsprozessen.[30] Groomer/Murthy (1989) schlugen 1989 zum ersten Mal ein theoretisches Continuous-Auditing-Prüfungskonzept für die Revisionspraxis vor, woraufhin Vasarhelyi/Halper (1991) wenig später die Implementierung dieses neuen Prüfungsansatzes in die Praxis ausführlicher beschrieben.[31]
Seither wurden diverse theoretische Prinzipien, konzeptionelle Rahmenwerke und Module entwickelt, die das Potenzial des Continuous Auditing illustrieren sollen.[32] Die Terminologie ist jedoch nicht eindeutig. Es werden unter anderem Begriffe wie „Continuous Online Audit“, „Continuous (Online) Assurance“, „Continuous Monitoring“, „Instant Auditing“ oder „Real-time Auditing“ verwendet. Hierbei werden die Begriffe „Audit“ oder „Assurance“ sowohl für die interne Revision als auch für die externe Wirtschaftsprüfung genutzt.[33] Die Konzepte unterscheiden sich von traditionellen Prüfungsprozessen durch die Prüfungsfrequenz, den Fokus auf automatisierte Prozesse und den Umfang der möglichen Prüfungshandlungen. Ihr Ziel reicht über höher frequentierte Berichterstattung hinaus, vielmehr steht die zeitnahe, detaillierte und umfassende Berücksichtigung von Unternehmensinformationen bei der Abschlussprüfung im Vordergrund, um die Glaubwürdigkeit und Verlässlichkeit der Abschlussinformationen zu erhöhen.[34]
Während Continuous-Auditing-Konzepte in der Praxis zunehmend bei der internen Unternehmensüberwachung zum Einsatz kommen, werden sie derzeit nur sehr selten bei der externen Abschlussprüfung angewendet. Bereits 2011 gaben in einer Studie von KPMG 70 % der befragten Unternehmen[35] an, Continuous-Auditing-Konzepte intern zumindest in Teilbereichen des Unternehmens zu nutzen, und 90 % gaben an, dass die Einführung bzw. der Ausbau in Planung ist.[36] Eine andere Studie aus dem Jahr 2017 ergab, dass der Umsetzungsgrad von Continuous-Auditing-Überwachung von Kontrollen und Datenqualitätssicherung einen überdurchschnittlichen Umsetzungsgrad aufweist.[37]
Mit Bekanntwerden disruptiver Informationstechnologien, wie der BCT oder der künstlichen Intelligenz, investierten insbesondere die „Big Four“[38] der Wirtschaftsprüfungsgesellschaften (WPG bzw. WPGen) zunehmend in die Entwicklung neuer Einsatzmöglichkeiten[39] dieser Technologien, um die Abschlussprüfung weitestgehend zu automatisieren und eine Prüfung in Echtzeit zu gewährleisten.[40] PwC erhofft sich daraus bspw. eine erhöhte Prüfungsqualität und einen effizienteren Prüfungsprozess.[41]
2.2 Ökonomischer Rahmen der Abschlussprüfung
Die Neue Institutionenökonomie (NIÖ)[42] bildet den ökonomischen Rahmen der Abschlussprüfung. Aus den Defiziten des neoklassischen Ansatzes entstand die NIÖ.[43] Die neoklassische Theorie bedient sich der Annahme eines vollkommenen Marktes mit einem ebenso vollkommenen Informationsstand aller Beteiligten und sicheren Erwartungen; außerdem unterstellt sie einen Unternehmer, der sowohl den Manager als auch den Risikoträger personifiziert und nur die Maximierung des Unternehmenswertes anstrebt.[44] Durch diese Einschränkung können diverse Vertragsarten und Institutionen der realen Welt nicht erklärt werden, da sie von Unsicherheiten, Unvollkommenheiten und asymmetrischer Informationsverteilung geprägt ist.[45] Im Gegensatz zum neoklassischen Ansatz betrachtet die NIÖ das Unternehmen als ein Gefüge aus Institutionen in Form von Verträgen oder Normen zwischen Produktionsfaktoren, die jeweils durch Eigeninteresse motiviert sind und nur begrenzt rational handeln.[46]
Die Überwachung und Kontrolle der Unternehmensführung ist beispielsweise Aufgabe verschiedener Institutionen wie des Aufsichtsrats oder des Wirtschaftsprüfers, gleichzeitig sorgen dafür auch rechtliche Rahmenbedingungen wie die Pflicht zur externen Rechnungslegung.[47] Zur Betrachtung der Abschlussprüfungsleistung können verschiedene Ausrichtungen der NIÖ herangezogen werden: die Property-Rights-Theorie, die Transaktionskostentheorie, die Agency-Theorie[48], aber auch die Informationsökonomie.
In vorliegender Arbeit in Anlehnung an Wolff/Picot (2018) wird die Informationsökonomie als Teilgebiet der NIÖ und insbesondere der Agency-Theory verstanden und dient zur Unterstützung der agencytheoretischen Einordnung des Abschlussprüfers und seiner Leistung. Wie auch die nachfolgenden Ausführungen zeigen werden, ergänzen und überschneiden sich die Ansätze zum Teil, sodass eine trennscharfe Abgrenzung nicht immer möglich ist.
In Hinblick auf das im Rahmen der vorliegenden Arbeit verfolgte Untersuchungsziel wird die Agency-Theorie als Bezugsrahmen genutzt, um die Informationsasymmetrien zwischen den verschiedenen bei der Abschlussprüfung beteiligten Akteuren aufzuzeigen und ihre Folgen zu diskutieren. Ergänzt wird diese Betrachtung mit informationsökonomischen Überlegungen zum „Güter-Typ“ der Abschlussprüfungsleistung.
2.2.1 Wesentliche Annahmen der Agency-Theorie und Informationsökonomie
Die Agency-Theorie und die Informationsökonomie unterliegen den Annahmen der NIÖ. Hierzu gehören die Annahmen der begrenzten Rationalität, der Marktunvollkommenheit durch Informationsasymmetrien und des opportunistischen Verhaltens.[49] Darüber hinaus wird angenommen, dass ein Prinzipal risikoneutral und ein Agent risikoavers agiert.[50]
In einer komplexen und unsicheren Umwelt wird mit Zunahme der Komplexität die Erfassung sämtlicher Handlungsalternativen erschwert, sodass ein uneingeschränkt rationales Verhalten unmöglich wird. Diese Erkenntnis geht auf das Konzept der „bounded rationality“ von Simon (1955) zurück, demzufolge Individuen zwar zu rationalem Verhalten intendieren, dies jedoch nur begrenzt möglich ist. Das hat zwei Ursachen: Zum einen haben Menschen nur eine limitierte Kapazität, um Informationen zu verarbeiten, und zum anderen führen kommunikative Hürden zu Problemen. Hierdurch rücken die Kosten der Informationsbeschaffung und -verarbeitung und somit die Kosten der Planung, Anpassung und Überwachung von Transaktionen in den Vordergrund.[51]
Während Marktunvollkommenheiten in der Agency-Theorie mit Interessenkonflikten zwischen Auftraggebern (Prinzipal) und Auftragnehmern (Agent) erklärt werden[52], beschreibt die Annahme des opportunistischen Verhaltens die stärkste Form des nutzenmaximierenden Verhaltens. Opportunistisch agierende Akteure verfolgen ihr eigenes Interesse, wobei sie Betrug und Schädigung Dritter bewusst nicht ausschließen.[53] Zudem können unterschiedliche Informationsverteilungen diverse eigennützige Verhaltensweisen induzieren, die bei symmetrischer Informationsverteilung nicht möglich wären.
2.2.2 Agencytheoretische Betrachtung der Abschlussprüfung
2.2.2.1 Prinzipal-Agenten-Beziehungen in einer Kapitalgesellschaft
Die Agency-Theorie geht auf Ross (1973) zurück und wurde maßgeblich von Jensen/Meckling (1976) und Fama/Jensen (1983) geprägt.[54] Jensen/Meckling (1976) definieren eine Prinzipal-Agenten-Beziehung als einen Leistungsvertrag zwischen zwei oder mehreren Personen, der dem Beauftragten (Agent) Entscheidungsbefugnisse einräumt, um die Leistung stellvertretend und im Sinne des Auftraggebers (Prinzipal) auszuüben.[55]
Im ökonomischen Kontext ist diese Art von Beziehung durch die Trennung von Eigentum und Verfügungsmacht in der modernen Kapitalgesellschaft gekennzeichnet.[56] Sowohl das Verhältnis zwischen Fremdkapitalgeber und Management als auch die Beziehung zwischen Management und Eigenkapitalgeber wird hierbei untersucht.[57] Wichtiges Merkmal der Agency-Theorie ist die Auftragsbeziehung, deren Komplexität eine Kontrolle des Auftraggebers erschwert.[58] Diese Beziehungen sind zum einen durch Interessenkonflikte und zum anderen durch asymmetrische Informationsverteilung geprägt.
Zu den Lösungsansätzen des Agency-Problems gehört, neben der entsprechenden Vertragsgestaltung und der Einrichtung von Anreizsystemen, der Abbau von Informationsasymmetrien.[59] Alle Mittel, die zur Reduzierung dieser Verhaltens- und Qualitätsunsicherheiten eingesetzt werden, stellen Agency-Kosten dar.[60] Jensen/Meckling (1976) definieren Agency-Kosten als Summe aus den Überwachungskosten des Prinzipals, den Selbstverpflichtungskosten des Agenten und einem Residualverlust. Der Residualverlust ist hierbei die Differenz der maximal möglichen Wohlfahrt des Prinzipals und der realisierten Wohlfahrt bei optimalen Mitteleinsätzen der Akteure. Wohlfahrtsökonomisches Effizienzkriterium ist somit die Minimierung der Agency-Kosten.[61]
Im Falle einer Aktiengesellschaft stellen die Aktionäre bzw. die Hauptversammlung den Prinzipal dar, der das Ziel verfolgt, den Unternehmenswert möglichst zu erhöhen, um den Ausschüttungsstrom zu begünstigen. Dafür delegieren sie die Unternehmensführung an den Vorstand, der so die Rolle des Agenten übernimmt und ihnen gegenüber, unter anderem in Form des Jahres- bzw. Konzernabschlusses, berichtspflichtig ist.[62] Der Vorstand kann bei divergierenden Interessen durch auftragswidriges Verhalten seinen Informationsvorsprung opportunistisch nutzen, um seinen Nutzenerwartungswert zu erhöhen.[63] Der Aktionär hat nur durch kostenintensive Kontrollmechanismen die Möglichkeit, auftragswidriges Verhalten des Vorstands zu verhindern und sowohl die nicht direkt beobachtbare Leistung (Hidden Action) als auch die Absichten (Hidden Information) zu erkennen.[64]
Abbildung 2: Prinzipal-Agenten-Beziehung zwischen Hauptversammlung und Vorstand
(Quelle: In Anlehnung an Velte/Weber (2011), S. 224.)
Die doppelstufige Agency-Theorie nach Tirole (1986) integriert an dieser Stelle den Aufsichtsrat in das Modell. Mangels fachlicher und zeitlicher Kapazitäten delegiert die Hauptversammlung die interne Unternehmensüberwachung an den Aufsichtsrat (Agent), der wiederum der Hauptversammlung (Prinzipal) rechenschaftspflichtig ist – es entsteht eine neue Prinzipal-Agenten-Beziehung.[65]
Abbildung 3: Prinzipal-Agenten-Beziehung zwischen Hauptversammlung, Vorstand und Aufsichtsrat
(Quelle: In Anlehnung an Velte/Weber (2011), S. 224.)
Die externe Rechnungslegung gilt aus Sicht der Agency-Theorie als Instrument, um die Unternehmensführung zu einer recht- und ordnungsmäßigen Darstellung wesentlicher Rechnungslegungsinformationen zu verpflichten. Weiterhin ist sie ein Überwachungsinstrument zum Abbau von Informationsasymmetrien zwischen Kapitalgeber und Unternehmensführung.[66] Die Aktionäre haben ein besonderes Interesse daran, dass der Abschluss, als Informationsgrundlage für Anlageentscheidungen, die tatsächlichen Verhältnisse hinreichend korrekt widerspiegelt. Für die Bestimmung des erwarteten Zahlungsstroms müssen sie das Unternehmen bewerten können, an dem sie beteiligt sind. Unzureichende entscheidungsnützliche Informationen stellen aus ihrer Sicht ein Informationsrisiko dar.[67] Der Aufsichtsrat kann jedoch ebenfalls zu eigennützigem Verhalten tendieren, um seinen Nutzen zu maximieren, eine Zielkonvergenz des Aufsichtsrats mit den Interessen der Hauptversammlung ist somit nicht zwangsläufig gegeben.[68] Zudem ist es denkbar, dass Aufsichtsrat und Vorstand durch Koalitionsbildung gegen die Interessen der Aktionäre handeln.[69] Somit begründet sich unmittelbar die Nachfrage nach einer Prüfung der Rechnungslegung durch unabhängige Dritte.
Velte/Weber (2011) erweitern die doppelstufige Agency-Theorie also um den Abschlussprüfer als dritten Agenten der Hauptversammlung.[70] Durch die Beauftragung des Abschlussprüfers baut sich eine neue Prinzipal-Agenten-Beziehung auf, in der der Abschlussprüfer als Agent agiert und sich agencytheoretische Probleme auch auf den Abschlussprüfer übertragen lassen:[71]
Abbildung 4: Prinzipal-Agenten-Beziehungen innerhalb einer AG
(Quelle: In Anlehnung an Velte/Weber 2011, S. 224.)
Die Hauptversammlung wählt auf Vorschlag des Aufsichtsrats den Abschlussprüfer[72], der anschließend gemäß § 318 Abs. 1 HGB den Prüfauftrag vom Aufsichtsrat erhält. Die Aktionäre (und der Aufsichtsrat) sind der Prinzipal des Abschlussprüfers. Auch wenn die Leistungen des Abschlussprüfers durch die Vorschriften des IDW definiert und bis zu einem gewissen Grad objektiviert sind, können durch den verbleibenden Ermessensspielraum agencytheoretische Probleme nicht ausgeschlossen werden.
Des Weiteren bestehen noch andere Prinzipal-Agenten-Beziehungen im Rahmen der Abschlussprüfung. Auch der Vorstand ist an dem Bestätigungsvermerk des Abschlussprüfers interessiert. Kein oder nur ein eingeschränktes Testat kann die Risikoprämie für Kapitalkosten des Unternehmens erhöhen, was wiederum das Wachstum oder im schlimmsten Fall die Existenz des Unternehmens gefährden kann.[73] In dieser Konstellation sieht Marten (1999) den Abschlussprüfer die Rolle des Prinzipals übernehmen, um alle notwendigen Informationen zur Verfügung gestellt zu bekommen, da er bei seiner Tätigkeit von der Leitung der Finanz- und Rechnungswesen-Abteilung abhängig ist. Auf der anderen Seite wird vom Vorstand eine faire Prüfung erwartet, was unter anderem bedeutet, dass bei Unklarheiten zunächst die Verantwortlichen informiert werden und die Chance zur Klarstellung gegeben wird. In diesem Fall klassifiziert er den Abschlussprüfer wieder als Agenten und die Unternehmensführung als Prinzipal.[74]
2.2.2.2 Arten der Informationsasymmetrien
Die Hauptversammlung kann bei der Wahl des Abschlussprüfers seine Urteilsfähigkeit und Qualifikation, wie z. B. seine Branchenerfahrung, vor Vertragsabschluss grundsätzlich ohne zusätzliche Informationen nicht beurteilen (Adverse Selection durch Hidden Characteristics).[75] Zur Bewältigung des Adverse-Selection-Problems wird Screening, Signalling und Self Selection vorgeschlagen. Screening und Self Selection bezeichnen das Offerieren verschiedener Verträge, Qualitätsprüfungen oder Leistungstests vor Vertragsabschluss, um einen geeigneten Agenten zu finden.[76] Durch das Vorschlagsrecht des Aufsichtsrats ist es den Kapitalgebern aber nicht möglich, ex ante Screening oder Self Selection zu betreiben, so müssen sie sich darauf verlassen, dass der Aufsichtsrat diese Mittel nutzt und in ihrem Interesse handelt. Also verbleibt ihnen nur das letzte Instrument – Signalling. Hierbei kann der Agent (die Prüfungsgesellschaften) den Prinzipal (die Hauptversammlung) durch entsprechende Reputation oder Referenzen (Signaling) von seiner Vertrauenswürdigkeit überzeugen.[77]
Zum Zeitpunkt des Vertragsabschlusses besteht noch Informationsgleichstand, der sich im Laufe der Vertragsbeziehung zugunsten des Agenten ändert.[78] Während das Management zumindest unvollständige Informationen über den Prüfungsprozess hat (Hidden Information), ist es den Aktionären in der Regel nicht möglich, die Leistungserbringung direkt zu beobachten (Hidden Action). Diverse Anreiz- und Kontrollsysteme liegen nicht im Rahmen der Möglichkeiten der Aktionäre. Es besteht nicht nur die Gefahr, dass der Aufsichtsrat und das Management eine Koalition bilden und gegen das Interesse der Aktionäre handeln, dies kann auch zwischen Management und Abschlussprüfer geschehen (Hidden Intention). Diese Gefahr wird als Hold-up-Problem bezeichnet.[79] Mangels fachlicher und zeitlicher Ressourcen sowie Zugangsbeschränkungen können die Aktionäre die sachgerechte Urteilsbildung oder Urteilsfreiheit des Prüfers nicht überprüfen.[80] Dem Prüfer, als Agenten, kommt folglich ein diskretionärer Handlungsspielraum zu, den er, entgegen den Erwartungen seines Prinzipals, ausnutzen kann (Moral Hazard).[81] Spremann (1996) bezeichnet das Moral-Hazard-Problem als Kern der Agency-Theorie. Es beschreibt die Situationen, dass der Abschlussprüfer Informationsasymmetrien nutzen kann, um seinen Arbeitseinsatz zu reduzieren und dadurch Prüfungskosten zu sparen.[82] Der Prinzipal hat hierbei nicht einmal ex post die Möglichkeit, das Verhalten des Agenten zu beurteilen, da das exogene Risiko hinzukommt, dessen tatsächliche Realisation nicht vollständig beobachtet werden kann.[83] Das heißt, dass der Prüfer bei negativ von den Erwartungen des Prinzipals abweichenden Ergebnissen die Abweichung mit exogenen Ereignissen zu erklären versuchen kann, um seine vermeintlich eigennützliche Handlung zu verbergen.[84] Der Ermessensspielraum der Abschlussprüfer, z. B. durch die Wahl des Stichprobenumfangs, spielt hierbei eine entscheidende Rolle.
Folgende Tabelle soll die vier Arten der Informationsasymmetrie der Agency-Theorie zusammenfassen:
Tabelle 1: Informationsasymmetrien und Lösungsmöglichkeiten
(Quelle: In Anlehnung an: Küpper (2001), S. 49.)
Es ist festzuhalten, dass zwischen Abschlussprüfer, externen Abschlussadressaten und Unternehmensführung verschiedene sich gegenseitig überlappende Prinzipal-Agenten-Beziehungen existieren. Daraus folgt, dass theoretisch immer weitere Prüfungsinstanzen zwischengeschaltet werden müssten, um die Prinzipal-Agenten-Beziehung der vorangegangenen Stufe zu lösen – es entsteht ein unendlicher Prüfungsregress.[85] Die Reputation der Prüfungsgesellschaften spielt eine entscheidende Rolle. Sie ist für die Aktionäre das einzige beobachtbare Qualitätsmerkmal[86] und gleichzeitig, denkt man an ihre potenzielle Zerstörung, ein Pfand gegen opportunistisches Verhalten.
2.2.3 Informationsökonomische Betrachtung der Abschlussprüfung
Da Informationen einen zentralen Stellenwert innerhalb der Rechnungslegung haben, sind auch informationstheoretische Überlegungen für die weitere Betrachtung relevant.
Eine einheitliche Definition der Informationsökonomie hat sich nicht durchgesetzt. Als ihre wichtigsten Vertreter gelten u. a. Akerlof (1970), Nelson (1970, 1974), Spence (1974, 1976) und Stiglitz (1974, 1975).[87] Die Anwendung informationsökonomischer Erkenntnisse auf Fragen der Rechnungslegung hat insbesondere Ballwieser (1982 und 1985) in den 1980er Jahren untersucht.[88]
Nach einer Definition von Wolff/Picot (2018) beschäftigen sich informationsökonomische Ansätze mit den Auswirkungen unterschiedlicher Informationsbedingungen auf die Funktionsweise ökonomischer Systeme, „unter besonderer Berücksichtigung der Tatsache, dass die Wirtschaftssubjekte unter unvollständiger Information bezüglich Gegenwart und Zukunft entscheiden und handeln“[89]. Dabei greifen sie unter anderem auf wesentliche Prämissen der NIÖ zurück.[90] Mitunter werden Modelle und Erkenntnisse der NIÖ lediglich aus informationsökonomischer Sicht uminterpretiert.[91]
Wittmann (1959) definiert Informationen als zweckorientiertes Wissen, das zur Vorbereitung zielorientierten Handelns dient.[92] Die Informationsbeschaffung dient der Reduktion von Unsicherheiten mit dem Ziel, fehlerhafte oder potenziell kostspielige Entscheidungen zu vermeiden.[93]
Eine Studie des Deutschen Aktieninstituts ergab, dass der Geschäftsbericht nach den öffentlichen Medien[94] die bedeutsamste Informationsquelle für private Aktionäre ist.[95] Die wahrgenommene Vertrauenswürdigkeit des Geschäftsberichts hat im Vergleich zu den Studien aus dem Jahr 2004 und 2008 stetig zugenommen.[96] Unter anderem führen die Autoren dies auf das Inkrafttreten des Bilanzmodernisierungsgesetzes (BilMoG) im Mai 2009[97] und auf die Einführung einer zusätzlichen Prüfung der Rechnungslegung kapitalmarktorientierter Unternehmen i. S. d. § 342b Abs. 2 S. 2 HGB durch die Deutsche Prüfstelle für Rechnungslegung (DPR)[98] zurück.[99]
Das Vertrauen in die Verlässlichkeit und Glaubwürdigkeit der Abschlussprüfung ist aufgrund der im Rahmen der agencytheoretischen Betrachtung erläuterten Informationsasymmetrien jeher problematisch. Ausgehend vom Grad der Informationsasymmetrie wird in der Informationsökonomie eine Typologie von Gütern vorgenommen.
Abschlussprüfungen sind aus informationsökonomischer Sicht zunächst den Kontraktgütern zuzuordnen, da sie durch Verträge (Contracts) zustande kommen und ein Leistungsversprechen beinhalten.[100] Dieser Gütertyp ist gekennzeichnet durch hohe Komplexität, Spezifität und Hochwertigkeit. Ihr Gegenstück sind die Exchanges, die die Übertragung von Eigentumsrechten ohne weitere latente zukünftige Verpflichtungen umfassen.[101]
Die weitere Klassifizierung von Darby/Karni (1973) in Suchgüter, Erfahrungsgüter und Vertrauensgüter hilft, die Eigenschaften der Abschlussprüfung aus informationsökonomischer Sicht zu betrachten. Sie klassifizieren Güter nach der Möglichkeit, ihre Qualität zu beurteilen. Danach sind Suchgüter solche Güter, die noch vor Erwerb des Gutes bzw. Inanspruchnahme der Dienstleistung die Möglichkeit bieten, ihre Qualität einzuschätzen. Offenbart sich die Qualität der Güter erst nach Erwerb oder Inanspruchnahme, handelt es sich um „Erfahrungsgüter“. Die Qualität von „Vertrauensgütern“ ist weder vor noch nach Erwerb oder Inanspruchnahme zu beurteilen.[102]
Es stellt sich die Frage, wie die Abschlussprüfungsleistung einzuordnen ist. Die Beurteilung kann hierbei nicht absolut erfolgen, sondern relativ, da sie maßgeblich von der betrachteten Beziehungskonstellation abhängt.[103] Der Empfänger der Abschlussprüfungsleistung wird eher in der Lage sein, die Qualität zu beurteilen, wenn er in enger Beziehung zum Abschlussprüfer steht.[104]
Es werden in Anlehnung an die agencytheoretische Betrachtung des vorangegangenen Kapitels folgende Beziehungen in einer Aktiengesellschaft betrachtet:
(1) Abschlussprüfer – Vorstand/Aufsichtsrat
(2) Abschlussprüfer – Kapitalgeber/Externe Abschlussadressaten
Weißenberger (1997a) identifiziert die Bereitstellung des Prüfungsberichts und die Erteilung des Bestätigungsvermerks zum vereinbarten Termin als Qualitätsmerkmale aus Sicht des Vorstands sowie des Aufsichtsrats und ordnet sie – besonders bei wiederholter Inanspruchnahme – als überprüfbare Leistungsmerkmale[105] ein.[106] Der Vorstand kann durch mehrjährige Vertragsbeziehungen Erfahrungswerte aufbauen, die er zur Beurteilung dieser Qualitätsmerkmale heranziehen kann.[107] Ebenso wie der Vorstand hat auch der Aufsichtsrat Möglichkeiten, die definierten Leistungsmerkmale zu beurteilen. Voraussetzung hierfür ist jedoch eine intensive Zusammenarbeit mit den Abschlussprüfern, die grundsätzlich auch durch § 171 Abs. 1 AktG vorgesehen und legitimiert ist, um die Qualität des Prüfungsberichts einschätzen zu können.[108] Der Aufsichtsrat, als Interessenvertreter der Eigenkapitalgeber, verfügt wie der Vorstand über einen Informationsvorsprung gegenüber externen Adressaten, da auch ihm der Prüfungsbericht als Informationsinstrument zur Verfügung steht. Aus Sicht des Verhältnisses zwischen Abschlussprüfer und Vorstand/Aufsichtsrat ist die Prüfungsleistung folglich als Erfahrungsgut zu klassifizieren.[109]
Für externe Adressaten sind vorgenannte Leistungsmerkmale jedoch nicht direkt zu beobachten. Mittels eines weiteren Prüfauftrags könnten Kapitalgeber zwar die Prüfung wiederholen lassen[110], dies ist vor dem Hintergrund der Wirtschaftlichkeit von Abschlussprüfungen jedoch ohne hinreichenden Verdacht in den meisten Fällen ausgeschlossen.[111] Aus der Sicht des Verhältnisses zwischen Abschlussprüfer und Kapitalgebern/Externen Abschlussadressaten ist die Abschlussprüfungsleistung somit den Vertrauensgütern zuzuordnen.[112]
Für Anbieter von Erfahrungsgütern oder Vertrauensgütern bietet sich die Möglichkeit zu eigennützigem Verhalten, ohne befürchten zu müssen, dass die Qualitätsverschlechterung der Leistung schnell erkannt wird.[113] Wenn die Qualität der Abschlussprüferleistung weder vorher noch nachher ohne kostenaufwendige Kontrollprozesse festgestellt werden kann, muss die Austauschbeziehung auf dem Qualitätsvertrauen des Prinzipals aufgebaut sein, um zustande kommen zu können.[114]
Es ist zusammenfassend festzuhalten, dass die Glaubwürdigkeit der Abschlussinformation für die Aktionäre und alle anderen externen Jahresabschlussadressaten auch aus informationsökonomischer Sicht maßgeblich von der Reputation des Berufsstands des Abschlussprüfers, aber auch von der einzelnen Wirtschaftsprüfungsgesellschaft abhängt.[115] Zudem hat sich bei den Untersuchungen herausgestellt, dass die Beurteilung der Prüfungsqualität maßgeblich von ihrer Definition abhängt. Diese soll im nächsten Kapitel aus verschiedenen Perspektiven betrachtet werden.
2.3 Definition der Prüfungsqualität
Wie bereits dargelegt, sind Qualität und Verlässlichkeit der Abschlussinformationen für externe Adressaten von besonderem Interesse. Eine einheitliche Definition der Abschlussprüfungsqualität ist allerdings nicht gegeben. Sie wird weder in Gesetzen, Normen oder Richtlinien noch in der Literatur einheitlich definiert. Dies mag daran liegen, dass die Definition maßgeblich von der Erwartungshaltung und den Vorstellungen des Beurteilenden abhängt und sowohl objektive als auch subjektive Komponenten enthält. In diesem Zusammenhang wird auch von einer „Erwartungslücke“ gesprochen.[116] Ziel des Kapitels ist es, ein Kriterienkatalog für die weitere Beurteilung zu erstellen, hierfür werden nur ausgewählte Definitionen betrachtet. Für einen ausführlichen Literaturüberblick wird auf die Fachliteratur verwiesen.[117]
Wissenschaftliche Beiträge fokussieren sich auf unterschiedliche als wesentlich betrachtete Ausprägungen und Bestimmungsfaktoren der Abschlussprüfungsqualität.[118]
Leffson (1988) verbindet die Qualität der Abschlussprüfung mit der Urteilsfähigkeit[119] und Urteilsfreiheit[120] des Abschlussprüfers.[121] Das Urteil des Prüfers könne nämlich nur dann nutzenstiftend sein, wenn diesem Urteil vertraut werden kann. Neben der Berufsexamina nennt Leffson (1988) in Zusammenhang mit der Urteilsfähigkeit „spezielle Qualifikationen“. Diese könnten beispielsweise in Form von Referenzen nachgewiesen werden, aus denen hervorgeht, dass sich der Abschlussprüfer bereits mehrfach mit dem Mandanten oder der entsprechenden Branche auseinandergesetzt hat.[122] Diese Definition von Abschlussprüfungsqualität unterstreicht die in den vorangegangenen Kapiteln dargelegte Vertrauensproblematik durch Hidden Characteristics und ihre Lösungsmöglichkeit durch Signalling.
Andere Autoren definieren Prüfungsqualität in Bezug auf das Prüfungs- bzw. Haftungsrisiko.[123] Nach Simunic/Stein (1989) ist das Prüfungsrisiko die Wahrscheinlichkeit dafür, dass der Prüfer, trotz Fehler und Falschdarstellungen im Abschluss, einen uneingeschränkten Bestätigungsvermerk erteilt. Demzufolge würden Prüfungsfehler mit zunehmender Qualität abnehmen.[124] Allerdings ist diese Definition von Prüfungsqualität nur durch erneute Prüfung zu beurteilen, da keine Fehlerfeststellung nicht zwangsläufig bedeutet, dass die Prüfungsqualität schlecht war, sondern auch bedeuten kann, dass der Abschluss keine wesentlichen Fehler oder Falschdarstellungen enthält.[125]
In der Praxis wurde dafür die DPR gegründet; ihre Wirkung zeigt sich im Rückgang der Fehlerquoten von durchschnittlich 25 % in den Jahren 2007 bis 2011 auf 15 % in den Jahren 2015 bis 2018.[126] Die DPR führt aber keine vollumfängliche Prüfung durch. Sie fokussiert vielmehr Einzelthemen, die dann tiefgehend hinterfragt werden. Da weder das interne Kontrollsystem noch die Einzelbuchungen des Buchhaltungssystems geprüft werden, ist nicht auszuschließen, dass auch der DPR bspw. die Scheinbuchungen im aktuellen Postauto-Subventionsskandal entgangen wären. Fehlerfeststellungen der DPR können aber zu Reputationsverlust der jeweiligen Prüfungsgesellschaft führen, die den Fehler auch hätte entdecken können.
Doll (2000) legt ein sehr breites Qualitätsverständnis zugrunde. Er definiert die Prüfungsqualität als „Prüfung der Ordnungsmäßigkeit der Rechnungslegung, der Aufdeckung doloser Handlungen sowie der Beurteilung der zukünftigen Unternehmensentwicklung“[127]. Dieses Verständnis kann jedoch zu einer falschen Erwartungshaltung der Abschlussadressaten führen, da sie einen uneingeschränkten Bestätigungsvermerk als Urteil über die potenzielle Unternehmensentwicklung auffassen könnten. Die Definition von Doll (2000) deckt sich somit nicht mit den gesetzlichen Aufgaben der Jahresabschlussprüfung; sie widerspricht ihnen sogar in Teilen, da in § 317 HGB festgehalten ist, dass die Prüfung sich nicht darauf zu erstrecken hat, ob „der Fortbestand des geprüften Unternehmens oder die Wirksamkeit und Wirtschaftlichkeit der Geschäftsführung zugesichert werden kann“[128].
Am häufigsten wird in der Prüfungsliteratur die Definition von DeAngelo (1981) verwendet. Sie definiert die Prüfungsqualität auf zwei Ebenen[129] – zum einen in Form der Fähigkeit des Prüfers, Fehler und Falschdarstellungen im Abschluss zu erkennen („technological capabilities“[130]), zum anderen in Form seiner Bereitschaft, ggf. entgegen den Erwartungen seines Mandanten, wahrheitsgemäß über entdeckte Fehler oder Falschdarstellungen zu berichten (kognitive Ebene). Diese Bereitschaft würde zum einen durch die Prüfungstechnologie und zum anderen durch die Größe der Prüfungsgesellschaft erhöht.[131] In einer weiteren Abhandlung weist die Autorin anhand eines theoretischen Modells nach, dass große Prüfungsgesellschaften ein stärkeres Interesse an der Erbringung einer hohen Prüfungsqualität haben als kleinere Gesellschaften.[132] Es wurde bereits in den vorangegangenen Unterkapiteln dargelegt, dass die Reputation der Abschlussprüfer eine wesentliche Rolle für die Abschlussadressaten spielt. Das Modell von DeAngelo (1981b) belegt diese These, indem es nachweist, dass sich Reputationsverluste bei größeren Prüfungsgesellschaften stärker auswirken, da ihnen Verluste aus mehreren Mandanten drohen. Die Renditen aus anderen Mandanten wirken somit als Pfand gegen ein Fehlverhalten des Prüfers.[133]
Die praxisorientierte Fachliteratur macht die Prüfungsqualität regelmäßig am Grad der Einhaltung von gesetzlichen und vertraglichen Prüfungspflichten und -normen, wie bspw. aus den Verordnungen und Stellungnahmen der Wirtschaftsprüferkammer und dem IDW, fest.[134]
Das International Auditing and Assurance Board (IAASB*) und das Public Company Accounting Oversight Board (PCAOB*) haben ein weiteres Begriffsverständnis. Beide definieren wesentliche Prüfungsprozess- sowie Input- (Wissen oder Zeit) und Output-Faktoren (Art, Häufigkeit oder Inhalt der Berichterstattung) der Abschlussprüfung, die ihre Qualität maßgeblich beeinflussen.[135] Da für Prüfungsgesellschaften mit Sitz außerhalb der USA besonders die Veröffentlichungen des IAASB relevant sind, sollen die wesentlichen Faktoren im Folgenden zusammengefasst werden. Alle Faktoren werden vom IAASB im Detail auf Auftragsebene, Gesellschaftsebene und nationaler Ebene betrachtet. Es wird hierbei berücksichtigt, dass anzuwendende Prüfungsstandards und Rechnungslegungsstandards zwar vorgeben, wie ein Abschluss „a true and fair view“[136] des Unternehmens aufzeigt, ihre Auslegung und Prüfung jedoch regelmäßig individueller Beurteilung und Ermessen unterliegen.[137] Ein qualitativ hochwertiger Prüfungsprozess muss somit entsprechende Qualitätskontrollen enthalten. Wesentliche Schlüsselfaktoren sind hierbei die Zusammenarbeit mit dem Management und der angemessene Einsatz von Informationstechnologie.[138] An erster Stelle kann der vollständige und zeitnahe Zugang zu allen relevanten Informationen und Verantwortlichen dazu beitragen, die nötigen Prüfungsnachweise rechtzeitig zusammenzutragen.[139] Ohne Zusammenarbeit ist eine effiziente, qualitativ hochwertige Prüfung nicht wahrscheinlich. Außerdem sollten potenzielle Fehlerfeststellungen mit dem Management abgesprochen werden, um ggf. Erklärungen einzuholen.[140] Eine gute Beziehung zum Management kann vor allem durch langjährige Auftragsbeziehungen erreicht werden, doch birgt sie die Gefahr, dass der Prüfer die Objektivität und skeptische Grundhaltung aufgrund guter Beziehung vernachlässigt.[141]
Zu den Input-Faktoren gehören zum einen Werte und ethische Grundsätze sowie Wissen, Fähigkeit, Erfahrung und Zeit der Prüfungsgesellschaft, des Engagement-Partners und letztendlich des Prüferteams. Das Prüferteam soll dabei Objektivität, Integrität sowie professionelle Skepsis bewahren und unabhängig sein.[142]
Die Output-Faktoren definiert der IAASB als qualitativ hochwertig, wenn sie nützlich sind und rechtzeitig berichtet werden. Hierbei werden vom IAASB verschiedene Outputs betrachtet. Das Fehlen eines uneingeschränkten Bestätigungsvermerks könne ein Signal für mangelnde Glaubwürdigkeit der Abschlussinformationen sein. Während der Bestätigungsvermerk dafür genutzt werden könnte, wertvolle Informationen über den Prüfungsprozess zu geben, habe er sich über die Jahre eher in eine standardisierte Form entwickelt, die nur wenig über den tatsächlichen Prüfungsprozess informiert. Das gesendete Signal hinge somit umso mehr von der Reputation der Prüfungsgesellschaft ab. Die Reputation der Prüfungsgesellschaft selbst wird jedoch nicht als Qualitätsmerkmal definiert.[143]
Weitere wesentliche Faktoren sind die Contextual Factors, wie z. B. das IT-System des zu prüfenden Unternehmens, der gesetzte Zeitplan, das Geschäftsmodell und rechtliche Anforderungen, die direkt oder indirekt Einfluss auf die Prüfungsqualität haben, aber nicht vom Prüfer allein beeinflusst werden können.
Über die Faktoren hinaus identifiziert der IAASB folgende wesentliche Herausforderungen bei der Beurteilung von Prüfungsqualität:[144]
· Die Qualität der Abschlussprüfung kann nicht anhand der aufgedeckten Frauds oder Errors festgemacht werden.
· Die eingesetzten Prüfungshandlungen und gesammelten Prüfungsnachweise unterliegen teils subjektivem Urteil.
· Die Abschlussadressaten haben unterschiedliche Auffassungen von Prüfungsqualität.
· Der Prüfungsprozess sowie die Fehlerfeststellungen sind durch standardisierte Bestätigungsvermerke nicht transparent für externe Abschlussadressaten.
2.4 Zwischenfazit
Durch den Einsatz der BCT im Rahmen eines Continuous-Auditing-Konzepts soll die Glaub- und Vertrauenswürdigkeit der Unternehmensabschlüsse für externe Abschlussadressaten gestärkt und die Prüfungsqualität erhöht werden. Aktuelle Entwicklungen bestätigen, dass sich insbesondere große WPGen wieder mit Vollprüfungen durch kontinuierliche Prüfungshandlungen beschäftigen, um trotz immer komplexeren Geschäftsmodellen und Big Data weiterhin eine hohe Prüfungsqualität gewährleisten zu können.[145]
Die agencytheoretischen und informationsökonomischen Darlegungen ergaben, dass Informationsasymmetrien nicht nur zwischen Kapitalgebern und Unternehmensführung vorherrschen, sondern auch die Beziehungen zwischen Abschlussprüfern und Unternehmensführung sowie Abschlussprüfern und externen Abschlussadressaten maßgeblich davon beeinträchtigt sind. Unternehmensexternen Abschlussadressaten bleibt lediglich das Vertrauen in die Leistung des Abschlussprüfers (Vertrauensgut), da ihnen eine unmittelbare wirtschaftliche Kontrollmöglichkeit fehlt. Daraus folgt zwangsläufig, dass die Reputation der Wirtschaftsprüfungsgesellschaft maßgeblich für ihre Auftragslage (Signalling) ist, da sie von den Kapitalgebern gewählt werden.
Grundlage für die Beurteilung der Prüfung ist ein einheitliches Verständnis für die Qualität der Prüfungsleistung. Zu den wesentlichen Herausforderungen der Beurteilung der Prüfungsqualität gehören die Transparenz des Prüfungsprozesses und die ermessensbehaftete stichprobenartige und risikoorientierte Prüfung, die die Objektivität und Vollständigkeit der Prüfung beeinträchtigt.
Zur Beurteilung der Erhöhung der Prüfungsqualität bieten sich die Definition von DeAngelo, die Definition der Praktiker und die Faktoren des IAASB für die weitere Analyse an. Die folgende Zusammenfassung der Qualitätsdefinitionen dient im fünften Kapitel gleichzeitig als Kriterienkatalog.
Abbildung 5: Kriterienkatalog zur Beurteilung der Prüfungsqualität.
3 Grundlagen der Blockchain-Technologie
Innovativen Informationstechnologien, wie der BCT, wird das Potenzial zugesprochen, diverse Bereiche von der Industrie über den Finanzsektor bis hin zum Öffentlichen Dienst disruptiv zu verändern.[146] Der Einsatz dieser Technologien stellt Abschlussprüfer vor die Herausforderung, sich im ersten Schritt mit ihnen auseinanderzusetzen und sie schließlich zu verstehen, um Risiken, aber auch Potenziale einschätzen zu können und den Prüfungsprozess entsprechend anzupassen.
Aufgrund der Vielzahl von Blockchain-Lösungen mit unterschiedlichen Herangehensweisen und Ansätzen sowie der stetigen Weiterentwicklung wird der Schwerpunkt bei der technischen Ausführung auf die Blockchain-Ansätze von Bitcoin*, als dem Pionier aller Blockchains, und von Ethereum*, als der Weiterentwicklung der Technologie durch die Integration von sogenannten „Smart Contracts“*, gelegt. Zusätzlich wird auf wesentliche Details eingegangen, wenn sie für das Verständnis des Praxisbeispiels in Kapitel fünf wichtig sind.
Ziel des Kapitels ist es, ein grundlegendes Verständnis für den Aufbau und die Funktionsweise der Technologie zu schaffen, ohne IT-Kenntnisse vorauszusetzen. Dementsprechend werden einige Bestandteile der Technologie stark vereinfacht beschrieben und für das Verständnis nicht notwendige Bestandteile ausgelassen. Anschließend werden die Potenziale und Risiken der Technologie diskutiert.[147]
3.1 Technische Grundlagen
Die Technologie hinter den meisten Kryptowährungen, auf die im nächsten Kapitel näher eingegangen wird, ist die BCT. Sie basiert auf verschiedenen bereits existierenden Technologien, die in Kombination die Innovation der BCT bilden. Eine einheitliche Definition hat sich bisher noch nicht durchgesetzt. Der Versuch, die BCT in eine allgemeingültige Definition zu zwängen, kann dazu führen, dass die Definition das Potenzial der Technologie unzureichend widerspiegelt und nicht ausreichend von den Kryptowährungen abgrenzt. Kurz gehaltene Definitionen können die Komplexität und Funktionsweise der BCT meist nur schwer vermitteln:
Abbildung 6: Definitionen der Blockchain-Technologie.
Im Folgenden soll daher über die Beschreibung der wesentlichen Elemente der BCT ein näheres Verständnis aufgebaut werden.
Die BCT kombiniert Elemente aus den Bereichen der Kryptografie und der Peer-to-Peer-Netzwerke (P2P-Netzwerke) mit der Distributed-Ledger-Technologie (DLT).[148] Die Kombination dieser Elemente soll eine dezentral verwaltete Datenbank für Transaktionen ermöglichen, die einen transparenten Transaktionsverlauf, eine hohe Manipulationssicherheit und einen hohen Grad der Systemverfügbarkeit gewährleistet.[149] Mit Transaktionen sind hierbei nicht nur finanzielle Transaktionen gemeint, vielmehr handelt es sich um jegliche Art von Informationsübertragung.[150]
3.1.1 Peer-to-Peer-Netzwerk
In konventionellen zentralen Systemen („server-based systems“) werden Transaktionen von zentralen Instanzen, wie z. B. Banken, durchgeführt und auf zentralen Servern gespeichert. Ein P2P-Netzwerk ermöglicht ein System ohne zentrale Instanz zum direkten Austausch von Daten innerhalb des Netzwerks.[151] So bildet es die Grundlage für virtuelle Gemeinschaften, um Ressourcen zu teilen oder den Informationsaustausch zu beschleunigen. Jeder Netzwerkteilnehmer kann Daten speichern, senden und empfangen und ist idealerweise gleichberechtigt sowie gleichwertig.[152] Oftmals sind in solchen P2P-Systemen jedoch noch Hierarchieebenen zwischengeschaltet, durch die die Interaktion der Parteien reguliert wird, da bisher noch keine dezentralen Kontrollmechanismen bestanden, die die Datenqualität, die dauerhafte Verfügbarkeit sowie die Sicherheit des Systems gewährleisten konnten.[153] Bekannte Dienste wie Instant Messaging* oder File-Sharing basieren auf P2P-Systemen.[154] Ein P2P-Netzwerk ist die Grundlage für die DLT.
3.1.2 Distributed-Ledger-Technologie
Das Distributed Ledger* (DL) wurde eingangs bereits in der Definition von Maßberger/Lochter (2017) erwähnt. Ihre Definition ist stark an die Kryptowährungen gekoppelt, obwohl die DLT wesentlich älter als die erste Kryptowährung Bitcoin ist. Im Folgenden soll sie daher isoliert betrachtet werden. Ein DL ist eine durch ein P2P-Netzwerk dezentral verwaltete Datenbank von Transaktionen, Ereignissen oder Datensätzen, von der jeder Netzwerkteilnehmer (auch „Node“ genannt) jeweils eine identische, chronologisch aktualisierte Kopie besitzt.[155]
Verteilte Systeme („distributed systems“) werden bereits seit 1980 in der Informatik-Literatur diskutiert, scheiterten bisher jedoch an tragfähigen praktischen Lösungsansätzen.[156] Anders als in herkömmlichen zentral geführten Datenbanken, wird die Transaktionshistorie an mehreren Orten gleichzeitig synchronisiert, ohne zentrale Autoritäten oder Speicher zu benötigen.[157] Folgende Abbildung verdeutlicht Unterschied der Systeme:
Abbildung 7: Server-Based (centralized und decentralized network) und Distributed Systems im Vergleich
(Quelle: Im Internet Ethereum-Base (2019), S. 2.)
Die Herausforderung beim Einsatz verteilter Systeme ist die Sicherstellung, dass jede Transaktion nur einmal ausgeführt („double-spending problem“) und dokumentiert wird. Dabei dürfen Systemausfälle keine Auswirkung auf den Transaktionsverlauf haben und keine Transaktion verändern.[158] Kurz gesagt stellt sich die Frage, wie sich eine dynamische Gruppe weltweit verteilter Nodes ohne Vertrauensbasis auf einen Transaktionsverlauf einigen kann. Dieses Problem wird in der Informatik als das Problem der „byzantinischen Generäle“ oder der „interaktiven Konsistenz“ bezeichnet.[159]
Lamport et al. (1982) beschreiben das Problem folgendermaßen: Eine byzantinische Armee besteht aus mehreren Divisionen mit jeweils einem General, die gemeinsam einen Schlachtplan entwerfen müssen. Die Generäle können dabei untereinander nur mittels Boten kommunizieren. Sie müssen sich somit ein System überlegen, das es ihnen ermöglicht, über denselben Schlachtplan zu entscheiden, und das gleichzeitig verhindert, dass eine kleine Anzahl von illoyalen Generälen die loyalen Generäle dazu veranlasst, einen manipulierten Plan anzunehmen.[160] Das Gedankenexperiment ermöglicht es, mögliche Fehler in verteilten Systemen zu rekonstruieren. Die BCT ist ein erster Vorschlag, durch die das Problem der interaktiven Konsistenz gelöst werden kann.
Wenngleich die BCT irrtümlicherweise häufig als Synonym für die DLT gebraucht wird, ist eine Blockchain nur eine Art der DLT.[161] Sie ist somit zunächst als eine Datenbank für Transaktionen oder Transaktionsprotokolle in einem verteilten System zu verstehen. Zur Lösung des Problems der byzantinischen Generäle in verteilten Systemen und des „doublespending problems“ nutzt die BCT Elemente der Kryptografie und verschiedener Konsensmechanismen, die im Folgenden vorgestellt werden.
3.1.3 Kryptografische Elemente
Um die Anonymität der Netzwerkteilnehmer sowie ein hohes Maß an Manipulations-sicherheit des Transaktionsverlaufs bei gleichzeitiger Transparenz der Transaktionen zu gewährleisten, baut die BCT auf zwei fundamentalen Elementen der Kryptografie auf: Zum einen auf asymmetrischen Verschlüsselungen und zum anderen auf kryptografischen Hashfunktionen und digitalen Signaturen.[162]
3.1.3.1 Asymmetrische Verschlüsselung
Die asymmetrische Verschlüsselung[163] kann zur Sicherung der Identität der Nodes, zur Authentifizierung (Sicherung der Zugangsdaten) und als Verifikation des Besitzes digitaler Güter eingesetzt werden.[164]
Bei der konventionellen symmetrischen Verschlüsselung muss der Schlüssel beim Informationsaustausch mit ausgetauscht werden. Das birgt das Risiko, dass unbefugte Dritte diesen Schlüssel abfangen und im schlimmsten Fall missbrauchen.[165] Asymmetrische Verschlüsselungsverfahren hingegen nutzen unterschiedliche Schlüssel zum Ver- und Entschlüsseln und müssen somit nicht ausgetauscht werden.[166] Das Schlüsselpaar ist durch einen Algorithmus mathematisch miteinander verbundenen.
Jedem Node wird ein privater Schlüssel („Private Key“) und ein dazugehöriger bzw. davon abgeleiteter öffentlicher Schlüssel („Public Key“) zugeordnet.[167] Der Private Key ist der Zugangsschlüssel für den Eigentümer und muss geheim gehalten werden. Der Public Key wird mathematisch vom Public Key abgeleitet, kann seinerseits allerdings nicht zur Herleitung des Private Key genutzt werden.[168] Vereinfacht ausgedrückt verhält sich das Schlüsselpaar Private Key und Public Key so zueinander, dass Daten, die mit dem einen Schlüssel verschlüsselt wurden, nur mit Kenntnis des anderen Schlüssels wieder entschlüsselt werden können.[169] Jeder Node kann den öffentlichen Schlüssel eines anderen Nodes nutzen, um Transaktionen zu verschlüsseln, diese können nur mit dem privaten Schlüssel des Empfängers entschlüsselt werden.
Abbildung 8: Asymmetrische Verschlüsselung
(Quelle: Schär/Berentsen (2017), S. 145.)
3.1.3.2 Kryptografische Hashfunktion und digitale Signatur
Um die digitale Signatur zu verstehen, wird zuerst die kryptografische Hashfunktion* erklärt. Kryptografische Hashfunktionen können aus komplexen und umfangreichen Input-Werten eine eindeutige Prüfsumme (Hashwert*) mit einer festen Länge generieren.[170] Input-Werte können hierbei ein Wort, ein Satz, ein längerer Text oder eine ganze Datei sein. Die Funktionsweise basiert hierbei auf einer Einwegfunktion, die sich sehr einfach rechnen lässt, aber deren Umkehrung sehr aufwendig bis unmöglich ist. Ein Rückschluss vom Hashwert auf das Urbild soll dadurch verhindert werden.[171]
Abbildung 9: Erzeugung eines Hashwerts im Bitcoin-Netzwerk (Hashwert generiert mit hashgenerator.de).
Mithilfe der Hashfunktion und des Private Keys kann eine sogenannte digitale Signatur erzeugt werden, die dem Empfänger gewährleistet, dass ihn die Transaktion unverändert erreicht und sie tatsächlich vom Sender stammt.[172]
Zunächst wird mit der Hashfunktion ein Hashwert aus den Informationen einer Transaktion generiert. Der erzeugte Hashwert wird dann mit dem privaten Schlüssel des Absenders verschlüsselt. So entsteht für jede Transaktion eine individuelle digitale Signatur, dessen Hashwert nur mit dem Public Key des Senders entschlüsselt werden kann.
Abbildung 10: Erzeugung einer digitalen Signatur
(Quelle: Eigene Darstellung in Anlehnung an Bogensperger et al. (2018), S. 28.)
Die Informationen der Transaktion werden dann als Hashwert gemeinsam mit dem Public Key sowie der digitalen Signatur an das Netzwerk gesendet. Der Hashwert ist für jeden Node lesbar und die digitale Signatur für jeden mithilfe des Public Keys des Senders zu entschlüsseln. Ergibt die Entschlüsselung der digitalen Signatur als Ergebnis den Hashwert der Transaktionsinhalte, gilt die Transaktion als verifiziert.
Abbildung 11: Validierungsverfahren im Blockchain-Netzwerk
(Quelle: Eigene Darstellung in Anlehnung an Schär/Berentsen (2017), S. 145 f.)
Niemand außer dem Privat-Key-Inhaber kann diese digitale Signatur erstellen. Ändert sich etwas an den Transaktionsinhalten, würde der Hashwert der Transaktion nicht mehr mit dem Hashwert der entschlüsselten digitalen Signatur übereinstimmen. So wird im Blockchain-Netzwerk sichergestellt, dass jede Transaktion von einem bestimmten Empfänger stammt, einmalig und nicht manipuliert ist (Validierung). Die Identifikation ungültiger Transaktionen ist damit sehr einfach. Ein Nachteil digitaler Signaturen ist das erhöhte Transaktionsvolumen, da die Transaktionsinformationen um digitale Signatur und Public Key ergänzt werden müssen.[173]
Die Nodes validieren alle Transaktionen, die dem Netzwerk innerhalb eines vorbestimmten Zeitintervalls (z. B. zehn Minuten) bekannt gegeben werden. Diese Transaktionen werden dann in sogenannten Blöcken gesammelt und gespeichert. Alle Transaktionen innerhalb des Blocks werden zusammengefasst und ebenfalls mit einem eigenen Hashwert verschlüsselt. Dieser übergeordnete Hashwert wird „Merkle Root“* genannt.[174] Er repräsentiert die Gesamtheit aller Transaktionen des Blocks. Zur Ableitung der Merkle Root werden Transaktionen zunächst paarweise arrangiert und der Hashwert jedes Paares berechnet. Die Hashwerte der Paare werden so lange zu neuen Paaren zusammengefasst, bis nur noch ein Hashwert übrig bleibt – damit entsteht ein Merkle Tree*, dessen letzter Hashwert als Merkle Root bezeichnet wird.[175]
Abbildung 12: Generierung eines Hashwerts für einen Block (Hashwert generiert mit hashgenerator.de).[176]
Durch die Merkle Root ist ein Block von Daten eindeutig identifizierbar und unveränderbar, da bereits die Änderung eines einzigen Wertes – selbst des Punktes am Ende des Satzes – den Hashwert des Blocks verändern würde.[177] Jeder Block referenziert hierbei auf den vom Netzwerk bereits akzeptierten vorangegangenen Block, sodass eine Kette von Blöcken entsteht – eine Blockchain.[178] Die Referenz ist dabei nichts anderes als die Merkle Root des vorangegangenen Blocks.[179] Da die Referenzangaben Bestandteil des Blocks sind, beeinflussen sie die Merkle Root des Blocks. So wird nicht nur die Konsistenz des Inhalts der jeweiligen Blöcke, sondern auch die chronologische Verkettung sichergestellt. Ändert sich demnach nur ein kleines Detail einer Transaktion, ändern sich alle nachfolgenden Hashwerte, sodass die gesamte Kette von Hashwerten nicht mehr konsistent wäre.
Nach Ablauf des vorbestimmten Zeitintervalls haben verschiedene Nodes einen Block mit jeweiliger Merkle Root erzeugt und müssen sich darauf einigen, wer seinen Block an die Blockchain hängen darf. Zur Einigung werden unterschiedliche Konsensmechanismen angewendet.
3.1.4 Konsensmechanismen
Es wurde bisher dargelegt, dass die Blockchain ein Transaktionsprotokoll in einem verteilten System ist, in dem Datenintegrität und Nutzeridentität durch kryptografische Verfahren sichergestellt werden. Die Nodes haben nun diverse Transaktionen gesammelt und in Blöcken gespeichert. Doch nicht jeder Node sammelt dieselben Transaktionen in derselben Reihenfolge, so kommt es dazu, dass unterschiedliche gültige Blöcke entstehen, die alle dem Netzwerk als nächstes Kettenglied vorgeschlagen werden.[180] Um sich auf einen gemeinsamen Transaktionsverlauf und somit auf einen Block zu einigen und das Problem der byzantinischen Generäle zu bewältigen, gibt es unterschiedliche Konsensmechanismen. Gäbe es keinen Konsensmechanismus, würde jeder Node seine eigene Version der Blockchain generieren und als wahren Transaktionsverlauf betrachten. Die aktuell wichtigsten Konzepte stellen „Proof of Work“ und „Proof of Stake“ dar und werden im Folgenden erläutert.
3.1.4.1 Proof of Work
Die Validierung der Transaktionen und die Erstellung eines individuellen Blocks, wie in Kapitel 3.1.3.2 erklärt, erfordern nur wenig Rechenleistung („Computerpower“). Die Grundidee ist, dass zu schnell und effizient ausführbare Tätigkeiten mit einer Trial-and-Error-Aufgabe (Lösungsfindung durch Ausprobieren) verknüpft werden, um die Anzahl der Ergebnisse zu reduzieren. [181] Einfachen Tätigkeiten werden so Grenzkosten auferlegt. Der Proof of Work (PoW) war der erste funktionierende Konsensmechanismus. Er ist bis heute am weitesten verbreitet und wird u. a. bei der bekanntesten Kryptowährung Bitcoin eingesetzt. Die Trial-and-Error-Aufgabe des PoW ist ein Rechenwettbewerb, durch den festgelegt wird, wer seine „Wahrheit“, also den nächsten Block, anhängen darf („Miner“* genannt) und dafür in Form von digitaler Währung[182] entlohnt wird – dieser Prozess wird auch „Mining“* genannt.[183] Mit jedem angehängten Block steigt die Schwierigkeit der zu lösenden Rechenaufgabe und damit auch die benötigte Computerpower. Die Rechenaufgaben sind dabei so konzipiert, dass die Korrektheit der Lösung leicht überprüft werden kann. Die Nodes drücken ihre Akzeptanz des neuen Blocks aus, indem sie seine Merkle Root als Referenz für neue Blöcke nutzen.[184] Wird die Merkle Root von mindestens 51 % der Nodes akzeptiert, gilt der Block als neues Kettenglied. Um die Aufnahme eines Blocks zu verhindern oder einen anderen Block als nächstes Kettenglied durchzusetzen, müsste ein Angreifer demnach mindestens 51 % der gesamten Rechenleistung aufbringen („51 % Attack“). Da dies mit einem hohen finanziellen Aufwand verbunden wäre, bietet dieser Konsensmechanismus eine hohe Sicherheit vor Manipulationen.
Dennoch ist solch ein Angriff nicht auszuschließen. So ist es möglich, dass sich Nodes zusammenschließen (Mining-Pools*), um die benötigte Rechenleistung zu teilen.[185] Dies kann dann den Dezentralisierungsgedanken der Blockchain gefährden (Zentralisierungsrisiko).[186] Ein weiterer Kritikpunkt ist der hohe Energiebedarf des Rechenwettbewerbs. Nach den aktuellen Angaben des Bitcoin Energy Consumption Index verbraucht Bitcoin durch den PoW schätzungsweise 47 TWh pro Jahr (zu seiner Höchstzeit waren es 73 TWh pro Jahr). Das entspricht aktuell 0,2 % des weltweiten Stromverbrauchs oder dem von ganz Singapur.[187] Durch den hohen Energieverbrauch und die steigende geforderte Rechenleistung ist die Skalierbarkeit einer PoW-Blockchain begrenzt. Durch den hohen Aufwand ist auch die Transaktionszeit verglichen mit der Transaktionszeit von MasterCard oder Visa (durchschnittlich 4.000, maximal 56.000 Transaktionen pro Sekunde) mit aktuell durchschnittlich vier Transaktionen pro Sekunde (Stand Februar 2019) bei Bitcoin (355.467 Transaktionen pro Tag) sehr langsam.[188]
3.1.4.2 Proof of Stake
Die bekannteste Alternative zum PoW ist der Proof of Stake (PoS). Er wurde unter anderem entwickelt, um die Nachteile des PoW, insbesondere den hohen Stromverbrauch, zu umgehen und wird von der zweitbekanntesten Blockchain, der Ethereum-Blockchain, angewendet.
Beim PoS gibt es keine Miner, sondern sogenannte „Validatoren“*.[189] Diese Validatoren werden zufällig ausgewählt. Der Zufallsalgorithmus ist dabei so konzipiert, dass niemand vorhersehen kann, wann welcher Validator an der Reihe ist. Die Wahrscheinlichkeit, gewählt zu werden, hängt nicht von der Rechenleistung der Nodes ab, sondern von ihrem Einsatz von Kryptowährungen[190] („Coins“ oder „Token“)[191]. Je länger und mehr Coins/Token gehalten werden, desto öfter kann man als Validator ausgewählt werden.[192]
Der Validator stellt dem System also sein Geld als Pfand (wie eine Art Wetteinsatz) zur Verfügung, das bei Fehlverhalten einbehalten wird. Der vom Validator vorgeschlagene Block muss von der Mehrheit des Netzwerks akzeptiert werden.[193] Werden die validierten Blöcke von der Mehrheit des Netzwerks abgelehnt, kann der Validator mit Verlust seines Wetteinsatzes bis hin zum Verlust seines gesamten Coins/Token-Besitzes bestraft werden.[194]
Die größten Vorteile des PoS sind die Reduktion des Energiebedarfs und der Transaktionszeit sowie die damit verbundene Reduktion der Transaktionskosten. Darüber hinaus ist das Zentralisierungsrisiko geringer, denn ein Zusammenschluss von Nodes ist aus wirtschaftlicher Sicht nicht sinnvoll, da die Entlohnung proportional zum Einsatz ausgezahlt wird. Ein Zusammenlegen ändert somit nichts an der proportionalen Entlohnungshöhe.[195]
Auch das Risiko einer 51 %-Attacke wird gemindert, da Nodes mindestens 51 % der Token/Coins-Gesamtheit kaufen müssten, um die Akzeptanz des neuen Blocks zu verhindern. Dies würde wiederum zu einem schnellen Preisanstieg führen und den Angriff sehr kostenintensiv machen. Die Bestrafung beim Versuch, die Blockchain zu manipulieren, erhöht ebenfalls ihre Sicherheit.[196]
Der PoS kann aber zu einer zunehmenden Konzentration von Kapital führen, weil Nodes mit vielen Coins/Token schneller und mehr verdienen, da sie tendenziell öfter als Validatoren ausgewählt werden. Das führt zwangsläufig auch dazu, dass digitale Geldbörsen der Nodes beliebte Angriffsziele sein können.[197]
Neben diesen beiden Konsensmechanismen gibt es auch hybride Mechanismen, die diese Ansätze kombinieren, oder alternative Verfahren. Die verschiedenen Konsensmechanismen erstrecken sich meist entlang zweier Dimensionen: zum einen über das Ausmaß der Zentralisierung und zum anderen über den Grad der Dezentralisierung. Je nach Projektziel bieten sie Vor- und Nachteile, sodass es abzuwarten gilt, welche Konsensmechanismen sich in Zukunft durchsetzen werden.[198]
3.1.5 Ausprägungen der Blockchain
Die Blockchain kann so programmiert sein, dass sie für jeden frei zugänglich und nutzbar ist („Public Permissionless“). Alternativ ist es aber auch möglich, den Zugriff und die Nutzung des Netzwerks („Public“ oder „Private“) sowie die Zuständigkeit und Funktion der Nodes („Permissioned“ und „Permissionless“) einzugrenzen.
Die nachfolgende Abbildung fasst die verschiedenen Ausprägungen zusammen:
Abbildung 13: Ausprägungen des Blockchain-Netzwerks
(Quelle: Bogensperger et al. (2018), S. 13)
Nodes können eine oder mehrere Funktionen übernehmen.[199] Grundsätzlich hat jedes Blockchain-Netzwerk seine eigene Node-Typologie, deswegen werden im Folgenden nur die wesentlichen Grundfunktionen differenziert.
Zum einen kann in Full Nodes und Light Nodes[200] unterschieden werden. Full Nodes sind meistens die Nodes, die Transaktionen und Blöcke innerhalb des Netzwerks verifizieren. Dafür wird grundsätzlich das vollständige Transaktionsprotokoll heruntergeladen. Light Nodes hingegen laden nur Teile des Transaktionsprotokolls herunter und unterstützen die Full Nodes bei ihren Aufgaben.[201]
Wallet-Nodes („Geldbörsen-Funktion“) hingegen sind an Endnutzer gerichtet. Ihre Funktion umfasst lediglich die sichere Verwahrung von Private Keys und die Überwachung und Verwaltung des eigenen Guthabens an der jeweiligen digitalen Währung.[202] Es kann entweder den Nutzern selbst überlassen werden, welche Funktion sie in der Blockchain einnehmen wollen, oder ihre Funktion wird von vornherein festgelegt (z. B. bei Permissioned Blockchains).
3.2 Blockchain 1.0
Ursprünglich wurde die BCT als digitale Plattform für die Kryptowährung Bitcoin vorgeschlagen.[203] Im Jahr 2008, kurz nachdem der Konkurs der US-Investmentbank Lehman Brothers eine globale Finanzkrise auslöste, veröffentlichte eine bisher unbekannte Person oder Personengruppe unter dem Pseudonym Satoshi Nakamoto ein Whitepaper* mit dem Titel: „Bitcoin: A Peer-to-Peer Electronic Cash System“.
In einer Zeit, in der das Vertrauen in die Finanzbranche durch die Finanzmarktkrise deutlich beeinträchtigt wurde, schlug Nakamoto (2008) eine Lösung für elektronische Transaktionen unabhängig von Finanzintermediären vor. Elektronische Zahlungen sollten hierdurch direkt zwischen Sender und Empfänger abgewickelt werden können, ohne die Notwendigkeit, Vertrauen in einen Finanzintermediär oder sogar gegenseitig haben zu müssen.[204]
Für das elektronische Zahlungssystem wurde eine digitale Währung (Bitcoin) in Form einer Kette digitaler Signaturen entwickelt, die, statt auf Vertrauen zu setzen, durch kryptografische Transaktionsnachweise sichere Transaktionen ermöglichen soll.[205]
Im Januar 2009 ging das Bitcoin-Netzwerk online, durch das Bitcoins erzeugt, empfangen und versendet werden konnten.[206] Durch das Open-Source*-Konzept der Bitcoin-Blockchain kann jeder den Bitcoin-Quelltext* kopieren und weiterentwickeln.[207] Daher entstanden binnen weniger Jahre andere Kryptowährungen mit ähnlichem Aufbau, aber unterschiedlichen Projekt-Hintergründen und Zielsetzungen.[208] Derzeit existieren mehr als 2.000 Kryptowährungen mit einer Gesamtmarktkapitalisierung von mehr als 120 Mrd. Euro.[209] Blockchain-Projekte mit Schwerpunkt auf den Kryptowährungen werden als Blockchain 1.0 bezeichnet.[210] Doch werden Kryptowährungen auch in den Weiterentwicklungen der Blockchain (Blockchain 2.0 und Blockchain 3.0) genutzt.
Hierbei wird zwischen Coins und Tokens unterschieden. Die Abgrenzung der Begriffe ist nicht eindeutig. Grundsätzlich sind Coins Rechnungseinheiten für Wertaufbewahrung oder Überweisungen, die über eine eigene unabhängige Blockchain verfügen, wie z. B. Bitcoin oder Ether. Sie können entweder gegen Tausch gegen konventionelle Währungen (Fiat-Währungen) oder in einigen Fällen durch eigene Herstellung (Mining) bezogen werden.[211] Tokens hingegen verfügen nicht über eine eigene Blockchain. Sie sind abhängig von anderen Blockchain-Plattformen – in den meisten Fällen von der Ethereum-Blockchain. Aus dem Besitz von Tokens resultieren verschiedene Rechte. Sie werden meistens über Crowdfunding (Initial Coin Offering (ICO)*) ausgegeben, bei dem Investoren Coins in Token umtauschen können und im Gegenzug Zugangsrechte, Leistungen oder Stimmrechte erhalten.[212]
Bitcoin ist nach wie vor die bekannteste Kryptowährung der Welt und führt die Rang-liste der Kryptowährungen mit einer Marktkapitalisierung von mehr als 64 Mrd. Euro an.[213] Laut einer Studie des Imperial College London[214] erfüllen Kryptowährungen wie Bitcoin bereits die Wertaufbewahrungsfunktion einer Währung. Allerdings fehlt es ihnen u. a. noch an wichtigen Eigenschaften wie Skalierbarkeit, Stabilität[215] und Regulierung, um sich als Zahlungsmittel der Zukunft zu etablieren.[216] In einer anderen Studie zweier Ökonomen der Yale University wurden die „risks and returns“ von Kryptowährungen untersucht und unter anderem das Fazit gezogen, dass die Zukunft der Kryptowährungen maßgeblich von der Entwicklung der BCT abhänge, sie aber das Potenzial besäßen, die Industrie disruptiv zu beeinflussen.[217] Die Bedeutung der Kryptowährungen für die Wirtschaftsprüfung ist demnach noch ungewiss. Sowohl die Frage nach der bilanziellen Behandlung als auch die Einbindung in unternehmerische Prozesse (z. B. neue Bezahlsysteme und damit in Zusammenhang stehende Risiken) könnten für Abschlussprüfer in Zukunft eine Rolle spielen. Es bleibt abzuwarten, wie sich aktuelle Lösungsansätze weiterentwickeln.
3.3 Blockchain 2.0
3.3.1 Smart Contracts
Die erste Generation der BCT diente zur Validierung und irreversiblen, dezentralen Speicherung des Transaktionsverlaufs von Kryptowährungen. Die zweite Generation wurde mit der Einführung der Ethereum-Blockchain mit integrierten „Smart Contracts“[218] durch Vitalik Buterin eingeleitet. Der Begriff „Smart Contract“ wird oftmals mit Verträgen im rechtlichen Sinne in Verbindung gebracht und vielfach diskutiert. Einige rechtliche Einordnungen haben jedoch ergeben, dass Smart Contracts nach deutschem Recht keine Verträge im rechtlichen Sinne sind.[219] Es handelt sich vielmehr um Algorithmen bzw. Softwareprogramme, die innerhalb der Blockchain platziert werden und dafür programmiert sind, bestimmte Reaktionen auszulösen, wenn bestimmte vorher festgelegte Konditionen erfüllt sind.[220] Ein klassisches Beispiel für eine Smart-Contract-Funktion ist das Öffnen von elektronischen Türschlössern. Bei der Anmietung eines Fahrzeugs oder einer Wohnung kann ein Smart Contract automatisch prüfen, ob der Nutzer vorher festgelegte Nutzungs- und Zugangsbedingungen, wie bspw. die Zahlung der Kaution oder der Miete im Voraus oder Zutritt ab einer bestimmten Uhrzeit, erfüllt hat. Erst wenn beide Voraussetzungen erfüllt sind, wird das Schloss automatisch geöffnet. Diese vordefinierten Prozesse können selbst komplexe Geschäftsprozesse umfassen. Die Prozesse werden dann nicht nur ausgeführt, sondern zugleich unveränderbar dokumentiert.[221]
Um die Integration solcher Algorithmen in eine Blockchain zu ermöglichen, hat Vitalik Buterin ein neues Blockchain-Konzept vorgeschlagen. Der wesentliche Unterschied zu der Bitcoin-Blockchain ist die verwendete Programmiersprache. Die Bitcoin-Blockchain verwendet eine limitierte Programmiersprache, die nur elementare Konstrukte anbietet. Dies wurde absichtlich so gestaltet, um die Größe der Blöcke klein zu halten. Zum Ende des vierten Quartals 2018 hatte die Bitcoin-Blockchain eine Größe von ca. 197 GB innerhalb von neun Jahren.[222] Die Ethereum-Blockchain verwendet eine vollständige Programmiersprache („Touring Complete“), mit der beliebig viele gängige Rechenoperationen abgebildet werden können. Daher können Smart Contracts nicht auf der Bitcoin-Blockchain, aber auf der Ethereum-Blockchain laufen. Im Vergleich hatte die Ethereum-Blockchain bereits im November 2017 eine Blockchain-Größe von 385 GB innerhalb von wenig mehr als zwei Jahren aufgebaut.[223]
Wie die Transaktionen innerhalb der Blockchain sind auch Smart Contracts irreversibel in die Blockchain integriert. Ihre Ausführung erfolgt nach der Implementierung exakt wie programmiert und autonom. Ein einmal eingesetzter Smart Contract kann somit nicht angepasst, aber so programmiert werden, dass er gelöscht/deaktiviert werden kann.[224] Anders als Desktop- oder Web-Anwendungen können sie somit auch nicht kontinuierlichen Updates unterzogen werden.[225]
Das Konzept wurde mittlerweile auch in anderen Blockchains adaptiert. Beispiele hierfür sind EOS, die die schnellere Ausführung von Smart Contracts anbieten, oder Lisk, die JavaScript als Programmiersprache verwenden.[226]
Das durch das Smart-Contract-Konzept entstandene Automatisierungspotenzial wird von unterschiedlichen Projekten erprobt. Das bekannteste Beispiel ist das Konzept der dezentralen autonomen Organisationen* („DAO“) oder dezentralen autonomen Körperschaften („DAC“), auf die in Kapitel 3.3.4 näher eingegangen wird.[227]
3.3.2 Ricardian Contracts
Smart Contracts können in unterschiedlichen Programmiersprachen geschrieben werden und sind somit nur für diejenigen lesbar, die die jeweilige Sprache beherrschen. Ein Konzept von Ian Grigg aus dem Jahr 1994, der Ricardian Contract, kann dazu genutzt werden, Smart Contracts zum einen für Menschen lesbar und gleichzeitig von Algorithmen verarbeitbar zu machen. Die Kombination der Ricardian Contracts mit Smart Contracts kann ermöglichen, dass Verträge im rechtlichen Sinne kryptografisch verschlüsselt mit einem Smart Contract verbunden werden. Die Gründer der Plattform Contract Value sehen die Erweiterung der Smart Contracts durch Ricardian Contracts als eine Möglichkeit, Smart Contracts rechtlich anwendbar und durchsetzbar zu machen.[228] Dagegen spricht, dass einige komplexe Vertragsarten fallspezifische Auslegungen durch Experten erfordern, die nicht durch „einfache“ Bedingungen programmiert werden können.[229]
3.3.3 Smart Contract Oracles und dApps
Eine Blockchain ist grundsätzlich von der Außenwelt abgekoppelt und nicht zur Interoperation mit anderen Systemen fähig. Das Blockchain-Netzwerk kann Daten der Außenwelt somit auch nicht eigenständig einbeziehen. Zur Validierung von Transaktionen bzw. zur Überprüfung vordefinierter Bedingungen können externe Daten jedoch unabdingbar sein.[230] Hierfür ist es also notwendig, dass eine der Vertragsparteien die nötigen Daten in die Blockchain einpflegt oder dies einem fremden Dritten überlassen wird.
Ein Beispiel für eine solche Transaktion ist der Kauf von Aktien. V sagt K zu, am 12.11.2019 100 Aktien zu verkaufen, wenn der Stückpreis an diesem Tag mindestens 250 Euro beträgt. Um die Transaktion automatisiert ablaufen zu lassen, ist es notwendig, der Blockchain die Information über den Stückpreis der Aktie zum Stichtag zuzuführen.[231] Um dies unabhängig vom Vertrauen der Vertragsparteien untereinander zu gestalten, werden sogenannte Smart Contract Oracles* eingesetzt. Sie sind so programmiert, dass sie eine Verbindung zwischen der Blockchain und der Außenwelt herstellen können und so der Blockchain externe Daten zuführen.[232]
Diese externen Daten können Daten aus digitalen Plattformen wie SAP oder aus Web-sites sein, aber auch Daten der Außenwelt, die von Sensoren erfasst wurden. Umgekehrt können Oracles auch Aktionen außerhalb der Blockchain-Umgebung ausführen lassen.[233]
Der Begriff Application (App) ist den meisten Smartphone oder Laptop Besitzern bekannt. Es handelt sich um Softwareanwendungen, mit speziellen Funktionen zur Lösung von Problemen oder zur Unterhaltung des Anwenders. Alle über die App gesendeten und empfangenen Informationen laufen hierbei über einen zentralen Server. App-Nutzer müssen dem Anbieter der Softwareanwendung somit vertrauen können. Decentralized Applications (dApps*) sind hingegen Software-Anwendungen, die dezentral auf einem P2P-Netzwerk oder einer Blockchain, also nicht auf individuellen Laptops oder Smartphones, ausgeführt werden.[234] Somit werden die geteilten Informationen nicht auf einem einzelnen Server gespeichert, sondern über mehrere Systeme verteilt. So hat kein Server allein die Kontrolle über die gesammelten Daten.
Ethereum nutzt dApps in Kombination mit Smart Contracts auf der Ethereum-Plattform, um autonome Agenten und DAOs zu ermöglichen. Ein Beispiel für einen autonomen Agenten ist ein Computervirus, der auf Basis vordefinierter Regeln, meist ohne Eingreifen eines Nutzers, sich selbst reproduziert und Aktionen ausführt. Das Konzept wird bereits seit der Einführung von P2P-Netzwerken diskutiert und hat Plattformen wie BitTorrent* ermöglicht. Ein viel diskutierter Anwendungsbereich ist Machine-to-Machine-Communication im Rahmen des IoT und DAOs.[235] Aktuelle Beispiele für autonome Plattformen auf Smart Contract- und dApp-Basis sind die dezentralen Handelsplätze für Kryptowährungen Etherdelta und IDEX.
3.3.4 Dezentrale autonome Organisationen
DAOs sind eine Organisationform, in denen basisdemokratisch von den Mitgliedern und Teilhabern über die Verwendung und Verteilung von Ressourcen entschieden wird.[236] Wird dadurch ein Profitziel verfolgt, so wird von einer dezentralen autonomen Körperschaft (DAC) gesprochen.[237] Organisatorische und operationelle Regeln, wie Geschäftsordnung, Gesellschaftsvertrag oder Satzung, aber auch Geschäftsprozesse, werden mithilfe von Smart Contracts auf der zugrunde liegenden Blockchain festgehalten.[238] Sobald eine DAO über eine Blockchain implementiert wurde, kann sie, bei ausreichender Ressourcenzuführung, eigenständig Leistungen ausführen und Leistungen von den Mitgliedern einfordern. Die meisten Aktionen geschehen automatisiert. Da jedoch nicht alle Vorgänge und Prozesse automatisierbar sind, kann die DAO selbstständig Internetnutzer einstellen, um Aufgaben ausführen zu lassen.[239] Über ausgewählte Aktivitäten, wie zum Beispiel Entscheidungen über die Mittelverwendung oder die Änderung des Quellcodes der DAO, wird durch die Teilhaber basisdemokratisch abgestimmt.[240] Im Gegensatz zu konventionellen Organisationen wird die Autorität, Entscheidungen treffen zu können, nicht auf ein Management delegiert, sondern liegt direkt bei den Anteilseignern. Durch die irreversible Aufzeichnung der Prozesse innerhalb der Organisation wird Transparenz geschaffen. Das Vertrauen wird somit nicht in das Management, sondern in den dem DAO zugrunde gelegten Quellcode gelegt, der von jedem Teilnehmer überprüft werden kann.[241]
Das bisher bekannteste DAO-Projekt war „The DAO“ auf der Ethereum-Blockchain. Es begann als das größte Crowdfunding-Projekt der Internetgeschichte mit 150 Millionen USD im Mai 2016 und endete durch einen Hackerangriff („DAO-Hack“).[242] Die komplexe Struktur und der Aufbau auf irreversiblen Smart Contracts führte zu Systemfehlern, die von Hackern genutzt wurden. Nachdem die Schwachstellen des Projekts von Mitarbeitern der Ethereum-Organisation analysiert wurden, wurde eine Rückstellung auf den Stand vor dem Hackerangriff und die Möglichkeit zum Rücktausch der DAO-Token beschlossen.[243] Der „DAO-Hack“ zeigt, dass die Entwicklung dieser neuen Organisationsform noch weit am Anfang steht und noch viel Forschungs- und Entwicklungsarbeit geleistet werden muss.
3.4 Blockchain 3.0
Die Blockchain-Konzepte der ersten und zweiten Generation zeigten Schwächen in den Bereichen der Skalierung, der Transaktionskosten und -geschwindigkeit, Anonymität und Interoperabilität sowie suboptimale Konsensmechanismen.[244] Die derzeitigen Entwicklungen entfernen sich daher immer mehr von der ursprünglichen Bitcoin- und Ethereum-Blockchain. Die dritte Generation der BCT bzw. der DLT bilden Konzepte wie bspw. IOTA, Hedera Hashgraph, ICON, Golem oder Hyperledger Fabric:[245]
Tabelle 2: Ausgewählte Blockchain 3.0 Projekte
3.5 Potenziale und Risiken der Blockchain-Technologie
Abbildung 14: Zusammenfassende Darstellung der wesentlichen Blockchain Elemente
(Quelle: Erweiterte Darstellung in Anlehnung an Bogensperger et al. (2018), S. 15.)
Transparente, irreversible Transaktionshistorien ohne Vertrauensintermediäre zeichnen die BCT der ersten Generation aus. So soll eine unabhängige Vertrauensbasis geschaffen und die Gefahr von manipulativen, betrügerischen Transaktionen verringert werden. Datensicherheit und Stabilität des Netzwerks sollen zum einen durch die DLT und zum anderen durch die mehrfache Verschlüsselung durch digitale Signaturen und Hashfunktionen gewährleistet sein.[246] Die Smart Contracts, dApps und Smart Contract Oracles der Blockchain 2.0 haben ein großes Automatisierungspotenzial und bilden die Grundlage für die Technologien der Industrie 4.0, insbesondere für das IoT und neue Organisations-formen wie DAOs.[247] Smart Contracts sind für Programmierer zwar leicht zu programmieren, für Anwender, die die Programmiersprache nicht beherrschen, sind sie jedoch weder prüfbar noch verständlich. Die Kombination mit Ricardian Contracts scheint ein interessanter Lösungsvorschlag zu sein, der weiter zu beobachten ist.[248]
Soll die BCT in der Abschlussprüfung zum Einsatz kommen, ist ihre Sicherheit und Vertrauenswürdigkeit von äußerstem Interesse. Das Bundesamt für Sicherheit in der Informationstechnik stuft das kryptografische Verfahren und die digitale Signatur der BCT als sichere und bewährte Konzepte ein, die vor Manipulation und Fälschung schützen können.[249] Allerdings schränken sie ein, dass dabei die Wahl des richtigen Blockchain-Protokolls (z. B. Ethereum- oder Bitcoin-Blockchain) eine entscheidende Rolle zur Lösung von IT-Sicherheitsproblemen spielt.[250] Hacker-Angriffe wie der „DAO-Hack“[251] haben gezeigt, dass Blockchains nicht zwangsläufig vor Angriffen oder vor von Menschen verursachten Fehlern geschützt sind. Außerdem können mögliche Weiterentwicklungen der Computertechnologie wie Quantencomputer, die Aufgaben viel schneller lösen als bestehende Rechensysteme, einen Rückschluss auf das Urbild der Hashwerte ermöglichen.[252] IBM hat Anfang Januar 2019 bereits den weltweit ersten kommerziellen Quantencomputer präsentiert.[253]
Smart Contracts waren in der Vergangenheit oftmals anfällig für Programmfehler und Angriffsfläche für Hacker. Hinzu kommt, dass die hochsensiblen Zugriffsdaten in Form der Private Keys verloren gehen oder gehackt werden können, ohne dass es eine Möglichkeit zur Wiederherstellung gibt. Zum anderen können fälschlich durchgeführte Transaktionen nicht rückabgewickelt werden.[254]
Die Skalierbarkeit und somit die Transaktionsgeschwindigkeit der Blockchain 2.0 sind nach wie vor Herausforderungen und mitunter ein Grund, weshalb sich einige Projekte von der Blockchain-Lösung entfernt und andere auf der DLT basierende Lösungen gesucht haben (z. B. IOTA). Es lassen sich jedoch auch auf der Blockchain basierte Lösungsansätze finden, die sich des Problems der Skalierbarkeit und Transaktionsgeschwindigkeit annehmen.[255]
Die dritte Generation der BCT/DLT hat das Potenzial, die Vision der Industrie 4.0[256] zu verwirklichen, wenn sie die Probleme der ersten und zweiten Generation löst. Hierbei haben die Themen Interoperabilität und Skalierbarkeit einen besonderen Stellenwert, so sind bereits internationale Normungsbestrebungen zu verzeichnen, um die Interoperabilität über Ländergrenzen hinweg gewährleisten zu können.[257]
In folgender Tabelle werden grundlegende Potenziale und Risiken zusammengefasst gegenübergestellt:
Tabelle 3: Gegenüberstellung von Potenzial und Risiken der BCT
Prinz et al. (2018) schlagen folgende Kriterien vor, mit denen überprüft werden kann, ob die BCT für den vorliegenden Anwendungsfall sinnvoll eingesetzt werden kann. Mindestens eines der folgenden Kriterien sollte erfüllt sein:[258]
(1) Intermediär: Ein Intermediär soll umgangen werden. Der Intermediär (a) verursacht Kosten für Prozessschritte, die die Blockchain günstiger durchführen kann, (b) führt einen Prozess langsamer als die Blockchain aus, oder (c) es sprechen politische Gründe für eine dezentrale Prozessführung.
(2) Daten- und Prozessintegrität: Irreversibilität der Transaktionen sowie exakt vorgegebene Prozessdurchführungen sind erforderlich.
(3) Dezentrales Netzwerk: Für den Einsatz bei Prozessen, die keine stabile und sichere Transaktions- und Vertrauensbasis haben und derzeit aufgrund flexibler und flüchtiger Kooperationspartner zentral verwaltet werden müssen.
(4) Übermittlung von Werten und Wahrung von Rechten: Für Prozesse, in denen Originale, Herkunftsnachweise oder Rechte übertragen werden müssen.
Eine Aussage darüber, ob mindestens eines der Kriterien erfüllt wird, soll nach der Analyse der Einsatzmöglichkeiten der BCT in Kapitel 6.1 erfolgen.
- Quote paper
- Dilara Kahyaoglu (Author), 2019, Audit 4.0. Wird die Blockchain-Technologie die Wirtschaftsprüfung revolutionieren?, Munich, GRIN Verlag, https://www.grin.com/document/1180680
-
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X.