04 Jul
04Jul

Bitcoin and crypto assets create audit risks that are different from cash, bank deposits, investments, or normal intangible assets. Although blockchain records are public and can be independently inspected, this does not automatically prove that the company owns the assets, controls the wallet, or has recorded all transactions completely. Auditors therefore need to understand both the technology and the accounting implications.


The first and most important risk is existence. A blockchain explorer may show that a wallet address holds a certain amount of Bitcoin at the reporting date, but this only supports that Bitcoin exists at that address. It does not by itself prove that the company controls the wallet or owns the Bitcoin. Therefore, auditors should not rely only on screenshots, wallet balances, or reports downloaded by management.


To test existence, the auditor should first obtain a complete list of wallet addresses, exchange accounts, and custodian accounts used by the entity. These should be reconciled to the general ledger, crypto asset register, and management’s supporting schedules. The auditor may then verify the wallet balance using a reliable blockchain explorer, blockchain analytics tool, or independently operated node. The balance should be checked at the reporting date, with the relevant timestamp or block height clearly documented.


However, checking the balance is only the first step. The auditor should also obtain evidence that the entity controls the wallet. For self-custody wallets, this may include observing management sign a digital message using the wallet’s private key, without revealing the private key to the auditor. In some cases, management may perform a small test transaction or transfer between wallets controlled by the entity under auditor observation. The auditor should never request or store the private key, because possession of the private key may allow access to the asset.


For hardware wallets or cold wallets, the auditor may observe management accessing the wallet, compare the address displayed on the device with the accounting records, and trace the balance to the blockchain. The auditor should also understand where the device and recovery phrase are stored, who can access them, and whether approval controls and segregation of duties are appropriate. If the entity uses a multi-signature wallet, the auditor should understand how many signatures are required, who holds each key, and whether one person can transfer assets without proper approval.


If Bitcoin is held with an exchange or third-party custodian, the auditor should obtain statements and, where appropriate, direct confirmation from the custodian. The confirmation should cover the balance held, restrictions, pledges, lending arrangements, custody terms, and whether the assets are segregated or held in an omnibus wallet. The auditor should also consider the reliability of the custodian and whether there is a service organization control report, such as SOC or ISAE 3402.


The second risk is rights and obligations. Even if Bitcoin exists, the company may not have full rights over it. Assets may be pledged, lent, borrowed, restricted, held on behalf of customers, or subject to custody arrangements. Auditors should review wallet ownership, exchange agreements, custody contracts, board approvals, lending arrangements, and legal terms to determine whether the entity has rights to the assets recorded.


The third risk is completeness. Crypto transactions can occur outside normal banking channels and may not pass through the usual accounting process. Purchases, sales, transfers between wallets, transaction fees, staking rewards, mining income, airdrops, and realized gains or losses may be omitted if the company does not have a proper reconciliation process. Auditors should reconcile opening balances, purchases, disposals, transfers, fees, and closing balances. Transfers between the company’s own wallets should not be recorded as sales or purchases.


The fourth risk is valuation. Crypto prices are highly volatile and may differ across exchanges. Auditors should consider the source of pricing, whether the market is active, the timing of valuation, fair value hierarchy where relevant, impairment, and whether management’s accounting policy is appropriate under the applicable financial reporting framework. The valuation date and time should be consistent with the reporting date.


The fifth risk is classification and accounting treatment. Under IFRS, cryptocurrencies such as Bitcoin are commonly analyzed as intangible assets unless they are held for sale in the ordinary course of business, in which case inventory accounting may be relevant. However, accounting treatment may differ under other reporting frameworks. Auditors should assess whether classification, measurement, impairment, gains or losses, and disclosure are appropriate.


The sixth risk is fraud, cybersecurity, and unauthorized transactions. Bitcoin can be transferred quickly and may be difficult to recover once transferred. Weak private key storage, shared wallet access, lack of approval controls, poor segregation of duties, and insecure custody arrangements can create significant misappropriation risk. Auditors should understand internal controls over wallet creation, private key management, transaction approval, access rights, and monitoring.


The seventh risk is presentation and disclosure. Financial statements should explain the nature of crypto assets, accounting policy, measurement basis, custody arrangements, restrictions, key risks, and material gains or losses where relevant. If the balance is material but disclosure is unclear, users of the financial statements may misunderstand the company’s exposure.


In summary, auditing Bitcoin and crypto assets requires more than checking a wallet balance. Auditors need to understand the wallet structure, custody model, blockchain evidence, proof of control, reconciliation process, accounting treatment, valuation method, and internal controls. The key audit assertions are existence, rights and obligations, completeness, valuation, and presentation and disclosure.


ความเสี่ยงสำคัญในการตรวจ Bitcoin และ Crypto Assets ที่ผู้สอบบัญชีควรรู้


Bitcoin และ Crypto Assets มีความเสี่ยงในการสอบบัญชีแตกต่างจากเงินสด เงินฝากธนาคาร เงินลงทุน หรือสินทรัพย์ไม่มีตัวตนทั่วไป แม้รายการบนบล็อกเชนจะเปิดเผยต่อสาธารณะและสามารถตรวจสอบได้ แต่ข้อมูลดังกล่าวไม่ได้พิสูจน์โดยอัตโนมัติว่าบริษัทเป็นเจ้าของสินทรัพย์ ควบคุมกระเป๋าเงิน หรือบันทึกรายการครบถ้วนแล้ว ผู้สอบบัญชีจึงต้องเข้าใจทั้งเทคโนโลยีและผลกระทบทางบัญชีควบคู่กัน


ความเสี่ยงแรกและสำคัญที่สุดคือความมีอยู่จริงของสินทรัพย์ การดูยอดจาก blockchain explorer อาจแสดงว่า wallet address หนึ่งมี Bitcoin จำนวนหนึ่ง ณ วันสิ้นงวด แต่หลักฐานนี้พิสูจน์ได้เพียงว่า Bitcoin มีอยู่ที่ address นั้น ไม่ได้พิสูจน์ว่าบริษัทควบคุมกระเป๋าเงินหรือเป็นเจ้าของ Bitcoin ดังกล่าว ผู้สอบบัญชีจึงไม่ควรพึ่งพาเพียง screenshot ยอดใน wallet หรือรายงานที่ฝ่ายบริหารดาวน์โหลดมาเอง


วิธีตรวจสอบความมีอยู่จริงควรเริ่มจากการขอรายชื่อ wallet address บัญชีศูนย์ซื้อขาย และบัญชีผู้รับฝากสินทรัพย์ทั้งหมดที่บริษัทใช้ จากนั้นกระทบยอดกับบัญชีแยกประเภท ทะเบียนสินทรัพย์ดิจิทัล และรายละเอียดประกอบจากฝ่ายบริหาร ผู้สอบบัญชีอาจตรวจยอดคงเหลือผ่าน blockchain explorer ที่น่าเชื่อถือ เครื่องมือวิเคราะห์บล็อกเชน หรือ node ที่ตรวจสอบได้อิสระ โดยต้องระบุวัน เวลา หรือ block height ที่ใช้ตรวจสอบให้ชัดเจน


อย่างไรก็ตาม การเห็นยอดในบล็อกเชนเป็นเพียงขั้นตอนแรก ผู้สอบบัญชีควรได้หลักฐานเพิ่มเติมว่าบริษัทควบคุมกระเป๋าเงินนั้นจริง กรณีบริษัทถือ Bitcoin ด้วยกระเป๋าเงินของตนเอง อาจให้ฝ่ายบริหารลงนามข้อความดิจิทัลด้วย private key และให้ผู้สอบบัญชีตรวจสอบลายมือชื่อดิจิทัล โดยไม่ต้องเปิดเผย private key หรือในบางกรณีอาจให้ฝ่ายบริหารทำรายการโอนทดสอบจำนวนเล็กน้อยระหว่างกระเป๋าเงินที่บริษัทควบคุม ภายใต้การสังเกตการณ์ของผู้สอบบัญชี ผู้สอบบัญชีไม่ควรขอหรือเก็บ private key เพราะ private key คือสิทธิในการเข้าถึงสินทรัพย์โดยตรง


กรณีใช้ hardware wallet หรือ cold wallet ผู้สอบบัญชีอาจสังเกตการณ์ฝ่ายบริหารเข้าถึง wallet ตรวจ address ที่แสดงบนอุปกรณ์ เปรียบเทียบกับบัญชี และตรวจยอดบนบล็อกเชนเพิ่มเติม ผู้สอบบัญชีควรเข้าใจด้วยว่าอุปกรณ์และ recovery phrase ถูกเก็บไว้ที่ใด ใครเข้าถึงได้ และมีการอนุมัติหรือแบ่งแยกหน้าที่เหมาะสมหรือไม่ หากเป็น multi-signature wallet ต้องเข้าใจว่าต้องใช้ลายมือชื่อกี่คน ใครถือ key แต่ละชุด และมีบุคคลใดสามารถโอนสินทรัพย์ได้โดยลำพังหรือไม่


หาก Bitcoin ฝากไว้กับศูนย์ซื้อขายหรือผู้รับฝากสินทรัพย์ ผู้สอบบัญชีควรขอรายงานยอดคงเหลือ และพิจารณาขอคำยืนยันโดยตรงจากผู้รับฝาก คำยืนยันควรครอบคลุมยอดคงเหลือ ข้อจำกัดในการใช้สินทรัพย์ การนำไปค้ำประกันหรือให้ยืม เงื่อนไขการรับฝาก และสินทรัพย์ถูกแยกเก็บหรือรวมอยู่ในกระเป๋ารวมของผู้รับฝาก ผู้สอบบัญชียังควรประเมินความน่าเชื่อถือของผู้รับฝาก รวมถึงรายงานการควบคุมของผู้ให้บริการ เช่น SOC หรือ ISAE 3402 หากมี


ความเสี่ยงที่สองคือสิทธิและภาระผูกพัน แม้ Bitcoin จะมีอยู่จริง บริษัทอาจไม่ได้มีสิทธิครบถ้วนในสินทรัพย์นั้น เช่น อาจถูกนำไปค้ำประกัน ให้ยืม ยืมมา ถือแทนลูกค้า หรืออยู่ภายใต้สัญญารับฝาก ผู้สอบบัญชีควรตรวจเอกสารสิทธิใน wallet สัญญากับศูนย์ซื้อขายหรือผู้รับฝาก มติกรรมการ สัญญาให้ยืมหรือยืมสินทรัพย์ และเงื่อนไขทางกฎหมายที่เกี่ยวข้อง


ความเสี่ยงที่สามคือความครบถ้วนของรายการ รายการ Crypto อาจเกิดขึ้นนอกระบบธนาคารและไม่ผ่านระบบบัญชีปกติ เช่น การซื้อขาย การโอนระหว่างกระเป๋าเงิน ค่าธรรมเนียมธุรกรรม รายได้จาก staking รายได้จาก mining การได้รับ airdrop และกำไรขาดทุนจากการขาย หากไม่มีการกระทบยอดที่ดี รายการอาจตกหล่นได้ ผู้สอบบัญชีควรกระทบยอดยอดยกมา การซื้อ การขาย การโอน ค่าธรรมเนียม และยอดคงเหลือปลายงวด โดยการโอนระหว่างกระเป๋าเงินของบริษัทเองไม่ควรถูกบันทึกเป็นการซื้อหรือขาย


ความเสี่ยงที่สี่คือการประเมินมูลค่า ราคา Crypto มีความผันผวนสูง และราคาอาจแตกต่างกันระหว่างศูนย์ซื้อขาย ผู้สอบบัญชีควรพิจารณาแหล่งข้อมูลราคา ตลาดมีความคล่องตัวเพียงพอหรือไม่ เวลาที่ใช้วัดมูลค่า ลำดับชั้นของมูลค่ายุติธรรมในกรณีที่เกี่ยวข้อง การด้อยค่า และนโยบายบัญชีที่ฝ่ายบริหารใช้ วันที่และเวลาที่ใช้ประเมินมูลค่าควรสอดคล้องกับวันสิ้นงวด


ความเสี่ยงที่ห้าคือการจัดประเภทและวิธีบันทึกบัญชี ภายใต้ IFRS การถือ Bitcoin หรือ cryptocurrency โดยทั่วไปมักพิจารณาเป็นสินทรัพย์ไม่มีตัวตน เว้นแต่ถือไว้เพื่อขายในธุรกิจปกติ ซึ่งอาจเข้าข่ายสินค้าคงเหลือ อย่างไรก็ตาม กรอบมาตรฐานบัญชีในแต่ละประเทศอาจแตกต่างกัน ผู้สอบบัญชีจึงควรพิจารณาว่าการจัดประเภท การวัดมูลค่า การด้อยค่า กำไรขาดทุน และการเปิดเผยข้อมูลเหมาะสมหรือไม่


ความเสี่ยงที่หกคือทุจริต ความปลอดภัยทางไซเบอร์ และรายการที่ไม่ได้รับอนุมัติ Bitcoin สามารถโอนได้รวดเร็ว และหากถูกโอนออกไปแล้วอาจติดตามคืนได้ยาก การเก็บ private key ไม่ปลอดภัย การใช้ wallet ร่วมกัน การไม่มีขั้นตอนอนุมัติ การไม่แบ่งแยกหน้าที่ และการฝากสินทรัพย์กับผู้รับฝากที่ควบคุมไม่ดี อาจทำให้เกิดความเสี่ยงต่อการยักยอกสินทรัพย์อย่างมีนัยสำคัญ


ความเสี่ยงที่เจ็ดคือการแสดงรายการและเปิดเผยข้อมูล งบการเงินควรอธิบายลักษณะของสินทรัพย์ดิจิทัล นโยบายบัญชี วิธีวัดมูลค่า วิธีเก็บรักษา ข้อจำกัด ความเสี่ยงสำคัญ และกำไรขาดทุนที่มีสาระสำคัญ หากยอดคงเหลือมีสาระสำคัญแต่เปิดเผยข้อมูลไม่เพียงพอ ผู้ใช้งบการเงินอาจเข้าใจความเสี่ยงของบริษัทผิดไป


โดยสรุป การตรวจ Bitcoin และ Crypto Assets ไม่ใช่เพียงการดูยอดในกระเป๋าเงิน ผู้สอบบัญชีต้องเข้าใจโครงสร้าง wallet วิธีรับฝากสินทรัพย์ หลักฐานบนบล็อกเชน หลักฐานการควบคุม private key การกระทบยอด วิธีบันทึกบัญชี วิธีประเมินมูลค่า และการควบคุมภายใน ประเด็นสำคัญที่สุดคือความมีอยู่จริง สิทธิและภาระผูกพัน ความครบถ้วน การวัดมูลค่า และการแสดงรายการและเปิดเผยข้อมูล


External References

Comments
* The email will not be published on the website.