Varoitus ⚠️: Ei uusi palkkiokirjoitus Me auditoijat haluamme kaikki keskittyä mehukkaisiin kriittisiin asioihin ja pitää ei-teknisen työn minimissä. Ketä kiinnostaa paperityöt ja kokoukset, kun olet juuri löytänyt uuden tavan tyhjentää DeFi-sopimus? Mutta kaikki asiat pitäisi tehdä kohtuudella, ja liian usein näemme riippumattomien tutkijoiden säästävän täysin saadakseen edes perussopimuksen allekirjoitettua asiakkaan kanssa. Tämä oli jotain, mitä teimme myös TrustSecin ensimmäisinä kuukausina - otimme yhteyttä asiakkaaseen TG/discordissa, keskustelimme tiimistä, hinnasta ja aikataulusta ja aloitimme. Tuntui sileältä ja kitkattomalta, joten mikä on ongelma? Kuten monet asiat, se toimii hyvin, kunnes se ei toimi. Kun hallitset 50+ auditointia vuodessa, alat törmätä reunatapauksiin. Ja kun teet niin, asioiden selvittäminen etukäteen välttää paljon kitkaa tarkastuksen aikajanan mahdollisesti arkaluonteisissa kohdissa. Palvelusopimuksen tarkoitus ei ole se, että se voidaan riitauttaa tuomioistuimessa tuhansien kilometrien päässä nykyisestä sijainnistasi. Toki pahimmassa tapauksessa se voi mahdollisesti olla. Mutta enimmäkseen se tehdään molempien osapuolten odotusten sovittamiseksi, tapa pakottaa molemmat osapuolet puhumaan yksityiskohdista, joita he eivät muuten puhuisi. Tässä on vain muutamia esiin tulleita skenaarioita, joita tulisi käsitellä nimenomaisesti: - Asiakas ei ole valmis lopulliseen toimitukseen ennen aloituspäivää. - Odottamattomista syistä yksi tai useampi tarkastaja ei ole käytettävissä koko tarkastusikkunan osaa tai koko tarkastusikkunaa varten. - Lopullinen laajuus vaatii pidemmän tarkasteluajan, mikä lisää kustannuksia. - Keskustelu siitä, mitä työkalua ja muotoilua käytetään lopullisen SLOC:n laskemiseen. - Asiakas ottaa käyttöön uusia toimintoja tarkistettavaksi korjaustarkastuksessa. - Pyydä maksua vasta raportin toimittamisen jälkeen. - Asiakas haluaa peruuttaa auditoinnin vain 24 tunnin ennakkoilmoituksella. - Asiakas haluaa lähettää maksun haluamallaan lohkoketjulla. - Vastalauseet siitä, että raportti julkaistaan hyväksyttävän odotusajan jälkeen. Sen lisäksi, että sopimus tekee selväksi, miten näitä skenaarioita käsitellään, se tarjoaa tilintarkastajille myös kriittisen suojan: - Luopuu kaikesta vastuusta puuttuvista bugeista ja hyväksikäytöistä. - Ylläpitää IPR-oikeuksia auditoinnin aikana kehitettyihin työkaluihin, hyökkäyskonsepteihin (lain sallimissa rajoissa). - Järjestää käsirahat, peruutusmaksut ja niin edelleen. - Täyttää due diligence -vaatimukset, KYB:n ja oikeudellisen kehyksen. Tämä koskee verotusta, vaatimustenmukaisuutta ja varojen alkuperää koskevia vaatimuksia. Näistä syistä huomasimme nopeasti, että on sen arvoista käyttää hieman ylimääräistä aikaa ennen asioiden varaamista, ja kannustamme jokaista laillista liiketoimintaa harjoittavaa tilintarkastajaa tekemään samoin.