Tesi etd-02062013-144037 |
Link copiato negli appunti
Tipo di tesi
Tesi di laurea magistrale
Autore
CARPITA, SIMONE
Indirizzo email
simone.carpita@email.it
URN
etd-02062013-144037
Titolo
L'IT Audit e la gestione della frode informatica
Dipartimento
ECONOMIA E MANAGEMENT
Corso di studi
STRATEGIA, MANAGEMENT E CONTROLLO
Relatori
relatore Prof. D'Onza, Giuseppe
Parole chiave
- auditing
- CobIT
- CoSO
- ERM
- fraud IT
- frodi informatiche
- information technology
- IT
- IT auditing
- IT auditor
- IT Governance
- IT Management
- IT Security
- ITIL
- revisione
Data inizio appello
28/02/2013
Consultabilità
Non consultabile
Data di rilascio
28/02/2053
Riassunto
L’azienda viene considerata come un sistema dinamico aperto, complesso, finalizzato e probabilistico, operante in un contesto ambientale dominato da incertezza e turbolenza. L’evoluzione tecnologica ha subito un’accelerazione brusca negli ultimi anni e il modo d’essere, il divenire delle aziende e l’ambiente esterno sono cambiati.
La forte evoluzione tecnologica che ha caratterizzato gli ultimi anni, ha prodotto dei cambiamenti drastici sul sistema informativo aziendale, affidandogli un ruolo di strumento di supporto a tutte le attività aziendali svolte.
La necessità di dover controllare costantemente un sistema informativo, ha portato allo sviluppo di una figura nuova nell’ambito della revisione contabile e gestionale: l’IT Auditor.
Questa figura richiede un programma di certificazione professionale, denominato CISA (Certified Information Systems Auditor), conoscenze specializzate ed abilità pratiche, spesso derivanti da una preparazione accademica mirata ed intensiva.
L’Information Technology Auditing è il processo di raccolta e valutazione degli elementi probatori per stabilire se un sistema informativo salvaguarda gli asset (hardware e software sono protetti da danneggiamenti, usi non autorizzati e furti), mantiene l’integrità dei dati (accuratezza, completezza e consistenza), raggiunge l’efficacia organizzativa e consuma le risorse in modo efficiente.
L’utilizzo di Internet è cresciuto in modo esponenziale e da un legame semplice tra pochi computer di governo e computer educativi siamo passati ad una complessa rete in tutto il mondo che viene utilizzata da tutti, dal terrorista che ha competenze informatiche avanzate all’utente alle prime armi.
I principali reati finanziari e scandali, l’innovazione economica e tecnologica e altri fattori sociali hanno portato alla necessità di un’educazione contabile per contrastare le frodi in un ambiente digitale.
Secondo gli esperti il crimine informatico sarà la fonte principale di crimine che nel futuro ci troveremo a fronteggiare data la maggiore predisposizione delle aziende ad utilizzare sistemi informativi complessi e aperti anche alla connessione in rete e la crescente soggezione a situazioni di rischio.
L’obiettivo del seguente lavoro è quello di fornire al lettore un quadro coerente, per quanto possibile, dei benefici e dei rischi derivanti dall’utilizzo delle recenti tecnologie dell’informazione in un contesto aziendale. Se da una parte, la trasmissione delle informazioni per via telematica rappresenta un vantaggio in termini di efficienza e tempestività del sistema decisionale, dall’altra provoca la proliferazione di attività fraudolente prima impensabili e soprattutto sempre più difficili da individuare. È necessario quindi inserire tutte le tecniche di individuazione dei crimini informatici nella fase di revisione dei sistemi informativi evoluti (ERP, Enterprise Resource Planning), al fine di ottenere un approccio integrato.
Sulla base delle considerazioni appena esposte, il lavoro è stato articolato in cinque capitoli.
Nel primo capitolo viene analizzata l’evoluzione dei sistemi informativi dagli anni 50’ fino ai giorni nostri e, parallelamente illustrata l’evoluzione della funzione di auditing nel tempo.
Viene, così, fornita una definizione di IT auditing e il ruolo dell’IT auditor in azienda, classificando le varie tipologie di IT auditing a seconda della modalità di organizzazione, del momento in cui viene eseguito l’auditing, dello scopo e dell’area di copertura.
Inoltre, viene effettuata un’analisi dei sistemi Enterprise Resource Planning (ERP) e dei relativi benefici della loro implementazione, fondamentali per comprendere più a fondo le caratteristiche di un sistema informativo integrato: l’architettura tecnologica client/server; l’integrazione informativa e l’unicità del dato; la modularità dell’applicazione; la configurabilità del sistema e relativa flessibilità; la prescrittività.
Il capitolo si conclude con i requisiti per una possibile esternalizzazione della funzione (IT Outsourcing) e i relativi sviluppi futuri di un sistema informativo: il Cloud Computing (una particolare tipologia di servizio in rete), l’analisi dei Social Network (es. Facebook e Twitter), l’auditing continuo (Continuous Auditing) e l’Intelligenza Artificiale (sistemi esperti e reti neurali).
Il secondo capitolo tratta i modelli teorici di riferimento derivanti dalla letteratura accademica e professionale per l’implementazione di un corretto modello di IT Governance. Tali modelli sono basati sulla situazione legislativa e gli standard vigenti in Italia e in Usa.
I principali modelli analizzati nel capitolo sono il Committee of Sponsoring Organizations of the Treadway (CoSO), la piramide dei controlli generali e applicativi di Moeller, il Control Objectives for Information and related Technology (CobiT) e l’Information Technology Infrastructure Library (ITIL).
La parte finale del capitolo tratta anche la strategia IT, consistente nelle politiche di allocazione delle risorse IT e nella definizione degli obiettivi strategici di lungo termine. Queste attività di pianificazione sono solitamente svolte dall’alta direzione e influenzano, a cascata, tutta l’azienda.
Il terzo capitolo va ad analizzare tutto il processo di IT audit, partendo dalle fasi di sviluppo del sistema informativo in una struttura aziendale (System Development Life Cycle), che comprendono: la preparazione del sito fisico, le modifiche funzionali, la selezione/coinvolgimento del personale, l’acquisizione dell’attrezzatura informatica, la definizione dei controlli interni e la conversione al nuovo sistema.
Per implementare un’efficace funzione di IT auditing, si considera la mission della funzione di IT audit, l’indipendenza dell’IT auditor, la consulenza e il coinvolgimento del personale, la costruzione dei rapporti di partnership, la formazione/mantenimento del team di IT audit e il ruolo svolto dall’IT auditor nell’azienda.
Le fasi di un processo di IT auditing sono riguardano: la pianificazione di un IT audit (valutazione del rischio, programmazione, determinazione del budget e audit preliminare); il lavoro sul campo e la documentazione (IT audit workpaper utilizzati come elemento probatorio del lavoro svolto); i test e l’analisi dei risultati; lo sviluppo delle conclusioni di IT audit; il reporting dei risultati (relazione finale); il follow-up (monitoraggio).
Il quarto capitolo analizza tutte le normative vigenti in Italia, nell’Unione Europea e negli USA, riguardanti la sicurezza IT, la tutela della privacy e le modalità di identificazione dei crimini informatici: la legge 547/1993, la direttiva europea sulla protezione dei dati personali, il Computer Fraud and Abuse Act, il Computer Security Act, gli standard sulla sicurezza ISO 27002, il Gramm Leach Bliley Act (GLBA), Health Insurance Portability and Accountability Act (HIPAA) e lo Statement of Standard (SAS) n. 99.
Vengono delineate, sulla base delle suddette normative, le principali politiche, misure (fisiche e logiche) e soluzioni tecnico-informatiche (antivirus, password, firewall e crittografia) utilizzate per predisporre un adeguato livello di sicurezza IT e contrastare le principali minacce umane e ambientali al sistema informativo, sia intenzionali che accidentali.
Dopo aver analizzato le principali tipologie di crimini informatici (virus, worm, hacking, phishing ecc.) e precisata l’importanza di stabilire controlli sulla rete (internet crime), vengono illustrate le tecniche di valutazione del rischio IT e di prevenzione, identificazione e indagine della frode informatica.
Il quinto capitolo inizia con considerazioni personali dei punti di forza e di debolezza dei modelli d’implementazione analizzati nei capitoli precedenti. Dall’analisi emerge che non esiste un unico modello di riferimento per condurre il processo di valutazione di un sistema informativo e si arriva alla conclusione che gli approcci analizzati precedentemente, non riescono a rappresentare correttamente la totalità delle problematiche trattate.
Sulla base delle considerazioni svolte si arriva a costruire una proposta d’analisi che trae spunto dai punti di forza di ciascun modello e cerca di colmare le relative lacune, integrando le fasi di gestione e implementazione della funzione di IT auditing analizzate nel terzo capitolo con le tecniche esposte nel quarto capitolo per la prevenzione, identificazione e classificazione delle frodi informatiche in un’azienda.
L’approccio piramidale di tipo top-down è caratterizzato da otto componenti, che rappresentano la strategia IT, la governance IT, la gestione della funzione di IT auditing e della frode informatica e le tematiche riguardanti la sicurezza IT.
Nello specifico, per analizzare le fasi del processo di IT auditing, viene utilizzato uno schema “a scatole cinesi”, partendo dalle fasi di sviluppo del sistema informativo necessarie per implementare correttamente la funzione di IT auditing. Il modello ottenuto, oltre che fornire una visione ampia delle conseguenze dell’utilizzo di tecnologie dell’informazione per svolgere le attività aziendali, ha lo scopo di salvaguardare la riservatezza, l’integrità e la disponibilità del flusso di dati e informazioni che circolano nei sistemi informativi aziendali sempre più evoluti e complessi.
La forte evoluzione tecnologica che ha caratterizzato gli ultimi anni, ha prodotto dei cambiamenti drastici sul sistema informativo aziendale, affidandogli un ruolo di strumento di supporto a tutte le attività aziendali svolte.
La necessità di dover controllare costantemente un sistema informativo, ha portato allo sviluppo di una figura nuova nell’ambito della revisione contabile e gestionale: l’IT Auditor.
Questa figura richiede un programma di certificazione professionale, denominato CISA (Certified Information Systems Auditor), conoscenze specializzate ed abilità pratiche, spesso derivanti da una preparazione accademica mirata ed intensiva.
L’Information Technology Auditing è il processo di raccolta e valutazione degli elementi probatori per stabilire se un sistema informativo salvaguarda gli asset (hardware e software sono protetti da danneggiamenti, usi non autorizzati e furti), mantiene l’integrità dei dati (accuratezza, completezza e consistenza), raggiunge l’efficacia organizzativa e consuma le risorse in modo efficiente.
L’utilizzo di Internet è cresciuto in modo esponenziale e da un legame semplice tra pochi computer di governo e computer educativi siamo passati ad una complessa rete in tutto il mondo che viene utilizzata da tutti, dal terrorista che ha competenze informatiche avanzate all’utente alle prime armi.
I principali reati finanziari e scandali, l’innovazione economica e tecnologica e altri fattori sociali hanno portato alla necessità di un’educazione contabile per contrastare le frodi in un ambiente digitale.
Secondo gli esperti il crimine informatico sarà la fonte principale di crimine che nel futuro ci troveremo a fronteggiare data la maggiore predisposizione delle aziende ad utilizzare sistemi informativi complessi e aperti anche alla connessione in rete e la crescente soggezione a situazioni di rischio.
L’obiettivo del seguente lavoro è quello di fornire al lettore un quadro coerente, per quanto possibile, dei benefici e dei rischi derivanti dall’utilizzo delle recenti tecnologie dell’informazione in un contesto aziendale. Se da una parte, la trasmissione delle informazioni per via telematica rappresenta un vantaggio in termini di efficienza e tempestività del sistema decisionale, dall’altra provoca la proliferazione di attività fraudolente prima impensabili e soprattutto sempre più difficili da individuare. È necessario quindi inserire tutte le tecniche di individuazione dei crimini informatici nella fase di revisione dei sistemi informativi evoluti (ERP, Enterprise Resource Planning), al fine di ottenere un approccio integrato.
Sulla base delle considerazioni appena esposte, il lavoro è stato articolato in cinque capitoli.
Nel primo capitolo viene analizzata l’evoluzione dei sistemi informativi dagli anni 50’ fino ai giorni nostri e, parallelamente illustrata l’evoluzione della funzione di auditing nel tempo.
Viene, così, fornita una definizione di IT auditing e il ruolo dell’IT auditor in azienda, classificando le varie tipologie di IT auditing a seconda della modalità di organizzazione, del momento in cui viene eseguito l’auditing, dello scopo e dell’area di copertura.
Inoltre, viene effettuata un’analisi dei sistemi Enterprise Resource Planning (ERP) e dei relativi benefici della loro implementazione, fondamentali per comprendere più a fondo le caratteristiche di un sistema informativo integrato: l’architettura tecnologica client/server; l’integrazione informativa e l’unicità del dato; la modularità dell’applicazione; la configurabilità del sistema e relativa flessibilità; la prescrittività.
Il capitolo si conclude con i requisiti per una possibile esternalizzazione della funzione (IT Outsourcing) e i relativi sviluppi futuri di un sistema informativo: il Cloud Computing (una particolare tipologia di servizio in rete), l’analisi dei Social Network (es. Facebook e Twitter), l’auditing continuo (Continuous Auditing) e l’Intelligenza Artificiale (sistemi esperti e reti neurali).
Il secondo capitolo tratta i modelli teorici di riferimento derivanti dalla letteratura accademica e professionale per l’implementazione di un corretto modello di IT Governance. Tali modelli sono basati sulla situazione legislativa e gli standard vigenti in Italia e in Usa.
I principali modelli analizzati nel capitolo sono il Committee of Sponsoring Organizations of the Treadway (CoSO), la piramide dei controlli generali e applicativi di Moeller, il Control Objectives for Information and related Technology (CobiT) e l’Information Technology Infrastructure Library (ITIL).
La parte finale del capitolo tratta anche la strategia IT, consistente nelle politiche di allocazione delle risorse IT e nella definizione degli obiettivi strategici di lungo termine. Queste attività di pianificazione sono solitamente svolte dall’alta direzione e influenzano, a cascata, tutta l’azienda.
Il terzo capitolo va ad analizzare tutto il processo di IT audit, partendo dalle fasi di sviluppo del sistema informativo in una struttura aziendale (System Development Life Cycle), che comprendono: la preparazione del sito fisico, le modifiche funzionali, la selezione/coinvolgimento del personale, l’acquisizione dell’attrezzatura informatica, la definizione dei controlli interni e la conversione al nuovo sistema.
Per implementare un’efficace funzione di IT auditing, si considera la mission della funzione di IT audit, l’indipendenza dell’IT auditor, la consulenza e il coinvolgimento del personale, la costruzione dei rapporti di partnership, la formazione/mantenimento del team di IT audit e il ruolo svolto dall’IT auditor nell’azienda.
Le fasi di un processo di IT auditing sono riguardano: la pianificazione di un IT audit (valutazione del rischio, programmazione, determinazione del budget e audit preliminare); il lavoro sul campo e la documentazione (IT audit workpaper utilizzati come elemento probatorio del lavoro svolto); i test e l’analisi dei risultati; lo sviluppo delle conclusioni di IT audit; il reporting dei risultati (relazione finale); il follow-up (monitoraggio).
Il quarto capitolo analizza tutte le normative vigenti in Italia, nell’Unione Europea e negli USA, riguardanti la sicurezza IT, la tutela della privacy e le modalità di identificazione dei crimini informatici: la legge 547/1993, la direttiva europea sulla protezione dei dati personali, il Computer Fraud and Abuse Act, il Computer Security Act, gli standard sulla sicurezza ISO 27002, il Gramm Leach Bliley Act (GLBA), Health Insurance Portability and Accountability Act (HIPAA) e lo Statement of Standard (SAS) n. 99.
Vengono delineate, sulla base delle suddette normative, le principali politiche, misure (fisiche e logiche) e soluzioni tecnico-informatiche (antivirus, password, firewall e crittografia) utilizzate per predisporre un adeguato livello di sicurezza IT e contrastare le principali minacce umane e ambientali al sistema informativo, sia intenzionali che accidentali.
Dopo aver analizzato le principali tipologie di crimini informatici (virus, worm, hacking, phishing ecc.) e precisata l’importanza di stabilire controlli sulla rete (internet crime), vengono illustrate le tecniche di valutazione del rischio IT e di prevenzione, identificazione e indagine della frode informatica.
Il quinto capitolo inizia con considerazioni personali dei punti di forza e di debolezza dei modelli d’implementazione analizzati nei capitoli precedenti. Dall’analisi emerge che non esiste un unico modello di riferimento per condurre il processo di valutazione di un sistema informativo e si arriva alla conclusione che gli approcci analizzati precedentemente, non riescono a rappresentare correttamente la totalità delle problematiche trattate.
Sulla base delle considerazioni svolte si arriva a costruire una proposta d’analisi che trae spunto dai punti di forza di ciascun modello e cerca di colmare le relative lacune, integrando le fasi di gestione e implementazione della funzione di IT auditing analizzate nel terzo capitolo con le tecniche esposte nel quarto capitolo per la prevenzione, identificazione e classificazione delle frodi informatiche in un’azienda.
L’approccio piramidale di tipo top-down è caratterizzato da otto componenti, che rappresentano la strategia IT, la governance IT, la gestione della funzione di IT auditing e della frode informatica e le tematiche riguardanti la sicurezza IT.
Nello specifico, per analizzare le fasi del processo di IT auditing, viene utilizzato uno schema “a scatole cinesi”, partendo dalle fasi di sviluppo del sistema informativo necessarie per implementare correttamente la funzione di IT auditing. Il modello ottenuto, oltre che fornire una visione ampia delle conseguenze dell’utilizzo di tecnologie dell’informazione per svolgere le attività aziendali, ha lo scopo di salvaguardare la riservatezza, l’integrità e la disponibilità del flusso di dati e informazioni che circolano nei sistemi informativi aziendali sempre più evoluti e complessi.
File
Nome file | Dimensione |
---|---|
La tesi non è consultabile. |