Riassunto analitico
Dalla consapevolezza dell’attualità dei temi di cybersecurity e cybercrime e dalla curiosità in merito a tali elementi nasce il presente elaborato, che si concretizza nella definizione dei cyber attack, nell’identificazione dei suoi impatti sul sistema di controllo interno delle imprese e sul ruolo del revisore legale.
L’elaborato si apre con il primo capitolo in cui viene data la definizione di frode, vengono identificate le frodi aziendali per poi focalizzarsi sulla frode informatica, sulle sue caratteristiche e le tipologie, analizzando in particolare le tipologie di cybercrime più utilizzate e l’organizzazione dei cyber criminali che utilizza un modello as a service. Successivamente si va ad analizzare l’evoluzione del cybercrime nell’ultimo decennio, tramite l’analisi dei rapporti Clusit, per poi concludere con una panoramica sui recenti casi di attacco informatico nei confronti di famose imprese italiane e con alcuni cenni sulla normativa vigente in materia di sicurezza.
Il secondo capitolo è dedicato al sistema di controllo interno, dove si vanno a identificare gli impatti dei cyber attack sul sistema stesso tramite l’utilizzo congiunto di uno studio condotto nel 2020 sugli effetti degli attacchi informatici e la realizzazione di un’intervista al responsabile Digital Forensic & Discovery nella società di consulenza PricewaterhouseCoopers. La seconda parte del capitolo è dedicata alla presentazione delle misure di prevenzione e contrasto agli attacchi informatici realizzata analizzando elementi proposti dalla letteratura accademica (linee guida e modello RCSM), elementi proposti dalle istituzioni (il Framework Nazionale per la Cybersecurity e la Data Protection), e in un’ottica più pratica analizzando sia quanto emerso dall’intervista nominata precedentemente in relazione all’importanza della funzione Digital Forensic & Discovery combinata con la funzione cybersecurity, sia le reazioni delle imprese attaccate tramite l’analisi del contenuto dei loro annual reports e il confronto con il loro contenuto nell’esercizio precedente all’attacco.
Il terzo capitolo invece, è dedicato alla figura che si occupa di garantire l’attendibilità del contenuto del bilancio nel suo complesso e l’assenza di errori significativi nello stesso: il revisore legale dei conti. In particolare, il revisore ha una certa responsabilità per l’identificazione delle frodi con effetti significativi sul bilancio (dove anche una frode informatica può essere inclusa), e deve identificare e valutare i rischi e gli errori significativi tramite la comprensione dell’impresa, del contesto in cui opera e del suo sistema di controllo interno. Di conseguenza, sia la consapevolezza del rischio di un attacco informatico e la previsione di misure idonee, sia l’implementazione di un sistema di controllo interno che utilizza elementi IT efficaci, diventano fondamentali per l’assenza di errori significativi nel bilancio.
All’interno di questo capitolo, quindi, verranno analizzati i principi di revisione relativi a: responsabilità del revisore in caso di frode (ISA 240); identificazione e valutazione dei rischi ed errori significativi mediante la comprensione dell’impresa e del contesto in cui opera (ISA 315); comunicazione delle carenze nel sistema di controllo interno (ISA 265); regolare tenuta della contabilità sociale (ISA 250B); comunicazione degli aspetti chiave della revisione nella relazione indipendente degli EIP (ISA 701). I principi saranno presentati in ottica di comprensione del ruolo preventivo e successivo del revisore in caso di attacco informatico per andare in ultimo a comprendere il suo ruolo in questi casi applicando quando previsto dai principi alla fattispecie oggetto dell’elaborato.
L’elaborato si conclude infine, con la parte dedicata alle deduzioni generali tratte dai molteplici elementi analizzati nello stesso.
|
