Масштабируемость

6. Получение понимания ИТ-среды организации может требовать меньше усилий в случае менее сложной организации, которая использует коммерческое программное обеспечение, когда у организации нет доступа к исходному коду программы для внесения в нее изменений. Такие организации могут не иметь специальных ИТ-ресурсов, но у них может быть сотрудник, выполняющий функции администратора, для целей предоставления персоналу доступа или установки обновлений ИТ-приложений, предоставляемых поставщиком. Конкретные вопросы, которые аудитор может рассмотреть в рамках изучения характера пакета коммерческого программного обеспечения по бухгалтерскому учету, который может представлять собой одно ИТ-приложение, используемое в информационной системе менее сложной организации, могут включать следующие:

- насколько общепризнанным является программное обеспечение и имеет ли оно репутацию надежного;

- насколько возможно изменение исходного кода программного обеспечения организацией для включения дополнительных модулей (то есть дополнительных компонентов) в базовое программное обеспечение или для внесения непосредственных изменений в данные;

- характер и объем изменений, внесенных в программное обеспечение. Хотя организация может не иметь возможности изменять исходный код программного обеспечения, многие пакеты программного обеспечения предусматривают возможность их конфигурации (то есть установки или изменения параметров отчетов). Это обычно не предполагает внесения изменений в исходный код, однако аудитор может рассмотреть вопрос о том, в какой мере организация может конфигурировать программное обеспечение при рассмотрении полноты и точности информации, предоставляемой программным обеспечением, которая используется в качестве аудиторских доказательств;

- в какой мере возможен непосредственный доступ к данным, относящимся к подготовке финансовой отчетности (то есть непосредственный доступ к базе данных без использования ИТ-приложения), и каков объем обрабатываемых данных. Чем больше объем данных, тем выше вероятность того, что организации могут потребоваться средства контроля для обеспечения целостности данных, которые могут включать общие средства ИТ-контроля за несанкционированным доступом и внесением изменений в данные.

7. Сложные ИТ-среды могут включать в значительной степени адаптированные или высокоинтегрированные ИТ-приложения и, следовательно, могут требовать больше усилий при их изучении. Процессы или ИТ-приложения для составления финансовой отчетности могут быть интегрированы с другими ИТ-приложениями. Такая интеграция может включать ИТ-приложения, используемые в хозяйственной деятельности организации, которые предоставляют данные ИТ-приложениям в отношении потоков операций и обработки информации в информационной системе организации. В такой ситуации некоторые ИТ-приложения, используемые в хозяйственной деятельности организации, также могут иметь значение для подготовки финансовой отчетности. Сложные ИТ-среды также могут требовать наличия специальных ИТ-отделов со структурированными ИТ-процессами, поддерживаемыми персоналом, обладающим навыками разработки программного обеспечения и обслуживания ИТ-среды. В других случаях организация может использовать внутренних или внешних поставщиков услуг для управления определенными аспектами или ИТ-процессами своей ИТ-среды (например, сторонний хостинг).