Во-первых, я собираюсь вам рассказать о том, собственно, в каких взаимоотношениях находятся компании PwC и 1С. А дальше – мы уже поговорим с вами о системе внутренних контролей и о том, как на платформе 1С можно реализовать эффективную систему внутренних контролей.

Итак, темы, которые я собираюсь затронуть:

• PwC и 1С
• Что такое система внутренних контролей (СВК), почему она важна для компании?
• Какие возможности предоставляетплатформа 1С для СВК, как их используют компании на практике?
• «Bestpractices» для платформы 1С, в каком направлении развиваться дальше?

Компания PwC – роль во взаимодействии с продуктами 1С

Компания PwC связана с 1С хотя бы только тем фактом, что порядка 40% наших клиентов работают на платформе 1С. Вторым фактом является то, что офисы PwC в России, которые представлены, в основном в Москве и в Санкт-Петербурге – являются центрами компетенции по оказанию консалтинговых услуг в области 1С для всех офисов международной сети PwC.

Мы отмечаем, что компания 1С широко развивается, выпускает достаточно серьезные программные продукты, которые уже могут удовлетворять потребностям средних и крупных компаний. Это также является причиной тому, что развитие программных решений на базе 1С находится в зоне нашего пристального внимания.

В то же время, у компании PwC есть большое количество вопросов к платформе 1С с точки зрения построения эффективной системы внутренних контролей.

Как реализуются в 1С инструменты контроля за бизнесом? – вопрос, особенно актуальный для филиалов западных компаний

Как вы знаете, у западных систем история развития достаточно большая. И исторически они создавались в условиях, когда контроль собственника над бизнесом являлся достаточно важным. И разработчики систем изначально закладывали в программные продукты вот эти элементы контроля.  То есть, система рассматривалась не как просто система, в которой делаются проводки и после этого формируются какие-то документы, отчеты и т.д. Система изначально рассматривалась как инструмент контроля за бизнесом.

Поэтому, собственно, к нам часто обращаются с вопросами:

• Насколько система 1С надежна?
• Соответствует ли платформа 1С требованиям SOX?

Требования SOX, если вкратце – это обязательные требования о внутренних контролях, в том числе в IT-системах, которые предъявляют компаниям на американском рынке. Они достаточно жесткие, касаются не только информационных систем. Для российских филиалов таких компаний вопрос соответствия требованиям SOX наиболее актуален.

• Можно ли полагаться на платформу 1С?
• Насколько надежна система 1С с точки зрения внутренних контролей?

В статье мы расскажем, каким образом мы отвечаем на эти вопросы. 

Риски

Вопрос. Кто сталкивался с понятием риск? Наверняка все сталкивались, после кризиса эта тема стала наиболее актуальной.

Как показывает ежегодное исследование, которое проводит компания PwC, риски в последнее время стали «более рискованными». То есть – каждая компания отмечает рост рисков, с которыми сталкивается на протяжении своей деятельности. Одной точкой зрения является тот факт, что, возможно, не риски стали более рискованными, а просто мы стали более мудрыми и знаем о рисках больше, поэтому мы понимаем и осознаем намного больше рисков, чем это было 10 лет назад.

Риски, которые я озвучил – они непосредственно связаны с контролем. То есть, контроль – это тот элемент, который позволяет компаниям каким-то образом минимизировать риски.

То, что не контролируется – оно, возможно, пускается на самотек. Есть такие области, которые невозможно полностью проконтролировать и не все риски можно покрыть контролями. Иногда это просто неразумно, иметь полностью контрольную среду, которая покрывает абсолютно все риски – это просто затратно, и компания на это не готова.

Система внутренних контролей

На этом рисунке представлены три уровня защиты, которые вкратце можно описать следующим образом:

• Первый уровень защиты – это уровень прикладной защиты.  Это внутренние контроли, которые работают на ежедневной основе на уровне сотрудников компании, на уровне руководства, в рамках бизнес-процессов, в рамках информационной системы. Касательно 1С и IT-систем – такими контролями являются прикладные контроли в информационной системе.
• Следующий уровень – чуть повыше – это контроли, которые являются второй линией защиты – это все, что связано с управлением рисками, это внутренний контроль. Это контроль качества, соответствия требованиям. Это уровень, который соответствует уже, примерно, уровню компании (организации).
• Ну и – над всеми ними еще главенствует уровень третьей линии защиты – это, в первую очередь, аудит – в том числе и внешний аудит, когда сторонние люди смотрят на компанию, на их деятельности и пытаются составить какое-то мнение.

Наверняка у многих есть автомобиль. Подумайте, с точки зрения автомобиля – какие контроли вы сами для себя организуете?

Как минимум, вы запираете машину на ключ. Помимо того, что вы запираете машину на ключ, вы наверняка оформили страховку на машину. Даже несмотря на то, что вы оформили страховку на машину, и заперли ее на ключ, вы ставите еще ее под окно, чтобы ее можно было периодически видеть. Ну а – я думаю, практически все еще, помимо этого, вытаскивают магнитолу и кладут ее в бардачок или забирают с собой.

То есть, это те как раз примеры контролей, которые мы создаем для того, чтобы покрыть риски. То есть: у нас существует риск, что у нас машину угонят или что-то с ней сделают, и мы эти риски минимизируем. То же самое, собственно, с IT-системой.

Система внутренних контролей, собственно говоря, и создана для того, чтобы сделать вот эти уровни защиты. Чтобы вот эти риски, которые представлены на этой картинке кирпичиками, как можно меньше падали на компанию. Ну и непосредственно на сотрудников.

Руководство, во-первых, отвечает за организацию этой системы рисков (именно руководство создает эти уровни защиты), а во-вторых, мониторит – отслеживает работу этих контролей.   Под руководством я подразумеваю, в том числе и сторонние компании (тот же самый аудит).

Возможности платформы 1С

Собственно, теперь перейдем к платформе 1С.

Можно нарисовать платформу таким образом, как это сделал я – то есть, как совокупность нескольких уровней архитектуры.

• У нас есть сервер базы данных 1С,
• есть платформа 1С,
• есть конфигурация 1С.

Когда мы говорим о внутренних контролях и системе внутренних контролей, то мы говорим о двух случаях –

• мы говорим о чисто IT-контролях (контролях, реализованных на уровне работы в режиме конфигуратора)
• и мы говорим о контролях в бизнес-процессах(контролях, реализованных на уровне работы в режиме предприятия).

Контроли в ИТ

Сначала поговорим о контролях в IT.

На этом слайде приведены наиболее критичные области с точки зрения организации эффективных контролей в любой ИТ-среде. Без разницы, это 1С, SAP или любая другая платформа, на которой работает компания. Желательно, чтобы та платформа, на которой работает компания, отвечала этим требованиям.

• В первую очередь, это разделение полномочий в ИТ. То есть, это возможность гибкой настройки прав администрирования, чтобы были разделены права тех, кто занимается разработкой, тех, кто администрирует систему, и тех, кто не должен вообще иметь доступ к системе.
• Вторая наиболее важная область – это доступ к приложению. То есть, контроль за предоставлением и блокировкой доступа пользователям. Возможность настройки парольной политики. Контроль за действиями пользователей в системе.
• Еще одна критичная область – это управление изменениями. То есть, все то, что вы делаете в рамках разработки, все эти процедуры и процессы – они очень критичны с точки зрения компании.

Примеры, доказывающие необходимость применения контролей в разработке и управлении изменениями

Скажите, пожалуйста, кто ведет разработку в рабочей базе данных 1С у клиентов периодически? Многие ведут. Вот, с точки зрения лучших практик, так не должно делаться. Наверняка, все осознают, почему. Потому что – это все равно, что резать по живому. Есть, конечно, какие-то изменения, которые вы 100% знаете, что компания и система не пострадает никаким образом, если вы в печатной форме добавите какое-то поле, либо в формочке передвинете какой-то элемент. Но – тем не менее – знаете это вы, а насколько клиент знает, что вы сделаете это без ошибок? Многие вам доверяют. Но – когда мы говорим о средних и крупных компаниях, они хотят не только доверять, но и быть уверенными в этом.

Тут приведены несколько примеров из нашей практики. В частности, пример крупной автомобильной компании, у которой в течение полугода простаивала деятельность одного из крупных центральных складов из-за того, что просто система, которую внедряли, не заработала (ожидалось, что она будет работать, но не заработала) – из-за того, что не было проектной команды нормальной, не было управления рисками в рамках проекта. Компания, естественно, потеряла достаточно большие деньги из-за этого, какие-то были задержки в поставках, где-то просто – не могли отгрузить, пользовались какими-то запасными вариантами. Компания понесла прямые потери.

Другой пример – достаточно недавний, в компании, крупном автомобильном дилере не могли закрыть отчетность за квартал из-за того, что процедура внесения изменений была достаточно хаотичной. Изменения не тестировались. Изменения вносились в том числе и по живому. Не было никакого регрессионного тестирования. Система была достаточно нестабильной, и все это привело к тому, что просто система отказалась закрывать период и компания, фактически силами бухгалтеров, вручную,  выполнила эту работу – понятное дело, что они были этим недовольны и задумались о том, а как этот процесс лучше построить.

Возможности платформы 1С с точки зрения разделения полномочий в ИТ. Что уже есть для системы внутреннего контроля

Когда мы поговорили о внутренних контролях и лучших практиках – посмотрим, что у нас есть по этому поводу в 1С.

• В 1С на уровне платформы реализована система прав и ролей. Мы можем управлять этими элементами, создавать новые, назначать их пользователям – это все замечательно существует.
• Существует отдельное право «Администрирование приложений 1С», можно дать эту роль администратору, которому будет доступна функция, например, добавления пользователей, администрирования приложения. Но при этом он не будет иметь доступа к данным.
• Существует возможность ведения лога действий через журнал регистрации.

Это тот набор возможностей, которые на текущий момент предоставляет платформа 1С.

Существующие риски в области разделения полномочий в ИТ

Какие наиболее важные риски мы бы хотели вам показать в этой области?

• Во-первых, это риск, связанный с тем, что у нас нет возможности более детального разделения прав администратора на уровне функций. О чем это говорит? О том, что пользователь с полными правами в конфигурации – это царь и бог в рамках конфигурации, платформы и базы данных. С точки зрения лучших практик и, в принципе, любой системы – когда  мы видим, что существует такой пользователь, который может абсолютно все и уследить за ним практически невозможно, мы не можем его правильно контролировать – это риск. Риск того, что будут существовать избыточные функции, которые будут конфликтовать между собой и все это может плачевно сказаться на деятельности – на данных системы.
• Другой риск связан с тем, что у нас нет возможности по-хорошему управлять журналом регистрации. То есть, пользователь с полными правами может отключить его, может почистить его, может внести туда какие-то данные, может убрать какие-то данные – это не самый совершенный инструмент, поскольку достаточно многие возможности предоставляет для его изменения. Соответственно, это несет риск того, что данные будут изменены, искажены – прямой риск того, что с этими данными будут проведены какие-то мошеннические действия.

Возможности платформы 1С в области управления изменениями. Что уже есть для системы внутреннего контроля.

• Существует возможность сохранять изменения в хранилище конфигурации.
• Существует возможность создания релизов конфигурации.
• Существуют механизмы сравнения-объединения конфигураций.

Все эти механизмы получили хорошее развитие в последних версиях платформы и, можно сказать, они дают возможность реализовать идеальный процесс внесения изменений в рамках приложения 1С.

Существующие риски в области управления изменениями

В то же время:

• отсутствует детальный лог изменения конфигураций базы данных 1С. Т.е. в журнале регистраций нет возможности посмотреть, какие объекты конкретно были изменены, когда они были изменены, кем они были изменены. Убедиться, когда и что было изменено, практически невозможно.
• Отсутствует механизм так называемого транспорта изменений для контроля за разработанными, протестированными и внесенными в рабочую базу данных изменениями. Если кто-то в своей работе сталкивался с SAP, то вы знаете, что там есть определенные структуры – есть транспорты, где можно всегда посмотреть, что, когда, куда, из какой среды было перенесено, и это легко проверить и увидеть.
• Последний момент связан с этим же самым – механизм работы со средами разработки и тестирования. Да, вы можете создать отдельную базу данных для тестирования, отдельную для разработки, отдельную для промышленной эксплуатации. Но, к сожалению, прямой связки между базами, предназначенными для разработки и тестирования, все равно нет. Т.е. возможности напрямую убедиться, что все, что вы протестировали, вы перенесли в рабочую базу данных, все, что вы не протестировали, осталось в той базе данных – такой возможности нет. Это влечет за собой риск переноса в рабочую базу данных тех изменений, которые были изначально нежелательными либо просто непротестированными. 

Контроли в бизнес-процессах

Теперь перейдем к более интересной области – это область контроля в бизнес-процессах.

На рисунке представлены различные контроли.

• Я бы хотел, в первую очередь, обратить ваше внимание на разделение полномочий пользователей. Это такая большая и важная область. То есть, какие права предоставлены пользователю и, соответствуют ли они, собственно, должностным обязанностям этого пользователя и не конфликтуют ли они с другими правами, которые тоже у этого пользователя существуют.
• Контроли подразделяются на автоматические контроли и ручные контроли. В рамках ИТ-системы мы говорим об автоматических контролях, т.е. о тех контролях, которые реализованы на уровне системы. То есть, вы запрограммировали то, что в поле вводится только положительная сумма. Вы запрограммировали то, что в закрытый период бухгалтер не может внести изменения. Это те элементы контроля, которые в том числе существуют в типовых версиях. Либо те элементы контроля, которые периодически на любых (на маленьких в том числе) внедрениях бухгалтера просят внедрить просто для минимального комфорта, для уверенности в том, что данные в документе будут правильными.
• Единый ввод данных – по возможности должна исключаться повторная работа с документом. Информация вводится один раз. Изменения ограничены.
• Check-листы – контроль за последовательностью выполнения операций в ходе бизнес-процесса.
• Принцип «двух пар глаз» - все изменения требуют проверки и подтверждения дополнительного ответственного лица.

Возможности платформы 1С в области контролей в бизнес-процессах

Возможности, которые предоставляют типовые конфигурации 1С, вам наверняка знакомы. 

Для внедрения на крупном предприятии этого явно недостаточно.

Существующие риски в области контролей в бизнес-процессах

• Тут возникает собственно вопрос, связанный с изменением справочных данных. Справочные данные в том подходе, который реализован 1С – это просто некие служебные элементы. Один бухгалтер ввел контрагента, другой бухгалтер в карточке контрагента что-то поправил, третий бухгалтер – еще что-то сделал. Ну и что? Ну неправильно ввел, ну – перечислили деньги не туда… Вернут – еще раз заплатим. По-хорошему – контроль за справочными данными – это один из ключевых контролей, поскольку нужно убедиться, что эти справочные данные введены верно, что любые изменения, которые в них введены – они авторизованы соответствующим человеком, который имеет на это право. К сожалению, в стандартных средствах такой возможности на текущий момент не существует (детальный лог изменений бизнес-данных в платформе не предусмотрен – а получать данные из журнала регистрации не всегда удобно).

Автоматические контроли в типовых конфигурациях – они представлены в недостаточном количестве. Есть какие-то наброски, в основном, предоставляется возможность вам, программистам реализовать те контроли, которые попросит вас компания, если она попросит.  Опять же – эти контрольные процедуры требуют доработки системы, платформа не позволяет назначать такие контроли в рамках простой настройки.

Область разделения полномочий (SoD) в области контролей в бизнес-процессах

Отдельно остановлюсь на области разделения полномочий, или SoD – segregation of duty

Разделение полномочий – это назначение прав по принятию решений, учету и обеспечению сохранности активовразличным лицам, с целью снизить возможность совершить и скрыть ошибку или мошенничество в ходе выполнения должностных обязанностей.

Почему это важно? Приведены примеры с реальными ущербами на примере иностранных компаний.

В первом случае проблема возникла просто из-за использования поддельных контрактов -  ущерб составил крупную сумму.

Во втором случае – проблема возникла из-за того, что у пользователя была возможность создавать и изменять заказы на закупку услуг без согласования – тоже достаточно крупный ущерб. 

Это происходило потому, что у пользователя в рамках системы была возможность одновременно иметь доступ к нескольким функциям – либо к тем, к которым он вообще не должен был иметь доступ, либо к пересекающимся функциям – к примеру, вводить нового контрагента и оплачивать ему счет.

SoD. Возможности платформы 1С и существующие риски

На текущий момент существует механизм настройки ролей пользователей, но – как показывает практика на наших клиентах, мало кто из наших компаний всерьез задумывается об этом.

Вот ответьте мне на вопрос: Кто в рамках технического задания описывает подробно, какие роли будут созданы, с какими правами… - достаточно большое количество разработчиков – это не может не радовать.

Итак – существующие риски:

• Минимальный набор ролей в типовых конфигурациях
• Отсутствие инструмента мониторинга прав пользователей и конфликтов полномочий

Собственно, наше обращение к вам как к сообществу программистов: коллеги, существует такой инструмент SAPGRCAccesscontrol – это мощный инструмент, который позволяетанализировать конфликты, существующие между правами пользователей, управлять этими конфликтами, анализировать риски… - вот такого аналога для платформы 1С не создано. Мы открыты к диалогу, готовы поддержать методологически. Кто заинтересуется в разработке такого инструмента, - пожалуйста, обращайтесь. Это будет инновационное решение.

Когда нужно внедрять контроли в 1С?

Собственно, когда нужно внедрять контроли?

• Конечно, идеально – об этом нужно задумываться на этапе проектирования – на самом начальном этапе.

Фактически – мало когда это реализовано на этом этапе. Фактически это реализуется все-таки, тогда, когда руководство компании реально осознает риски, понимает, что с ними так жить нельзя и – на основании этого делает вывод о том, что нужно встраивать внутренние контроли в том числе и в ИТ-инфраструктуру.

Ситуация с платформой 1С в отношении системы внутренних контролей

Итак – в качестве тезисных выводов:

• Платформа 1С уже перестала быть системой только для малого бизнеса, т.е. уже большое количество средних и крупных компаний  занимаются внедрением у себя системы 1С. Соответственно, они предъявляют уже совсем другие, высокие требования, в том числе и к организации внутренних контролей в рамках этой платформы.
• Платформа  1С обладает широкой функциональностью для организации эффективной системы внутренних контролей.
• Однако мало что из этой функциональности реализовано в тех же самых типовых конфигурациях, либо в тех проектах, которые реализуются.
• А западные компании, крупные российские компании, помимо того, что предъявляют требования к реализации и к простоте реализации контролей в ИТ системе, они хотят, чтобы эти возможности были уже реализованы в рамках платформы, чтобы они просто взяли их и уже использовали (поскольку услуги разработки бывают достаточно значительны и по стоимости и по продолжительности).

Вывод

• На текущий момент платформа 1С с точки зрения построения эффективных внутренних контролей не имеет достаточных конкурентных преимуществ по сравнению с другими аналогами – это область потенциального развития, область потенциального повышения эффективности. Поскольку много областей, которые должны компенсироваться неавтоматическими какими-то контролями, а ручными сверками бухгалтеров, сотрудников.

Также тот момент, на который я уже пытался обратить ваше внимание – область прикладных инструментов для платформы 1С в части управления разделением полномочиями – это такая большая, интересная и на текущий момент практически совсем незатронутая область. 

****************

Статья написана по материалам доклада, прочитанного автором (Дмитрием Костюниным) на первой конференции Инфостарта 2012 года. Она опубликована в журнале Инфостарта №1.

Приглашаем вас на новую конференцию INFOSTART EVENT 2019 INCEPTION.