Организация эффективной системы внутреннего контроля на базе платформы 1С. Опыт PwC

13.05.15

Управление проектом

Статья в первую очередь ориентирована на тех специалистов, которые работают на средних и крупных внедрениях. Но, поскольку я сам знаю, что 1С-специалисты любят развиваться, поэтому – я уверен, что для целей развития эта тема будет интересна многим.

Во-первых, я собираюсь вам рассказать о том, собственно, в каких взаимоотношениях находятся компании PwC и 1С. А дальше – мы уже поговорим с вами о системе внутренних контролей и о том, как на платформе 1С можно реализовать эффективную систему внутренних контролей.

Итак, темы, которые я собираюсь затронуть:

  • PwC и 1С
  • Что такое система внутренних контролей (СВК), почему она важна для компании?
  • Какие возможности предоставляетплатформа 1С для СВК, как их используют компании на практике?
  • «Bestpractices» для платформы 1С, в каком направлении развиваться дальше?

 

Компания PwC – роль во взаимодействии с продуктами 1С

Компания PwC связана с 1С хотя бы только тем фактом, что порядка 40% наших клиентов работают на платформе 1С. Вторым фактом является то, что офисы PwC в России, которые представлены, в основном в Москве и в Санкт-Петербурге – являются центрами компетенции по оказанию консалтинговых услуг в области 1С для всех офисов международной сети PwC.

Мы отмечаем, что компания 1С широко развивается, выпускает достаточно серьезные программные продукты, которые уже могут удовлетворять потребностям средних и крупных компаний. Это также является причиной тому, что развитие программных решений на базе 1С находится в зоне нашего пристального внимания.

В то же время, у компании PwC есть большое количество вопросов к платформе 1С с точки зрения построения эффективной системы внутренних контролей.

Как реализуются в 1С инструменты контроля за бизнесом? – вопрос, особенно актуальный для филиалов западных компаний

Как вы знаете, у западных систем история развития достаточно большая. И исторически они создавались в условиях, когда контроль собственника над бизнесом являлся достаточно важным. И разработчики систем изначально закладывали в программные продукты вот эти элементы контроля.  То есть, система рассматривалась не как просто система, в которой делаются проводки и после этого формируются какие-то документы, отчеты и т.д. Система изначально рассматривалась как инструмент контроля за бизнесом.

Поэтому, собственно, к нам часто обращаются с вопросами:

  • Насколько система 1С надежна?
  • Соответствует ли платформа 1С требованиям SOX?

Требования SOX, если вкратце – это обязательные требования о внутренних контролях, в том числе в IT-системах, которые предъявляют компаниям на американском рынке. Они достаточно жесткие, касаются не только информационных систем. Для российских филиалов таких компаний вопрос соответствия требованиям SOX наиболее актуален.

  • Можно ли полагаться на платформу 1С?
  • Насколько надежна система 1С с точки зрения внутренних контролей?

В статье мы расскажем, каким образом мы отвечаем на эти вопросы. 

Риски

Вопрос. Кто сталкивался с понятием риск? Наверняка все сталкивались, после кризиса эта тема стала наиболее актуальной.

Как показывает ежегодное исследование, которое проводит компания PwC, риски в последнее время стали «более рискованными». То есть – каждая компания отмечает рост рисков, с которыми сталкивается на протяжении своей деятельности. Одной точкой зрения является тот факт, что, возможно, не риски стали более рискованными, а просто мы стали более мудрыми и знаем о рисках больше, поэтому мы понимаем и осознаем намного больше рисков, чем это было 10 лет назад.

Риски, которые я озвучил – они непосредственно связаны с контролем. То есть, контроль – это тот элемент, который позволяет компаниям каким-то образом минимизировать риски.

То, что не контролируется – оно, возможно, пускается на самотек. Есть такие области, которые невозможно полностью проконтролировать и не все риски можно покрыть контролями. Иногда это просто неразумно, иметь полностью контрольную среду, которая покрывает абсолютно все риски – это просто затратно, и компания на это не готова.

 

Система внутренних контролей

На этом рисунке представлены три уровня защиты, которые вкратце можно описать следующим образом:

  • Первый уровень защиты – это уровень прикладной защиты.  Это внутренние контроли, которые работают на ежедневной основе на уровне сотрудников компании, на уровне руководства, в рамках бизнес-процессов, в рамках информационной системы. Касательно 1С и IT-систем – такими контролями являются прикладные контроли в информационной системе.
  • Следующий уровень – чуть повыше – это контроли, которые являются второй линией защиты – это все, что связано с управлением рисками, это внутренний контроль. Это контроль качества, соответствия требованиям. Это уровень, который соответствует уже, примерно, уровню компании (организации).
  • Ну и – над всеми ними еще главенствует уровень третьей линии защиты – это, в первую очередь, аудит – в том числе и внешний аудит, когда сторонние люди смотрят на компанию, на их деятельности и пытаются составить какое-то мнение.

Наверняка у многих есть автомобиль. Подумайте, с точки зрения автомобиля – какие контроли вы сами для себя организуете?

Как минимум, вы запираете машину на ключ. Помимо того, что вы запираете машину на ключ, вы наверняка оформили страховку на машину. Даже несмотря на то, что вы оформили страховку на машину, и заперли ее на ключ, вы ставите еще ее под окно, чтобы ее можно было периодически видеть. Ну а – я думаю, практически все еще, помимо этого, вытаскивают магнитолу и кладут ее в бардачок или забирают с собой.

То есть, это те как раз примеры контролей, которые мы создаем для того, чтобы покрыть риски. То есть: у нас существует риск, что у нас машину угонят или что-то с ней сделают, и мы эти риски минимизируем. То же самое, собственно, с IT-системой.

Система внутренних контролей, собственно говоря, и создана для того, чтобы сделать вот эти уровни защиты. Чтобы вот эти риски, которые представлены на этой картинке кирпичиками, как можно меньше падали на компанию. Ну и непосредственно на сотрудников.

Руководство, во-первых, отвечает за организацию этой системы рисков (именно руководство создает эти уровни защиты), а во-вторых, мониторит – отслеживает работу этих контролей.   Под руководством я подразумеваю, в том числе и сторонние компании (тот же самый аудит).

 

Возможности платформы 1С

Собственно, теперь перейдем к платформе 1С.

Можно нарисовать платформу таким образом, как это сделал я – то есть, как совокупность нескольких уровней архитектуры.

  • У нас есть сервер базы данных 1С,
  • есть платформа 1С,
  • есть конфигурация 1С.

Когда мы говорим о внутренних контролях и системе внутренних контролей, то мы говорим о двух случаях

  • мы говорим о чисто IT-контролях (контролях, реализованных на уровне работы в режиме конфигуратора)
  • и мы говорим о контролях в бизнес-процессах(контролях, реализованных на уровне работы в режиме предприятия).

 

Контроли в ИТ

Сначала поговорим о контролях в IT.

На этом слайде приведены наиболее критичные области с точки зрения организации эффективных контролей в любой ИТ-среде. Без разницы, это 1С, SAP или любая другая платформа, на которой работает компания. Желательно, чтобы та платформа, на которой работает компания, отвечала этим требованиям.

  • В первую очередь, это разделение полномочий в ИТ. То есть, это возможность гибкой настройки прав администрирования, чтобы были разделены права тех, кто занимается разработкой, тех, кто администрирует систему, и тех, кто не должен вообще иметь доступ к системе.
  • Вторая наиболее важная область – это доступ к приложению. То есть, контроль за предоставлением и блокировкой доступа пользователям. Возможность настройки парольной политики. Контроль за действиями пользователей в системе.
  • Еще одна критичная область – это управление изменениями. То есть, все то, что вы делаете в рамках разработки, все эти процедуры и процессы – они очень критичны с точки зрения компании.

 

Примеры, доказывающие необходимость применения контролей в разработке и управлении изменениями

Скажите, пожалуйста, кто ведет разработку в рабочей базе данных 1С у клиентов периодически? Многие ведут. Вот, с точки зрения лучших практик, так не должно делаться. Наверняка, все осознают, почему. Потому что – это все равно, что резать по живому. Есть, конечно, какие-то изменения, которые вы 100% знаете, что компания и система не пострадает никаким образом, если вы в печатной форме добавите какое-то поле, либо в формочке передвинете какой-то элемент. Но – тем не менее – знаете это вы, а насколько клиент знает, что вы сделаете это без ошибок? Многие вам доверяют. Но – когда мы говорим о средних и крупных компаниях, они хотят не только доверять, но и быть уверенными в этом.

Тут приведены несколько примеров из нашей практики. В частности, пример крупной автомобильной компании, у которой в течение полугода простаивала деятельность одного из крупных центральных складов из-за того, что просто система, которую внедряли, не заработала (ожидалось, что она будет работать, но не заработала) – из-за того, что не было проектной команды нормальной, не было управления рисками в рамках проекта. Компания, естественно, потеряла достаточно большие деньги из-за этого, какие-то были задержки в поставках, где-то просто – не могли отгрузить, пользовались какими-то запасными вариантами. Компания понесла прямые потери.

Другой пример – достаточно недавний, в компании, крупном автомобильном дилере не могли закрыть отчетность за квартал из-за того, что процедура внесения изменений была достаточно хаотичной. Изменения не тестировались. Изменения вносились в том числе и по живому. Не было никакого регрессионного тестирования. Система была достаточно нестабильной, и все это привело к тому, что просто система отказалась закрывать период и компания, фактически силами бухгалтеров, вручную,  выполнила эту работу – понятное дело, что они были этим недовольны и задумались о том, а как этот процесс лучше построить.

Возможности платформы 1С с точки зрения разделения полномочий в ИТ. Что уже есть для системы внутреннего контроля

Когда мы поговорили о внутренних контролях и лучших практиках – посмотрим, что у нас есть по этому поводу в 1С.

  • В 1С на уровне платформы реализована система прав и ролей. Мы можем управлять этими элементами, создавать новые, назначать их пользователям – это все замечательно существует.
  • Существует отдельное право «Администрирование приложений 1С», можно дать эту роль администратору, которому будет доступна функция, например, добавления пользователей, администрирования приложения. Но при этом он не будет иметь доступа к данным.
  • Существует возможность ведения лога действий через журнал регистрации.

Это тот набор возможностей, которые на текущий момент предоставляет платформа 1С.

 

Существующие риски в области разделения полномочий в ИТ

Какие наиболее важные риски мы бы хотели вам показать в этой области?

  • Во-первых, это риск, связанный с тем, что у нас нет возможности более детального разделения прав администратора на уровне функций. О чем это говорит? О том, что пользователь с полными правами в конфигурации – это царь и бог в рамках конфигурации, платформы и базы данных. С точки зрения лучших практик и, в принципе, любой системы – когда  мы видим, что существует такой пользователь, который может абсолютно все и уследить за ним практически невозможно, мы не можем его правильно контролировать – это риск. Риск того, что будут существовать избыточные функции, которые будут конфликтовать между собой и все это может плачевно сказаться на деятельности – на данных системы.
  • Другой риск связан с тем, что у нас нет возможности по-хорошему управлять журналом регистрации. То есть, пользователь с полными правами может отключить его, может почистить его, может внести туда какие-то данные, может убрать какие-то данные – это не самый совершенный инструмент, поскольку достаточно многие возможности предоставляет для его изменения. Соответственно, это несет риск того, что данные будут изменены, искажены – прямой риск того, что с этими данными будут проведены какие-то мошеннические действия.

Возможности платформы 1С в области управления изменениями. Что уже есть для системы внутреннего контроля.

  • Существует возможность сохранять изменения в хранилище конфигурации.
  • Существует возможность создания релизов конфигурации.
  • Существуют механизмы сравнения-объединения конфигураций.

Все эти механизмы получили хорошее развитие в последних версиях платформы и, можно сказать, они дают возможность реализовать идеальный процесс внесения изменений в рамках приложения 1С.

Существующие риски в области управления изменениями

В то же время:

  • отсутствует детальный лог изменения конфигураций базы данных 1С. Т.е. в журнале регистраций нет возможности посмотреть, какие объекты конкретно были изменены, когда они были изменены, кем они были изменены. Убедиться, когда и что было изменено, практически невозможно.
  • Отсутствует механизм так называемого транспорта изменений для контроля за разработанными, протестированными и внесенными в рабочую базу данных изменениями. Если кто-то в своей работе сталкивался с SAP, то вы знаете, что там есть определенные структуры – есть транспорты, где можно всегда посмотреть, что, когда, куда, из какой среды было перенесено, и это легко проверить и увидеть.
  • Последний момент связан с этим же самым – механизм работы со средами разработки и тестирования. Да, вы можете создать отдельную базу данных для тестирования, отдельную для разработки, отдельную для промышленной эксплуатации. Но, к сожалению, прямой связки между базами, предназначенными для разработки и тестирования, все равно нет. Т.е. возможности напрямую убедиться, что все, что вы протестировали, вы перенесли в рабочую базу данных, все, что вы не протестировали, осталось в той базе данных – такой возможности нет. Это влечет за собой риск переноса в рабочую базу данных тех изменений, которые были изначально нежелательными либо просто непротестированными. 

Контроли в бизнес-процессах

Теперь перейдем к более интересной области – это область контроля в бизнес-процессах.

На рисунке представлены различные контроли.

  • Я бы хотел, в первую очередь, обратить ваше внимание на разделение полномочий пользователей. Это такая большая и важная область. То есть, какие права предоставлены пользователю и, соответствуют ли они, собственно, должностным обязанностям этого пользователя и не конфликтуют ли они с другими правами, которые тоже у этого пользователя существуют.
  • Контроли подразделяются на автоматические контроли и ручные контроли. В рамках ИТ-системы мы говорим об автоматических контролях, т.е. о тех контролях, которые реализованы на уровне системы. То есть, вы запрограммировали то, что в поле вводится только положительная сумма. Вы запрограммировали то, что в закрытый период бухгалтер не может внести изменения. Это те элементы контроля, которые в том числе существуют в типовых версиях. Либо те элементы контроля, которые периодически на любых (на маленьких в том числе) внедрениях бухгалтера просят внедрить просто для минимального комфорта, для уверенности в том, что данные в документе будут правильными.
  • Единый ввод данных – по возможности должна исключаться повторная работа с документом. Информация вводится один раз. Изменения ограничены.
  • Check-листы – контроль за последовательностью выполнения операций в ходе бизнес-процесса.
  • Принцип «двух пар глаз» - все изменения требуют проверки и подтверждения дополнительного ответственного лица.

Возможности платформы 1С в области контролей в бизнес-процессах

Возможности, которые предоставляют типовые конфигурации 1С, вам наверняка знакомы. 

Для внедрения на крупном предприятии этого явно недостаточно.

 

Существующие риски в области контролей в бизнес-процессах

  • Тут возникает собственно вопрос, связанный с изменением справочных данных. Справочные данные в том подходе, который реализован 1С – это просто некие служебные элементы. Один бухгалтер ввел контрагента, другой бухгалтер в карточке контрагента что-то поправил, третий бухгалтер – еще что-то сделал. Ну и что? Ну неправильно ввел, ну – перечислили деньги не туда… Вернут – еще раз заплатим. По-хорошему – контроль за справочными данными – это один из ключевых контролей, поскольку нужно убедиться, что эти справочные данные введены верно, что любые изменения, которые в них введены – они авторизованы соответствующим человеком, который имеет на это право. К сожалению, в стандартных средствах такой возможности на текущий момент не существует (детальный лог изменений бизнес-данных в платформе не предусмотрен – а получать данные из журнала регистрации не всегда удобно).

Автоматические контроли в типовых конфигурациях – они представлены в недостаточном количестве. Есть какие-то наброски, в основном, предоставляется возможность вам, программистам реализовать те контроли, которые попросит вас компания, если она попросит.  Опять же – эти контрольные процедуры требуют доработки системы, платформа не позволяет назначать такие контроли в рамках простой настройки.

Область разделения полномочий (SoD) в области контролей в бизнес-процессах

Отдельно остановлюсь на области разделения полномочий, или SoD – segregation of duty

Разделение полномочийэто назначение прав по принятию решений, учету и обеспечению сохранности активовразличным лицам, с целью снизить возможность совершить и скрыть ошибку или мошенничество в ходе выполнения должностных обязанностей.

Почему это важно? Приведены примеры с реальными ущербами на примере иностранных компаний.

В первом случае проблема возникла просто из-за использования поддельных контрактов -  ущерб составил крупную сумму.

Во втором случае – проблема возникла из-за того, что у пользователя была возможность создавать и изменять заказы на закупку услуг без согласования – тоже достаточно крупный ущерб. 

Это происходило потому, что у пользователя в рамках системы была возможность одновременно иметь доступ к нескольким функциям – либо к тем, к которым он вообще не должен был иметь доступ, либо к пересекающимся функциям – к примеру, вводить нового контрагента и оплачивать ему счет.

 

SoD. Возможности платформы 1С и существующие риски

На текущий момент существует механизм настройки ролей пользователей, но – как показывает практика на наших клиентах, мало кто из наших компаний всерьез задумывается об этом.

Вот ответьте мне на вопрос: Кто в рамках технического задания описывает подробно, какие роли будут созданы, с какими правами… - достаточно большое количество разработчиков – это не может не радовать.

Итак – существующие риски:

  • Минимальный набор ролей в типовых конфигурациях
  • Отсутствие инструмента мониторинга прав пользователей и конфликтов полномочий

Собственно, наше обращение к вам как к сообществу программистов: коллеги, существует такой инструмент SAPGRCAccesscontrol – это мощный инструмент, который позволяетанализировать конфликты, существующие между правами пользователей, управлять этими конфликтами, анализировать риски… - вот такого аналога для платформы 1С не создано. Мы открыты к диалогу, готовы поддержать методологически. Кто заинтересуется в разработке такого инструмента, - пожалуйста, обращайтесь. Это будет инновационное решение.

Когда нужно внедрять контроли в 1С?

Собственно, когда нужно внедрять контроли?

  • Конечно, идеально – об этом нужно задумываться на этапе проектирования – на самом начальном этапе.

Фактически – мало когда это реализовано на этом этапе. Фактически это реализуется все-таки, тогда, когда руководство компании реально осознает риски, понимает, что с ними так жить нельзя и – на основании этого делает вывод о том, что нужно встраивать внутренние контроли в том числе и в ИТ-инфраструктуру.

Ситуация с платформой 1С в отношении системы внутренних контролей

Итак – в качестве тезисных выводов:

  • Платформа 1С уже перестала быть системой только для малого бизнеса, т.е. уже большое количество средних и крупных компаний  занимаются внедрением у себя системы 1С. Соответственно, они предъявляют уже совсем другие, высокие требования, в том числе и к организации внутренних контролей в рамках этой платформы.
  • Платформа  1С обладает широкой функциональностью для организации эффективной системы внутренних контролей.
  • Однако мало что из этой функциональности реализовано в тех же самых типовых конфигурациях, либо в тех проектах, которые реализуются.
  • А западные компании, крупные российские компании, помимо того, что предъявляют требования к реализации и к простоте реализации контролей в ИТ системе, они хотят, чтобы эти возможности были уже реализованы в рамках платформы, чтобы они просто взяли их и уже использовали (поскольку услуги разработки бывают достаточно значительны и по стоимости и по продолжительности).

Вывод

  • На текущий момент платформа 1С с точки зрения построения эффективных внутренних контролей не имеет достаточных конкурентных преимуществ по сравнению с другими аналогами – это область потенциального развития, область потенциального повышения эффективности. Поскольку много областей, которые должны компенсироваться неавтоматическими какими-то контролями, а ручными сверками бухгалтеров, сотрудников.

Также тот момент, на который я уже пытался обратить ваше внимание – область прикладных инструментов для платформы 1С в части управления разделением полномочиями – это такая большая, интересная и на текущий момент практически совсем незатронутая область. 

 

****************

Статья написана по материалам доклада, прочитанного автором (Дмитрием Костюниным) на первой конференции Инфостарта 2012 года. Она опубликована в журнале Инфостарта №1.

Приглашаем вас на новую конференцию INFOSTART EVENT 2019 INCEPTION.

См. также

Компетенции и навыки РП Руководитель проекта

Есть занятный психологический эффект, когда мы игнорируем проблемы, с которыми мы не понимаем что делать. В своей книге “Вальсируя с медведями” авторы назвали этот эффект “А, вы имеете в виду этот приближающийся поезд…”

05.11.2024    1069    0    MariaTemchina    1    

27

Компетенции и навыки РП Конфигурации 1cv8 Бесплатно (free)

В процессе написания статей на тему Идеальное место работы ЗУПера нужен аргументированный текст про адекватного РП и тимлида. Информации получилось много, поэтому выделю в отдельные 2 статьи. Рассмотрим все особенности работы руководителей проектов.

02.05.2024    3630    0    biimmap    39    

39

Канбан и поставка ценности Программист Платформа 1С v8.3 Бухгалтерский учет 1С:Бухгалтерия 3.0 Бесплатно (free)

При разработке 1С:Бухгалтерии 8 используются унифицированные процессы обработки задач, построенные на методике Kanban. О том, как выглядит доска задач, в чем пишут код команды – в конфигураторе или в EDT, и что делается для повышения качества и понятности кода самого многопользовательского проекта фирмы «1С», пойдет речь в статье.

26.04.2024    4983    0    mrXoxot    5    

29

Канбан и поставка ценности Платформа 1С v8.3 Бухгалтерский учет 1С:Бухгалтерия 3.0 Бухгалтерский учет Бесплатно (free)

Применение Agile в отделе разработки 1С:Бухгалтерии не сразу оправдало возложенные на него ожидания. Но только благодаря гибким методикам удалось стабилизировать выпуск релизов и перестроить разработку так, чтобы она всегда начиналась с анализа задачи и с общения с пользователями. Расскажем об квинтэссенции опыта разработки самого многопользовательского проекта фирмы «1С».

23.04.2024    3824    0    user1853337    8    

29

Инструменты управления проектом Руководитель проекта Бесплатно (free)

Мы собрали здесь самые распространенные ошибки в проектном управлении, которые обходятся очень дорого... Если вы не уверены, что сможете завалить проект самостоятельно, то ниже мы собрали несколько советов, как гарантированно добиться результата.

01.04.2024    3151    0    MariaTemchina    6    

22

Кейсы проектов Руководитель проекта Бесплатно (free)

Как определить, что риск проекта высок настолько, что взяться за него – в 99% случаев значит потерять драгоценное время, деньги и другие ресурсы? Как еще до старта определить, что проект в лучшем случае на выходе станет пародией на задуманное, а в худшем – будет сорван? Сформулируем список типовых рисков срывов проекта и постараемся уберечь от ошибок внедренцев и заказчиков.

20.12.2023    4655    0    1СERP    21    

31

Кейсы проектов Программист Бизнес-аналитик Пользователь Руководитель проекта Платформа 1С v8.3 1С:ERP Управление предприятием 2 Оптовая торговля, дистрибуция, логистика Россия Бесплатно (free)

В 2021 году начали проект в дистрибьюторской компании. Имели большой опыт внедрения УПП, но периодически возникали вопросы. Зачем что-то придумали в ERP, что стало менее удобнее, чем было в УПП? Почему нельзя было взять лучшие идеи из УПП и ERP и скрестить их? А идея, что обеспечение нужно выносить из заказов, с каждым новым проектом находила все большее подтверждение. В итоге на этом проекте удалось применить лучшие (на мой взгляд) методические решения, которые мне довелось внедрять в конфигурациях УПП и ERP, в т.ч. подход, что реагировать нужно только на важное (то, как на заре появления ERP Фирма 1С ее позиционировала).

05.07.2023    15683    0    ASchekachev    37    

55

Канбан и поставка ценности Бесплатно (free)

Когда ИТ-отдел разрывается между разнотипными задачами от внутренних заказчиков, стоит посмотреть в сторону гибких подходов. О том, как, используя три практики Канбана – WiP-лимит, визуализация и распределение по сервисам – улучшить отношения с заказчиками, не бояться давать обещания по срокам и укладываться в них, на конференции Infostart Event 2021 Moscow Premiere рассказал руководитель направления 1С в компании UTG Станислав Алексенко.

28.06.2023    6532    0    stnslv    5    

25
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. Константин С. 672 13.05.15 15:56 Сейчас в теме
На текущий момент платформа 1С с точки зрения построения эффективных внутренних контролей не имеет достаточных конкурентных преимуществ

а перед этим
Платформа 1С обладает широкой функциональностью для организации эффективной системы внутренних контролей

Вы как-то определитесь.

А вообще странный вывод платформе, средстве разработке.

Если следовать логике получения вывода: кастрюля не имеет конкурентных преимуществ, особенно если она в руках что не умеет готовить.
monkbest; Yashazz; gariki; students; sks; andy23; didkovskij; +7 Ответить
2. kser87 2470 13.05.15 18:26 Сейчас в теме
Ну такую статью я просто обязан немножко потроллить.

Ну а – я думаю, практически все еще, помимо этого, вытаскивают магнитолу и кладут ее в бардачок или забирают с собой.
Лично я уже лет 10 не видел таких людей.

В 1С на уровне платформы реализована система прав и ролей. Мы можем управлять этими элементами, создавать новые, назначать их пользователям – это все замечательно существует.
Существует отдельное право «Администрирование приложений 1С», можно дать эту роль администратору, которому будет доступна функция, например, добавления пользователей, администрирования приложения. Но при этом он не будет иметь доступа к данным.
Существует возможность ведения лога действий через журнал регистрации.

Существует еще ограничения доступа на уровне записей, он же RLS. В обычном приложении был реалован убого, но в типовых конфигурациях на управляемом приложении превратился в мощный инструмент.

у нас нет возможности более детального разделения прав администратора на уровне функций. О чем это говорит? О том, что пользователь с полными правами в конфигурации – это царь и бог в рамках конфигурации, платформы и базы данных.

Я вас умоляю. Такое есть только в типовых. В самописных суперпользователей нет. Есть в конфигурациях Совместно" и "Совместимо", но это требование 1С. В сильно дописанных типовых тоже суперпользователей не делают. С полностью типовыми конфами работают только мелкие компании. Значит, статья на них не распространяется

Журнал изменений - просто ерунда написана. Есть куча дополнительных инструментов на любой вкус и цвет. Пожалуйста, покупайте, внедряйте

отсутствует детальный лог изменения конфигураций базы данных 1С. Т.е. в журнале регистраций нет возможности посмотреть, какие объекты конкретно были изменены, когда они были изменены, кем они были изменены. Убедиться, когда и что было изменено, практически невозможно.

Просто ерунда написана. Все эти возможности есть в истории хранилища.

Отсутствует механизм так называемого транспорта изменений для контроля за разработанными, протестированными и внесенными в рабочую базу данных изменениями. Если кто-то в своей работе сталкивался с SAP, то вы знаете, что там есть определенные структуры – есть транспорты, где можно всегда посмотреть, что, когда, куда, из какой среды было перенесено, и это легко проверить и увидеть.

Это можно контролировать метками и комментариями в хранилище.

Последний момент связан с этим же самым – механизм работы со средами разработки и тестирования. Да, вы можете создать отдельную базу данных для тестирования, отдельную для разработки, отдельную для промышленной эксплуатации. Но, к сожалению, прямой связки между базами, предназначенными для разработки и тестирования, все равно нет. Т.е. возможности напрямую убедиться, что все, что вы протестировали, вы перенесли в рабочую базу данных, все, что вы не протестировали, осталось в той базе данных – такой возможности нет. Это влечет за собой риск переноса в рабочую базу данных тех изменений, которые были изначально нежелательными либо просто непротестированными.

Хорошо, что вы предлагаете?

По Бизнес-Процессам забавно читать. Вы какую конфигурацию анализировали? Бухгалтерию 1.6 или 2.0?
monkbest; Yashazz; savinsva; students; cleaner_it; +5 Ответить
3. sks 19 15.05.15 13:11 Сейчас в теме
Статья написана параноиком о продукте с которым он знаком максимум по слухам!!! :-)
monkbest; Yashazz; +2 Ответить
4. kser87 2470 18.05.15 13:30 Сейчас в теме
(3) sks, не параноиком) просто сведения о возможностях 1С устарели на много лет
5. alex_4x 87 19.05.15 13:37 Сейчас в теме
Ребят, я чё то не пойму, вы ж SAP внедряете и рекламируете, что Вам этого мало ? Или клиент настолько измельчал, что денег на SAP и на специалистов по SAP и на консультантов как надо жить в иделолгии SAP уже не хватает ? Вы уж это, определитесь, толи заниматься SAP и пальцы веером, и никаких исправлений задним числом, никаких модификаций в коде, всё только через апрувленные обновления и настройки в рамках системы и мегабабло за консультирование или 1С - твори что хошь, как хошь и вообще полная анархия и беспредел. Корректировки задним числом, изменения кода, поиск багов и создание новых - это всё весело и всё это в 1С норма. Что-то вдруг не работает или работает "не так как ожидалось"? так в этом вся суть 1С - система открыта - бери и разбирайся. Это не ваш глубокозаконспирированный ABAP с 2 миллионами таблиц названных то по немецки то по голандски то по французски да еще и с закрытыми для изменения сценариями.
6. mulla1979 9 20.05.15 08:58 Сейчас в теме
К сожалению, статья является как бы "обзорной", и проблемы, в ней описанные, сообществом давно и не раз обсуждались. Хотелось бы увидеть практические шаги по минимизации рисков, особенно в части реализации ролей пользователей в бизнес-процессах.
7. DonAlPatino 178 20.05.15 15:49 Сейчас в теме
alex_4x, это же аудиторы в первую очередь. Им пофиг, что проверять. У них есть набор метрик и правил, на удовлетворение которым они проверяют систему. Что за система им без разницы (хотя они конечно не скрывают, что метрики разрабатывались под SAP). И поэтому когда им говоришь "это 1С! здесь перепроведение! Какой аудиторский след?" они отвечают "а не колебет"... Вот кстати теперь на инфостарте выступили с этим "а не колебет"...
PS
Три года назад такие вот бравые ребята мне намекали, что пора, пора кому-нибудь оплатить им создания аналога SAPGRCAccesscontrol под 1С. Вот опять намекают :-)
8. Yashazz 4791 21.05.15 12:22 Сейчас в теме
После "риски стали более рискованными" читать не смог. Полная лажа, о чём kser87 уже исчерпывающе отписался.
9. monkbest 114 25.05.15 13:22 Сейчас в теме
1. Контроль бизнес справочников - версионирование данных реализовано
2. лог разработки - в хранилище есть история, кто куда что выложил и когда. Согласен, нет статусов готовности/проверенности объекта, но это все можно решить организационно. Среда = копия БД :)
3. Минимальное число ролей - гхгхм, мда,... <нецензура> ... ну откройте посчитаете пальчиком, как только со счета собьётесь, исправьте текст своей статьи

Статья не понравилась, на "выбор экспертов" не тянет, как отмечено в рассылке
Оставьте свое сообщение