Организация эффективной системы внутренних контролей на базе 1С: опыт PwC Дмитрий Костюнин 15 ноября

Содержание PwC и 1C Что такое система внутренних контролей (СВК), почему она важна для компании? Какие возможности предоставляет платформа 1С для СВК, как их используют компании на практике? «Best practices» для платформы 1С, в каком направлении развиваться дальше? ноября 2012 Infostart event PwC Russia

PwC и 1C Около 40% клиентов компании PwC в России используют 1С для ведения финансового, оперативного и управленческого учета PwC Россия является центром компетенции в области 1С для всех офисов международной сети PwC Специалисты с большим опытом консультирования и внедрения продуктов 1С работают в офисах PwC в Москве и Санкт-Петербурге Программные продукты 1С достигли высоких уровней динамики и зрелости и используются для крупномасштабных внедрений ноября 2012 Infostart event В то же время, существует большое число открытых вопросов к платформе 1С с точки зрения построения эффективной системы внутренних контролей PwC Russia

PwC и 1C Западные системы исторически создавались в условиях ориентации на внутренние контроли для построения эффективной контрольной среды. Поэтому многие крупные и международные компании часто задают нам следующие вопросы: В нашей презентации мы постараемся ответить на эти и многие другие вопросы ноября 2012 Infostart event PwC Russia Соответствует ли платформа 1С требованиям SOX? Можно ли полагаться на платформу 1С? Насколько надежна система 1С с точки зрения внутренних контролей?

Риски стали более рискованными Меняются профили рисков Сложность: связь между мировой торговлей, финансовыми рисками и цепочками поставок Непредвиденность: нарушение конфиденциальности данных, экологические факторы, финансовая неопределенность Разнообразие: мировая диверсификация, культурные проблемы Скорость: социальные сети, репутация Контроль - это процесс, специально разработанный, внедренный и поддерживаемый руководством компании, менеджментом и другими сотрудниками для обеспечения разумной уверенности в достижении целей компании в области достоверности финансовой отчетности, эффективности операций, соответствия законам и правилам ноября 2012 Infostart event PwC Russia

Система внутренних контролей Как работают три линии защиты? ноября 2012 Infostart event ая линия защиты 2-ая линия защиты 3-ая линия защиты Внутренний аудит Внутренние расследования Риск менеджмент Контроль качества Внутренний контроль Внешний аудит Регуляторы Руководство Внутренний контроль Соответствие требованиям Высшее руководство Совет директоров / Комитет по аудиту Прикладные контролиИнформационная безопасность Требования к аудируемости ИТ систем ИТ и информационные системы компании PwC Russia

Система внутренних контролей ноября 2012 Infostart event PwC Russia Риски Руководство Сотрудник

Возможности платформы 1С ноября 2012 Infostart event Конфигурация 1С Платформа 1С Сервер базы данных 1С Контроли в бизнес- процессах Контроли в ИТ PwC Russia

Система внутренних контролей Контроли в ИТ ноября 2012 Infostart event КонтролиЛучшие практики Разделение полномочий в ИТ Гибкая настройка прав администрирования пользователей, внесения изменений в конфигурацию, доступа к учетным данным и т.д. Доступ к приложению Контроль за предоставлением и блокировкой доступа пользователям. Возможность настройки парольной политики. Контроль за действиями пользователей в системе Управление изменениями Разделение сред разработки, тестирования и эксплуатации. Тестирование системы. Инструменты версионирования конфигураций, контроля за транспортами изменений в систему Обмен данными Контроль за ошибками в интерфейсах и полнотой полученных-отправленных данных PwC Russia

Система внутренних контролей Почему это важно ноября 2012 Infostart event Крупная автомобильная компания Крупный автомобильный дилер Ущерб: 6 месяцев простоя центрального склада Причина: Отсутствие контроля за качеством внедрения новой информационной системы Ущерб: Невозможность подготовить финансовую отчетность, переработки сотрудников, дополнительные расходы на ИТ Причина: Неэффективная процедура внесения изменений в приложения и отсутствие контроля за изменениями PwC Russia

Возможности платформы 1С Разделение полномочий в ИТ Существующие возможности: Система прав и ролей на уровне платформы 1С Отдельное право администрирования приложений 1С Ведение лога действий пользователей в журнале регистрации ноября 2012 Infostart event PwC Russia

Существующие риски: Нет возможности более детального разделения прав администратора на уровне функций Возможность отключить журнал регистрации и вносить в него изменения Возможности платформы 1С Разделение полномочий в ИТ ноября 2012 Infostart event Риск избыточных функций и конфликтов прав Возможность манипулирования данными журнала регистрации, риск мошеннических действий PwC Russia Риск избыточных функций и конфликтов прав Возможность манипуляции данными журнала регистрации, риск мошеннических действий

PwC Russia Возможности платформы 1С Управление изменениями Существующие возможности: Инструмент разработки - «хранилище конфигурации» Возможность создания релизов конфигурации Механизмы сравнения и объединения конфигураций 1С ноября 2012 Infostart event

Возможности платформы 1С Управление изменениями Существующие риски: Отсутствие детального лога изменений конфигурации базы данных 1С Отсутствие механизма «транспорта» изменений для контроля за разработанными, протестированными и внедренными изменениями Отсутствие механизма управления средами разработки, тестирования и промышленной эксплуатации ноября 2012 Infostart event PwC Russia Риск переноса в рабочую базу данных несанкционированных и/или непротестированных изменений

Возможности платформы 1С ноября 2012 Infostart event Конфигурация 1С Платформа 1С Сервер базы данных 1С Контроли в бизнес- процессах Контроли в ИТ PwC Russia

Система внутренних контролей Контроли в ИТ ноября 2012 Infostart event КонтролиЛучшие практики Разделение полномочий пользователей Гибкая настройка прав пользователей в зависимости от функциональных обязанностей. Возможность контроля за правами пользователей для разрешения конфликтных ситуаций Автоматические контроли Системные проверки и ограничения для предотвращения нежелательных событий и действий пользователей Единый ввод данных Вся информация вводится один раз, возможность дополнительного изменения данных в ходе бизнес процесса должна быть ограничена Check-листы Обеспечение последовательности выполнения операций в ходе бизнес-процесса Принцип «двух пар глаз» Все критические транзакции или изменения в справочных данных требуют проверки и подтверждения пользователя, отличного от инициатора PwC Russia

Возможности платформы 1С Контроли в бизнес-процессах Существующие возможности: Возможность «ввода на основании» Автозаполнение данных из справочников в документах Проверка правильности заполнения полей объектов Контроль за доступом к закрытым периодам Документ «Закрытие месяца» ноября 2012 Infostart event

Возможности платформы 1С Контроли в бизнес-процессах Существующие риски: Отсутствие контроля за изменениями справочных данных Отсутствие детального лога изменений бизнес-данных Недостаточное количество автоматических контролей в типовых конфигурациях Необходимость доработки системы для целей контроля, нет возможности реализовать контрольные процедуры в рамках настройки объектов системы ноября 2012 Infostart event Компании вынуждены инвестировать в разработку контрольной среды для эффективной системы внутренних контролей в 1С или переходить на другие программные платформы PwC Russia Компании вынуждены инвестировать в разработку контрольной среды для эффективной системы внутренних контролей в 1С или переходить на другие программные платформы

PwC Russia Возможности платформы 1С Разделение полномочий пользователей (SoD) Почему это важно: ноября 2012 Infostart event Международный телекоммуникационный холдинг Крупный поставщик ИТ решений Ущерб: $ Использование поддельных контрактов. Ущерб: $ Возможность создавать и изменять заказы на закупку услуг без согласования. Разделение полномочий – это назначение прав по принятию решений, учету и обеспечению сохранности активов различным лицам, с целью снизить возможность совершить и скрыть ошибку или мошенничество в ходе выполнения должностных обязанностей.

PwC Russia Возможности платформы 1С Контроли в бизнес-процессах Существующие возможности: Механизм ролей пользователей Существующие риски: Минимальный набор ролей в типовых конфигурациях Отсутствие инструмента мониторинга прав пользователей и конфликтов полномочий ноября 2012 Infostart event Требуется аналог SAP GRC Access control для платформы 1С

PwC Russia Когда нужно внедрять контроли в 1С? Идеально – на этапе проектирования системы, в процессе разработки и внедрения системы На практике – при достижении понимания необходимости системы внутренних контролей менеджментом компании ноября 2012 Infostart event

PwC Russia Выводы Платформа 1С перестала быть системой только для малого бизнеса, а средние и крупные компании предъявляют высокие требования к организации системы внутренних контролей в 1С В то же время платформа 1С обладает широкой функциональностью для организации эффективной системы внутренних контролей Но требует больших усилий со стороны разработчиков из-за недостаточного числа встроенных контролей в типовые конфигурации 1С При этом многие западные и крупные российские компании предъявляют высокие требования также и к простоте реализации контролей в ИТ системе ноября 2012 Infostart event

PwC Russia Выводы На текущий момент платформа 1С не имеет достаточных конкурентных преимуществ в области контролей с точки зрения средних и крупных компаний Поскольку не все области рисков могут быть компенсированы текущей функциональностью 1С, что требует большого числа ручных компенсирующих контролей ноября 2012 Infostart event Одна из важных областей для развития прикладных инструментов платформы 1С – SoD – управление разделением полномочий пользователей, построение матрицы разделений полномочий и анализ существующих конфликтов

Контакты Дмитрий Костюнин Младший менеджер Отдел анализа и контроля рисков PwC Тел.: +7 (495) (доб. 3079) Моб.: +7 (903) Настоящая презентация является конфиденциальной и предназначена для использования только ее получателями. Презентация подготовлена исключительно в качестве общей информации и не относится к услугам профессионального консультирования. Пользователи презентации не должны предпринимать какие-либо действия на ее основе без обращения к профессиональным консультантам. Презентация подготовлена на основании общедоступной информации, документов и мнений различных экспертов, в отношении которых в презентации не дается никаких заверений или ручательств (явно выраженных или подразумеваемых). Перевод отдельных терминов, которые приводятся в презентации, не может считаться официальной интерпретацией этих терминов. Любое использование информации, приведенной в презентации, осуществляется пользователями на свой страх и риск. PwC в России ( предоставляет услуги в области аудита и бизнес-консультирования, а также налоговые и юридические услуги компаниям разных отраслей. В офисах PwC в Москве, Санкт-Петербурге, Екатеринбурге, Казани, Новосибирске, Краснодаре, Южно-Сахалинске и Владикавказе работают более специалистов. Мы используем свои знания, богатый опыт и творческий подход для разработки практических советов и решений, открывающих новые перспективы для бизнеса. Глобальная сеть фирм PwC объединяет более сотрудников в 158 странах. * Под "PwC" понимается компания "ПрайсвотерхаусКуперс Раша Б.В." или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма сети является самостоятельным юридическим лицом. © 2012 «ПрайсвотерхаусКуперс Раша Б.В.». Все права защищены.