© ComNews
26.06.2019

Департамент корпоративных информационных систем ALP Group (ООО "АЛП-ИС", ДКИС) выпустил первую в России технологическую платформу GRC. Новая разработка позволит встраивать функции Governance, Risk Management и Compliance в современные системы управления предприятием (классов ERP и i-ERP), построенные на основе ПО компании 1С и ее партнеров. Эксперты называют главными конкурентами ALP Group на этом рынке IBM, SAP и SAS.

Российский разработчик ИТ-решений (основанных на программных продуктах 1С) для управления крупными коммерческими и государственными организациями ДКИС ALP Group разработал первую в России импортонезависимую технологическую платформу GRC. Об этом сообщили ComNews в компании.

Как пояснили разработчики, термин governance обозначает возможность связать в рамках GRC-системы риски ИБ с идущим от высшего руководства стратегическим взглядом на стратегию развития, цели и бизнес-процессы организации, а также на последствия нарушения различных требований (внутрикорпоративных, отраслевых, а также идущих от отраслевых регуляторов, министерств и ведомств федерального и регионального уровней тех стран, где организация осуществляет свою деятельность). Именно этот взгляд создает контекст для практического управления рисками (risk management) и приведения информационных систем и всей технологии работы организации в соответствие с требованиями, которые организация считает важными (compliance).

Директор департамента корпоративных информационных систем ALP Group Светлана Гацакова рассказала ComNews, что на разработку платформы GRC компанию сподвигла потребность заказчиков в урегулировании SoD-конфликтов. Она пояснила, что SoD-риски связаны с выделением полномочий внутри системы с пересекающимися ролями. "У человека возникает право на производство неких операций, которые могут повлечь за собой мошеннические действия, - объясняет Светлана Гацакова. - Например, сотрудник выполняет роль кладовщика, а ему еще дали поручение вводить кассовые документы. Возникает риск, что сотрудник сам себе отгрузил, сам себе продал. То есть возникает возможность сотрудникам осуществлять неправомерные действия".

GRC-система ALP Group позволяет задавать SOD-ограничения и анализировать фактическое распределение прав сразу по нескольким "срезам". Это дает возможность охватить все практически важные виды ограничений, а также сделать более прозрачными как описания SOD-правил, так и выявленные нарушения. GRC-система ALP Group, учитывая интеграцию с платформой 1С, снижает риски именно в бизнес-системах, то есть там, где из-за характера обрабатываемой информации последствия нарушения SOD-ограничений могут быть особенно тяжелыми или даже разрушительными для организации.

Как отмечают в компании, наличие функций GRC выводит на новый уровень информационную безопасность систем управления предприятием и значительно упрощает интерпретацию ИТ-рисков на язык бизнеса. Кроме того, качественная реализация концепции GRC, ставшей фактическим стандартом для управления ИБ во всех подсистемах ИС крупных организаций, позволяет распространить централизованное управление информационной безопасностью на бизнес-ПО, применяя ко всем элементам ИС унифицированные подходы, методики, процессы и практики.

Как подчеркивают в компании, GRC-система прошла всестороннюю проверку как во внутренних проектах ALP Group, так и у ряда клиентов компании. Новая разработка ДКИС готова к применению в проектах любой сложности в организациях любого масштаба.

ДКИС уже реализовала GRC-платформу у одного из заказчиков из нефтегазовой отрасли. В компании рассказывают, что по своим функциональным возможностям GRC-система сопоставима с ведущими зарубежными аналогами, ориентированными на западные ERP-системы. Платформу GRC компания собирается предлагать российским заказчикам. ALP Group рассчитывает на то, что интерес к продукту будет только нарастать, учитывая набирающую обороты политику импортозамещения. Отвечая на вопрос ComNews о количестве заказчиков, на которые рассчитывает компания, Светлана Гацакова сказала: "Можно посмотреть список 500 крупнейших компаний России по версии Forbes и с ними можно начинать уже работать". Она ожидает, что потребность в таком продукте вне зависимости от отрасли может возникнуть у компаний размером свыше 400-500 человек.

Руководитель практики 1C компании "Техносерв Консалтинг" Владимир Воронов, комментируя событие, назвал ряд предпосылок, вызывающих необходимость внедрения GRC-решений в российских компаниях. "В крупных организациях большое число департаментов занимаются обработкой инцидентов, угроз и рисков, среди которых можно выделить финансовые, юридические, репутационные, регуляторные, коммерческие, организационные и прочие, - перечисляет он. - При этом во многих компаниях отсутствует единая автоматизированная платформа отчетности по управлению рисками".

По словам Владимира Воронова, с точки зрения корпоративных рисков процессы управления инцидентами и угрозами характеризуются низкой эффективностью, высокими издержками и значительными убытками. "Из-за недостатка достоверной информации о рисках это может привести к сложностям в принятии управленческих решений, несоблюдению контрактных обязательств, срывам сроков по проектам и штрафным санкциям. С точки зрения законодательства усиливается контроль за его соблюдением со стороны регулирующих органов, а также наблюдается высокая динамика в изменении нормативных актов. С точки зрения рисков ИТ/ИБ усложняются технологические процессы, например, в системах класса АСУТП. Сбой в работе таких процессов и систем может оказать крайне негативное влияние на бизнес и репутацию компании", - предупреждает специалист "Техносерв Консалтинга".

По мнению Владимира Воронова, среди наиболее вероятных клиентов GRC-платформ можно выделить крупные частные и государственные организации, относящиеся к различным отраслям (финансовые институты, телекоммуникации, розничная торговля, тяжелая промышленность, нефть и газ, и т.д.). Заказчиком внутри компании может выступать финансовое руководство, службы нефинансовых/операционных рисков, внутреннего контроля или аудита, а также подразделения корпоративной и информационной безопасности.

Среди игроков на рынке GRC-платформ, которые могут составить конкуренцию ALP Group, специалист "Техносерв Консалтинга" привел компании из квадранта Gartner. Среди них IBM, SAP, SAS, Software AG, EMC (RSA) и др.

Директор по бизнес-приложениям IT-компании "Крок" Евгений Завьялов обратил внимание ComNews на то, что в данный момент ниша GRC для 1С свободна. Базовая платформа с механизмами контроля, анализа прав и полномочий есть и в 1С, но, по его словам, решение класса GRC - первый специализированный инструмент по управлению информационными рисками. "Ключевой потребностью корпоративных клиентов 1С остается решение базовых задач ERP - управление финансами, логистикой, производством и персоналом. И лишь некоторые готовы полностью перейти к решению вопросов по части GRC. Для них больше актуальны методики комплаенса и управления, чем инструменты и автоматизация процессов", - полагает он. По его мнению, спрос на такой продукт будет зависеть от сочетания функциональности и стоимости решения, а также зрелости компаний в направлении ERP в целом и GRC в частности.