RSM Global

ИТ-Консалтинг

Деятельность компании в современном информационном пространстве сложно представить без использования корпоративного и прикладного программного обеспечения. Начиная от бухгалтерских программ, делопроизводства, банк-клиент, офисных приложений и заканчивая более сложными информационными системами класса ERP/CRM/EPM и т.д.

Одна из важнейших задач руководства любой компании – выбор эффективного инструмента управления бизнеса и его оптимальное использование. Инструмент должен быть прозрачным в управлении, а также быть готов к внесению оперативных, а иногда превентивных, изменений в его конфигурацию в соответствии с меняющейся конъюнктурой бизнеса, а также в соответствии с изменениями внутренних процессов в компании.

На всех этапах данного вида деятельности возникает множество серьезных рисков, избежать которые может помочь только серьезный опыт.

Компания ООО «РСМ РУСЬ» входит в состав международной аудиторско-консалтинговой сети и при реализации проектов для своих клиентов эффективно использует опыт своих международной коллег. Мы взаимодействуем напрямую с основными производителями современных ИТ решений: Microsoft, EMC Corporation, Sun Microsystems, Hewlett Packard, Symantec, Oracle, Cisco Systems, 1С и многие другие.

Наши услуги в области ИТ:

  • Система управления активами (СУПРА);

  • Трансформация финансовой отчетности РСБУ-МСФО;

  • ИТ-аудит;

  • ИТ-инфраструктура;

  • Защита персональных данных.

СУПРА

Цели управления активами вытекают из общих целей управления предприятием – получение максимальной прибыли при сохранении финансовой устойчивости и инвестиционной привлекательности.

Цели управления активами:

  • Эффективное использование внеоборотных активов, поддержание их в работоспособном состоянии;

  • Обеспечение непрерывного развития внеоборотных активов — обновление, модернизация и усовершенствование используемых активов;

  • Достижение оптимального размера оборотных активов;

  • Защита имущественных прав – государственная регистрация прав на недвижимость и транспортные средства, обеспечение сохранности активов.

Из выделенных целей вытекают задачи, которые решает система управления активами:

  • Хранение и обработка агрегированной информации по активам;

  • Учет и контроль операций связанных с использованием активов предприятия;

  • Построение моделей возможных операций с активами;

  • Интеграция с иными информационными системами;

  • Поддержка внутреннего документооборота в части управления активами;

  • Формирование аналитической отчетности и уведомлений по состоянию и использованию активов предприятия;

  • Обеспечение контроля над активами предприятия, включая:

    • Контроль изменений стоимости, текущего состояния, использования и местонахождения активов;

    • Контроль наличия правоустанавливающих документов по объектам активов и учет обременений;

    • Контроль операций с активами, в том числе контроль планирования, согласования и исполнения операций

Система управления активами (АИС СУПРА) является автоматизированной централизованной, многопользовательской системой, сопровождающей процесс управления работой в организации холдингового типа.

Система построена на платформе программного продукта EMC Documentum.

Элементы управления АИС СУПРА:

  • Электронный документооборот в части согласования, утверждения и доведения до заинтересованных лиц решений по управлению активами;

  • Разграничение прав доступа к базе учетных данных и проведению операций в системе;

  • Учет и контроль состояния активов;

  • Учет и контроль правовой защиты активов и их обременения:

  • Оценка и контроль эффективности использования активов:

  • Сценарное моделирование вариантов использования объектов активов:

  • Планирование операций с внеоборотными активами:

  • Формирование отчетности по текущему состоянию и изменению активов Предприятия с целью:

    • Учет правоустанавливающих и регистрационных документов по объектам недвижимости и транспорта, долгосрочным договорам аренды;

    • Учет правоустанавливающих документов по объектам нематериальных активов, включая правовую защиту результатов НИОКиТР;

    • Учет наличия обременений по отдельным объектам активов (вид, сроки обременения);

    • Учет страховой защиты объектов активов (данные договоров страхования о страховой организации, страховых суммах);

    • Учет сроков лицензий, необходимых для осуществления деятельности Предприятия, учитываемых в составе активов, относящихся к расходам будущих периодов;

    • для переданных в аренду/пользование/лизинг объектов активов, относящихся к основным фондам, осуществляется расчет эффективной ставки оплаты и сопоставление ее с фактической ставкой;

    • для объектов активов, относящихся к НМА, НИОКиТР, осуществляется контроль величины фактического дохода, получаемого от использования/передачи в пользование;

    • Формирование параметров сценариев — плановых операций продажи, передачи в аренду/пользование/лизинг, ликвидации внеоборотных объектов активов;

    • Расчет плановых показателей финрезультата этих операций с целью последующего выбора оптимального сценария;

    • Приобретение новых объектов;

    • Строительство/создание новых объектов;

    • Модернизация/реконструкция/усовершенствование существующих объектов;

    • Продажа;

    • Передача в аренду/пользование/лизинг;

    • Ликвидация;

    • Консервация;

    • Представления Управляющей компании Холдинга;

    • Анализа состояния активов Предприятия и результатов его деятельности для принятия соответствующих управленческих решений.

Накопленный многолетний опыт работы с крупнейшими компаниями Российской федерации в качестве аудитора позволил нам оптимизировать методологию сбора ключевой финансовой и управленческой информации и трансформации её в структурированном виде для эффективного управления на высшем уровне компании.

Трансформация финансовой отчетности

В связи с вступлением в силу новых законодательных требований об обязательном применении Международных стандартов финансовой отчетности (МСФО), вопрос подготовки управленческой финансовой отчетности, соблюдая международные стандарты, становиться все актуальнее для большинства значимых организаций.

ООО «РСМ РУСЬ» предлагает автоматизированное решение по трансформации финансовой отчетности, составленной по РСБУ, в отчетность согласно МСФО, разработанное на базе платформы 1С.

Преимущество предлагаемого решения:

  • Простота и удобство работы;

  • Сокращение сроков подготовки отчетности;

  • Интеграция с бухгалтерской системой (на базе 1С);

  • Работа с единой базой данных;

  • Минимизация ручных операций;

  • Финансовый и управленческий аналитический инструментарий;

  • Регламентация и контроль всего процесса составления отчетности;

  • Успешный опыт выполнения аналогичных проектов.

Существующая линейка продуктов 1С предоставляет гибкие возможности с точки зрения автоматизации функциональности МСФО, что делает возможным реализацию любой архитектуры системы трансформации.

Наша проектная команда работает в тесном взаимодействии с ведущими аудиторами-методологам по трансформации отчетности по МСФО ООО «РСМ РУСЬ», а также применяет наилучшие мировые практики партнеров сети RSM International.

ИТ-аудит

У каждого собственника или руководителя компании нередко возникают естественные опасения в адрес состояния автоматизации бизнес-процессов. И чем крупнее организация, чем сложнее взаимодействие между её подразделениями, внешними контрагентами и клиентами, тем более остро стоят перед бизнесом такие риски, как:

  • Неэффективное взаимодействие внутри компании. Отсутствие оптимального инструмента по автоматизации документооборота;

  • Несоответствие уровня ИТ-сервисов требованиям бизнеса. Неэффективное использование ИТ-ресурсов. Отсутствие обеспечения высокой доступности ключевых сервисов;

  • Отсутствие риск-ориентированной системы внутреннего контроля или её неэффективность. Слабые организационные меры и недостаточное/ нерациональное использование программно-аппаратных средств разграничения доступа сотрудников, контрагентов и клиентов к информации;

  • Риск искажения/утечки/полной утери ключевой информации. Риски информационной безопасности;

  • Ошибки при изменении первичной информации в процессе её автоматизированной обработки/трансформации в полном цикле имеющихся бизнес-процессов.

ООО «РСМ РУСЬ» предлагает своим клиентам комплекс мер по проведению ИТ-аудита Вашей компании с использованием современных эффективных мировых практик, а также с учетом имеющейся нормативно-правовой базы Российской Федерации.

Комплекс мер состоит из мероприятий, выполняемых по разным направлениям. Примерный перечень таких мероприятий:

  • Ознакомление с оргструктурой компании, основными бизнес-процессами в компании, структурой подразделения, обеспечивающего внедрение и сопровождение ИТ сервисов компании, организационно-распорядительной документацией, в соответствии с которой ИТ-подразделение функционирует;

  • Анализ системы внутреннего контроля, организационно распорядительной документации, проектов систем защиты;

  • Проверка соответствия информационных систем требованиям внутренних и/или внешних стандартов;

  • Оценка эффективности ИТ сервисов целям обеспечения рационального и результативного использования инвестиций в информационные технологии;

  • Проверка состояния прав собственности на нематериальные активы компании, а также правильность оформления и регистрации прав на НИОКР;

  • Формирование отчета с выделением перечня выявленных недостатков по итогам проведённых проверок, определение ключевых рисков;

  • Разработка проекта и рекомендаций по формированию эффективной системы функционирования ИТ сервисов компании;

  • Разработка проектов по обеспечению отказоустойчивости систем, обеспечению высокой доступности ключевых элементов корпоративных информационных систем. Разработка проектов по защите информации.

Для каждой организации набор мероприятий подбирается индивидуально, в зависимости от целей проведения ИТ-аудита.

ИТ-инфраструктура

Одним из основных требований к успешной автоматизации бизнес-процессов является использование эффективной ИТ-инфраструктуры.

ООО «РСМ РУСЬ» поможет Вам сформировать четкое представление о текущем состоянии ИТ-инфраструктуры и подготовит необходимые рекомендации и проекты по оптимизации. Можно выделить следующий перечень работ, результаты которых позволят сформировать новую или оптимизировать существующую инфраструктурную базу:

  • Анализ имеющейся документации, требований и проектов по построению инфраструктуры;

  • Проведение технического аудита инфраструктуры;

  • Проектирование – разработка технической и рабочей документации;

  • Проведение обучения персонала по обслуживанию систем;

  • Поставка и настройка элементов инфраструктуры;

  • Проведение опытной эксплуатации, в случае необходимости аттестация, ввод в промышленную эксплуатацию;

  • Проведение комплексного технического обслуживания.

Защита персональных данных

ООО «РСМ РУСЬ» имеет опыт законченных проектов по реализации комплекса мер по защите персональных данных. Среди наших клиентов имеются крупные компании с филиалами во всех субъектах Российской Федерации. Среди них имеются компании с ИСПДн классов К1 и К2. Для них по результатам работ, в том числе, была проведена успешная аттестация во ФСТЭК России.

Предлагаем Вам краткое описание назначения данной услуги и основных этапов по реализации соответствующих проектов.

1.1 Разработка системы защиты для Информационных Систем Персональных Данных в соответствии с требованиями 152 ФЗ «О персональных данных»

Для выполнения требований Федерального закона № 152-ФЗ «О персональных данных» все предприятия, которые обрабатывают персональные данные (Оператор[1]) должны привести свои информационные системы в соответствии с требованиями по защите информации. Под информационной системой понимается не только отдельная программа, но и весь комплекс серверов, рабочих станций, каналов связи, помещений и документов организации.

Меры защиты и необходимые действия зависят от классификации конкретной информационной системы и конкретной организации.

Мы предлагаем провести для Вас комплекс мер по анализу необходимого уровня защищённости персональных данных, обрабатываемых в вашей организации, и разработать для Вас комплект организационно распорядительной документации включая систему защиты персональных данных в соответствии с положениями Федерального закона «О персональных данных» и требованиями нормативных и руководящих.

Для эффективной защиты персональных данных в организации, как правило, необходимо создание и внедрение системы безопасности, представляющей собой комплекс организационных, программно-технических и нормативно-методических мер, который, как правило, включает в себя следующие основные этапы работ:

  1. Обследование пакета внутренней распорядительной документации организации, состояния информационной системы, обрабатывающей персональные данные, и оценка их соответствия требованиям нормативных документов по защите персональных данных.

  2. Классификация информационных систем, обрабатывающих персональные данные.

  3. Разработка модели угроз безопасности персональных данных и модели нарушителя.

  4. Разработка Технического задания на создание системы защиты персональных данных.

  5. Макетирование и стендовые испытания средств защиты информации.

  6. Разработка Технического проекта на создание системы защиты персональных данных.

  7. Поставка и внедрение технических средств защиты информации.

  8. Разработка проектов организационно-распорядительной документации.

  9. Оценка соответствия информационной системы, обрабатывающей персональные данные требованиям по безопасности информации.

В зависимости от объема и категории обрабатываемых данных, уровня сложности процесса обработки персональных данных и текущего уровня их защищённости будет определяться необходимость проведения необходимого количества перечисленных выше этапов. После предварительного обследования будут определены сроки и стоимость каждого этапа.

Все работы проводятся на основе требований нормативных документов по защите персональных данных Российской Федерации.

1.2 Обследование

На первом этапе проводится обследование пакета внутренней распорядительной документации организации, состояния информационной системы, обрабатывающей персональные данные, и оценка их соответствия требованиям нормативных документов по защите персональных данных.

Данный этап включает в себя следующие работы:

  • Анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты персональных данных;

  • Определение используемых средств защиты персональных данных и оценка их соответствия требованиям нормативных документов РФ;

  • Определение перечня персональных данных, подлежащих защите;

  • Определение перечня элементов информационной системы персональных данных, обрабатывающих персональные данные;

  • Определение степени участия персонала в обработке персональных данных и режима доступа к ним.

Результатом работ по данному этапу является аналитический отчет, в котором содержится описание текущего состояния защиты персональных данных, а также рекомендации по устранению выявленных недостатков и нарушений.

1.3 Классификация информационной системы

На этом этапе осуществляется классификация информационной системы, обрабатывающей персональные данные, в соответствии с порядком проведения классификации, описанным в приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20. Результаты классификации информационной системы, обрабатывающей персональные данные, оформляются соответствующим актом подписываемым руководителем предприятия.

Информационные системы, обрабатывающие персональные данные, классифицируются по уровням защищенности в зависимости от важности обрабатываемых персональных данных. Информационная система, обрабатывающая персональные данные, может относиться к классу типовых или специальных. К типовым информационным системам относятся системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы — системы, в которых дополнительно требуется обеспечить целостность или доступность персональных данных (ПДн). Для типовых информационных систем, обрабатывающих персональные данные (ИСПДн), определено четыре возможных класса: К1, К2, К3 и К4.

1.4 Разработка модели угроз

Разработка модели угроз безопасности персональных данных и модели нарушителя происходит на основе перечня угроз безопасности персональных данных при их обработке в ИСПДн, который содержится в «Базовой модели угроз безопасности ПДн при их обработке в ИСПДн», определённой ФСТЭК. При необходимости применения средств криптографических защиты разрабатывается Модель нарушителя в соответствии с нормативными документами ФСБ России. Именно модель угроз и модель нарушителя являются базовыми документами для дальнейшего проектирования системы защиты персональных данных (СЗПДн).

1.5 Разработка Технического задания

Разработка Технического задания на создание системы защиты персональных данных, как правило, определяет следующие разделы:

  • Обоснование разработки СЗПДн;

  • Исходные данные создаваемой ИСПДн в техническом, программном, информационном и организационном аспектах;

  • Класс ИСПДн;

  • Ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;

  • Мероприятия и требования к СЗПДн, которые определяются в соответствии с классом и типом ИСПДн на основе методических документов ФСТЭК России;

  • Перечень предполагаемых к использованию сертифицированных средств защиты информации;

  • Состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

1.6 Макетирование и стендовые испытания средств защиты информации

Испытания проводятся с учетом исходных данных, полученных на этапе обследования, а также требований, определенных Техническим заданием на СЗПДн. В рамках макетирования проводится анализ применимости, совместимости и внедряемости СЗИ в ИСПДн организации. В результате определяется состав технических средств защиты информации, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн. Проводятся стендовые испытания СЗИ. При необходимости производится уточнение Технического задания на СЗПДн.

1.7 Разработка Технического проекта на создание системы защиты персональных данных

Проект содержит детальное описание конкретных программно-технических решений для создания СЗПДн, осуществляется на основе технического задания и результатов стендовых испытаний средств защиты информации.

1.8 Поставка и внедрение технических средств защиты информации

Данные работы осуществляются согласно результатам предыдущих этапов работ, в частности требований и решений, определенных Техническим проектом на СЗПДн. После завершения поставки производится установка и настройка СЗИ.

1.9 Разработка проектов организационно-распорядительной документации

Разработка осуществляется в целях регламентирования порядка обеспечения безопасности ПДн. Состав и структура проектов организационно-распорядительной документации определяется на основе требований, определенных на предыдущих этапах, и включают в том числе:

  • требования к комплексу мер и средств обеспечения безопасности ПДн;

  • требования к персоналу ИСПДн, степень ответственности, статус и должностные обязанности сотрудников.

1.10 Оценка соответствия информационной системы может проводиться в двух вариантах – аттестация и декларирование соответствия. Для ИСПДн классов К1 и К2 рекомендуется проведение аттестации

В случае необходимости на данном этапе проводится разработка проектов документов, необходимых для выполнения аттестационных испытаний, включающих технический паспорт, матрицу доступа к ресурсам и другие документы. Далее проводятся аттестационные испытания на основе разработанной и согласованной с ФСТЭК Программы методик испытаний. По результатам аттестационных испытаний оформляются Протоколы и Заключения, а также выдаётся Аттестат соответствия ФСТЭК России.

———————————————————————————

[1]Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных.