Экспертиза информационной системы управленческого учета CRM

Здравствуйте.

Рады приветствовать вас на сайте Союза «Федерация судебных экспертов».

Ситуация, когда внедрённая CRM-система (управленческий учёт, взаимоотношения с клиентами) работает со сбоями, не соответствует документации, имеет слабую защиту или её стоимость вызывает споры между заказчиком и разработчиком — это классический повод для технической экспертизы. Она должна ответить на пять ваших вопросов: функциональное состояние, соответствие ТЗ и договору, рыночная стоимость, степень защищённости, а также причины сбоев. Такое комплексное исследование мы называем экспертиза информационной системы управленческого учета CRM. Для её проведения нужны эксперты разного профиля: программист, специалист по базам данных, специалист по информационной безопасности и, возможно, экономист для оценки стоимости.

Стоимость проведения

Цена зависит от сложности CRM (количество модулей, интеграции с другими системами 1С, ERP, телефонией, сайтом), объёма исходного кода, а также от необходимости тестирования на нагрузку и проверки безопасности (пентест). Базовая экспертиза информационной системы управленческого учета CRM (только функциональное тестирование и проверка соответствия техническому заданию) для небольшой системы (до 10 рабочих мест) стоит от 40 000 до 70 000 рублей. Расширенная экспертиза с анализом кода, тестированием на проникновение (оценка защищённости), нагрузочными тестами и расчётом рыночной стоимости — от 80 000 до 150 000 рублей. Полноценная судебная экспертиза с выездом на серверную, изучением логов сбоев за длительный период, привлечением трёх экспертов и подготовкой развёрнутого заключения — от 120 000 до 200 000 рублей. Учитывая объём ваших вопросов (включая стоимость и безопасность), вам потребуется второй вариант или даже третий.

Сроки выполнения работ

При стандартной загрузке — от 14 до 30 рабочих дней. Срочный режим за 7–10 дней возможен с надбавкой 50-80%. Задержки возникают, если система имеет сложную интеграцию с внешними сервисами (API, веб-хуки), если разработчик не предоставляет полную проектную документацию, или если требуется длительный сбор логов сбоев (они могут быть не настроены). Также задержка вероятна из-за необходимости проводить нагрузочное тестирование (например, имитация работы 100 пользователей в течение нескольких часов). Помните, что качественная экспертиза информационной системы управленческого учета CRM требует времени, особенно при анализе защищённости (пентест может занять неделю, так как нужно действовать аккуратно, не нарушив работу системы).

Какие документы необходимы?

Для ответа на все пять вопросов соберите максимальный пакет:

Техническое задание (ТЗ) на разработку CRM — это главный документ, с которым эксперт будет сверять функционал.

Проектная документация (архитектура системы, описание баз данных, схемы взаимодействия модулей, API- спецификации, если есть).

Договор между вами и разработчиком (или поставщиком) — особенно часть о сроках, этапах, стоимости, штрафах, гарантийных обязательствах.

Исходный код системы (если вы владеете им по договору) или доступ к репозиторию; если CRM — коммерческая коробочная, то документация от производителя.

Доступ к работающей CRM (учётные записи с правами администратора) для функционального тестирования, просмотра логов, конфигурации.

Логи ошибок и сбоев за период (например, за 3-6 месяцев) — если они сохранились. Желательно с указанием даты, времени, стек-трейса ошибки, действий пользователя.

Отчёты о производительности (нагрузка на сервер, время отклика, количество одновременных пользователей).

Перечень инцидентов информационной безопасности (если были взломы, утечки, DDoS-атаки) и имеющаяся политика безопасности.

Ваше заявление или определение суда с перечнем вопросов.

Без этих документов провести экспертизу информационной системы управленческого учета CRM невозможно, так как эксперт не сможет отличить заложенное ТЗ от отклонений.

Как провести процедуру? Пошагово

Шаг 1. Вы обращаетесь к нам, предоставляете документацию и доступ к системе. Заключается договор.

Шаг 2. Экспертная группа (системный аналитик, разработчик, ИБ-специалист, экономист) знакомится с материалами и планирует работу.

Шаг 3. Первый этап — функциональное тестирование. Эксперт составляет чек-лист на основе ТЗ (например, «создание контрагента», «выставление счёта», «формирование отчёта по продажам»). Затем выполняет каждый пункт в реальной CRM и фиксирует: работает как надо, работает с ошибками, не работает, работает неполно. Именно здесь определяется фактическое функциональное состояние. По сути, это основа всей экспертиза информационной системы управленческого учета CRM.

Шаг 4. Второй этап — проверка соответствия проектной документации. Эксперт сравнивает архитектуру (таблицы БД, API-эндпоинты, алгоритмы) с тем, что описано в проекте. Ищет недокументированные изменения, отсутствующие или лишние модули.

Шаг 5. Третий этап — анализ причин сбоев. Эксперт изучает логи ошибок, выделяет наиболее частые типы (ошибки БД, таймауты, необработанные исключения, ошибки интеграции). Проводит нагрузочное тестирование, чтобы проверить, не падает ли система при превышении количества пользователей. При необходимости воспроизводит сбой в тестовой среде, чтобы локализовать проблему (например, нехватка памяти, неправильный индекс в БД, ошибка в коде).

Шаг 6. Четвёртый этап — оценка защищённости. Эксперт по ИБ проводит анализ конфигурации: проверяет шифрование данных (в покое и при передаче), политику паролей, права доступа к данным (можно ли пользователю увидеть чужие сделки), наличие защиты от SQL-инъекций и XSS-атак. При проведении пентеста (с вашего письменного разрешения) пытается выявить уязвимости. Результат — степень защищённости (высокая, средняя, низкая, критическая).

Шаг 7. Пятый этап — определение рыночной стоимости CRM. Экономист (или оценщик ПО) исследует рынок: какие аналоги имеют похожий функционал, сколько стоят лицензии, внедрение, сопровождение. Учитывает полноту документации, наличие исходного кода, количество доработок. Сравнивает с затратами на разработку «с нуля» (затратный подход) и со стоимостью подписки (доходный подход не применяется). Даёт итоговую стоимость в рублях на текущую дату.

Шаг 8. Все выводы сводятся в единое заключение, где по каждому из пяти вопросов дан развёрнутый ответ и приложены подтверждающие документы (скриншоты, фрагменты логов, результаты пентеста, сравнение с рынком). Вы получаете заключение для суда или для досудебной претензии.

Какие трудности могут возникнуть?

Их много, и о них нужно знать. Первая — отсутствие у заказчика полной проектной документации. Разработчик отдал систему, а бумаг нет. Эксперт будет опираться только на ТЗ (которое могло быть составлено небрежно), и вывод будет менее точным. Вторая — если CRM кастомизирована и переписана «под заказ», но при этом в ней использованы открытые библиотеки с нарушениями лицензий. Эксперт обнаружит это, вопрос обойдётся для заказчика дорого. Третья — сбои могут быть вызваны не ошибками в коде, а неправильной эксплуатацией (пользователи вводят недопустимые данные, администраторы неправильно настроили сервер). Эксперт должен дифференцировать, но для этого ему нужны логи действий пользователей, которых часто нет. Четвертая — оценка стоимости информационной системы сильно варьируется: разработчик заявит 10 млн руб., а рыночная стоимость аналогичной (с учётом сбоев) — 3 млн руб. Эксперт должен чётко обосновать свою цифру ссылками на конкретные предложения. Пятая — тестирование на нагрузку и безопасность может нарушить работу системы и даже повредить данные. Поэтому эксперты действуют либо на тестовом стенде (если он есть), либо в «тихие» часы, и берут с вас письменное согласие на риск. Все эти сложности делают экспертизу информационной системы управленческого учета CRM дорогой, но без неё суд не разберётся, кто прав.

Где провести в Москве?

Исследование проводится камерально в нашем офисе, но с доступом к вашей CRM через интернет (защищённый VPN) или с выездом эксперта на вашу серверную (если система установлена локально). Адрес офиса: город Москва, Кожевнический проезд, дом 3, строение 2 (метро «Павелецкая»). Выезд на серверную (по Москве) — дополнительно 5 000 рублей.

Общие правила и процедура проведения

Экспертиза проводится в соответствии с ГОСТ Р 57144-2016 «Информационные технологии. Экспертиза программного обеспечения», а также стандартами «Общие требования к экспертизе информационных систем» (ЦСИ). Эксперты должны:

Иметь сертификаты в области тестирования ПО, информационной безопасности (например, CISA, OSCP) или подтверждённый опыт.

При функциональном тестировании использовать чек-листы, основанные исключительно на ТЗ, а не на своих ожиданиях.

При пентесте не нарушать работу смежных систем и не уничтожать данные; все действия должны быть согласованы.

При оценке стоимости применять общепринятые подходы (затратный, сравнительный) в рамках ФСО № 11 «Оценка интеллектуальной собственности и нематериальных активов».

В заключении отдельно ответить на каждый из пяти вопросов, не смешивая их.

Соблюдение этих правил гарантирует, что заключение экспертизы информационной системы управленческого учета CRM будет принято судом и станет основанием для расторжения договора, взыскания убытков или пересмотра стоимости.

За подробной и точной консультацией приглашаем вас в наш офис Союза «Федерация судебных экспертов», адрес которого указан на https://fedexpertiza.ru/#contacts