Как X5 Group автоматизировали процесс управления функцией противодействия мошенничеству и коррупции с помощью BPM-платформы

Глеб Катаев: Ранее для управления рассматриваемыми процессами использовался достаточно стандартный и простой набор инструментов – электронная почта, внутренняя нормативная документация, узкоспециализированная учетная система, некогда построенная на известном продукте MS SharePoint, и некоторые подобия task tracker-ов. Я выделяю эти продукты среди прочих, потому что вместе они могли бы служить основой для построения требуемой нами системы. То есть в них имелись функции управления документами, их учета и передачи от сотрудника к сотруднику, а также инструменты поиска информации. Но они развивались бессистемно, во всем известном формате "лоскутной" информатизации. Построить действительно эффективное для наших задач решение с их помощью не представлялось возможным.

Исходные проблемы, которые мы имели, можно назвать вполне традиционными для подразделения, использующего для автоматизации своих задач в основном базовые ИТ-средства. Практиковалось «ручное» управление процессами на всех уровнях, при отсутствии средств контроля работы подчиненных и жизненного цикла разного рода задач. Мы были вынуждены работать в четырех независимых узкоспециализированных системах, имеющих изрядное количество функциональных изъянов, что создавало огромные неудобства для пользователя и делало крайне трудным процесс управления. Единый взгляд на исторические данные тоже было обеспечить трудно, что естественно отражалось и на качестве отчетности. Словом, мы имели вполне типичные проблемы базовой автоматизации, неприспособленной под специфические задачи. И что уже точно нельзя сделать с помощью базовых средств, так это построить сложную ролевую модель, разграничив доступ к информации по бизнес-правилам и упростить жизнь конечному пользователю. А нам это было как раз необходимо.

Глеб Катаев: Наше подразделение занимается противодействием мошенничеству и коррупции, и я думаю, сначала надо уточнить, что мы подразумеваем под этими терминами. Мы в рамках департамента экономической безопасности (ДЭБ) компании X5 Group не занимаемся прямыми хищениями на объектах, будь то магазины или распределительные центры. За этим призваны следить другие подразделения Дирекции безопасности. Сферой нашей деятельности является выявление и предотвращение деятельности, направленной на незаконное личное обогащение сотрудников за счет организации, нанесению прямого, потенциального, либо косвенного ущерба, организации коррупционных схем и т.д. Это могут быть ценовые сговоры, фальсификация документации, лоббирование интересов контрагентов, получение «откатов» за услуги, фактическое создание своего бизнеса внутри X5 и подобные механизмы, которые так или иначе имеют место, когда ставится цель личного обогащения за счет ресурсов и авторитета компании X5 Group и которые могут привести к нанесению прямого, потенциального или отложенного финансового и других видов ущерба.

Нашу деятельность можно назвать внутренним сервисом, который мы оказываем компании X5 Group и который должен обладать определенными характеристиками качества. А качество в нашем случае невозможно без технологичной работы с информацией, обеспечения целостности, чистоты и сохранности неструктурированных данных, с использованием различных методов и инструментов, уложенных в рамки эффективных, прозрачных и управляемых процессов. Плюс, конечно, необходимо обеспечить оперативность и производительность исполнения наших сервисов (в год по компании мы проводим сотни расследований, в рамках которых обрабатываются десятки тысяч информационных запросов) без потери их результативности. Если в плане работы с информацией и набором инструментов у нас уже было все налажено, то часть управления процессами имела изъяны и требовала качественной проработки и модернизации.

Система, которую мы внедрили, помогает решать целый ряд задач. Здесь важно подчеркнуть, что система не является прямым инструментом борьбы с внутренними злоупотреблениями. Основной целью внедрения системы являлось создание решения, объединяющего и обеспечивающего удобное, оперативное, эффективное и контролируемое сквозное взаимодействие подразделений, осуществляющих функцию противодействия мошенничеству и коррупции в компании. Сейчас в ней реализовано выполнение более 20 уникальных процессов ряда подразделений дирекции безопасности X5 Group, тем или иным способом задействованных в осуществлении данной функции. Точное количество подразделений назвать трудно, т.к. в компании существует как организационное, так и функциональное подчинение. То есть, если мы говорим о департаменте экономической безопасности, мы курируем экономическую безопасность всех торговых сетей, бизнес-единиц и самой управляющей компании. Также есть смежные подразделения дирекции безопасности, как например департамент информационно-аналитической деятельности, тем или иным образом задействованных в данной функции.

Мстислав Мартынюк: От лица исполнителя проекта отмечу, что постановка заказчиком бизнес-целей (что, конечно, является основным) всегда сопряжена с рядом нефункциональных требований и ограничений, которые напрямую с бизнес-целями, может быть, и не связаны, но должны приниматься во внимание, и в этом смысле оказывают серьезное влияние на архитектуру системы и состав работ проекта. Так, например, одним из ключевых требований к системе была организация ее компонентов в разрезе бизнес-подразделений заказчика с возможностью независимого управления жизненным циклом каждого компонента. Подобное требование (наряду с требованиями к надежности и масштабируемости решения) предопределило выбор микросервисной архитектуры. Также необходимо было разработать карту бизнес-процессов и выявить схему информационных потоков, позаботиться об интеграционном слое, средствах администрирования решения. Без постановки таких задач и их решения, бизнес-целей проекта можно и не достичь.

Глеб Катаев: Известная исследовательская компания Gartner разделяет корпоративные системы на три категории и при выборе от этой классификации мы в основном и отталкивались. На нижнем слое находятся системы, которые, как правило, создаются для решения задач, стоящих перед большинством коммерческих предприятий. Gartner называет их Systems of Records. Сюда относятся, скажем, системы ERP или CRM–классов. Особых конкурентных преимуществ и специализированных функций они не предоставляют, но для решения стандартных задач и поддержания некого стандартного уровня эффективности и качества работы подходят хорошо. Нам такие инструменты мало подходят хотя бы в силу специфичности наших задач.

На верхнем слое находятся инновационные продукты, которые, наоборот, способны обеспечить высокую конкурентоспособность. При этом они ориентированы на поддержку принципиально новых бизнес-идей, но их внедрение связано с высокими рисками. Это тоже совсем не про нашу ситуацию.

Между этими слоями лежат так называемые Systems of Differentiations, призванные автоматизировать либо существенно продвинутые отраслевые бизнес-идеи, либо уникальные и не покрываемые системами первой категории процессы. Все это гораздо ближе к нашей ситуации.

Вместе с тем с категорией Systems of Differentiations сейчас в наибольшей степени ассоциируются BPM-системы. Или, когда речь идет о сильной кастомизации под бизнес-процессы, больше с так называемыми BPM-движками. Так мы пришли к выводу о целесообразности внедрения продукта именно этого класса, выбор которого основывался на показателе ТСО, конкурентных преимуществах и сложности поддержки и доработок.

Мстислав Мартынюк: Целевой функцией Camunda BPM как раз является автоматизация бизнес-процессов и поддержка принятия решений. Ранее это решение больше позиционировалось как BPM-система, а теперь именно как платформа, BPM-движок, сконцентрированный на построении предельно гибких кастомизированных решений. То есть, продвигая эту систему нельзя утверждать, что она прямо из коробки идеально «ложится» на процессы клиента. Возможно, это не самая сильная ее сторона, и определенная работа достается разработчику. Но в гибкости мы однозначно выигрываем и пока еще не сталкивались с ситуацией, когда нам не хватает каких-то функциональных или архитектурных возможностей.

Глеб Катаев: Детали самих процессов (что, кем и как делается) в силу конфиденциальности данной информации я раскрывать не могу, поэтому прокомментирую скорее общие схемы работы. В рамках проведения расследований мы (ДЭБ) пользуемся некими внутренними сервисами, поддержку которых осуществляет то или иное подразделение ДБ X5 Group. Прежде всего, с целью минимального отвлечения бизнеса, мы работаем с информацией, которая, как правило, является результатом какого-то проведенного исследования, либо массивом данных из внутренних или внешних информационных систем. Для получения этой информации нам, как сотрудникам, проводящим расследование, надо правильно сформировать запросы. В зависимости от их типа – согласовать, проследить за сроками и качеством их выполнения, возможно что-то уточнить в ходе их выполнения с исполнителем, на которого, в свою очередь, данная задача должна быть назначена и при этом связать результаты их обработки с расследованием, в рамках которого выполнялся запрос. После проведения самого расследования необходимо согласовать его результаты, проинформировать заинтересованные лица, проконтролировать выполнение предложенных по результатам расследований мероприятий. Все это формирует процесс, на текущий день протекающий в Camunda.

Глеб Катаев: Если мы говорим о тиражировании вовне, то полностью тиражировать трудно, но это связано в первую очередь не с самим решением, а уникальностью организационной структуры и процессов Компании. Например, можно уже с нуля не придумывать процессы, методы их совершенствования, необходимую для борьбы со злоупотреблениями аналитику и т. д. Имея готовое решение, можно отталкиваться от него для создания эффективной структуры подразделения и это будет куда как эффективнее.

Если мы говорим о внутреннем тиражировании, то тут никаких проблем нет. Условно говоря, если X5 Group завтра покупает какой-либо бизнес, то необходимо будет определиться, переводим ли мы их на наши процессы или оставляем принятую в этой компании практику. Если переводим, то та схема тиражирования, о которой я только что сказал, будет оптимальной.

Мстислав Мартынюк: В ходе проекта у нас как раз было нефункциональное требование, касающееся возможности экстраполирования решения на новые бизнес-единицы. За счет ряда архитектурных приемов мы это требование учли.

Глеб Катаев: Да, мы внедрили и используем нашу систему, в том числе и для подобных целей. Причем оценку можно делать как качественную, так и количественную. Что касается первой, есть возможность, например, определить, делал ли сотрудник ДЭБ, осуществляя расследование, те или иные информационные запросы, дающие объективную картину по предмету расследования и обеспечивающие доказательную базу для подтверждения его результатов. Также возможно установить правила, ограничивающие направления какого-то типа запроса, если сотрудником еще не выполнены обязательные мероприятия, предусмотренные внутренними методиками. Все это минимизирует риск поверхностного и необъективного проведения расследования, либо же наоборот чрезмерной растраты ресурсов на обработку избыточных запросов.

Количественные оценки тоже получаются без особых проблем. Сколько тот или иной сотрудник провел расследований, в каких работах участвовал, какой ущерб ему удалось предотвратить, как его деятельность сегодня отличается от аналогичной за предшествующий период, а также в сравнении с работой его коллег - все эти параметры необходимо получать в совокупности и проводить интегрированный анализ. Только так мы можем иметь объективную картину, а тут без ИТ-составляющей опять-таки не обойтись.

Глеб Катаев: Безусловно, как я уже говорил, значительная часть нашей работы связана с запросами на получение тех или иных данных. Для того, чтобы к этой работе приступить, надо как минимум знать, какие информационные источники нам доступны, и какие данные из них можно взять. В нашей системе есть некий каталог информационных «услуг» и в большинстве случаев требуемая при расследованиях информация в этом каталоге представлена.

Если говорить о нефункциональных запросах, результаты обработки которых в явном виде не используются при проведении расследований, на сегодня у нас, например, налажена интеграция с системой управления человеческими ресурсами SAP HR, с Active Directory, с системой управления мастер-данными IBM MDM. Запрашиваются определенные данные из ERP-системы. Используется также шлюз к внешней системе Спарк Интерфакс, из которой, если бывает необходимо, мы получаем информацию о компаниях, не являющихся нашими контрагентами.

Мстислав Мартынюк: Интеграция, наверное, является для исполнителя отдельной технической задачей внутри каждого серьезного ИТ-проекта. И наш проект, конечно, не исключение. Для интеграции с некоторыми из вышеупомянутых систем нами совместно со специалистами X5 Group разрабатывались адаптеры. Для взаимодействия с внешними ИТ-ресурсами использовались синхронные механизмы на базе REST API. Для внутренней интеграции мы во многом задействовали ресурсы Apache Kafka, на сегодня фактически являющейся стандартом по налаживании обмена информацией между системами с помощью асинхронных сообщений.

Мстислав Мартынюк: Прежде всего мы рассчитывали на удаленную совместную работу, которая, как мы считаем, эффективна по целому ряду параметров, а уж в пиковый период пандемии, на который собственно и пришелся наш проект, и подавно. Благо инструменты в ландшафте X5 Group вполне позволяют это делать. Мы также сознательно ориентируемся на методологию DevSecOps (тесное взаимодействие разработчиков, поддержки и бизнеса) и применяем гибкие методики разработки ПО (Agile, Scrum). Отмечу, что функции системы в рамках данного проекта мы во многом реализовывали в виде микросервисов, и хотя это, по сути, архитектурная концепция, она вполне явно отражается и на операционных процессах управления ходом выполнения проекта.

Для организации широкого спектра задач оперативного управления проектом и совместной работы, - от неформального взаимодействия и управления требованиями до менеджмента исходного кода, использовались различные и в целом уже вполне известные на рынке инструменты. Это и Microsoft Teams, и Confluence, и GitLab, и SonarQube. В общем, управление данным проектом было весьма насыщено как с методической стороны, так и с точки зрения программной поддержки. Но это не представляется нам избыточным или эклектичным. В нашем случае это точно повышало эффективность работы, а еще раз поминая все еще переживаемую всеми нами пандемию, и учитывая, что показатель Time-To-Market являлся для нашего заказчика одним из важнейших, нам без этого арсенала трудно было бы обойтись.

Глеб Катаев: Наши процессы были оптимизированы, стали сквозными для всех задействованных подразделений и абсолютно прозрачными как для внутренних пользователей, так и для аудиторов. Все подразделения Дирекции безопасности, осуществляющие функцию противодействия мошенничеству и коррупции, работают в едином информационном поле, что безусловно прямо влияет на качественный показатель нашей общей работы. У нас появилось цифровое хранилище наших материалов, которое можно использовать, в том числе, как некую внутреннюю базу знаний. Также удалось реализовать сложную ролевую модель и разграничить полномочия доступа к данным. На самом деле плюсы можно перечислять бесконечно, но это то, что непосредственно касается бизнес-процессов как таковых.

Также мы вывели на новый уровень технологии работы с данными. Если более конкретно, мы избавились от необходимости «вручную» искать, вводить (иногда по много раз) данные. Удалось повысить качество информации – обеспечили полноту, насыщение и в то же время избавились от дублирования, сохранив вместе с тем ее конфиденциальность. Ежедневная работа сотрудников теперь осуществляется через единый дружественный интерфейс приложения. Само решение во много раз превосходит используемые ранее инструменты, как с точки зрения функциональных возможностей, так и с точки зрения удобства конечных пользователей.

И, наконец, можно говорить о выгодах, которые напрямую выражаются в бизнес-терминах. Мы очевидно избавились от лишней бюрократии, обеспечили полноту и чистоту данных, ускорили выполнения всех пользовательских процессов. Несмотря на быстрый рост компании, удалось справиться с возросшим объемом работы тем же числом сотрудников Дирекции. Ну и одно из самых важных преимуществ – гибкость. Компания продолжает быстро расти, появляются новые бизнес-юниты, система позволяет масштабировать процессы на новые подразделения и развивать процессы.

Глеб Катаев: Естественно, мы решили не ограничиваться одним, хоть и столь масштабным направлением, как функция противодействия мошенничеству и коррупции. Наши усилия также были направлены на автоматизацию других направлений работы Дирекции безопасности Х5 Group. Совсем недавно, можно сказать на днях, мы запустили в продуктивное использование модуль управления функцией оперативных дежурных, регистрирующих и обрабатывающих все возможные инциденты на объектах компании (магазины, распределительные центры, офисы). Это любое событие - от отключения электроэнергии в магазине, конфликтной ситуации и выявления фальшивой купюры, до приостановки деятельности объекта, пожара и т.д. Как вы понимаете, в масштабах X5 Group (это более 18 тысяч объектов), таких инцидентов обрабатывается достаточно много. Без автоматизации тут не обойтись. Тем более, если мы говорим про качественную составляющую и соблюдение какого-то внутреннего SLA. Разработанное решение максимально покрывает потребность внутреннего заказчика в части автоматизации, уменьшении человеческих усилий на обработку инцидентов, полноты данных, простоты и управляемости процесса для конечных пользователей, а также контрольной функции и аналитических возможностях.

Также в стадии запуска находятся еще несколько менее глобальных сервисов, обеспечивающих управление процессами подразделений пожарной и физической безопасности. В разработке находится модуль автоматизированной обработки инцидентов информационной безопасности по линии защиты коммерческой тайны. По обратной связи от подразделений, ранее участвовавших в расследовании таких инцидентов, оптимизация данного процесса уже позволила снизить на них нагрузку на 30-40% в зависимости от региона присутствия, что, в свою очередь, позволяет им сосредоточиться на других направлениях своей деятельности.

Все это реализуется отдельными сервисами в рамках нашего централизованного решения. Также в планах на этот и следующий год стоит автоматизация ряда процессов. Речь идет как о сугубо внутренних процессах дирекции безопасности, так и о процессах, в которых мы являемся участником наряду с другими бизнес-подразделениями Компании.

Отдельным вектором проекта и соответственно очередная фаза качественного развития функций автоматизации во многом связаны с развитием направления аналитики. Ныне небезызвестная концепция Data-Driven Decisions, или принятие решений на основе данных, вполне актуальна и для нас. Нам важно видеть, где больше имеют место нарушения, какие типы нарушений наиболее распространены, где необходимо увеличить контроль, где скорректировать процесс, куда направить свои усилия в будущем. На основе этой информации можно выстроить своего рода динамическую модель злоупотреблений, а на ее базе, в свою очередь, организовать взаимодействие с рядом смежных подразделений для совместного выстраивание политики митигации рисков.

Есть также планы шире использовать роботизацию бизнес-процессов (RPA). В частности, для обеспечения качественного выполнения наших задач в условиях постоянного роста компании без увеличения численности персонала.

Мстислав Мартынюк: Добавлю, что модель предиктивной аналитики во многом предполагается осуществлять средствами мощных BI-систем. В частности, посредством уже используемой в X5 Group системы Tableau. И здесь Camunda BPM должна будет продемонстрировать свои богатые интеграционные возможности.