+7 (495) 782-8747
Связаться

Права доступа в 1С:ЗУП КОРП: кому что открывать и как разграничить данные между организациями

Права доступа в 1С:ЗУП КОРП — это основа кадровой и финансовой безопасности компании. Без корректного разграничения кадровик может случайно увидеть зарплату всех сотрудников, расчётчик — взять в работу начисления не по своему юрлицу, а руководитель — получить лишние персональные данные, нарушив 152-ФЗ.
В этой статье разберём, как устроена ролевая модель в 1С:ЗУП КОРП, где проходят границы между организациями и подразделениями и как настроить доступ без ошибок.
Содержание:
Как устроены права доступа в 1С:ЗУП
Типовые профили и роли
Кому и какую информацию открывать
Как разграничить данные между организациями
Организации, филиалы и подразделения: где чаще всего путаются
Доступ к персональным и чувствительным данным
Типовые ошибки при настройке прав
Чек-лист по настройке прав
Частые вопросы
Как мы помогает настроить права в 1С:ЗУП

Как в целом устроены права доступа в 1С:ЗУП КОРП

Система прав доступа представляет собой многоуровневую иерархию. Она построена так, чтобы администратор мог гибко настроить видимость и возможность редактирования документов для разных категорий сотрудников: от кадровика, видящего свои подразделения, до рядового сотрудника, заходящего только в личный кабинет.
В 1С:ЗУП КОРП можно ограничивать доступ на уровне записей. Это позволяет запрещать просмотр не только целых разделов, но и конкретных организаций, подразделений и даже отдельных сотрудников.
Вот основные сущности, из которых строится система доступа и безопасности.
  • Пользователь. Это конкретный человек, который работает в программе. Для него создаётся учётная запись: указывается ФИО и связь с физическим лицом при необходимости из справочника «Сотрудники», задаётся пароль и разрешается вход в систему.
  • Профиль группы доступа. Это шаблон прав, он отвечает на вопрос: «Что именно может делать пользователь?» Внутри профиля администратор отмечает галочками роли и разрешённые действия: право читать документы, создавать новых сотрудников, рассчитывать зарплату и т. д.
  • Группа доступа. Это связка конкретного пользователя, профиля и ограничений. Группа отвечает на вопрос: «Кому именно и к каким данным нужно дать доступ?».
  • Ограничения и разрешённые значения. Здесь определяется, какие именно записи будет видеть пользователь. Например, если в компании несколько филиалов, расчётчику можно предоставить доступ только к его подразделениям и ограничить доступ к другим, либо разграничить доступы Кадровику по свои подразделениям.
Права выбирают не одной галочкой, а комбинацией. Одного флажка напротив «кадровик» недостаточно: он определяет набор действий, но не отвечает на вопрос, с какими именно данными эти действия разрешены. Разделение на профиль (что можно делать) и группу доступа с ограничениями (какие данные доступны) позволяет, например, дать десяти кадровикам одинаковые права на создание приказов, но каждого ограничить своим подразделением.

Какие типовые профили и роли обычно используют

В 1С:ЗУП КОРП нет жёстко заданных групп доступа, но на практике чаще используют набор типовых профилей, поставляемых в составе программ, которые встречаются в большинстве компаний.

Кадровик

Отвечает за приёмы, увольнения, переводы, отпуска и больничные. Имеет полный доступ к кадровым документа, видит расчётные листки и начисления зарплаты, но не может их редактировать. Просматривает персональные данные сотрудников своего подразделения и формирует кадровую отчётность.

Кадровик без доступа к зарплате

Это урезанная версия кадровика. Специалист видит только приказы и личные карточки сотрудников. Доступ к редактированию блока «Зарплата» полностью закрыт, а размер оплаты труда в договоре указывает Бухгалтер. Такой профиль удобен для линейных кадровиков на предприятиях с раздельными функциями.

Расчётчик

Отвечает за начисление зарплаты, удержания, отпускные и больничные выплаты. Видит кадровые документы и персональные данные сотрудников, но не может их редактировать — это зона ответственности кадровика. Может изменять плановые начисления: например, скорректировать оклад или добавить надбавку. Формирует расчётные листки и зарплатную отчётность.

Кадровик-расчётчик

Совмещает полномочия кадровика и расчётчика. Имеет полный доступ к кадровым и расчётным документам: может их создавать, редактировать и просматривать без ограничений. Такой профиль подходит для небольших компаний, где один специалист ведёт и кадровый учёт, и расчёт зарплаты. На крупных предприятиях его выдают одному-двум сотрудникам — как правило, старшему специалисту или руководителю службы.

Руководитель подразделения

Имеет ограниченный доступ: может просматривать состав своего подразделения, утверждать графики отпусков, согласовывать кадровые изменения. Доступа к расчёту зарплаты и персональным данным всех сотрудников у него нет. Главная задача — видеть структуру и участвовать в кадровых процессах своего отдела.

Старший кадровик

Такой сотрудник имеет доступ ко всем операциям: создавать, изменять, удалять любые документы, настраивать справочники и учётную политику. Ему доступны и кадровые, и зарплатные документы. Такой профиль обычно дают начальнику отдела кадров и главному бухгалтеру.

Администратор

Роль с максимальным уровнем доступа. Администратор управляет настройками системы, создаёт и редактирует пользователей, назначает права и роли, ведёт журнал событий. Это технический профиль — не для работы с кадровыми или зарплатными документами, а для обслуживания и конфигурирования базы данных 1С:ЗУП.

Кому что открывать на практике

На практике права распределяют так, чтобы каждый видел только то, что нужно для его работы.
Роль Что открывать Что закрывать
Кадровик Кадровые документы (приёмы, увольнения, переводы, отпуска, больничные), личные карточки сотрудников, кадровую отчётность, плановые начисления сотрудников. Редактирование начислений, удержаний, выплат, настройку справочников и учётной политики.
Кадровик без доступа к зарплате Только документы по кадрам: (приёмы, увольнения, переводы, отпуска, больничные в ограниченном виде), личные карточки сотрудников. Плановые начисления сотрудников и всё, что связано с зарплатой: начисления, удержания, расчётные листки, выплаты, зарплатные отчёты, даже их просмотр.
Расчётчик Начисления, удержания, больничные, отпуска, авансы, выплаты, зарплатные отчёты, регистры учёта. Кадровые документы, влияющие на расчёты (приёмы, увольнения, перемещения). Кадровые приказы по другим отделам, если не совмещает функции, настройка доступов, учётной политики.
Кадровик-расчётчик Любые кадровые и расчётные документы для просмотра и редактирования. Ограничения на просмотр и редактирование документов не нужны, но таких пользователей должно быть 1–2.
Руководитель подразделения Список сотрудников своего отдела, график отпусков, согласование кадровых изменений, аналитика по штатной структуре. Редактирование зарплаты (начисления, расчётные листки), персональные данные (ИНН, СНИЛС, адреса), другие подразделения.
Старший кадровик Любые кадровые документы для просмотра и редактирования. Ограничения на просмотр и редактирование документов не нужны, но таких пользователей должно быть 1–2.
Администратор Всё: настройка пользователей, групп доступа, профилей, справочников, учётной политики, любые кадровые и расчётные документ, полный доступ. Ограничения не нужны. Такой пользователь, как правило, один, он выдаёт права другим сотрудникам.

Это пример матрицы. В реальности вы можете комбинировать профили, настраивать доступы так, как этого требуют задачи вашего бизнеса. Например, в маленькой компании будет достаточно роли администратора, а в крупной — потребуются все группы доступа.

Как разграничить данные между организациями в одной базе

Холдинги и группы компаний часто ведут учёт нескольких юридических лиц в единой информационной базе. Это удобно для получения сводной отчётности и аналитики, но создаёт проблему с доступом: расчётчик одного юридического лица не должен видеть зарплату сотрудников другого.

Ограничение по организациям — это базовый и самый понятный способ разграничения. Логика такая: все организации запрещены, кроме одной или нескольких разрешённых. Администратор включает ограничение доступа на уровне записей и указывает пользователю доступные организации.

Сложнее разграничить информацию по подразделениям и сотрудникам. Механизмы 1С:ЗУП КОРП поддерживают доступ только по штатному расписанию. При попытке настроить такой доступ возникает две проблемы:

  • перемещение сотрудников между подразделениями — например, работника перевели из цеха №1 в цех №2, расчётчик первого теряет доступ к его документам, а расчётчик второго не видит историю начислений, а она нужна ему для больничных;
  • проблема отчётности — регламентированные отчёты, например, РСВ не формируются, если у пользователя нет доступа ко всем физлицам.
Сложности с доступом при переводах характерны для крупных компаний с разветвлённой структурой, где переход между подразделениями — обычная ситуация. Если у вас небольшой штат и переводы редки, типовых настроек 1С:ЗУП хватит.

В остальных случаях мы настраиваем права индивидуально — с учётом особенностей расчёта в вашей компании.

При этом одному пользователю можно назначить несколько групп доступа. Например, расчётчик может иметь доступ к организации А через одну группу и организации Б — через другую. Это удобно, когда сотрудник обслуживает несколько юридических лиц, но должен иметь разные права: по одному — только просмотр, по второму — редактирование.

Организации, филиалы и подразделения: где чаще всего путаются

В 1С:ЗУП есть три объекта, которые часто путают.

  • Филиал — структурное подразделение организации без отдельного баланса: сотрудники числятся в головной организации, учёт ведётся централизованно.
  • Обособленное подразделение зарегистрировано в налоговой по отдельному адресу — это влияет на отчётность по НДФЛ и страховым взносам, но баланс остаётся общим.
  • Филиал на отдельном балансе в системе оформляется как самостоятельная организация: со своим расчётным счётом, кадровым учётом и отчётностью.

Именно от типа структуры зависит, как настраивать права доступа: как правило, для первых двух случаев разграничение идёт по подразделению, для третьего — по организации.

В отличие от организаций, подразделения более изменчивы. Например, сотрудники могут переходить между отделами и цехами. Это создаёт расчётчикам проблемы с отчётностью и начислениями, поэтому ограничения по подразделениям сложнее, чем по организации.

Филиал может быть настроен как отдельная организация в базе, а может — как обособленное подразделение. От выбора зависит право подписи, формирование, расчёт налогов, цепочки согласования. Поэтому важно сначала определиться с моделью, а потом настраивать доступ.

Доступ к персональным и чувствительным данным

Не все кадровые данные можно назвать чувствительными, обычно к ним относят:

  • персональные данные: паспортные данные, ИНН, СНИЛС, адрес, сведения о детях, состоянии здоровья;
  • зарплата и расчётные листки: любые суммы начислений, удержаний и выплат;
  • данные кандидатов: резюме, контактная информация, рекомендации.

Приёмы, увольнения, график отпусков — это операционная работа. Несанкционированный просмотр таких данных не несёт для компании серьёзных рисков. А вот утечка чувствительных данных — это нарушение 152-ФЗ «О персональных данных» со штрафами до 500 тыс. рублей для должностных лиц и до 6 млн — для юридических.

Поэтому в 1С:ЗУП КОРП настраивают логику: чувствительные данные открывают только тем, кому они необходимы при исполнении должностных обязанностей. Например, кадровик видит только карточки и приказы, но не зарплату, а менеджер по подбору персонала не имеет доступа к расчётным листкам.

Типовые ошибки при настройке прав доступа в ЗУП КОРП

Настройка прав доступа выглядит несложно, но есть ошибки, которые администраторы совершают чаще всего.

Пытаются решить всё одним профилем без групп доступа. Один профиль для начальника отдела кадров или самого опытного кадровика кажется удобным, но он даёт пользователю лишние права. Каждому сотруднику необходим определенный набор ролей/профиль групп доступа для исполнения своих рабочих задач.

Не отделяют кадровый контур от зарплатного. Кадровику открывают зарплату, и в результате он видит суммы, которые не нужны ему для работы. Это лишние риски по 152-ФЗ, а также возможность изменять документы начисления зарплаты и регламентированной отчетности.

Путают ограничение по организациям и по подразделениям. Решили закрыть доступ к одному отделу, а настроили через организации — и закрыли целое юрлицо. Или наоборот: хотели изолировать юрлицо, а ограничили только подразделение.

Создают слишком много уникальных профилей вместо аккуратной ролевой матрицы. Это неудобно — при увольнении или переходе сотрудника придётся подбирать несколько профилей групп доступа новому/переведенному сотруднику, что приводит к временным затратам.

Не тестируют права под действующими пользователями. Настроили, но не проверили в работе. А потом кадровик не может сформировать кадровый отчёт, а кто-то из сотрудников получил доступ к зарплатам коллег. Необходимо тестировать настройки группы доступа на копии базы, при этом заходить в базу под учётной записью пользователя (Кадровик, Расчетчик и т. п.).

Забывают про руководителей подразделений и чувствительные данные по кандидатам и зарплате. Открывают полный доступ ко всем документам. Руководитель видит информацию не только по своему подразделению, но и по другим. Это лишние риски. Ему достаточно аналитики по своему отделу и доступа к цепочкам согласования.

Забывают выбрать галочку «Ограничивать доступ на уровне записей» в группе доступа. Если вы её не поставите, настроенные ограничения не будут работать.

Чек-лист: как понять, что права доступа в ЗУП КОРП настроены правильно

Если вы прошли все этапы настройки, проверьте себя по этому списку:

роли пользователей описаны заранее — вы знаете, кто и чем занимается, ещё до того, как открыли настройки прав доступа;
типовые профили используются там, где они подходят — вы не создавали десяток уникальных профилей, не ставили дополнительные галочки конкретным сотрудникам;
собственные профили созданы только там, где это действительно нужно — только под уникальные задачи, не для каждого пользователя;
кадровый и расчётный контур разделены — кадровик не редактирует зарплату, расчётчик не меняет кадровые данные без необходимости;
данные между организациями разграничены — сотрудник одного юрлица не видит документы другого;
руководители подразделений видят только свою зону ответственности — например, начальник цеха имеет доступ только к своим сотрудникам;
доступ к расчётным листкам ограничен — их видят только те, кому это нужно по должности (пользователь программы, к которому относится документ, расчётчик и непосредственный руководитель);
чувствительные персональные данные не открыты «по умолчанию» — к паспортным данным, ИНН, СНИЛС, расчётным листкам имеют доступ только те сотрудники, которым это необходимо при исполнении должностных обязанностей;
настройки проверены под учётными записями действующих пользователей — вы зашли под их паролями и проверили доступ к данным.

Частые вопросы

Можно ли в ЗУП КОРП создавать собственные профили групп доступа?

Да, вы можете скопировать типовые профили и внести в копии изменения.

Какие типовые профили есть в ЗУП КОРП?

Например: «Старший кадровик», «Старший кадровик-расчётчик», «Кадровик», «Расчётчик», «Менеджер по подбору персонала», «Руководитель подразделения» и другие.

Как ограничить пользователя только одной организацией?

Через группы доступа. Нужно включить флажок «Ограничивать доступ на уровне записей» и на вкладке «Ограничения доступа» выбрать организации, которые пользователю разрешены. Логика: все организации запрещены, кроме указанных.

Чем ограничение по организации отличается от ограничения по подразделению?

Организации — это юридические лица, подразделения — часть организации. Ограничение по подразделениям сложнее: при переводе сотрудника между отделами теряется история начислений, а некоторые отчёты могут не сформироваться.

Как дать кадровику доступ без просмотра зарплаты?

Использовать профиль «Кадровик без доступа к зарплате».

Может ли руководитель видеть только своих сотрудников?

Да, это можно настроить через ограничение доступа по подразделениям или по группам физических лиц.

Почему права работают не так, как ожидалось, хотя профиль назначен?

Частая причина: забыли включить флажок «Ограничивать доступ на уровне записей» в группе доступа. Без этого ограничения по организациям, подразделениям и физлицам не действуют.

Когда нужен аудит ролевой модели, а не просто «донастройка прав»?

Когда роли назначаются под каждого пользователя отдельно или когда в компании произошли глобальные структурные изменения.

Как мы помогаем настроить права доступа в 1С:ЗУП КОРП

Внедрение прав доступа в 1С:ЗУП КОРП — задача, от которой зависит безопасность данных и корректность бизнес-процессов. Мы помогаем настроить систему так, чтобы каждый сотрудник имел доступ ровно к своему объёму информации.

  1. Проводим аудит. Анализируем текущих пользователей и назначенные роли, выявляем избыточные права.
  2. Проектируем ролевые модели. Разрабатываем матрицу доступа под вашу организационную структуру и бизнес-процессы.
  3. Настраиваем профили и группы доступа. Создаём и настраиваем типовые и индивидуальные профили и группы доступа.
  4. Настраиваем разграничение по организациям и подразделениям. Организуем доступ к данным только в рамках назначенного юридического лица или подразделения/отдела.
  5. Работаем с чувствительными данными. Детально ограничиваем доступ к зарплате, расчётным листкам, персональной информации сотрудников, исключаем утечки.
  6. Тестируем работу в учётных записях. До передачи базы заказчику проверяем настройки групп доступа.
  7. Сопровождаем. После внедрения ролевой модели оперативно корректируем права при кадровых изменениях и обновлениях конфигурации.

Хотите исключить риски утечки персональных данных и хаос с доступом в 1С:ЗУП КОРП? Проведём аудит групп доступа и профилей групп доступа, поможем разделить кадровый и зарплатный контур, разграничить доступ по организациям и подразделениям, а также выстроить прозрачную ролевую модель.

Заказать бесплатную консультацию

Другие услуги
Импортозамещение: переход на PostgreSQL и Postgres Pro Конвертация данных в 1С:Предприятие 8.3 Заказная разработка программного обеспечения
Новости
«Хэндисофт» на ежегодном семинаре партнёров 1С «Хэндисофт» приглашает на бесплатный вебинар «Как выбрать версию 1С:ЗУП для своего бизнеса» Компания «Хэндисофт» в девятый раз успешно прошла внешний аудит СМК Больше новостей
Теги
услуги 1С:ЗУП 8 КОРП 1С:Документооборот ERP 1С:ЗУП 8 КОРП 3.1 управление ПО маркировка црпт честный знак маркировка молочной продукции автоматизация учета на производстве бизнес-аналитика проектирование архитектура бухгалтерский учет маркировка продукции 1С:Аналитика 1С:ERP разработка
Вам также может быть интересно: