Вера неайтишной части человечества в софт может иметь колоссальную амплитуду: от тотального недоверия до практически мифологического поклонения. Истина, как обычно, посередине. Любая программа, работающая с данными и человеком в роли оператора, имеет свои узкие места, которые можно эксплуатировать по неосторожности или со злым умыслом. Когда это касается коммерческой информации, незначительная ошибка или проблема может нанести ощутимый урон. Между тем, защититься от потенциальных неприятностей довольно просто — достаточно не полениться и провести самостоятельный аудит. Если не знаете, что это такое, делимся опытом.
Аудит безопасности
Безопасность в CRM-системе — штука специфическая: все знают о том, насколько дорого для любой компании стоит клиентская база, но большинство относится к безопасности данных в CRM спустя рукава. Действительно, зачем: ведь это умная система, которая «всё может сама», а в крайнем случае волшебник-вендор всё восстановит (нет, не всегда). А вот угроз безопасности масса: от неэтичного поведения внешних агентов и конкурентов до расхлябанности и злого умысла сотрудников.
Бдите безопасность в CRM — это не только ваши нервы, но и деньги.
Делайте бэкапы, тестируйте их и обновляйте.
Проверяйте права доступа всех сотрудников и не проявляйте необоснованную щедрость, присваивая максимальные права как символ доверия.
В первый же день закрывайте уволенным сотрудникам доступ в систему, а не оставляйте их там навечно.
Не раздавайте права администратора направо и налево. Администраторами должны быть технически грамотные сотрудники с высоким уровнем доверия.
Логируйте все критические действия.
Добавьте авторизацию Windows по имени ПК или домена.
Давайте новым сотрудникам минимальный доступ до окончания испытательного срока и подписания документов о неразглашении коммерческой тайны.
Подключите двухфакторную аутентификацию, например, пароль и персональный USB-ключ. Злоумышленники не смогут войти в систему без предъявления физического ключа.
Если база данных размещена в облаке, используйте только выбранный вами (!) VPS (но и этого мало).
Если ваша CRM предполагает доступ внешних агентов (например, партнёров или клиентов), предусмотрите для них «изолированный» доступ, который будет открываться только на время использования кабинета в CRM, например. Запретите сотрудникам передавать логины и пароли даже самым доверенным клиентам и партнёрам. Добавьте контроль доверенных IP-адресов и MAC-адресов внешних компьютеров, с которых вы разрешаете вход в систему, это будет дополнительным фактором борьбы с последствиями передачи паролей третьим лицам.
Остальные опции безопасности CRM-системы зависят от потребностей и возможностей компании и зависят от формы поставки самой системы. Аудит базовых настроек безопасности — строго обязательная процедура для всех компаний, у кого внедрена CRM-система.
Аудит данных
Данные — основа существования CRM-системы и оперативной работы компании: это клиентская база, справочники, записи о сделках, электронные версии документов, переписки, чаты, звонки и проч. Данные в любой компании накапливаются годами и достаточно интенсивно, потому что их, как правило, генерируют практически все сотрудники. И практически все же сотрудники затем эти данные анализируют, интерпретируют и используют для быстрой, продуктивной работы и выстраивания нормальных, адекватных XXI веку, отношений с клиентами.
Но данные имеют нехорошее свойство распадаться. Распад данных может быть связан с человеческим фактором (прежде всего), с проблемами и багами резервного копирования, с техническими сбоями, а также с обычным устареванием информации. Такие данные могут стать проблемными и принести больше головной боли, чем эффективности. Но, конечно, в этой категории среди причин ничто не сравнится с человеческим фактором и преднамеренными действиями: сотрудники могут не просто уносить клиентскую базу с собой, но и повреждать информацию. Причём одни сотрудники это делают топорно, а значит заметно, и любой бэкап исправит эту ситуацию, а другие могут переименовывать сотрудников клиентов, вносить гадкие выражения в тексты договоров, шаблоны рассылок и т.д. И вот вы вроде доверяете своей CRM-системе, полагаетесь на автоматизацию, но основная подлость уже заложена человеком. Как результат, небольшая дырка в безопасности плавно перерастает в глобальную репутационную угрозу.
Аудит данных должен включать в себя несколько важных моментов.
Прежде всего нужно проводить аудит бэкапов, тестировать их и проверять целостность. Старые, поломанные, частичные резервные копии не принесут вам никакой пользы. Ведь нет ничего ужаснее, когда после потери рабочей базы, данные в которой накоплены годами, выясняется, что все бэкапы есть и смирно лежат в нужном месте, но все они оказываются битые! Такое же разочарование может постичь руководство, когда выясняется, что бэкапы хранились на том же физическом диске, на котором была база. И, как следствие, база погибла вместе со всеми бэкапами в момент поломки диска.
Обязательно нужно выборочно проверять таблицы и справочники — пусть эта ручная проверка происходит пару раз в квартал, всегда неожиданно и желательно в закрытом режиме, чтобы сотрудники никак о ней не могли узнать. С этими целями можно менять сроки, выборки и ответственных за проверку.
Следите за журналами действий: если ваша компания выбрала приличную современную CRM-систему, в ней точно должно вестись логирование всех действий без возможности удаления логов кем-либо, кроме администратора системы.
После ухода ключевого сотрудника из компании проводите дополнительный аудит тех данных, с которыми он взаимодействовал, — так вы избавите себя от неприятностей, связанных со злонамеренными действиями.
Периодически проверяйте, насколько актуальны контакты для рассылок и ответственных в компаниях клиентов — работу по актуализации данных лучше доверить самим менеджерам, а актуальность сведений по клиентам можно привязать к их KPI.
Аудит данных — самый кропотливый вид аудита с наибольшей периодичностью проведения. Но это и гарантия эффективной и беспроблемной работы CRM.
Аудит процессов
Если вам удаётся автоматизировать бизнес-процессы в CRM (в нативном редакторе, как в RegionSoft CRM или во внешнем сервисе), вам здорово повезло — эту возможность упускать точно не стоит. Преимуществ масса: чёткие этапы и триггеры, прозрачная ответственность, жёстко обозначенные сроки, дедлайны, быстрая реакция на любые изменения. Однако запустить процессы один раз и навсегда не получится, поскольку в компании постоянно что-то меняется, приходят и уходят сотрудники и т.д. Поэтому процессы нуждаются в детальном аудите и рефакторинге по его итогам.
На что следует обратить внимание при пересмотре процессов?
Все процессы должны иметь обязательные атрибуты: этапы, сроки, триггеры, связи, ответственных. Тогда они будут работать правильно.
Жизненный цикл процессов обязательно должен логироваться.
Процессы должны полностью соответствовать всему, что происходит в компании — автоматизированный процесс как формальность не имеет никакого смысла.
Процессы должны работать: запускаться, выполняться, закрываться.
Аудит документации
В хорошей CRM-системе, как правило, можно загрузить шаблоны первичной документации, а также шаблоны договоров, коммерческих предложений, технико-коммерческих приложений, рассылок, форм, опросов и т.д. Эти документы могут меняться исходя из обстоятельств в самой компании или из-за изменений в законодательстве. Все формы документов нужно периодически (минимум раз в год) верифицировать и исправлять, чтобы менеджер мог получить доступ к нужной форме в считанные секунды, не задумываясь, насколько форма актуальна.
Проверяйте все тексты на предмет их точного соответствия требованиям и здравому смыслу (например, во избежание «шуток» бывших сотрудников или ссылок на устаревшие налоговые ставки и нормативные документы).
Проверяйте формы подстановки на живых данных.
Следите за актуальными обновлениями законодательства.
Проверяйте корректность отображения документов (через инструмент печатных форм, если он есть, или через вывод документов на печать).
Аудит интеграций
CRM-система редко работает в одиночку: как правило, обязательно есть интеграции с телефонией, сайтом, обмен данными с 1С и т.д. Объём и количество интеграций зависят от потребностей компании и от возможностей самой системы: например, в RegionSoft CRM уже встроены задачи, процессы, склад, производство, планировщики и т.д., а есть системы без таких функций, которые предпочитают внешнюю реализацию части функций. Вне зависимости от типа системы, нужно проверять корректную работу интеграций.
Все данные из внешних приложений должны быть доступны, желательно в самой CRM-системе (например, запись звонка или чата прикрепляется к карточке клиента) или в базе данных с полными правами доступа вашей компании. Увы, на рынке бывали случаи, когда сервис в одностороннем порядке изменял условия обслуживания и данные удавалось «вытащить» только за прямую или косвенную плату.
Внешние приложения должны корректно работать и удобно вызываться из интерфейса самой CRM-системы.
Также нужно проверять стоимость дополнительных сервисов: каждый год появляются новые решения и, вероятно, есть возможность выбрать что-то более выгодное.
Аудит эффективности
Это общий аудит-собеседование в сочетании с формальным аудитом, который даёт цельную картину того, как CRM-система используется в компании. Руководители собирают и агрегируют информацию от сотрудников в процессе опроса и неформального собеседования. Этот тип аудита особенно важен в первый год работы CRM-системы. Во время обучения и в начале работы сотрудники не могут на все 100% оценить полезность и потенциал внедрённой системы, потому что взвешенная оценка происходит по мере погружения в возможности программы.
На этом этапе важно агрегировать несколько показателей.
Как часто сотрудники заходят в CRM-систему, сколько и какие операции в ней выполняют.
Используют ли сотрудники сторонние, не интегрированные с CRM-системой решения, которые дублируют её функции. Если да, в чём причина предпочтения и что есть в дополнительных программах из того, чего нет в CRM.
Всё ли понятно и удобно в системе.
Довольно знаковый вопрос: придумали ли вы, как сделать работу в CRM удобнее? Иногда в ходе опроса всплывают странные костыли, которые сотрудники используют вместо того чтобы разобраться в возможностях самой системы. Нужно найти эти точки непонимания и устранить их.
По итогам этого этапа аудита можно собрать и уточнить требования и обратиться к вендору за настройкой и доработкой, или использовать внутренних экспертов, если они у вас есть. Результатом должна стать отлаженная и максимально удобная CRM.
Если в результате аудита у вас всё хорошо и нет ни единого вектора изменений, это не значит, что у вас всё хорошо с CRM-системой, это может означать, что аудит прошёл спустя рукава. Любая система нуждается в корректировке работы — будь то автомобиль, робот и даже человеческий организм. Своевременный аудит внутренних ИТ-систем и корпоративного ПО — путь к росту эффективности и, что очень важно, к взаимопониманию с сотрудниками. И в завершение подчеркну, что качественный аудит CRM-системы можете провести только вы и ваша команда (совместно с внедренцами или без их участия), а не внешний бизнес-консультант или коуч. Потому что лучше (и честнее!) вас никто ваши внутренние процессы не знает.
Алексей Суриков
Главный разработчик RegionSoft
Maxcube
По Фейсбуку ходит байка-быль (автора не привожу, лично не знаю), но как же созвучна тема аудита и эта историйка.
P.S.: через аудит текущей CRM некоторые участники рынка пытаются себе выловить новые лиды среди недовольных, хотя на самом деле просто среди не особо умеющих пользоваться CRM компаний. Порочная практика: они по факту тащат себе заранее недовольных клиентов... А вообще тема да, мало раскрыта в Рунете и не только.