Судебная экспертиза 1С для доказательств в спорах

Актуальность исследования программных продуктов 1С в судебной практике обусловлена их повсеместным использованием в качестве основы бухгалтерского, управленческого и оперативного учета в российских компаниях.

Экспертиза 1С: доказательная база для арбитража и защита от нарушений УК РФ

Данные, сформированные в 1С, могут являться ключевыми доказательствами в арбитражных спорах, делах о налоговых правонарушениях, хищениях и фальсификации отчетности.

Компьютерно-техническая экспертиза 1С призвана ответить на вопросы о достоверности сведений, корректности работы, наличии изменений и соответствии программного обеспечения требованиям договора.

Юридическая база назначения экспертизы опирается на нормы процессуальных кодексов (статья 82 АПК РФ, статья 195 УПК РФ, статья 79ГПК РФ), предусматривающих использование специальных знаний.

Косвенно вопросы исследуются в рамках требований:

• Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» (достоверность данных)
• УК РФ, касающихся мошенничества (ст. 159)
• Служебного подлога (ст. 292)
• Компьютерной безопасности (ст. 272–274)

Архитектура 1С: как устроены конфигурация и расширения

Платформа 1С состоит из двух ключевых компонентов: самой платформы (исполняемая среда) и конфигурации (прикладного решения), определяющей структуру данных и бизнес-логику.

1. Используемые технологии
   Основной язык разработки — встроенный язык 1С, объектно-ориентированный и тесно интегрированный с метаданными. Конфигурации могут быть проприетарными (закрытыми .cf) или открытыми (.cfu)
2. Конфигурации и расширения
   Для модификации функционала без изменения основной конфигурации используются расширения (.cfe)

В рамках экспертизы эксперт отвечает на вопросы, среди которых:

• Соответствует ли разработанная конфигурация и требованиям договора или ТЗ?
• Имелись ли в информационной базе (.dt) изменения на конкретную дату, если да, то кем и когда они были выполнены?

Также эксперт устанавливает, приводят ли выявленные расхождения к ошибкам в бухгалтерском учёте
Специфика исследований зависит от форматов файлов

Исследование модулей 1С: методы и инструменты

Проверка аутентичности модулей может начинаться с декомпиляции 1С (зависит от типа исследования), если конфигурация закрыта. Эксперт сравнивает код с эталонными версиями (коробочными решениями компании 1С) или анализирует историю изменений.

Что за декомпиляция?

Это автоматический процесс превращения скомпилированного файла конфигурации (*.cf или *.cfe) обратно в читаемый исходный код (на языке 1С), который можно открыть в Конфигураторе.

Как делается декомпиляция кода
Специальным программным обеспечением (чаще внешняя обработка «Декомпилятор 1Сv8). Не идеально, код может получиться «некрасивым», но подходящим для анализа.

Зачем нужна декомпиляция кода
Чтобы посмотреть, что на самом деле написано в программе, если у эксперта, органа, назначившего экспертизу, или заказчика нет данных для аутентификации (конфигурация закрыта/запаролена/защищена).

Что такое анализ исходного кода?

После декомпиляции смотрят на три ключевые вещи:

• А) СРАВНЕНИЕ С КОРОБОЧНЫМ РЕШЕНИЕМ
  • Что делает эксперт: Декомпилированная конфигурация (например, «Управление торговлей 11.4 от ИП Иванов») сравнивается с лицензионной коробочной версией («УТ 11.4.10.125 от 1С»).
  • Что ищет: Различия в модулях.
    • Добавлены ли новые процедуры/функции? (Например, СписатьДеньги()).
    • Изменен ли код штатных процедур? (В типовой процедуре ПроведениеДокумента() дописали строку, которая дублирует проводки на подставную фирму).
    • Удалены ли проверки или оповещения? (Убрали вызов функции КонтрольЛимита()).
• Б) АНАЛИЗ ИСТОРИИ ИЗМЕНЕНИЙ (ВНУТРИ КОДА)
  • Что делает эксперт: Ищет в декомпилированном коде комментарии и служебные метки, оставленные программистом, а именно:
    • // ВНЕС ИВАНОВ 15.12.2023 ДЛЯ КЛИЕНТА «РОГА И КОПЫТА»
    • // ФИКС ПО ПРОСЬБЕ БУХГАЛТЕРА
    • // НАЧАЛО КОДА ДЛЯ СКРЫТОЙ СКИДКИ
    • Временные метки создания/изменения объектов, не совпадающие с официальными релизами 1С.
• В) ПОИСК ПОДОЗРИТЕЛЬНЫХ НЕСООТВЕТСТВИЙ
  • Что делает эксперт: «Прогоняет» код глазами или скриптами на предмет:
    • Манипуляции с данными без документов: Прямые запросы ЗАПИСАТЬ/ИЗМЕНИТЬ в таблицы баз, минуя штатные механизмы.
    • Скрытые алгоритмы: Код, активирующийся по специфическим условиям (дата, имя пользователя, сумма чека).
    • Обход встроенных проверок: Комментарии (//) или команды ПРЕРВАТЬ> перед вызовом критических проверок.
    • Неочевидные взаимодействия: Вызовы внешних скриптов или компонент (COM, Execute).

То есть для выявления несанкционированных изменений в конфигурации 1С проводится комплексный анализ, ключевым элементом которого является прямое сравнение кода исследуемой системы с эталонной версией после её декомпиляции (если конфигурация закрыта/запаролена), что позволяет обнаружить изменения — от служебных правок до мошеннических вставок.

Этот процесс подкрепляется исследованием прав доступа и журналов регистрации для установления возможности и хронологии вмешательств, а также анализом меток объектов, используя для этого как штатный инструментарий платформы (конфигуратор), так и специализированные сторонние средства (сторонние утилиты или внешние обработки).

БД и журнал регистрация как ключевые источники

• Анализ базы данных: В зависимости от режима развертывания (файловый или клиент-серверный) данные извлекаются напрямую из файлов (1Cv8) или SQL-сервера (например, Microsoft SQL Server)
• Журнал регистрации 1С: ключевой источник информации о действиях пользователей, запуске процессов, ошибках. Его анализ помогает восстановить хронологию событий, но он часто отключен или настроен выборочно

С какими трудностями сталкивается эксперт при исследовании 1С

Неполнота и недоступность объектов исследования — наиболее критичная проблема.
Эксперту зачастую предоставляют неполный комплект, например:

• Неполнота или формальность документации (договора, технического задания). Требования к результату работ сформулированы расплывчато, без четких критериев, что не позволяет ответить однозначно на вопросы в рамках производства экспертизы. Эксперт, действуя в рамках специальных знаний, не может изменять понятие договора и домысливать недостающие фрагменты. В отсутствие объективных, задокументированных и измеримых параметров (конкретный перечень переносимых данных, алгоритмы ключевых расчетов, точный состав функциональных модулей) экспертное заключение о соответствии или несоответствии будет носить вероятностный характер
• Только конфигурация (.cf) без данных (.dt) позволяет изучить программную логику, но не даёт возможности проверить её практическую реализацию и корректность наполнения информационной базы конкретными объектами учета. Например, в случае спора о невыполнении договора на внедрение, где подрядчик обязался не только разработать конфигурацию, но и перенести данные клиента (справочники контрагентов, номенклатуры, остатки), исследование лишь файла .cf оставит без ответа ключевые вопросы: были ли выполнены обязательства по переносу, корректно ли заполнены обязательные реквизиты, соответствует ли структура настроенных справочников требованиям технического задания
• Отсутствие журналов регистрации или их выборочное ведение. Лишает эксперта основного источника информации о действиях пользователей, времени и последовательности событий

Требования к эксперту для компьютерно-технической экспертизы 1С

Требования к эксперту включают:

• Техническая квалификация: знание архитектуры и встроенного языка 1С, навыки работы с СУБД, знание методов компьютерно-технической экспертизы. Наличие сертификатов «1С» подтверждает техническую компетентность
• Предметные знания: например, для экспертизы бухгалтерских данных 1С необходимо понимание основ бухгалтерского и налогового учета, так как вопросы часто лежат в этой плоскости
• Опыт и легитимность: предпочтение стоит отдавать экспертам, имеющим опыт работы с решениями на базе «1С», а также уже проводившими подобного рода экспертизы

Рекомендации для заказчиков:

• Четко формулировать вопросы перед экспертом
• Предоставлять все возможные материалы на исследование (версии файлов (.cf, .dt, .cfe), Договоры, ТЗ, переписку в отдельных случаях и иную сопутствующую документацию)

Стоимость и сроки экспертизы 1С напрямую зависят от объема и сложности поставленных задач.