Как организовать безбумажный юридически значимый документооборот
Компаний, успешно внедривших электронный документооборот, уже довольно много. Однако в большинстве случаев это бумажный документооборот с электронной поддержкой. Документ согласуют в электронном виде, потом распечатывают вместе с листом согласований и подписывают уже в бумажном виде. При этом уже есть эффективные системы юридически значимого документооборота, где можно полностью обойтись без бумаги.
Для начала, на безбумажном документе нужна юридически значимая подпись согласующих лиц. Закон № 63-ФЗ, выделяет насколько видов подписей для удостоверения подлинности документа внутри предприятия: простую, усиленную и квалифицированную. Компания может применять любую, но это должно быть указано в нормативном документе предприятия, посвященном порядку использования электронно-цифровой подписи. И с этим порядком каждый из сотрудников должен быть ознакомлен под собственноручную или квалифицированную электронную подпись.
Допустим, в документе несколько файлов. Каждый из них согласовывается по собственному маршруту. Например, к контракту приложена спецификация, которая согласовывалась руководителем производства, а контракт он не согласовывает. Зато его согласовывает юрист, который не согласовывает спецификацию. Получается, что документ в данном случае представляет собой конструкцию из нескольких файлов, каждый из которых в качестве одного из своих реквизитов несет набор согласующих подписей. При этом обычная технология подписывания файла не всегда годится. Например, любой конструкторский документ сначала подписывается всем руководством, а потом уже нормоконтролем. И нужно различать тех, кто подписывался за содержание документа; тех, кто за оформление; и тех, кто его регистрировал.
С этим связан известный «парадокс регистратора». Предположим, директор подписал приказ своей электронной подписью. Регистратор открывает файл и вписывает в него регистрационный номер и дату регистрации. Подпись директора потеряна, ведь документ изменен. Если же рассматривать документ как контейнер, включающий как содержание, так и реквизитную часть, то можно четко отличить подпись на содержательной части, в том числе на отдельных файлах, от подписи на регистрационных реквизитах. Это не противоречит закону и снимает все парадоксы.
Структуризация документа в его движении по предприятию
Если электронный документ компании юридически значим, это еще не означает, что любой ее контрагент обязан его принять в электронном виде. Приходится распечатывать документ так, чтобы на бланке были видны регистрационные реквизиты и собственноручные подписи руководителя. Это вполне возможно технически без нарушения целостности электронного документа – он будет монтироваться при печати в человеко-ориентированный вид, с бланком и исходящим номером. После этого останется только подписать его и заверить подпись печатью.
Требования к системе
Для полноценного безбумажного документооборота внутри предприятия необходимо, чтобы СЭД обеспечивала несколько возможностей. Во-первых, нанесение и проверку электронной подписи. Для согласующих лиц – простой или усиленной, в соответствии с утвержденным на предприятии положением об использовании электронной подписи. При этом согласующая подпись должна наноситься на контент, защищая его от изменений, со значением, интерпретируемым как «Согласовано» (подпись с тэгом). Для других участников (регистратор, ознакомленные лица) подпись должна наноситься на соответствующие реквизиты документа, не касаясь контента.
Во-вторых, нанесение и проверку утверждающей квалифицированной (или усовершенствованной квалифицированной) электронной подписи на все файлы и реквизиты документа.
В-третьих, возможность выгрузить документ для передачи во внешнюю систему, сохранив там только необходимые реквизиты с подписями, не нарушая целостность документа, защищенного электронной подписью. Помимо этого, возможности настройки формата выгруженного документа для согласования с форматом транспорта сертифицированного оператора внешнего электронного документооборота.
В-четвертых, возможность загрузки поступившего входящего юридически значимого электронного документа в регистрационную карточку как контейнера, с сохранением его юридической значимости и возможностью выгрузить его «как получили» для представления, например, в суд.
В-пятых, возможность распечатки юридически значимых электронных документов с включением в шаблон регистрационных данных без нарушения целостности документа («парадокс регистратора») для передачи контрагенту в бумажном виде. Это как раз будет тот документ, о равнозначности которому говорит закон № 63-ФЗ. Проблема целостности документа возникает на стыке СЭД с сервисом сертифицированного оператора электронного документооборота. Как правило, этот сервис предоставляется абоненту оператора в виде личного кабинета на его сервере с возможностью загрузки туда документов для их последующей юридически значимой доставки и хранения в журналах оператора.
Обычно личный кабинет – это сайт, авторизация происходит по логину, паролю, чаще всего с усиленным токеном, содержащим сертификат пользователя. На этом сайте управление доступом к отдельным документам уже не предусмотрено. Пока туда закладываются только счета-фактуры, и пользователь, авторизованный на доступ, это бухгалтер по счетам-фактурам, это не несет никаких угроз. А если там очень разные документы? Тогда любой, кто там авторизуется, будет иметь доступ ко всем этим документам сразу и сможет, например, скачать документ на свой компьютер, удалить его из кабинета. Это порождает серьезные угрозы для информационной безопасности.
Правильный путь решения проблемы – реализация доступа в личный кабинет через API сервис оператора. Это позволит подключить к шлюзу все механизмы управления доступом, уже настроенные в СЭД. Дублирование политик управления доступом на сервисе оператора – тяжелая задача, не всегда решаемая адекватно, зато всегда дающая угрозы существования «дыр» между двумя политиками.
В-шестых, наличие модуля интеграции с сертифицированными операторами внешнего электронного документооборота, который распространяет на доступ к содержимому шлюза установленные в СЭД политики.
Юридически значимый документооборот подразумевает и юридически значимое хранение таких документов. Это область управления записями (Record Management). Пока эта область еще слабо освоена российскими регуляторами и происходит только по некоторым видам документов.
И, наконец, в-седьмых, поддержка технологий управления записями, включая модель состояний документа и возможность определять политику доступа в зависимости от состояния документа. Например, невозможность удалить действующий документ, невозможность «обойти» журнализацию действий пользователя с документом.
Именно эти семь требований были сформулированы разработчиками Docsvision 5 для реализации в платформе функциональности, необходимой для осуществления юридически значимого документооборота. И они выполнены в полном объеме.
Архитектура внешнего ЮЗЭДО в Docsvision
Модуль интеграции с внешним документооборотом сейчас реализован с коннектором к системе «Диадок» (СКБ «Контур»). Это обосновано тем, что именно «Контур» имеет самую большую клиентскую базу среди сертифицированных операторов и самое широкое представительство во всех регионах и крупных городах. Модуль интеграции сертифицирован «Диадок» в рамках партнерства с компаний «ДоксВижн», которая планирует в ближайших версиях модуля интеграции реализовать набор коннекторов к различным операторам. Это в перспективе позволит заказчикам обмениваться электронными документами с любым контрагентом, подключенным к любому оператору, установив у себя соответствующий используемым операторам набор шлюзов. Если еще раньше не будет решена задача роуминга документов между операторами.
Сергей Курьянов, директор по стратегическому маркетингу компании «ДоксВижн»
Короткая ссылка на материал: //cnews.ru/link/a3644