Бухгалтерский учет. Налоги. Аудит

Форум – Аудит: теория и практика

Обсуждаем:

Еще раз про электронные подписи на рабочих документах

nidine  
22.08.2017, 16:40
Если кто применяет у себя электронные подписи на рабдоках, то отзовитесь, пожалуйста.
Я решила подойти к этому вплотную, и столкнулась с массой вопросов:
1. какие подписи покупать, мне сказали можно как на физических лиц, а можно как на работников организации (как на физиков - 1900 руб., как на работников -4400 руб.)
2. Какие простые или квалифицированные.
3. Программист сказал, что если подписать на одной версии виндоус, то на другой версии
информация о подписи будет отсутствовать. Можно в офисе все компьютеры перевести на одну
версию, но через несколько лет версия может измениться, и тогда подписи на старых документах будут не видны. А ведь рабдоки должны храниться минимум 5 лет.
4. Потом непонятно, какая версия будет у проверяющих, они так же могут не увидеть подписи, и тогда вообще в чем смысл этой затеи.
5. Дата подписания видна на документе, поэтому перед проверкой что-то подправить в документе не получиться, т.к. последняя дата сохранения документа д.б. 40 дней после выдачи заключения (или что-то вроде того).

Поэтому кто уже внедрил электронные подписи, напишите как вы решили для себя эти вопросы. А если есть еще трудности, которые я не увидела, то напишите о них.

Буду всем благодарна за советы.
avatar
Грэг  
22.08.2017, 20:57
Используйте отсоединенную электронную подпись, она представлена в виде отдельного файла. Просто храните этот файл вместе с файлом того документа. Специальной программы для прочитывания  файла - не надо. От версии Виндоус - не зависит. Проверить легитимность подписи и то, что ей подписан именно этот конкретный файл, можно на общедоступных сервисах в интернете.
К примеру: [www.gosuslugi.ru]
Этот вопрос здесь на форуме уже обсуждался.
Юрий  d5a1  
23.08.2017, 14:33
Грэг
Используйте отсоединенную электронную подпись, она представлена в виде отдельного файла

Хранение  электронной подписи в виде отдельного файла имеет следующие риски:
При любом последующем открытии исходного файла и его случайном изменении проверка подписей выдаст информацию что файл был изменен, подпись станет недействительной.
Причем случайное внесение изменений не исключено и непосредственно в день проверки любым из двух лиц: проверяющим или проверяемым.
Для архивного хранения решали эту проблему (случайных изменений) использованием совмещенной подписи.

Используем программу КриптоАРМ  + усиленную неквалифицированную подпись.
Для нее нужно недорогое ПО плюс етокен или рутокен (флешка на которой хранится подпись).
Подписывается файлы любых форматов.
Пока не вижу резонов для использования усиленной квалифицированной подписи.
Проверить подписание усиленной неквалифицированной подписи можно на любом ПК установив программу КриптоАРМ  СТАРТ (официальная и бесплатная).
Посмотрите на эту тему с такой стороны.
Юрий  d5a1  
23.08.2017, 14:47
nidine
5. Дата подписания видна на документе, поэтому перед проверкой что-то подправить в документе не получиться, т.к. последняя дата сохранения документа д.б. 40 дней после выдачи заключения (или что-то вроде того).

Нужно иметь ввиду то обстоятельство, что файлы ворд или эксель хранят информацию о датах их создания изменения и т.п.
Посмотрите на любой Ваш файл вкладка "Подробно", меню "Свойства" от правой клавиши мышки (не открывая сам файл).
Электронная подпись (любая) не решает проблему этих показателей.
avatar
Грэг  
23.08.2017, 14:52
Юрий
Проверить подписание усиленной неквалифицированной подписи можно на любом ПК установив программу КриптоАРМ  СТАРТ (официальная и бесплатная).
Посмотрите на эту тему с такой стороны.
Вот в этом то и проблема.
Чтобы что-то проверить, нужно устанавливать какие-то программы.
В любом случае, на вкус и цвет товарищей нет. Каждый определится сам.
Юрий  d5a1  
23.08.2017, 14:57
Грэг,
Если возможно, подскажите:
есть ли в  МСА требование о наличии какой либо подписи на электронных документах?
 
avatar
Грэг  
23.08.2017, 15:18
Юрий, МСА вообще никак не решает вопрос о подписи (равно как и печати), оставляя это для национального законодательства.

Единственное  что, в МСА 700 в отношении подписания АЗ написано вот это:

A65. В некоторых случаях законом или нормативным актом может быть разрешено использование в аудиторском заключении электронной подписи.


В нашем законодательстве ничего не сказано про подписание именно аудиторских документов. Правда, есть общая норма в отношении квалифицированной электронной подписи:

Федеральный закон "Об электронной подписи" от 06.04.2011 N 63-ФЗ

Статья 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью
1. Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.
3. Если в соответствии с федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или обычаем делового оборота документ должен быть заверен печатью, электронный документ, подписанный усиленной электронной подписью и признаваемый равнозначным документу на бумажном носителе, подписанному собственноручной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью и заверенному печатью.

То есть, если электронный документ подписан усиленной квалифицированной ЭП, то эта подпись заведомо делает документ подписанным (и даже скрепленным печатью).
что касается неквалифицированной подписи, то там другое, там как раз таки требуется специальное согласование условий использования простой или неквалифицированной ЭП:

2. Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными "законами", принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 настоящего Федерального закона.
Юрий  d5a1  
23.08.2017, 15:30
Грэг,
спасибо.
AuditXP  
26.08.2017, 21:58
Грэг, все хорошо расписал.
С квалифицированной ЭП не нужно думать о регламентах и других внутренних документах. Подпись по закону приравнена к собственноручной.

Что касается метки времени. Ее можно и не ставить при подписании ЭП. Это настройка СКЗИ, которой Вы ставите подпись. У нас метка не ставится, например.

Но в самом файле есть атрибут с датой создания и изменения. Доказывает ли если файл подписан, скажем, через пол года, что РДА был сделан по истечении установленного срока? Не уверен. Если кроме этого файла ничего у Вас нет, то возможно доказывает.

Если же все РДА были сделаны в аудиторской программе (рекламы не будет подмигнул), а через пол года подписаны ЭП, то не доказывает. Т.к. то, что РДА был выгружен в файл и подписан через пол года, не говорит о том, что его не существовало ранее в другом электронном виде.
nidine  
28.08.2017, 09:34
спасибо
Юрий  d5a1  
28.08.2017, 16:18
AuditXP,
AuditXP
Т.к. то, что РДА был выгружен в файл и подписан через пол года, не говорит о том, что его не существовало ранее в другом электронном виде.
да, ибо давно сказано: "девушка - не человек".
Ведь никто не обращается к девушке со словами: "молодой человек"
Юрий  d5a1  
28.08.2017, 17:01
AuditXP,
AuditXP
Но в самом файле есть атрибут с датой создания и изменения.

Международный стандарт аудита 230 "Аудиторская документация"
 
Вопросы, возникшие после даты аудиторского заключения
13. Если, в исключительных обстоятельствах, аудитор выполняет новые или дополнительные аудиторские процедуры или приходит к новым выводам после даты аудиторского заключения, он должен документировать (см. пункт A20):
(a) каковы обстоятельства, с которыми он столкнулся;
(b) выполненные новые или дополнительные аудиторские процедуры, собранные аудиторские доказательства и сделанные выводы, их влияние на аудиторское заключение;
(c) когда и кем были внесены и проверены соответствующие изменения в аудиторскую документацию.
 
Окончательное формирование аудиторского файла
 
14. После даты аудиторского заключения аудитор должен своевременно собрать аудиторскую документацию в аудиторский файл и завершить административные процедуры окончательного формирования аудиторского файла (см. пункты A21 - A22).
15. По завершении окончательного формирования аудиторского файла аудитору запрещается удалять или выбрасывать какую бы то ни было аудиторскую документацию до истечения срока ее хранения (см. пункт A23).
16. Если в обстоятельствах, не подпадающих под описанные в пункте 13, аудитор по завершении окончательного формирования аудиторского файла посчитает необходимым видоизменить существующую аудиторскую документацию или дополнить ее новыми документами, он должен, вне зависимости от характера изменений или дополнений, документировать следующее (см. пункт A24):
(a) конкретные причины, по которым понадобилось внесение изменений или дополнений;
(b) когда и кем они были внесены и проверены.
 
 
21. Стандарт МСКК 1 (или не менее строгие требования национального законодательства) требует от аудиторских организаций устанавливать политику и процедуры для своевременного завершения формирования аудиторских файлов <1>. Надлежащий предельный срок для завершения окончательного формирования аудиторского файла обычно не превышает 60 дней после даты аудиторского заключения <2>.
--------------------------------
<1> МСКК 1, пункт 45.
<2> МСКК 1, пункт A54.
 
A22. Завершение окончательного формирования аудиторского файла после даты аудиторского заключения представляет собой административную процедуру, не предполагающую выполнение каких-либо новых аудиторских процедур или формирование новых выводов. Однако в процессе формирования аудиторского файла в аудиторскую документацию могут вноситься изменения, если они носят административный характер. Примеры таких изменений:
- удаление или изъятие устаревшей документации;
- сортировка, упорядочение и расстановка ссылок в рабочей документации;
- подписание контрольных перечней, относящихся к процессу формирования аудиторского файла;


Но есть интересное правило
A24. Пример обстоятельств, при которых аудитор может счесть необходимым видоизменить существующую аудиторскую документацию или добавить новую аудиторскую документацию после завершения окончательного формирования аудиторского файла, - это необходимость внести пояснения в существующую аудиторскую документацию вследствие комментариев, полученных в ходе надзорного инспектирования, выполненных внутренними или внешними по отношению к аудиторской организации лицами.

Еще рас о  сроках действия усиленной квалифицированной подписи (как правило один год от даты выдачи).
Помним, что мониторинг это раз в три года.
Моделируем.
Есть мониторинг, есть необходимость внесения изменений (например запятая не там, или иные более весомые обстоятельства).
Вносим.
Вопрос: что с ЭЦП?
Ответ: недействительна либо в силу истечения времени,
либо в силу того обстоятельства,  что изменен исходный файл.
avatar
Грэг  
28.08.2017, 18:49
Юрий
Вопрос: что с ЭЦП?
Ответ: недействительна либо в силу истечения времени,
либо в силу того обстоятельства,  что изменен исходный файл.
Вопрос: как сделать так, чтобы подтвердить, что изначальный документ был подписан ЭЦП
Ответ: Элементарно, Ватсон.  Копируем первоначальный файл, подписанный ЭЦП, на любой носитель (например, на DVD), после чего меняем первоначальный файл как угодно, добавляем любую информацию, обзываем "пересмотренной версией" и подписываем заново. Сохраняем на тот же носитель с названием "пересмотренный". Процедура внесения изменений в ранее подписанный документ закончена.
Вопрос: может ли подпись быть "недействительна в силу истечения времени"
Ответ: нет, если подписание произошло в пределах срока, когда подпись была действительна.
PS. Ну что вы, в самом деле, как дети малые...
Только зарегистрированные пользователи могут писать в этот форум.