Sprawozdania finansowe: Jak skonfigurować podpis [KROK PO KROKU]

Sprawozdania finansowe muszą być opatrzone podpisami osoby odpowiedzialnej za prowadzenie ksiąg rachunkowych i kierownika jednostki. W przypadku organu wieloosobowego co do zasady podpisami wszystkich członków organu kierowniczego, przy czym powinny być w formie elektronicznej, zgodnie z zasadami przewidzianymi w prawie bilansowym. Co roku pojawiają się dylematy związane ze stosowaniem e-podpisów, a ponieważ pandemia też się przyczyniła do większej ich popularności i zastosowań także w innych sytuacjach, podpowiadamy, na co zwrócić uwagę, posługując się tym narzędziem.

Od wprowadzenia w końcówce 2018 r. obowiązku składania sprawozdań finansowych w formie elektronicznej podpisy elektroniczne stają się coraz popularniejszym narzędziem pracy. Z perspektywy podpisywania dokumentów sprawa wydawała się prosta – zasady podpisywania pozostają niezmienione, modyfikacji jedynie uległa forma tego podpisu. Niestety przejście na podpisy elektroniczne obnażyło niedociągnięcia dotychczasowych procesów (chociażby ze względu na konieczność skrupulatniejszego niż wcześniej dotrzymywania terminów – podpisu elektronicznego nie da się antydatować). Cyfryzacja raportowania finansowego pociągnęła za sobą również konieczność rozszerzenia kompetencji osób pracujących ze sprawozdaniami finansowymi – księgowych i audytorów. Wiedząc, że błąd w podpisie dokumentu może spowodować jego odrzucenie przez systemy Krajowego Rejestru Sądowego bądź Krajowej Administracji Skarbowej, sumienni księgowi mają kolejne zmartwienie: jak upewnić się, że z zastosowanymi podpisami jest wszystko w porządku? Muszą wtedy odpowiedzieć sobie na trzy podstawowe pytania, tj.:

Czy wykorzystano odpowiedni rodzaj podpisu?
Czy zastosowaliśmy odpowiednią konfigurację podpisu?
Czy odpowiednio przeprowadziliśmy proces podpisywania?

1. podpisem elektronicznym czy epuap-em

Określenie „podpis elektroniczny” jest bardzo pojemne. Najczęściej mówiąc o podpisie elektronicznym, mamy na myśli tzw. kwalifikowany podpis elektroniczny. Właśnie ten typ reprezentują podpisy składane za pomocą kwalifikowanego urządzenia (najczęściej czytnika umieszczanego w porcie USB komputera), które opierają się na kwalifikowanym certyfikacie podpisu elektronicznego (wystawianym przez dostawcę podpisu). Podpis ten z prawnego punktu widzenia jest równoważny podpisowi odręcznemu, co oznacza, że może być bez problemu stosowany zarówno w kontaktach z administracją publiczną, jak i w kontaktach z kontrahentami. Ten ostatni aspekt okazał się nieoceniony po tym, jak ze względu na pandemię COVID-19 grupy osób podpisujących dokumenty zaczęły pracować zdalnie – zamiast przesyłania sobie dokumentów kurierem, pliki PDF z podpisami elektronicznymi mogły być przekazywane drogą e-mailową.

Alternatywą dla podpisów elektronicznych jest profil zaufany – system potwierdzania tożsamości obywateli na potrzeby kontaktów z administracją publiczną. Profil zaufany często kojarzony jest z systemem ePUAP – platformą usług publicznych służącą do prowadzenia korespondencji z organami administracji. Mówiąc o „podpisywaniu ePUAP-em” mamy na myśli właśnie profil zaufany. W przeciwieństwie do podpisów kwalifikowanych profil zaufany jest wykorzystywany wyłącznie w kontaktach z administracją publiczną. Przy czym jest to jeden z dopuszczalnych sposobów podpisywania sprawozdań finansowych i jako taki powinien być dobrze „rozpoznany” przez księgowych i audytorów.

2. podpis, czyli co

Czym w zasadzie jest podpis elektroniczny? Czy tylko znakiem graficznym na dokumencie? Skąd wiadomo, że nie został przeklejony z innego dokumentu? Pracę z podpisami elektronicznymi znacząco ułatwia zrozumienie podstaw ich mechaniki. W swojej esencji podpisanie dokumentu elektronicznego oznacza dopisanie do jego treści dodatkowych informacji:

danych podpisującego;
danych uwierzytelniających (wskazanie dostawcy podpisu oraz danych potrzebnych do automatycznej weryfikacji certyfikatu);
„skrótu” (ang. hash) podpisywanego dokumentu.

Dane te pozwalają na automatyczne sprawdzenie, czy podpis jest autentyczny oraz czy certyfikat nie stracił ważności. Z kolei zawarcie „skrótu” dokumentu (np. na podstawie algorytmu SHA-256) w podpisie umożliwia sprawdzenie, czy od czasu podpisania dokument nie był zmodyfikowany. Dzięki temu niemożliwe jest uzyskanie podpisu pod dokumentem, a następnie modyfikacja jego treści. Zmiana treści dokumentu po jego podpisaniu powoduje, że złożone wcześniej podpisy tracą ważność.

3. różne konfiguracje

Mam podpis kwalifikowany – czy już nie muszę się o nic martwić? Jesteśmy na dobrej drodze – musimy jeszcze zadbać o odpowiednią konfigurację tego podpisu, szczególnie przy podpisywaniu dokumentów XML (podpisem typu XAdES).

Podpisywanie dokumentów XML

Pierwszym, najbardziej rzucającym się w oczy, parametrem podpisów XAdES jest ich umiejscowienie. Możemy zastosować podpis:

wewnętrzny (dane podpisu stają się częścią podpisywanego dokumentu) lub
zewnętrzny (dane podpisu zostają zapisane w odrębnym pliku).

W tym miejscu szczególnie dobrze widać cel zapisywania w danych podpisu skrótu dokumentu: w przypadku podpisów zewnętrznych to właśnie na podstawie skrótu potwierdza się, że podpis zawarty w odrębnym pliku odnosi się właśnie do danego dokumentu.

Dodatkowo podpis wewnętrzny występuje w dwóch wariantach:

otoczony;
otaczający.

Do zrozumienia tych wariantów niezbędna jest podstawowa znajomość notacji XML (ang. Extensible Markup Language). Jest to sposób zapisu danych pozwalający na ich automatyczne przetwarzanie. Sprawozdania finansowe w formie elektronicznej są właśnie plikami w formacie XML. XML ma strukturę hierarchiczną, w której jeden element (tzw. root, czyli korzeń), zawiera w sobie pozostałe elementy pliku. [przykład 1]

przykład 1

Sprawozdanie ©℗

Dla sprawozdań finansowych przykładowy układ to:

</Naglowek>

[dane wprowadzenia]

</Wprowadzenie>

[dane bilansu]

</Bilans>

[…]

</JednostkaInna>

W przykładzie 1. rootem jest element <JednostkaInna>, a wszystkie składowe sprawozdania finansowego są jego elementami podrzędnymi, które mają swoje części składowe (np. <OkresOd> czy <DataSporzadzenia>). Każdy element otwiera się jego nazwą, a zamyka nazwą elementu poprzedzoną prawym ukośnikiem („/”).

W procesie podpisywania do dokumentu XML zostaje dodany nowy element <Signature>, w którym zapisane są w odpowiednim formacie opisane wcześniej dane podpisu.

Warianty otoczony bądź otaczający podpisu wewnętrznego wskazują, w którym miejscu dokumentu zostanie wstawiony element <Signature>.

W przypadku podpisu otoczonego element <Signature> zostaje uplasowany jako ostatni element roota. W rezultacie root otacza element <Signature>, bo zamknięcie roota następuje za podpisem. [przykład 2]

przykład 2

Podpis „otoczony”… ©℗

</Naglowek>

[dane wprowadzenia]

</Wprowadzenie>

[dane bilansu]

</Bilans>

[…]

<ds:Signature>

[dane podpisu]

</ds:Signature>

</JednostkaInna>

przykład 3

… i „otaczający” ©℗

<ds:Signature>

[dane podpisu]

</Naglowek>

[dane wprowadzenia]

</Wprowadzenie>

[dane bilansu]

</Bilans>

</JednostkaInna>

</ds:Signature>

W przypadku podpisu otaczającego element <Signature> staje się rootem dokumentu, a treść samego podpisywanego dokumentu jest jednym z jego podrzędnych elementów.

Dopuszczalne konfiguracje podpisu są ustalane przez odbiorcę dokumentu. Niemniej najbardziej uniwersalną konfiguracją są podpisy wewnętrzne otoczone. Dokumenty podpisane w ten sposób są szeroko akceptowane przez organy administracji publicznej, w szczególności systemy KRS i KAS.

Dokumenty PDF

W przypadku podpisywania dokumentów w formacie PDF konfiguracja jest znacząco uproszczona. Należy zadbać o to, aby podpis został złożony w formacie PAdES – nie musimy się martwić o pozostałe parametry.

Przy podpisywaniu dokumentów PDF dochodzi nam do podjęcia dodatkowa decyzja – czy chcemy dodać do dokumentu graficzny znak podpisu. Należy pamiętać, że co do zasady jest to opcja. Dokument PDF może być poprawnie podpisany nawet, jeżeli do jego treści nie zostały dodane żadne elementy graficzne.

Księgowi z podpisywaniem dokumentów PDF spotkają się przede wszystkim przy podpisywaniu sprawozdań z działalności zarządu, a także przy podpisywaniu raportów audytorów.

4. podpisywanie wieloosobowe

Pod jednym dokumentem może podpisać się więcej niż jedna osoba – brak takiej możliwości znacząco ograniczałby użyteczność podpisów elektronicznych.

W większości przypadków, jeżeli nasz podpis jest poprawnie skonfigurowany, dodawanie podpisu do już podpisanego dokumentu nie będzie się znacząco różniło od składania pierwszego podpisu na danym dokumencie. Wskazane jest jednak w całym procesie zachowanie paru zasad ostrożności, tj.:

uważajmy, czy dopuszczamy większą liczbę podpisów

W niektórych aplikacjach do podpisów elektronicznych należy wskazać w ustawieniach, że chcemy tworzyć podpis z możliwością dodawania kolejnych podpisów. Jeżeli kolejna osoba ma kłopoty z dodaniem swojego podpisu do dokumentu, może to być kwestia właśnie tego ustawienia.

nie łączmy metod podpisu

Aplikacje polskiej administracji publicznej ciężko znoszą łączenie metod podpisów (np. podpisanie dokumentu podpisami wewnętrznymi i zewnętrznymi jednocześnie). Najbezpieczniejszym procesem jest podpisanie dokumentu przez wszystkich podpisujących na tych samych konfiguracjach.

podpisując, dodawajmy kolejny podpis

Przy podpisywaniu dokumentów papierowych jest to oczywiste – kolejne osoby dodają swoje podpisy pod dokumentem. W przypadku podpisów elektronicznych mamy (niestety) więcej opcji. Zamiast dodania kolejnego podpisu aplikacja podpisowa może wykonać następujące operacje:

zamienić podpis – czyli usunąć wcześniejszy podpis, a w jego miejsce wstawić nowy;
złożyć kontrasygnatę – czyli w praktyce złożyć podpis pod podpisem, a nie pod dokumentem. Dokumenty z kontrasygnatami są z reguły odrzucane przez systemy informatyczne administracji publicznej.

W przypadku większości dostępnych na rynku aplikacji podpisowych dodanie kolejnego podpisu pod dokumentem nie jest problemem – wymaga jedynie uważnego czytania komunikatów wyświetlanych przez program (z reguły aplikacja pyta, jaką operację chcemy przeprowadzić) oraz świadomości użytkowników, że istnieje jedna poprawna operacja.

Osoby podpisujące często błędnie np. zakładają, że kolejny podpis i kontrasygnata to w praktyce to samo, podczas gdy zastosowanie kontrasygnaty może uniemożliwić złożenie dokumentów elektronicznych.

5. łączenie podpisów od różnych dostawców

Z założenia podpisy kwalifikowane od różnych dostawców powinny być ze sobą kompatybilne. W praktyce – ze względu na różnorodność możliwych konfiguracji oraz stosowanego nazewnictwa pomiędzy dostawcami podpisów – zastosowanie podpisów od różnych dostawców często nastręcza dodatkowych problemów. Nie ma na to uniwersalnej metody – każdorazowo konieczne jest dojście do źródła problemu (w konfiguracji podpisów). Jeżeli wiemy, że np. osoby z zarządu naszej spółki bądź naszego klienta będą stosowały podpisy od różnych dostawców, dobrą praktyką jest zarezerwowanie dodatkowego czasu właśnie na zaadresowanie potencjalnych problemów z tego wynikających.

6. łączenie podpisu kwalifikowanego i profilu zaufanego

Profil zaufany jest podpisem, który swoją formą dostosowuje się do typu podpisywanego dokumentu:

jeżeli przekażemy do podpisu profilem zaufanym dokument w formacie XML, podpis przybierze formę podpisu otoczonego;
jeżeli przekażemy do podpisu dokument PDF, powinniśmy otrzymać podpis PAdES wraz z graficzną reprezentacją podpisu;
jeżeli przekażemy inny dokument, powinniśmy spodziewać się otrzymania dokumentu XML z podpisem otaczającym.

Znając już konstrukcję poszczególnych wariantów podpisów, warto sprawdzić, w jakim wariancie aplikacja profilu zaufanego zwróciła nam podpis. Zdarza się, że w wyniku błędów w działaniu ministerialnej aplikacji sieciowej podpis profilem zaufanym jest niezgodny z oczekiwaniami. W przypadku sprawozdań finansowych powinniśmy otrzymać dokument ze sprawozdaniem i z dołączonym pod koniec kontenerem <ds:Signature>. W przeciwnym razie najbezpieczniej będzie założyć, że otrzymany podpis jest błędny. Bardzo istotną kwestią związaną z profilem zaufanym jest kolejność podpisywania: podpisy składane za pomocą profilu zaufanego muszą zostać złożone jako pierwsze. Na moment pisania tego artykułu aplikacje do profilu zaufanego nie pozwalały na podpisywanie dokumentów zawierających podpisy kwalifikowane.

7. warto też korzystać z przewodników instytucji

Ilość informacji o podpisach elektronicznych może być przytłaczająca, ale należy pamiętać o najważniejszej rzeczy: jeżeli raz odpowiednio skonfigurujemy podpisy, będziemy mogli przestać martwić się większością rzeczy opisanych powyżej. Poszczególne instytucje publikują wymagania dotyczące konfiguracji podpisów pod składanymi do nich dokumentami, a niektóre (np. Ministerstwo Finansów) publikują również użyteczne instrukcje (przewodniki) do najczęściej wykorzystywanych aplikacji do podpisów.

Pozostało 87% treści

Artykuł przeczytasz tylko z aktywną subskrypcją cyfrową

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Wybierz pakiet odpowiedni dla siebie i korzystaj codziennie!

Jesteś subskrybentem?
Zaloguj się

Artykuł przeczytasz tylko z aktywną subskrypcją cyfrową

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Nielimitowany dostęp do wszystkich treści, pełnego archiwum i e-poradników dla specjalistów:

na serwisie gazetaprawna.pl
w ramach wydania cyfrowego edgp.gazetaprawna.pl
w aplikacji DGP

Jesteś subskrybentem?
Zaloguj się

<span style="font-size:20px; color: #000000">Kup dostęp <br>już od <strong style="color: #FD0509">9,90 zł</strong> za pierwszy miesiąc</span>

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Nielimitowany dostęp do wszystkich treści, pełnego archiwum i e-poradników dla specjalistów:

na serwisie gazetaprawna.pl
w ramach wydania cyfrowego edgp.gazetaprawna.pl
w aplikacji DGP

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Ten artykuł jest dostępny tylko dla subskrybentów wersji cyfrowej DGP Premium.

Potrzebujesz więcej treści dla specjalistów? Szukasz kompleksowej informacji i wyjaśnień ekspertów dotyczących zmieniającego się prawa?
Wybierz wersję cyfrową DGP Premium z nielimitowanym dostępem do wszystkich treści (gazetaprawna.pl. edgp.gazetaprawna.pl, aplikacja DGP) i pełnym archiwum wydań.