Рабдоки подписывать с помощью Госключ - риски

Опрос

Как вы подписываете раб.доки аудитора ?

Только зарегестрированные пользователи могут голосовать в этом опросе.
Всего проголосовало: 12

Шариковой (гелевой) ручкой	9		75%
Факсимилье (тоже что и скан подписи цепляем к документу)	1		8%
ПЭП	0		0%
УНЭП	1		8%
УКЭП	1		8%
Госключ (УНЭП или УКЭП)	0		0%

---

Руководство с этого года решило все рабдоки подписывать госключем. Вот лично я против: все рабдоки остаются у аудитора подписанные ЭП. По-сути, если аудитор уйдет из компании с им уйдут и рабдоки. По мне лучше подписывать рабдоки вставляя токен с подписью.  

Возможно, имелись в виду риски использования электронной подписи, в том числе сервиса «Госключ».

Некоторые риски связаны с использованием электронной подписи:

• Незаконное использование. Новые высокотехнологичные возможности могут создать риск незаконного использования электронной подписи, что увеличивает число мошеннических действий. ⁽²⁾
• Подписание документов третьими лицами. Существует возможность несанкционированного доступа к закрытому ключу и создания его копии, а также подписания документов от имени владельца электронной подписи.
• Хищение ключевого носителя или его уничтожение. ⁽³⁾

Однако есть и преимущества использования «Госключа»: ожидается, что при возникновении споров государство выступит третьей независимой стороной, которая в любой момент сможет подтвердить юридическую значимость электронного документа. ⁽¹⁾

Для более детального анализа рисков и принятия взвешенного решения рекомендуется обратиться к специалистам, специализирующимся на вопросах использования электронных подписей и документооборота.

А вот что по этому вопросу сказал мой ЗаместИИтель Гуру:

Использование Госключа для подписания рабдоков может иметь несколько рисков и ограничений:

Риски и Ограничения

1. Ограничения в использовании: Госключ работает исключительно через мобильное приложение, что может создать проблемы, если сотрудник не имеет доступа к смартфону или если приложение не функционирует должным образом⁽¹⁾.

2. Зависимость от Госуслуг: Для использования Госключа необходимо иметь подтвержденную учетную запись на портале Госуслуг, что не всегда возможно для всех сотрудников⁽¹⁾⁽⁴⁾.

3. Невозможность экспорта сертификатов: Сертификаты, полученные через Госключ, нельзя экспортировать для использования на компьютере, что может ограничить гибкость в работе с документами.

4. Хранение документов: Подписанные документы хранятся в приложении, пока оно установлено на устройстве. Если приложение удалить или сменив смартфон, доступ к ранее подписанным документам будет утерян⁽²⁾.

5. Риск потери доступа: Если сотрудник, подписывающий документы, покинет компанию, доступ к подписанным документам может быть утерян, как и в случае с токеном⁽³⁾.

Альтернативы

Использование токенов с электронной подписью может быть более надежным вариантом, особенно если речь идет о важных документах, таких как рабдоки. Токены позволяют хранить сертификаты на физическом носителе, что может обеспечить более стабильный доступ к подписанным документам.

Заключение

Хотя Госключ предлагает удобный и безопасный способ подписания документов, его ограничения и риски могут сделать его менее подходящим для критически важных документов, таких как рабдоки. Важно тщательно оценить все плюсы и минусы перед принятием решения о том, какой метод подписания использовать.

Разве МСА требует подписывать? Нужно указать кто составил и дату. Теперь и за это наказывают?

Было бы хорошо, если бы пошло движение и как то уже официально, кроме МСА, признали что МСА не требует подписи РД.

Петр
Разве МСА требует подписывать? Нужно указать кто составил и дату. Теперь и за это наказывают?

МСК 1 обязывает обеспечивать целостность аудиторской документации, в том числе исключение того, что она изменена без соответствующей авторизации (и, дополню, документирования авторизованных изменений). Использование подписи один из общепринятых способов обеспечения целостности документов. Вероятно, фирма может в своем СВК попробовать предусмотреть другие способы, но зачем? Я бы усомнился в разумности и добросовестности такой попытки.

Живая подпись против ФИО и даты для бумажных документов общеприняты. Факсимиле ничем не лучше просто впечатывания ФИО в ячейку, что они есть, что их нет, никакой разницы и никакого обеспечения целостности. Так как усиленные подписи в данном случае не вменены в обязанность, то при использовании электронных документов достаточно ПЭП (например, путем проставления логина пользователя и даты при сохранении РД). Понятно, чем более защищенная подпись используется, тем теоретически надежнее защищена целостность файла. 

лично я не все понял

Escapist
МСК 1 обязывает обеспечивать

а где это написано? я все что нашел
мск1
"A84. Хранение и ведение документации по заданию может включать обеспечение ответственного хранения, целостности"
вижу слово может, не вижу слова обязывает.
хотя конечно логично что само собой разумеется
но все таки не обязана. видимо тут говорится о каких конкретных случаях

Escapist
МСК 1 обязывает обеспечивать целостность аудиторской документации, в том числе исключение того, что она изменена без соответствующей авторизации (и, дополню, документирования авторизованных изменений).

ни слова об обязанности подписывать РД
причем тут подпись в РД

Escapist
Использование подписи один из общепринятых способов обеспечения целостности документов.

как подпись обеспечивает целостность?

а что под словом целостность подразумевается ?

"Целостность документации по заданию может оказаться под угрозой, если она изменена, дополнена или удалена без соответствующей авторизации либо если она безвозвратно утеряна или повреждена."
опять не про подпись
процедура авторизации может не включать в себя проставление подписи на РД.

Escapist
Вероятно, фирма может в своем СВК попробовать предусмотреть другие способы, но зачем? Я бы усомнился в разумности и добросовестности такой попытки.

думается мне, что как только разберемся что же все таки подразумевается под целостностью по МСК
и что подразумевается по авторизацией, и тогда я думаю станет понятно зачем.

а точнее понятно, что стремиться получить подпись на каждой странице незачем.
_{Редактировано 1 раза; последний раз - 19 часов назад.}

Владимир Фаворский
думается мне, что как только разберемся что же все таки подразумевается под целостностью по МСК и что подразумевается по авторизацией, и тогда я думаю станет понятно зачем.

Так разбирайтесь, кто ж вам мешает. Можете начать с поисковика, какие функции выполняет подпись на документах. 

Пока это выглядит именно как я написал выше

Escapist
Вероятно, фирма может в своем СВК попробовать предусмотреть другие способы, но зачем? Я бы усомнился в разумности и добросовестности такой попытки.

-

Владимир Фаворский
а точнее понятно, что стремиться получить подпись на каждой странице незачем.

Виза на каждой странице не является общепринятой, то есть остается на усмотрение внутренних правил документооборота организации, либо лица, подписывающего/согласующего документ.

Escapist
Виза на каждой странице не является общепринятой, то есть остается на усмотрение внутренних правил документооборота организации, либо лица, подписывающего/согласующего документ.

ну вот и разобрались

Escapist
Так разбирайтесь, кто ж вам мешает. Можете начать с поисковика, какие функции выполняет подпись на документах. 

Пока это выглядит именно как я написал выше

я начал с текста нормативки и поисковика (как толкового словаря), в итоге у меня получились иные выводы

поэтому однозначный вывод, что подпись на РД не обязательна. МСА не требует подпись на РД.

давно пользуемся унэп. прога Крипто про.
вопрос о том надо/не надо подписывать РД никогда не стоял.
архив хранится на защищенном сервере

Владимир Фаворский
поэтому однозначный вывод, что подпись на РД не обязательна. МСА не требует подпись на РД.

Те, кто в ФПСАД требовали прошивать АЗ суровой ниткой, хорошо знали психологию пост-советского человека. Разумность и добросовестность - разговоры в пользу бедных. Только директива и наказание за неисполнение. 

-
Вообще при массовом использовании временного и "переезжающего" из фирмы в фирму персонала, отказ от минимальной авторизации РД в виде живой или любой электронной подписи я бы трактовал на месте ВКД как симптом недобросовестности фирмы и/или руководителя проверки.

Escapist, теперь я понимаю о чем вы говорите.

Но все таки есть закон. 
Желание наличия подписи понятно. Но таких желаний от проверяющих слишком много.
Это не единственный случай.

Излишний бюррократизм из за якобы менталите , не аргумент. 

Я сейчас не про кого конкретно не говорю. 
Но, мой опыт говорит мне, что те люди кто говорит про менталитет или психологию россиянина или пост-советского человека, в первую очередь судят по себе. Поэтому аргумент не воспринимается всерьез. Он из разряда психологических приемов в беседе.

Еще момент. 
Вот это желание везде поставить подпись, при законной возможности не ставить попдсиь напоминает мне.
Когда проверяющие требуют бумажный носитель, хотя давно уже есть электронные документы и электронные подписи, но проверяющий неустанно просит бумажку.
Или продолжают трнбовать печать, там где ее можно не ставить. Хотя как будто тоже общепринято.

Подписи на заключении требуется и достаточно.
На рабочей документации не требуется и излишне.

Комментировать в последнем сообщении особо нечего. Вы либо не понимаете, зачем нужна подтверждение аутентичности РД с помощью подписи составителя, либо делаете вид.  Какой из вариантов верный, мне все равно. Думаю, что разумные фирмы и руководители проверок как подписывали, так и будут подписывать РД, а с учетом распространения удаленки и автоматизации, скорее всего любым из видов электронных подписей.
_{Редактировано 1 раза; последний раз - 2 часа назад.}

Escapist
Комментировать в последнем сообщении особо нечего. Вы либо не понимаете, зачем нужна аутентификация РД с помощью подписи составителя, либо делаете вид.  Какой из вариантов верный, мне все равно. Думаю, что разумные фирмы и руководители проверок как подписывали, так и будут подписывать РД, а с учетом распространения удаленки и автоматизации, скорее всего любым из видов электронных подписей.

вопрос об обязанности подписывать РД, а не о том хочется или не хочется , нужно ли или нет
об обязанности ставить подпись установленная законом. 

никто тут в теме не призывал не подписывать РД. 

P.S. а аутентификация тут причем ?
_{Редактировано 1 раза; последний раз - 3 часа назад.}

Вера Леонидовна
Руководство с этого года решило все рабдоки подписывать госключем. Вот лично я против: все рабдоки остаются у аудитора подписанные ЭП. По-сути, если аудитор уйдет из компании с им уйдут и рабдоки. По мне лучше подписывать рабдоки вставляя токен с подписью.  

вопрос, не знаком с технологией.
там смысл в гос ключе в том, что доступ(просмотр, печать) к РД возможен только у владельца гос ключа ?
если да, то конечно не вариант.

Владимир Фаворский
P.S. а аутентификация тут причем ?

очепятался)) аутентичность.

Владимир Фаворский
об обязанности ставить подпись установленная законом. 

 законом не установлено такой обязанности.

 Вера Леонидовна

Руководство с этого года решило все рабдоки подписывать госключем. Вот лично я против: все рабдоки остаются у аудитора подписанные ЭП. По-сути, если аудитор уйдет из компании с им уйдут и рабдоки. По мне лучше подписывать рабдоки вставляя токен с подписью.  

Вопрос, почему уйдут рабдоки. Читать можно, печатать также, прикладывать в архивы также. А вот отредактировать "незаметно" их силами оставшихся сотрудников действительно будет нельзя, подпись перестанет быть валидной. И это хорошо и правильно. Ровно то, что я писал выше про обеспечение целостности и аутентичности РД.