Найти в Дзене
ГК «Астрал» | Бухгалтерия и IT
2218 подписчиков

Как оформить КЭП сотрудникам: от рисков «общей» подписи до внедрения КЦР

1
8 мин
Квалифицированная электронная подпись необходима для работы в государственных информационных системах, сдачи отчетности и ЭДО с контрагентами. Однако во многих компаниях сотрудники, например, бухгалтеры, пользуются не личными КЭП, а подписями руководителей. Кажется, что такой подход упрощает документооборот, но на самом деле «общая» подпись гендиректора может привести к существенным юридическим проблемам и экономическим потерям. В статье расскажем, почему важно оформлять собственные подписи для сотрудников и как лучше организовать этот процесс. Согласно Федеральному закону от 06.04.2011 № 63-ФЗ, КЭП признается равнозначной собственноручной подписи и в случаях, когда нормативно-правовые акты требуют электронного документооборота, такая подпись обязательна. Перечислим основные сферы применения КЭП. Срок действия сертификата ЭП Сергей Феоктистов Совместное использование КЭП гендиректора несколькими сотрудниками создает серьезные угрозы для компании и ее руководителя. Согласно положениям 6
Оглавление

Квалифицированная электронная подпись необходима для работы в государственных информационных системах, сдачи отчетности и ЭДО с контрагентами. Однако во многих компаниях сотрудники, например, бухгалтеры, пользуются не личными КЭП, а подписями руководителей. Кажется, что такой подход упрощает документооборот, но на самом деле «общая» подпись гендиректора может привести к существенным юридическим проблемам и экономическим потерям.

В статье расскажем, почему важно оформлять собственные подписи для сотрудников и как лучше организовать этот процесс.

Законодательная база: когда необходима КЭП

Согласно Федеральному закону от 06.04.2011 № 63-ФЗ, КЭП признается равнозначной собственноручной подписи и в случаях, когда нормативно-правовые акты требуют электронного документооборота, такая подпись обязательна. Перечислим основные сферы применения КЭП.

  • Государственные закупки. По Федеральному закону от 05.04.2013 № 44-ФЗ, все действия на электронных площадках требуют использования КЭП (регистрация, подача заявок, подписание контрактов и др.).
  • Сдача отчетности. Электронная отчетность обязательна для широкого круга налогоплательщиков и страхователей. Многие формы (декларации по НДС, налогу на прибыль, УСН, РСВ, 6-НДФЛ, ЕФС-1) сдаются в электронном виде, что подразумевает применение КЭП.
  • Работа в государственных информационных системах. КЭП обязательна для аутентификации и подписания документов в системах Честный ЗНАК, ФГИС Меркурий, ГИС ЭПД, Росстат, ЕГАИС и т.д.
Срок действия сертификата ЭП
Сергей Феоктистов

Риски использования «общей» подписи гендиректора

Совместное использование КЭП гендиректора несколькими сотрудниками создает серьезные угрозы для компании и ее руководителя. Согласно положениям 63-ФЗ, все действия, выполненные с КЭП, считаются личными действиями ее владельца, независимо от того, кто фактически имел доступ к ключу. Передача носителя или пароля другим лицам значительно повышает уязвимость владельца подписи и негативно сказывается на деятельности компании.

  • Концентрация юридической ответственности на руководителе. Доказать в суде, что подпись использовал другой сотрудник, крайне сложно. Владелец КЭП несет полную ответственность за все подписанные документы, включая ошибочные или мошеннические операции.
  • Ограничения в бизнес-процессах. Один носитель не позволяет нескольким сотрудникам работать одновременно в системах, требующих КЭП, что приводит к задержкам и снижению оперативности.
  • Повышенный риск злоупотреблений и утечек. Передача доступа увеличивает вероятность несанкционированного использования подписи, в том числе для действий за пределами полномочий или в личных целях.
  • Финансовые потери без возможности взыскания. При возникновении убытков в результате чьих-то неправомерных действий компания не сможет получить компенсацию, поскольку формально документы подписаны руководителем.
Правила безопасности ЭЦП: защита от мошенничества
Сергей Феоктистов

Примеры из судебной практики хорошо иллюстрируют эти риски. В деле № А38-7622/2020 (постановление Арбитражного суда Волго-Вятского округа от 15.07.2022) директор передал свою КЭП бухгалтеру, который подписал договор и накладную на поставку товаров стоимостью 275 000 рублей. Товар не был получен, но суды всех инстанций отказали в возврате средств, признав действия совершенными самим директором. В другом случае, где рассматривалось дело № 88-21008/2021 (постановление Второго кассационного суда общей юрисдикции от 14.09.2021), руководитель понес убытки в размере 16 млн рублей по поручительству, оформленному сотрудниками с использованием его КЭП. Суд установил факт передачи подписи и отказал в удовлетворении требований, посчитав, что ответственность полностью лежит на владельце сертификата.

Почему сотрудники против перехода на персональные подписи

Переход на персональные КЭП часто встречает сопротивление со стороны сотрудников и юристов компании. Это связано с распространенными опасениями, которые, как правило, не имеют достаточных оснований при правильной организации процесса.

Основные причины сопротивления:

  • страх финансовой и уголовной ответственности — сотрудники опасаются, что с собственной КЭП они будут лично отвечать за подписанные документы, включая возможные ошибки или злоупотребления;
  • опасения по поводу безопасности данных — многие беспокоятся о передаче биометрических или паспортных данных при оформлении подписи, а также о риске, что администратор сможет выпустить КЭП на постороннего человека;
  • нежелание осваивать новый процесс — оформление подписи воспринимается как сложная и времязатратная процедура, требующая дополнительных усилий;
  • привычка работать «по старинке» — применение подписи директора кажется проще и привычнее, особенно если эти процессы применяются в компании не первый год.
На практике эти опасения преувеличены: КЭП юридически равнозначна собственноручной, поэтому риски неверного подписания документов остаются теми же, что при работе с бумагой. Однако для заверения электронных документов от лица компании сотрудники вместе с личными КЭП должны применять машиночитаемую доверенность, которая четко фиксирует делегированные полномочия, исключая действия за их пределами. Личная ответственность сотрудника возникает только при доказанном умысле — мошенничестве или подлоге. Обычные рабочие ошибки к таким последствиям не приводят.

Доверенность на подписание документов в ЭДО
Сергей Феоктистов

Управление подписями: практические рекомендации по безопасности

Руководство компании, организующей выпуск КЭП для сотрудников, обязано выполнять определенные требования в процессе управления подписями: обеспечивать учет всех СКЗИ и носителей в специальном журнале (бумажном или электронном); фиксировать операции по выдаче, использованию и отзыву подписей; отражать правила работы с подписями в локальных нормативных актах; принимать меры по охране доступа к закрытым ключам.

Вот несколько рекомендаций, которые помогут достичь высокого уровня безопасности при работе с подписями сотрудников.

  • Выбор носителя для хранения ключа. Наиболее надежным вариантом является защищенный токен. Закрытый ключ сертификата ЭП хранится на устройстве. Таким образом, при выполнении криптографических операций ключ не попадает в оперативную память компьютера и не может быть перехвачен вредоносным ПО. Доступ требует одновременно физического носителя и пароля, что обеспечивает двухфакторную защиту. Хранение ключа на компьютере менее безопасно, поскольку при использовании ключ расшифровывается и становится уязвимым для вирусов или кейлоггеров.
  • Избегание многоразовой перезаписи на старый токен. Ресурс устройства ограничен, возможны технические сбои из-за износа или перепадов напряжения. Гарантия на токен обычно составляет 12 месяцев; после этого замена возможна только за счет компании.
  • Грамотные действия при увольнении сотрудника. Сертификат КЭП принадлежит физическому лицу, поэтому отзыв возможен только по его заявлению. Однако МЧД руководитель отзывает в одностороннем порядке — это обязательная мера для предотвращения дальнейшего использования полномочий. Токен можно очистить от сертификата и использовать повторно либо списать и передать уволившемуся сотруднику.

Для компаний, выпускающих более 10 КЭП в год, целесообразно внедрить корпоративный центр регистрации или КЦР. Данный инструмент позволяет проводить идентификацию сотрудников непосредственно в офисе или филиале без визитов в удостоверяющий центр. При этом стоимость одной подписи снижается до 50%, а руководство компании получает возможность централизованно управлять сертификатами и МЧД, минимизируя риски, связанные с хранением и передачей документов. Таким образом, КЦР экономит время администраторов и упрощает массовый выпуск подписей при сохранении всех требований безопасности.

Корпоративный центр регистрации: преимущества КЦР для бизнеса
Дарья Алексеева

Работа КЦР на практике

Опыт реальных компаний подтверждает эффективность перехода на персональные КЭП через корпоративный центр регистрации. Рассмотрим два случая, где внедрение КЦР решило проблемы с «общей» подписью директора, ускорило процессы и помогло преодолеть сопротивление сотрудников.

Крупная организация: сравнение УЦ и КЦР

Компания с численностью персонала 1629 человек ранее выпускала КЭП через удостоверяющий центр: требовалось 1–2 визита сотрудников в офис УЦ, в среднем процесс оформления подписей занимал 5 рабочих дней. Кроме того, требовался поиск полномочий для МЧД на госпорталах, а само оформление доверенности занимало полчаса. После внедрения КЦР идентификация стала проводиться в офисе компании, процесс оформления подписей стал централизованным, а для оформления МЧД стали доступны готовые шаблоны. Количество сотрудников с личными КЭП выросло с 10 до 17, при этом снизилась стоимость одной подписи и существенно сократилось время выпуска КЭП.

-2

Строительная компания: переход к персональным подписям

Компания с численностью персонала 254 человека и потенциалом использования электронных подписей у 30 сотрудников из разных подразделений изначально применяла «общую» КЭП гендиректора. Токен передавался от одного сотрудника к другому, создавая очереди в ЕИС, где единовременно мог работать только один сотрудник с единственной подписью на всю компанию. За день удавалось передать в ЕИС максимум 4 пакета документов. Подобная схема исключала возможность параллельной работы сотрудников. После внедрения КЦР сначала выпустили 4 подписи — очереди исчезли, одновременный доступ позволил обрабатывать 12 пакетов в день. При полном охвате более 30 сотрудников, по подсчетам администратора КЦР в компании, работающей с ЕИС, скорость оборота строительной документации вырастет до 48 пакетов в день. Кроме того, возможность делегировать полномочия с МЧД снимет и другую операционную нагрузку с директора.

-3

FAQ

Можно ли выпустить КЭП без посещения удостоверяющего центра?

Да, если у сотрудника уже есть действующая КЭП, которой он может подписать заявление на новую подпись.

Какую подпись использовать для системы «Честный ЗНАК»?

Для операций с большинством маркированных товаров (продукты питания, молочная продукция, бутилированная вода, консервы) нужна квалифицированная электронная подпись. Для алкогольной продукции требуется специальная КЭП с дополнительными расширениями для совместимости с ЕГАИС, которую можно получить в УЦ, аккредитованном Минцифры.

Как организовать учет средств криптографической защиты информации?

Учет СКЗИ ведется в журнале (бумажном или электронном), где фиксируются все операции с носителями и сертификатами — выдача, использование, отзыв, передача.

Возможно ли подать заявление на выпуск КЭП самостоятельно через Госуслуги?

Нет, заявление на выпуск квалифицированной электронной подписи подается только через личный кабинет удостоверяющего центра или корпоративного центра регистрации.