Риски передачи ЭЦП: как не стать жертвой волка в овечьей шкуре

Когда в беседе с владельцами бизнеса заходит речь о потере контроля или предприятия в целом, очень часто воображение рисует им красочные ужасные картины.

Люди в масках с автоматами, положившие всех работников на пол, “карманные нотариусы”, переписывающие компанию на новых хозяев положения. И еще множество вариантов фатальных и ужасных.

В своей практике я выявляю потерю владельческого контроля совсем другого вида, который незаметно и постепенно окутывают бизнес. Примеры? Пожалуй, начнем с самого простого. Ваша подпись.

В 2021 году в нашей стране произошли глобальные изменения в вопросах электронно-цифровых подписей. Все удостоверяющие центры остались “не у дел”. Нагрузку по выпуску квалифицированных электронных подписей на особо защищенные токены самоотверженно взяла на себя налоговая служба. Теперь КЭП - самая главная подпись в организации, а налоговая подтверждает, что самолично видела директора в лицо, это не мертвая душа.

А в 2023 году удостоверяющие центры лишились права выпускать электронно-цифровые подписи на сотрудников организаций. Им на смену пришли обычные ЭЦП на физическое лицо от удостоверяющего центра и машиночитаемые доверенности, которые выпускают и подписывают сами руководители компаний или предприниматели.

Заветная флешка с подписью приобретает очень важное значение, учитывая тенденцию к переходу на ЭДО со всеми контролирующими органами, удобство электронной коммуникации с контрагентами, без тонны распечатанных документов.

Любой документ, подписанный с помощью КЭП имеет юридическую силу. И неважно - кто это сделал на самом деле и в чьих руках флешка была на момент подписания. Если директор не заявил о компрометации подписи и не уведомил органы о том, что его подпись оказалась в чужих руках, значит все подписи имеют юридическую силу.

Каким образом строят процесс подписания и использования КЭП в деятельности компании?

По-разному. Есть множество способов. И некоторые весьма рисковые.

Пожалуй, самый редкий способ, который я наблюдала в своей практике. И чаще всего это прерогатива микро-, я бы даже сказала нано-, бизнеса, в котором его владелец — и швец, и жнец, и на дуде игрец. Но если мы говорим про компанию покрупнее, то тут возникают проблемы. Бизнесмену некогда заниматься развитием бизнеса, директору — операционкой. Они вынуждены проводить массу времени за регистрациями на всевозможных сервисах, получением, передачей документов. Это, как вы понимаете, неэффективно.

“Я тебе доверяю. Забери и не отвлекай меня по пустякам!” Риск? Еще какой! Если мы говорим о компании 2-5 человек, то все на виду и можно вовремя вернуть ценную флешку с подписью себе. А если компания в 50 человек, 100 и больше?

В таких компаниях встречаются случаи, когда подпись директора отдана сотрудникам, которые используют ее “не отвлекая” владельца “по пустякам”. Хорошо, если доверенное лицо действительно обладает высоким уровнем ответственности. А если нет? А если произошел конфликт между директором и работником? Ситуация еще более осложняется, когда доступ к подписи имеют несколько сотрудников. С кого спрашивать?

В моей практике даже встречались случаи, когда сотрудники сами себе зарплаты повышали, используя флешку= подпись директора. Рискованно, правда?

Я встречала опасения некоторых владельцев бизнеса: “я выдам доверенность и сотрудник от своего имени наподписывает ТАКОООГООО, что компании потом не расхлебать”.

Хотя, как показывает практика, ценность для работника собственной подписи многократно выше ценности подписи директора. Чтобы поставить собственную подпись, работник подумает много раз и оценит риски. Ведь под документом будет стоять его личные ФИО. А значит будет оценено с личной, шкурной позиции.

Точно так же работает логика и у руководителей среднего и высшего звена. Подпись под фиктивным/ заведомо приносящим проблемы для бизнеса документом может и до суда довести. А там - прощай карьера, судебные издержки и другие личные неприятности.

Есть ли в третьем способе риски? Конечно. Никто не может исключить наличие “отмороженных на всю голову” работников, волков в овечьей шкуре. И здесь на помощь приходит система согласования каждого документа перед его подписанием. Автоматизация информационной системы таким образом, чтобы подписание было возможно только после прохождения всех согласовательных процедур. Ну и, конечно же, определение полномочий доверенного лица.

Выдача доверенности не подразумевает доверие в 100% объеме. Всегда можно ограничить круг документов, сумму по каждому документу или установить другие рамки. Комплекс действий, которые позволят вам снизить злоупотребление на местах если не на 100%, то до минимума, приемлемого в вашем бизнесе, а также дадут возможность привлечь злоумышленников к ответственности, если превышение полномочий все же произошло.

Сейчас некоторые из вас, читатели, обязательно скажут: вот ты, Оксана, говоришь о МЧД, и о том как здорово и безопасно будет жить бизнесу с ними. А как же те случаи, когда без КЭП директора ну совсем никак не обойтись? Что делать в этом случае?

И я соглашусь. Такие ситуации возможны. Есть некоторые контролирующие органы, которые принимают информацию исключительно подписанную КЭП. Таких ситуаций, к счастью, очень немного, если оценивать с общим объемом подписанных документов.

Выработать для них схему так же возможно. Например, выдача КЭП под роспись ответственному работнику и фиксировать время получения, сдачи и указания цели. Чем больше работник ставит подписей, тем больше у него укрепляется ощущение личной небезопасности в виду каких-либо противоправных действий.

У организации же остается фиксация временного промежутка, в который КЭП находился в чужих, недиректорских, руках. И в случае инцидента, всегда можно сравнить время подписи с периодом пользования КЭП. Благо электронная цифровая подпись фиксирует время подписания до секунды.

Расскажите, а как в вашем бизнесе построен процесс использования КЭП? Какой способ вы выбрали? Или выработали свой, отличный от тех, которые я описала? Поделитесь в комментариях.