Oprócz samej generacji e-sprawozdania podczas pierwszego kwartału funkcjonowania e-sprawozdania problemem okazało się jego podpisywanie. Zgodnie z art. 45 ust. 1f ustawy o  rachunkowości sprawozdanie finansowe w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP. Zgodnie z art. 52 ust. 2 UoR sprawozdanie finansowe podpisuje – podając zarazem datę podpisu – osoba, której powierzono prowadzenie ksiąg rachunkowych, i kierownik jednostki, a jeżeli jednostką kieruje organ wieloosobowy – wszyscy członkowie tego organu.

Innymi słowy plik xml powinien być podpisany przez kilka osób i może to być zrobione na kilka sposobów.

Podpis kwalifikowany

Rozpatrzmy na początek kwalifikowany podpis elektroniczny. W Polsce jest 5 kwalifikowanych dostawców usług zaufania (informacja ze strony NBP): Cencert, Eurocert, KIR, PWPW oraz Certum.

1. Cencert: opis składania podpisu zaczyna się od 10 strony instrukcji użytkownika http://soft.mpi.pl/PODPIS/PEM_HART/rozpakowane/dokumentacja/user.pdf Dodawanie podpisu jako kolejnego jest opisane od strony 24 tej samej instrukcji

2. Eurocert: opis składania podpisu zaczyna się od strony 6 instrukcji użytkownika https://eurocert.pl/images/2018/10/01/Instrukcja-Securedoc_v2.0.pdf Dodawanie kolejnego podpisu przebiega w ten sam sposób tylko przy zaznaczonym check-box „Dodaj kolejny podpis”

3. KIR: opis składania podpisu – podpis XAdES – punkt 1 instrukcji https://www.elektronicznypodpis.pl/gfx/elektronicznypodpis/userfiles/_public/informacje/instrukcje/instrukcja_podpis_i_weryfikacja_xades_pades_cades.pdf W instrukcji brak jest informacji jak dodać kolejny podpis, ale wykonuje się to przez wejście do opcji „Kreator” następnie wybranie opcji „Podpisu” i w kolejnym kroku zaznacza się check-box „Dodaj kolejny podpis do pliku z podpisem”

4. Certum: opis procesu podpisu na stronie: https://www.certum.pl/pl/cert_wiedza_jak_zlozyc_podpis_elektroniczny/ Opis jak dodać kolejny podpis znajduje się na stronie: https://www.certum.pl/pl/cert_wiedza_skladanie_podpisu_wielokrotnego/

5. PWPW: niestety PWPW (Sigillum) nie udostępnia na swoich stronach instrukcji użytkownika, więc nie mogę pomóc, ale po uruchomieniu aplikacji podpisowej Sign5 na ekranie startowym widoczne są przyciski „Podpisz” oraz „Dodaj kolejny podpis”.

Podpis ePUAP

Od marca 2019 działa nowa funkcjonalność ePUAP do podpisywania, która znacznie uprościła podpisywanie XML.

Po wejściu na stronę https://www.gov.pl/web/uslugi/podpisz-dokument-elektronicznie-wykorzystaj-podpis-zaufany należy zalogować się swoim profilem zaufanym. Następnie należy dodać podpisywany plik (pliki dodaje się pojedynczo) i przy użyciu profilu zaufanego podpisać. Na kolejnym ekranie uzyskamy możliwość pobrania tak podpisanego pliku.

Podpis zapisywany jest w tym samym pliku XML, który został pobrany. Pliki XML nie podlegają wizualizacji podczas podpisu, nie możemy więc sprawdzić co było podpisywane.

W tym samym oknie można również sprawdzić podpisy pod tak podpisanym plikiem.

Inna metoda walidacji podpisu ePUAP: podpis taki oczywiście nie jest walidowany przez żadne oprogramowanie do podpisu kwalifikowanego. Żeby go zwalidować należy wejść na stronę epuap.gov.pl, wejść w zakładkę „strefa urzędnika”, rozwinąć w menu „Więcej” i wybrać „walidator” i dalej postępować zgodnie ze wskazaniami. Działa.

Metoda mieszana

Niestety użycie łączne obu metod (część osób ePUAP a część podpis kwalifikowany) jest obarczone koniecznością zastosowania właściwej kolejności. Wynika to z samej właściwości podpisu ePUAP. Mianowicie ePUAP zapisuje (osadza) podpis wewnątrz pliku XML. Czyli w efekcie podpisania uzyskamy dalej plik XML tylko z dopisanymi informacjami o podpisach.

Natomiast w przypadku podpisu kwalifikowanego uzyskamy dodatkowy plik XAdES, w którym będzie umieszczona suma kontrolna z pliku XML oraz informacje o podpisach również.

Wymusza to następującą kolejność składania podpisów:

1. Najpierw wszystkie osoby podpisujące profilem zaufanym (ePUAP) gdyż ich podpisy zmodyfikują zawartość pliku XML

2. Dopiero po zakończeniu tych podpisów można podpisać tak uzyskany XML podpisami kwalifikowanymi pozostałych osób. Powstały w efekcie plik XAdES będzie gwarantował, że podpisany plik XML nie był modyfikowany (weryfikacja sum kontrolnych).

 

Moja porada wynikająca z doświadczenia tego pierwszego kwartału

Proszę również pamiętać, że plikiem podpisywanym jest plik e-sprawozdania (czyli kończący się rozszerzeniem XML) a nie ostatni plik XAdES.

Jeśli nie są Państwo pewni jak dodać kolejny podpis proszę po prostu zrobić dla każdej osoby odrębny plik XAdES – KRS przyjmuje kilka plików XAdES do jednego pliku XML sprawozdania. Będzie to funkcjonowało jak odrębne kartki z podpisem pojedynczej osoby. Jest to równie skuteczne i być może, dla niezbyt wprawnych użytkowników, prostsze.

O podpisywaniu sprawozdań z działalności (lub też innych plików w pdf) podpisem zaufanym piszę więcej we wpisie http://www.audyt-bombik.pl/mozna-juz-podpisac-pdf-podpisem-zaufanym-epuap/

 

Zapraszam do podzielenia się doświadczeniami w tym względzie.