Oprócz samej generacji e-sprawozdania podczas pierwszego kwartału funkcjonowania e-sprawozdania problemem okazało się jego podpisywanie. Zgodnie z art. 45 ust. 1f ustawy o  rachunkowości sprawozdanie finansowe w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP. Zgodnie z art. 52 ust. 2 UoR sprawozdanie finansowe podpisuje – podając zarazem datę podpisu – osoba, której powierzono prowadzenie ksiąg rachunkowych, i kierownik jednostki, a jeżeli jednostką kieruje organ wieloosobowy – wszyscy członkowie tego organu.

Innymi słowy plik xml powinien być podpisany przez kilka osób i może to być zrobione na kilka sposobów.

Podpis kwalifikowany

Rozpatrzmy na początek kwalifikowany podpis elektroniczny. W Polsce jest 5 kwalifikowanych dostawców usług zaufania (informacja ze strony NBP): Cencert, Eurocert, KIR, PWPW oraz Certum.

1. Cencert: opis składania podpisu zaczyna się od 10 strony instrukcji użytkownika http://soft.mpi.pl/PODPIS/PEM_HART/rozpakowane/dokumentacja/user.pdf Dodawanie podpisu jako kolejnego jest opisane od strony 24 tej samej instrukcji

2. Eurocert: opis składania podpisu zaczyna się od strony 6 instrukcji użytkownika https://eurocert.pl/images/2018/10/01/Instrukcja-Securedoc_v2.0.pdf Dodawanie kolejnego podpisu przebiega w ten sam sposób tylko przy zaznaczonym check-box „Dodaj kolejny podpis”

3. KIR: opis składania podpisu – podpis XAdES – punkt 1 instrukcji https://www.elektronicznypodpis.pl/gfx/elektronicznypodpis/userfiles/_public/informacje/instrukcje/instrukcja_podpis_i_weryfikacja_xades_pades_cades.pdf W instrukcji brak jest informacji jak dodać kolejny podpis, ale wykonuje się to przez wejście do opcji „Kreator” następnie wybranie opcji „Podpisu” i w kolejnym kroku zaznacza się check-box „Dodaj kolejny podpis do pliku z podpisem”

4. Certum: opis procesu podpisu na stronie: https://www.certum.pl/pl/cert_wiedza_jak_zlozyc_podpis_elektroniczny/ Opis jak dodać kolejny podpis znajduje się na stronie: https://www.certum.pl/pl/cert_wiedza_skladanie_podpisu_wielokrotnego/

5. PWPW: niestety PWPW (Sigillum) nie udostępnia na swoich stronach instrukcji użytkownika, więc nie mogę pomóc, ale po uruchomieniu aplikacji podpisowej Sign5 na ekranie startowym widoczne są przyciski „Podpisz” oraz „Dodaj kolejny podpis”.

Podpis ePUAP

EPUAP umożliwia podpisanie jedynie plików XML (czyli nie jest możliwe podpisanie innego typu plików).

Po zalogowaniu się na stronię epuap.gov.pl należy wejść w „Moją skrzynkę” (górna prawa część ekranu obok imienia i nazwiska osoby zalogowanej. Następnie należy przejść do „Robocze” (menu po lewej stronie). Pojawi się wówczas przycisk po prawej stronie ekranu u góry „Dodaj plik z dysku”. Po wskazaniu pliku należy przycisnąć przycisk „Dodaj”. Następnie należy kliknąć na plik. Otworzy się podgląd tego pliku (wygląd ekranu poniżej) oraz pojawi się przycisk „Podpisz”. Po kilkunastu potwierdzeniach, czy aby na pewno chcesz podpisać plik bez podglądu wizualnego w końcu uzyskuje się plik podpisany.

podpis epuap

Plik po podpisaniu można pobrać po naciśnięciu ikony „pobierz” – znajduje się ona nieco ponad przyciskiem „Podpisz”.

Podpisanie przez pliku przez więcej niż 1 osobę zostało opisane (choć nieco mało dokładnie) w linku https://epuap.gov.pl/wps/wcm/connect/epuap2/pl/strefa+klienta_pomoc/najczesciej+zadawane+pytania/jak+podpisac+1+dokument+przez+wiecej+niz+1+osobe

Jak mi się wydaje możliwa jest drugi sposób podpisania przez kolejną osobę (nie mogę przetestować niestety tego w jedną osobę) – po podpisaniu przez pierwszą osobę należy plik pobrać i przekazać (np. mailem lub przy użyciu dysku) do kolejnej osoby i kolejna osoba po prostu wykonuje czynności opisane powyżej. Z dużą dozą prawdopodobieństwa powinno to zadziałać.

WAŻNA INFORMACJA: na dzień pisania artykułu eKRS nie potrafi zweryfikować podpisanego ePUAP sprawozdania finansowego i wskazuje błąd „Nie można pobrać informacji o osobie podpisującej z certyfikatu”. Błąd ten uniemożliwia wczytanie do KRS sprawozdania podpisanego jedynie ePUAP.

Wydaje się, że ze względu na dopuszczalność takiego podpisu przez ustawę o rachunkowości (art. 45 ust. 1f) ten błąd KRS powinien zostać naprawiony. Kwestia tylko kiedy …

Dla zainteresowanych jak zwalidować podpis ePUAP: podpis taki oczywiście nie jest walidowany przez żadne oprogramowanie do podpisu kwalifikowanego. Żeby go zwalidowaćnależy wejść na stronę epuap.gov.pl, wejść w zakładkę „strefa urzędnika”, rozwinąć w menu „Więcej” i wybrać „walidator” i dalej postępować zgodnie ze wskazaniami. Działa.

Metoda mieszana

Niestety użycie łączne obu metod (część osób ePUAP a część podpis kwalifikowany) jest obarczone koniecznością zastosowania właściwej kolejności. Wynika to z samej właściwości podpisu ePUAP. Mianowicie ePUAP zapisuje (osadza) podpis wewnątrz pliku XML. Czyli w efekcie podpisania uzyskamy dalej plik XML tylko z dopisanymi informacjami o podpisach.

Natomiast w przypadku podpisu kwalifikowanego uzyskamy dodatkowy plik XAdES, w którym będzie umieszczona suma kontrolna z pliku XML oraz informacje o podpisach również.

Wymusza to następującą kolejność składania podpisów:

1. Najpierw wszystkie osoby podpisujące profilem zaufanym (ePUAP) gdyż ich podpisy zmodyfikują zawartość pliku XML

2. Dopiero po zakończeniu tych podpisów można podpisać tak uzyskany XML podpisami kwalifikowanymi pozostałych osób. Powstały w efekcie plik XAdES będzie gwarantował, że podpisany plik XML nie był modyfikowany (weryfikacja sum kontrolnych).

 

Moja porada wynikająca z doświadczenia tego pierwszego kwartału

Jeśli to tylko możliwe proszę w ramach firmy nie stosować metody mieszanej. W praktyce nie widziałam jeszcze żeby ktokolwiek użył do podpisu ePUAP. Niestety jest on znacznie trudniejszy w obsłudze.

Proszę również pamiętać, że plikiem podpisywanym jest plik e-sprawozdania (czyli kończący się rozszerzeniem XML) a nie ostatni plik XAdES.

Jeśli nie są Państwo pewni jak dodać kolejny podpis proszę po prostu zrobić dla każdej osoby odrębny plik XAdES – KRS przyjmuje kilka plików XAdES do jednego pliku XML sprawozdania. Będzie to funkcjonowało jak odrębne kartki z podpisem pojedynczej osoby. Jest to równie skuteczne i być może, dla niezbyt wprawnych użytkowników, prostsze.

Zapraszam do podzielenia się doświadczeniami w tym względzie.