Журнал о системах электронного документооборота (СЭД)
Электронная цифровая подпись (ЭП)

Архитектура обмена юридически значимыми электронными документами

  25 комментариев Добавить в закладки

Корепанов Алексей, руководитель проектов, компания DIRECTUM

0.   Начало

Вся общественность, всколыхнувшаяся после выхода нового закона об электронной подписи и появления порядка обмена электронными счетами-фактурами (а значит и скорой возможности обмена всеми первичными финансовыми документами в электронном виде), провела текущий год под флагом юридически значимого электронного документооборота. Вот и мы уже обсуждали этот вопрос на онлайн-семинаре (ответы на вопросы, прозвучавшие в ходе семинара можно посмотреть тут и тут). На очереди вопрос организации архитектуры системы обмена электронными документами.

Многие компании уже сейчас используют в своей деятельности не одну автоматизированную систему, в частности, распространено использование в связке систем ERP и ECM. В этом случае непонятно, где создавать-хранить документы и откуда их передавать контрагенту или спецоператору? Постараюсь ответить на эти и некоторые другие вопросы.

Для лучшего понимания сути вопросов, предлагаю освежить в памяти знания о ERP и ECM-системах. Процитирую часть статьи Максима Галимова, директора по перспективным исследованиям компании Directum.

Хотя и ERP, и ECM работают с корпоративной информацией, характер этой информации совершенно разный. Основу данных ERP-систем составляет хорошо структурированная информация. Документ ERP-системы представляет собой четко заданную форму, где набору реквизитов соответствуют их значения и определенная логика обработки. Документ ECM-системы (под документом будем понимать отдельную единицу контента) — это в первую очередь информация неструктурированная, ее состав в большинстве случаев предсказать заранее невозможно. Атрибуты документа и связанная справочная информация, то есть структурированные данные, играют второстепенную роль.

Характер информации — один из основных отличительных признаков ERP и ECM-систем. Другим, не менее важным, различием являются методы ее обработки. Действительно, в обоих классах систем ключевую роль играет коллективная работа пользователей, но цели и средства работы с системой у них неодинаковы.

Таблица 1. Отличия в подходах к работе с информацией в ERP и ECM-системах

Характеристика

ERP

ECM

Задачи обработки

Подготовка отчетности

Накопление знаний

Типовой цикл системы

Планирование, исполнение, контроль, анализ

Не выражен, зависит от задач

Типовой жизненный цикл документа

Создание, отражение в разных ракурсах (модулях), утверждение

Создание, согласование, подписание ЭЦП, регистрация, списание в архив

Способ изменения данных

Сторнация операций

Версии документа

Средства доступа к данным

Навигация и анализ, drilldown

Поиск (атрибутивный и полнотекстовый)

Средства передачи данных в рамках процедуры обработки

Оповещения, визуальный контроль

Управление бизнес-процессами, workflow

В таблице приведены некоторые особенности систем с точки зрения подходов к обработке данных. Это наиболее яркие отличия. Среди других, не столь очевидных — порядок протоколирования, уровни разграничения доступа и т. д. Существенно различается и политика хранения объектов системы.

Освежили? Отлично! Больше всего вопросов возникает при организации межкорпоративного обмена, в частности, обмена договорными документами, поэтому перейдем к вопросу перевода процесса заключения сделки в электронный вид, т.е. когда все документы формируются и обрабатываются в электронном виде. Определим типовой перечень документов, формируемых при заключении сделки:

●    договор;

●    приложение, доп. соглашение;

●    счет;

●    акт, накладная;

●    счет-фактура.

Какой документ, где формируется? Уже сейчас в компаниях России повсеместно используются ERP-системы как системы, автоматизирующие ключевые бизнес-процессы, без которых не может осуществляться деятельность компании, а это в том числе бухгалтерский и налоговый учет. Именно в ERP-системе формируются счета, накладные и счета-фактуры (структурированная группа документов), а договоры, приложения, доп. соглашения и акты (неструктурированная группа документов) зачастую формируются просто в офисной программе, согласуются путем пересылки по электронной почте или вообще на бумаге, а хранятся документы на рабочем столе инициатора или ответственного за договор. Назовем это вариантом №1. Вариант №2 – когда все документы компании согласуются и хранятся централизованно в ECM-системе.

Вернемся к сделкам. Договорные документы в электронном виде могут быть отправлены контрагенту напрямую, за исключением счета-фактуры, который можно отправлять только через спецоператора. Таким образом, появляется новый элемент инфраструктуры обмена. Рассмотрим работу инфраструктуры обмена договорными документами в разрезах варианта №1 и №2.

1.   ERP – наше все?

Итак, вариант №1, в компании есть ERP-система, ECM-система отсутствует. Какие возможные сценарии работы могут быть?

Сценарий №1. Обмен договорными документами осуществляется напрямую с контрагентами, счета-фактуры – через спецоператора.

1.     Инициатор формирует проект договора в офисном приложении и сохраняет его на локальной машине. Для подписания используется прикладное специализированное программное обеспечение. Подписанный документ инициатор отправляет согласующим  (ими могут быть руководитель отдела, юрист, руководитель компании и другие сотрудники компании), например, по электронной почте (шаг 1 на рисунке). Те в свою очередь либо возвращают документ на доработку (опять же по электронной почте), либо подписывают и отправляют дальше по цепочке согласования, при этом сами определяют следующего участника (шаг 2). После подписания руководителем компании
(шаг 3) документ отправляется на регистрацию и отправку контрагенту, параллельно информация о договоре должна передаваться в ERP-систему, силами пользователя в этом случае (шаг 4).

2.     На основании полученных данных в ERP-системе формируется счет. Далее он либо экспортируется (шаг 5), либо подписывается и отправляется контрагенту из ERP-системы (тут необходимо отметить, что подписание документов поддерживается далеко не всеми ERP-системами и не у всех в планах есть разработка такого функционала). Еще стоит учесть, что во многих компаниях счет также согласуется, как и договор, т.е. его необходимо экспортировать из ERP-системы, подписывать и согласовывать с использованием, например, электронной почты (шаги 6-8). После согласования счет отправляется контрагенту (шаг 9).

3.     После выполнения работ формируется акт в офисном приложении, подписывается и отправляется контрагенту. Параллельно в ERP-системе формируется счет-фактура, который необходимо подписать и отправить контрагенту через специализированного оператора связи. Это можно сделать непосредственно в ERP-системе (шаг 12?), но в дополнение к указанным выше ограничениям подписания документов в данном случае добавляется интеграционное решение для отправки документов спецоператору, разработка которого также планируется не всеми вендорами. Другой вариант – экспорт документа из ERP-системы (шаг 11), его загрузка на Вашу страницу на портале спецоператора (шаг 12). Там необходимо подписать документ и отправить контрагенту (шаг 13). Подписанный документ потребуется выгрузить обратно с целью сохранения, т.к. спецоператоры не планируют хранить Ваши документы длительное время (после подписания документа контрагентом).

4.     Документы, полученные от контрагента, необходимо хранить до истечения срока их архивного хранения (для договорных документов – 5 лет). Кто и где внутри компании будет хранить документы в случае такой постановки процесса работы с договорными документами – большой вопрос.

Представили процесс?

 

Неэффективно, тем более, если учесть большой объем документов. В дополнение к этому необходимо выделить высокие риски потери документов и подписания, отправки контрагенту не той версии документа.

Сценарий №2. Все договорные документы проходят через спецоператора.

В этом случае процесс отличаться будет незначительно, только все договорные документы будут отправляться спецоператору, аналогично счету-фактуре.

Подведем промежуточные итоги. Итак, какие сложности ждут при использовании в обмене договорными документами варианта №1?

1.    Низкая эффективность работы, что является прямым следствием большого набора операций, выполняемых пользователем, отсутствие автоматизации этапа согласования и отправки документов контрагенту.

2.    Сложность обработки большого объема документов, причины те же.

3.    Невозможность автоматизации обработки документов, причины те же.

4.    Сложность организации архивного хранения подписанных электронных документов. Некоторые ERP-системы предоставляют возможность организации архива, но что делать, если ваш вендор не предоставляет подобных решений? Можно использовать стороннее специализированное решение. Главное не запутаться, какой документ когда и куда необходимо отправить.

5.    Высокие риски потери документов.

Хорошо, если ERP-система предоставляет все необходимые инструменты. Если же нет? Предлагаю рассмотреть вариант реализации №2.

2.   ECM + ERP = наше все!

Итак, вариант №2, в компании есть и ERP, и ECM-система. При этом в 99% случаев системы уже интегрированы, т.е. обмениваются электронными документами и другой информацией. Как будет построена работа в этом случае?

Неструктурированную группу документов пользователи будут создавать в ECM-системе, там же созданные документы будут согласованы и в последующем сохранены в архиве.

Как и в предыдущем случае, структурированные документы будут формироваться в ERP-системе. Их дальнейшую обработку лучше проводить в ECM-системе. Почему? Доводы следующие:

1.    Все документы необходимо подписать. Это характерная для ECM-систем функция, далеко не все ERP-системы имеют такой функционал. В дополнение к этому, чтобы подпись была квалифицированной (обязательное требования для счетов-фактур), она должна быть установлена с использованием сертифицированных средств, поддержку которых заявляют многие вендоры ECM-систем.

2.    Договорные документы необходимо согласовать внутри компании. Для ECM-системы это одна из основных функций. Единицы ERP-систем имеют docflow или workflow.

3.    Также стоит отметить тот факт, что большая часть согласующих лиц не работают в ERP-системе, в то время как практически все из них (скорее даже все) работают в ECM-системе.

4.    Все документы необходимо передать контрагенту и впоследствии получить, вне зависимости от того, где были эти документы сформированы. Экономически целесообразно использовать одну точку отправки-приемки документов. Если учитывать необходимость согласования и подписания документов, логично использовать для этого ECM-систему.

5.    После подписания документы необходимо передать в архив для хранения. Для договорных документов срок хранения составляет 5 лет. Большая часть ECM-систем уже сейчас предлагает решения для организации архива электронных документов и лишь единицы ERP-систем имеют подобные решения. Целесообразно хранить все документы в едином хранилище, т.е. после формирования структурированных документов в ERP-системе передавать их в ECM-систему, где их можно согласовать, подписать, отправить контрагенту, и, после получения подписанных двумя сторонами документов, перенести их в архивное хранилище.  

Если использовать вариант работы №2, можно получить такую картину работы с договорными документами:

При работе по указанному сценарию можно получить следующие преимущества:

1.    Высокая эффективность работы, т.к. весь процесс работы с договорными документами автоматизирован.

2.    Возможность обработки больших объемов документов за счет автоматизации.

3.    Централизованная обработка документов, в том числе их архивное хранение.

4.    Следствие предыдущего пункта – низкие риски потери документов.

Может реализовать необходимые функции ECM-системы в ERP? Возможно, но насколько это целесообразно? На текущий момент большую часть ERP- и ECM-систем можно легко интегрировать между собой, тогда зачем «создавать велосипед»?

Логичнее, экономически целесообразнее и эффективнее будет использовать в каждой системе характерные для нее функции, и осуществлять обмен между системами необходимой информацией. Почему целесообразнее? Процесс прозрачен и понятен всем участникам, риск потери документов – минимальный. С экономической точки зрения – нет необходимости доработок систем. Эффективнее? Да. В случае взаимодействия систем можно автоматизировать большую часть работы с договорными документами, и пользователи будут работать уже в привычной для них системе.

3.   E-invocing – начало

Законодательная база постепенно позволяет переводить в электронный вид все больше видов документов. В первом квартале 2012 года должен появиться формат счета-фактуры. Тогда можно будет перевести в электронный вид весь договорной процесс, без дублирования документов на бумаге. Чтобы быть готовым быстро перейти на эффективную автоматизированную работу с договорными документами, уже сейчас необходимо озадачиться вопросом организации внутрикорпоративной архитектуры юридически значимого обмена электронными документами, в том числе вопросом взаимодействия ECM и ERP-систем. Думаю, эта статья поможет при решении этого нетривиального вопроса.

Ещё материалы автора
Похожие записи
Комментарии (25)
Михаил Романов 04 января 2012 г. 16:32  

По сценарию "ERP-only":

Подписанный документ инициатор отправляет согласующим
либо подписывают и отправляют дальше по цепочке согласования

Для чего столько подписей на документе? Почему не подписать только конечный (согласованный) вариант?

информация о договоре должна передаваться в ERP-систему
Что за информация и для чего она в ERP? 
 
На основании полученных данных в ERP-системе формируется счет

О каких данных речь и почему счет формируется именно в ERP?

Я вот например, знаю два основных сценария формирования счета:

  1. Счет в торговой сети (розничной или оптовой). Там договор типовой или вообще оферта. Поэтому ничего согласовывать не надо. Поэтому все там ведется только в бухгалтерской системе (а у некоторых и вовсе в Excel).
  2. Индивидуальные договоры (типа договора на разработку / внедрение ПО. Тут вот сколько раз уже видел все спецификации составляют в обычном Excel и в нем же согласуют. ERP используется только для фиксации конечной суммы (чтобы потом учесть оплату) ну иногда для печати счета по форме (хотя кто мещает это сделать в исходном Excel?)

Т.е. счет после попадания в ERP никем уже не согласуется - незачем.

После выполнения работ формируется акт в офисном приложении, подписывается и отправляется контрагенту
Я чаще встречал, что бухгалтерские системы умеют все это делать сами. Так что акт в офисном редакторе, это скорее нонсенс (или неудачный выбор поставщика бухгалтерской системы). 
т.к. спецоператоры не планируют хранить Ваши документы длительное время (после подписания документа контрагентом).
Что значит "не планируют"? Они обязаны хранить документы в соответсвии с установленными сроками. А дольше необходимых сроков хранение и в принципе никто обычно не хранит документы.
Кто и где внутри компании будет хранить документы в случае такой постановки процесса работы с договорными документами – большой вопрос.
Банальные файловые хранилища уже не в чести?
 
По сценарию "ERP+ECM": 
Все документы необходимо подписать.
Да, но только подписать нужно не средствами ECM, а с помощью ПО, предоставленного спецоператором. А какие ECM-системы у нас имеют сертифкат соответсвия для использования в качестве СКЗИ или хотябы на корректность встраивания сертифицированных СКЗИ?
Все документы необходимо передать контрагенту

 

логично использовать для этого ECM-систему

В чем тут преимущество ECM, я так и не понял. Если вы не используете единую ECM-систему, то все все равно пойдет через почту. Где отличие?

При этом в 99% случаев системы уже интегрированы, т.е. обмениваются электронными документами и другой информацией
Это сильно! Вот сколько я видел подобных интеграций, буквально единицы передвали документы. Обычно все сводилось к обмену справочниками.
Вообще, интеграция систем это чуть ли не гланая проблема всех комплексных систем. Я даже видел варианты когда обмен этой спраочной информацией делали вручную, ибо автоматизация все равно не работала (то записи дублировались, то сам обмен падал, ... - в общем, все равно требовалась ручная работа).
 

В общем, я так и не понял:

  • Почему в первом и втором случае схемы у вас расходятся? Почему нельзя все точно также завязать на E-mail сервер (поставьте его в центр картинки второго сценария - что он там не сможет сделать, что может ECM)?
  • С чего вы взяли, что "нет необходимости доработок систем"? А чем занимаются компании-внедренцы как не интеграцией и доработками?

Я понимаю, Алексей, что вы хотите подчеркнуть преимущества схемы ECM + ERP, но давайте будем делать аккуратнее. 

Сергей Бушмелев 10 января 2012 г. 12:18  

Несколько мыслей...

0. Алексей, твой сценарий несколько общий. Думаю, что предпосылки для электронного обмена возникнут, прежде всего, в бизнес-отношениях, где обмен будет более менее регулярным. Тогда будет другая схема: договор- регулярные заявки в рамках договора - поставка. Еще вариант - автоматический биллинг (например, услуги банков или телекомов). Например, у крупного дистрибутора типовые договоры, счета, накладные, спецификации подписываются операторами по доверенности. Никакого многошагового согласования нет. А как еще, если первичных документов несколько тысяч в день.

0+. Для разовых, особенно междугородних отношений, если они не являются типовыми ни для одной из сторон, возможно, будет дешевле воспользоваться услугами спецоператора, нежели разворачивать свою систему. Если это типовые отношения, см. пункт 0.

1. Закон "Об электронной цифровой подписи" был достаточно общим, что во всех случаях значимого электронного обмена требовало заключение предварительного бумажного соглашения. Обычно оператор или инициатор обмена публиковал регламент, а абоненты заключали договоры присоединения к регламенту (ст.428 ГК). Если я правильно прочитал закон "Об электронной подписи", безоговорочно признается только квалифицированная ЭП. Правда, остаются еще условия обмена, возможно, какая-то абонентская плата, так что, пока у меня не рассеялись сомнения, что можно будет обойтись без инициирующего бумажного документа. По крайней мере, договора присоединения к регламенту спецоператора или инициатора обмена.

2. Большинство обмениваемых документов (счета, накладные, отчасти акты) будут машинограммы (xml или даже бинарные файлы). Или это будет пакет: метаданные, необходимые для импорта/экспорта/маршрутизации документа + произвольный контент. С ростом потока документов, по идее, должна возрастать его структурированность, чтобы уменьшить долю ручного труда. Вопрос: что хранить в ECM? Пакет в формате спецоператора или инициатора обмена? Исходную xml или doc файлы

3. Все рассмотренные правоотношения - b2b, а есть ли перспективы у электронизации b2c правоотношений?

Сергей Рудин 11 января 2012 г. 09:58  
Да, но только подписать нужно не средствами ECM, а с помощью ПО, предоставленного спецоператором. А какие ECM-системы у нас имеют сертифкат соответсвия для использования в качестве СКЗИ или хотябы на корректность встраивания сертифицированных СКЗИ?
 Даже если сертификация есть, то запрашивать (читай, закупать) всем пользователям ключи у спецоператора? Расточительно. Можно конечно попробовать использовать параллельно 2 механизма ЭЦП (внутренний для согласования и внешний для обмена), но это уж слишком. Так что избежать дополнительных манипуляций не так просто.
Михаил Романов 11 января 2012 г. 10:59  
Даже если сертификация есть, то запрашивать (читай, закупать) всем пользователям ключи у спецоператора? Расточительно.
 
А зачем подписывать документы ВСЕМ пользователям?  
 
Можно конечно попробовать использовать параллельно 2 механизма ЭЦП (внутренний для согласования и внешний для обмена), но это уж слишком.
 
Вот именно! Зачем внутренним пользователям подписывать документ?
Документ нужно подписывать один раз, только конечный вариант и только уполномоченным лицом - обычно хватает директора и главного бухгалтера.
 
Так что избежать дополнительных манипуляций не так просто.
 
В данном случае достаточно не плодить бессмысленные манипуляции на ровном месте.
Сергей Бушмелев 11 января 2012 г. 11:44  
Можно конечно попробовать использовать параллельно 2 механизма ЭЦП (внутренний для согласования и внешний для обмена), но это уж слишком.
Многоступенчатое согласование документов - характерная примета вертикально выстроенных структур, когда верховная власть не доверяет нижестоящим уровням и старается проконтролировать все важные операции. При этом ответственность размазывается по всем уровням, так как руководство просто не в состоянии обладать компетенцией всех промежутояных уровней (юристов, финансистов, безопасников и т.п.). Пока не изменится стиль управления, не будет отдано больше автономии местам, такая схема работы сохранится.
В бумажном варианте согласования документа все просто - в строке напротив своей фамилии или должности человек ставит подпись. Подпись играет несколько ролей:
- способ обеспечения оригинальности документа
- признак, что участник бизнес-процесса ознакомился с документом
- факт признания участником бизнес-процесса своей доли ответственности.
 
То же самое сделать в электронном виде можно с использованием различных технологий. Это может быть и ЭЦП, и средства ECM (контроль прав доступа, стадии жизненного цикла документа, запрет на изменения и т.п.). Вендор, интегратор или сам заказчик выбирают способ исходя из бюджета, оценки рисков (подделки, отказа от своих действий, происков администиратора ECM-системы и т.п.). Использование ЭП (как разворачивание своекго УЦ, так и пользование услугами внешнего) может оказаться более оптимальным вариантом, что выгоднее - тоже можно прикинуть, хотя бы оценочно.
Страшного в том, чтобы поддерживать 2-3-4 механизма (я бы сказал инфраструктуры) ЭЦП нет, это обычная практика.
Михаил Романов 11 января 2012 г. 14:04  
Страшного в том, чтобы поддерживать 2-3-4 механизма (я бы сказал инфраструктуры) ЭЦП нет, это обычная практика
Я бы уточнил - несколько механизмов подтверждения некоего факта относительно документа (например, что сотрудник с документом ознакомился). И это вовсе не обязательно должны быть цифровые подписи.
Вадим Майшев 11 января 2012 г. 14:23  
Страшного в том, чтобы поддерживать 2-3-4 механизма (я бы сказал инфраструктуры) ЭЦП нет, это обычная практика.
Примеры в студию.
IMHO никому не нужно городить огород из нескольких ЭЦП.
ЭЦП нужна только там, где она нужна. Не надо питать иллюзий, что она будет повсеместна. 
Если требуется электронное визирование и ознакомление, то делайте это внутренними механизмами средств автоматизации с уровнем надежности password. В 99% случаев этого достаточно. Нет смысла называть это простой электронной подписью в конкретной сферической организации, т.к. с точки зрения трудоемкости организации применения ЭЦП или простой электронной подписи, перечень документов/мероприятий сопоставим, разница в надежности (читай стоимости) применяемых техсредств и у адекватности оргмероприятий. Если попали в оставшийся 1% - добро пожаловать в мир ЭЦП.
Стопудовонадежнолегитимная  криптографическая ЭЦП НИКОГДА не будет дешевой, т.к. это совокупность "сертифицированной" PKI, услуг спецоператоров/УЦ, аккредитаций/аттестаций, обеспечения доверенной вычислительной среды на каждом сервере и рабочем месте и т.д. Если на что-то из этого закрыть глаза, то не будет комплекса с требуемым уровнем надежности.
Сергей Бушмелев 11 января 2012 г. 14:51  
Примеры в студию.
Пожалуйста :) В нашей организации развернут свой центр сертификации (CA), у линейных руководителей "внутренние" ключи  для подписания документов отдела + у руководителей организации ключи для системы клиент-банк и сдачи отчетности в электронном виде.
 
IMHO никому не нужно городить огород из нескольких ЭЦП.
Я бы уточнил - несколько механизмов подтверждения некоего факта относительно документа (например, что сотрудник с документом ознакомился). И это вовсе не обязательно должны быть цифровые подписи.

Да, я некорректно выразился. Не только поддерживать, но и участвовать, пользоваться. Как в вышеприведенном примере: собственный УЦ для внутренних нужд и использование внешних контуров обмена электронными документами (сообьщениями) с контрагентами и контролирующими органами. По привычке использовал ЭЦП, а в терминологии нового закона ЭЦП = КЭП. Да, имеется в виду не только инфраструктура PKI, но и другие механизмы обеспечения неизменности и аутентичности документов и сообщений.

Андрей Подкин 11 января 2012 г. 16:00  
В нашей организации развернут свой центр сертификации (CA), у линейных руководителей "внутренние" ключи  для подписания документов отдела
Сергей, а зачем это надо? Вадим очень правильно написал, что ЭЦП - всего лишь один из механизмов электронного визирования. Можно с точно таким же успехом использовать другой механизм. Никому это этого хуже не станет.
Сергей Бушмелев 11 января 2012 г. 16:59  
Сергей, а зачем это надо? Вадим очень правильно написал, что ЭЦП - всего лишь один из механизмов электронного визирования. Можно с точно таким же успехом использовать другой механизм. Никому это этого хуже не станет.
Можно. Дело в оценке рисков (в том числе риска отказа от своей визы или подписи) и стоимости каждого механизма. Боюсь, что точно оценить, станет ли от этого хуже или лучше, можно будет только после неприятного инцедента, ущерб от которого превысит экономию на безопасности. А пока придется пользоваться оценкой вероятности риска наступления такого события и его последствиями.
Вадим Майшев 11 января 2012 г. 17:08  
В нашей организации развернут свой центр сертификации (CA), у линейных руководителей "внутренние" ключи  для подписания документов отдела
Просветите, что такое внутреннее в отделе они подписывают в целях обеспечения юридической значимости, для чего не хватает указания, что это сделано под учетной записью Иванов.И.И?
+ у руководителей организации ключи для системы клиент-банк и сдачи отчетности в электронном виде
Что-то мне подсказывает, что эти рабочие места в части ЭЦП для указанных задач не входят в PKI вашей организации... С таким же успехом можно сказать, что на этом ПК я еще подписываю документы по внешнеэкономической деятельности, подписываю программы и дизайнерские разработки :-)
Алексей Корепанов 11 января 2012 г. 17:16  

В очередной раз развернулся идеологический спор о применимости электронных подписей внутри компании и возможности использования других механизмов подтверждения ознакомления/согласования/признания своей ответственности за документ. Предлагаю отталкиваться от простой истины - сколько компаний, столько решений. Любой вариант работы может быть реализован.

В очередной раз тема статьи ушла далеко в сторону....

Сергей Бушмелев 11 января 2012 г. 17:31  
Просветите, что такое внутреннее в отделе они подписывают в целях обеспечения юридической значимости, для чего не хватает указания, что это сделано под учетной записью Иванов.И.И?
Например, планы отдела на календарный период. Почему электронная подпись, а не иные механизмы - традиция такая, деловое обыкновение. Как говорят американцы, we eat our own dog food - мы используем собственные программные продукты для автоматизации внутренней деятельности. Одна из предпосылок применения ЭП в данном случае - совершенствование встраивания этого механизма в систему. Чтобы клиенту предложить удобный механизм, эргономичный и понятный интерфейс :)
Что-то мне подсказывает, что эти рабочие места в части ЭЦП для указанных задач не входят в PKI вашей организации...

Да, не входят. Я уже поправил себя парой комментов выше:

Да, я некорректно выразился. Не только поддерживать, но и участвовать, пользоваться.
Мы выступаем в роли абонентов таких систем. 
Вадим Майшев 11 января 2012 г. 18:03  
Одна из предпосылок применения ЭП в данном случае - совершенствование встраивания этого механизма в систему.
ЭП ЭП рознь... Вы сейчас про что говорите? С нынешним горе-законом об ЭП это приходится уточнять.
Ведь ничто не мешает технически не меняя ничего обозвать логины+пароли/коды электронной подписью и говорить, что в нашем, например, средстве автоматизации электронного документооборота есть "удобный механизм, эргономичный и понятный интерфейс" ЭП. 
В очередной раз тема статьи ушла далеко в сторону....
Это потому, что не важно какая архитектура - ERP, ECM, ECM+ERP, ERP+ECM.
Важно - чтобы информационная система с электронной подписью (общего пользования или корпоративная) перпендикулярно-сферической архитектуры решала свои функциональные задачи и была адекватна существующим требованиям по обеспечению юридической значимости электронных ДОКУМЕНТОВ (не данных и прочих сведений!).
В общем, соглашусь с Михаилом:
Я понимаю, Алексей, что вы хотите подчеркнуть преимущества схемы ECM + ERP, но давайте будем делать аккуратнее.
А юридическая значимость электронных документов это отдельная опера.
Андрей Подкин 11 января 2012 г. 18:14  
Дело в оценке рисков (в том числе риска отказа от своей визы или подписи) и стоимости каждого механизма. Боюсь, что точно оценить, станет ли от этого хуже или лучше, можно будет только после неприятного инцедента, ущерб от которого превысит экономию на безопасности.
Сергей, ну давай не будем ерунду говорить. Если мой начальник захочет сломать систему, он это сделает и с ЭЦП. Причем так, что я не увижу факта взлома.
Или какой инцидент? Что кто-то поменяет реквизит "утвердил"? Ну давайте вообще перестанем доверять системе. А вдруг задачу мне прислал не начальник, а злобный хакер. Нет уж, я работать не начну, пока не придет и лично мне не доложит.
 
мы используем собственные программные продукты для автоматизации внутренней деятельности. Одна из предпосылок применения ЭП в данном случае - совершенствование встраивания этого механизма в систему. Чтобы клиенту предложить удобный механизм, эргономичный и понятный интерфейс
Но по факту это оказывается не так. Есть варианты гораздо более понятных, эргономичных и удобных интерфейсов, которые игнорируются в угоду идее ЭЦП.
Михаил Романов 11 января 2012 г. 18:33  
В очередной раз тема статьи ушла далеко в сторону....
Приводите аргументы корректнее и задавайте явное направление обсуждению.
Михаил Романов 11 января 2012 г. 18:44  
Предлагаю отталкиваться от простой истины - сколько компаний, столько решений. Любой вариант работы может быть реализован.
Конечно может. Но любой вариант должен быть обоснован.
Ваш вариант (ERP+ECM) пока не имеет явных преимуществ - по крайне мере я и другие участники обсуждения, на сколько я вижу из комментариев их не видят.
 
И дело даже не в подписи, а в сопутствующих вопросах:
- не ясных профитах от хранения струткрированных данных в ECM-системе (а без этого если честно, весь обмен, это пересылка письма по почте, пусть даже по спец-почте).
- в необходимости дополнительных интеграцией (ERP и ECM, ECM и ПО спецоператора, ...)
- в переусложненной и слишком общей схеме которую вы предложили изначально,
- ...
Сергей Рудин 11 января 2012 г. 23:06  
А зачем подписывать документы ВСЕМ пользователям?

Имелось в виду всем, участвующим согласовании с использованием ЭЦП.

Сергей Бушмелев 12 января 2012 г. 09:21  
ЭП ЭП рознь... Вы сейчас про что говорите? С нынешним горе-законом об ЭП это приходится уточнять.
Неквалифицированная электронная подпись


 

Если мой начальник захочет сломать систему, он это сделает и с ЭЦП.
Андрей, твой начальник программист (в смысле, разбирается в архитектуре системы)?
А у клиента руководитель отдела без помощи администратора сможет "сломать систему"? А рядовой сотрудник без помощи администратора сможет исправить документ, подписанные НЭП (КЭП) руководителя?
Сергей Бушмелев 12 января 2012 г. 09:26  

 

Есть варианты гораздо более понятных, эргономичных и удобных интерфейсов, которые игнорируются в угоду идее ЭЦП.

 Имелся ввиду как раз интерфейс подписания документа при помощи усиленной электронной подписи
Михаил Романов 12 января 2012 г. 10:50  
Имелось в виду всем, участвующим согласовании с использованием ЭЦП.
А нужно ли в процессе согласования использовать цифровую подпись?
В исходной статье звучало, что ECM будет использовать механизм Workflow. Логов workflow (а у нас используется просто история в письмах) будет вполне достаточно.
Разве нет?
Андрей Подкин 12 января 2012 г. 15:40  
Андрей, твой начальник программист (в смысле, разбирается в архитектуре системы)?
Он разрабатывал эту архитектуру :-)
 
А у клиента руководитель отдела без помощи администратора сможет "сломать систему"? А рядовой сотрудник без помощи администратора сможет исправить документ, подписанные НЭП (КЭП) руководителя?
Бинго! Именно это я и пытаюсь сказать - у клиента ни руководитель, ни рядовой сотрудник не сможет сломать документ, утвержденный как угодно: хоть ЭЦП, хоть другими средствами.
 
А нужно ли в процессе согласования использовать цифровую подпись?
Нет, конечно. ЭЦП - не более, чем модное веяние. Например, у нас документы прекрасно согласовываются без нее. И я за 10+ лет работы не помню ни одного инцидента с согласованием, который можно было бы предотвратить использованием ЭЦП.
Сергей Бушмелев 12 января 2012 г. 16:46  
И я за 10+ лет работы не помню ни одного инцидента с согласованием, который можно было бы предотвратить использованием ЭЦП.

Я бы не был столько категоричен.  Вопрос в том, какие в твоем примере были документы и какова твоя ответственность в случае , что ты согласовал "кривой" документ. В вертикально-выстроенных холдингах согласуются контракты на десятки-сотни миллионов денежных единиц, Думаю, там цена инцедента несколько выше, и беспокойства, думаю, по этому поводу больше.
Андрей Подкин 12 января 2012 г. 16:55  
Вопрос в том, что это были за документы и какова ответственность каждого участника согласования, что он согласовал "кривой" документ. В вертикально-выстроенных холдингах согласуются контракты на десятки-сотни миллионов денежных единиц, Думаю, там цена инцедента несколько выше, и беспокойства, думаю, по этому поводу больше.
Если цель - всегда и везде найти козла отпущения, то безусловно, ЭЦП - отличное решение.
А если цель - работать, то и такие контракты без ЭЦП отлично согласуются (в евро и долларах, конечно, а не в рублях - у нас как правило "см. п.1").
Сергей Бушмелев 12 января 2012 г. 17:35  
Если цель - всегда и везде найти козла отпущения, то безусловно, ЭЦП - отличное решение.
В точку. Довелось посмотеть на обношения в достаточно крупном банке. Видел бы, с какой трогательной заботой ответственные сотрудники защищают свои тылы. Каждый требует свидетельство того, что какое-то рисковое или затратное действие - не его собственная инициатива. По максимуму стараются не брать на себя ответственность. Вот такой вот риск-менеджмент.
Сейчас обсуждают
Больше комментариев