Ответы на вопросы участников вебинара "Цифровизация HR-процессов"
Запись вебинара «Цифровизация HR-процессов: внедрять нельзя откладывать» вы можете получить, заполнив анкету. Ниже представляем вам вопросы слушателей и ответы экспертов.
Состоялся вебинар «Цифровизация HR-процессов: внедрять нельзя откладывать». Он вобрал в себя информацию по итогам заседаний клуба руководителей по вопросам внедрения электронного кадрового документооборота. На вебинаре эксперты рассмотрели вопросы
● Возможны ли электронные кадровые процессы
● Вовлечение работников в электронное взаимодействие
● Какую информационную систему выбрать для организации HR-процессов
● Архивное хранение кадровых документов
Его запись вы можете получить, заполнив анкету. Ниже представляем вам вопросы участников вебинара и ответы экспертов.
Руководитель проектов по развитию бизнеса компании DIRECTUM Гузель Муллахметовой |
R&D-директор Артем Пермяков |
Автоматизация HR-процессов – когда начинать
Вопрос участника вебинара: Мы говорим сейчас только о том, что есть законопроекты о разрешении вести кадровой документации в электронном виде, т.е. сейчас нет никаких оснований переходить на электронные кадровые документы? Некоторые законопроекты остаются законопроектами по 10 лет.
По срокам принятия некоторых законов согласны с вами, поэтому мы говорим об уже сложившейся практике применения электронного подписания, о судебных решениях в пользу электронных документов. Кроме того, в трудовом законодательстве нет запретов на электронный документооборот, плюс существуют положения ФЗ-63, регламентирующие использование электронной подписи.
Читайте также Почему не стоит откладывать внедрение новых технологий в кадровых процессах Кадровые документы, от которых можно отказаться Обзор возможностей кадрового ЭДО и трудового законодательства |
Подскажите, пожалуйста будет ли возможность преобразования трудовой книжки в электронную? Есть ли какие-то представление о переходе на электронные трудовые книжки? Каким образом это будет осуществляться с точки зрения работодателя? Что стоит предпринять уже сейчас?
В 2020 году будет осуществлен переход на электронные трудовые книжки. При этом останется возможность ведения бумажных трудовых книжек. Будет применяться схема связки ERP-систем и коннекторов, которые будут передавать информацию о работнике в Пенсионный фонд России.
Если рассматривать не только большие и хорошо автоматизированные компании, есть ряд компаний, где до сих пор в электронные процессы вовлечены менее 30-40% сотрудников (добыча и переработка, крупные промышленные компании и т.п.). Как быть с ними? Заявления как были в бумаге для таких сотрудников, так и останутся.
Мы предлагаем постепенно внедрять инструменты автоматизации, начинать с классических процессов (например, делопроизводство) и поэтапно повышать уровень автоматизации.
Читайте также Как ознакомить сотрудника с документом? Ограничения и возможности для предприятий |
Методология электронного кадрового документооборота
Политику ЭДО с сотрудниками обходимо подписывать физически или можно электронно?
Если применяется простой электронной подписи (ПЭП) или усиленная неквалифицированная электронная подпись (УНЭП), то согласно ФЗ-63 для подписания политики в электронном виде нам потребуется соглашение с участниками электронного взаимодействия, которое лучше подписать на бумаге.
Что нужно, чтобы перевести в ЭДО HR-документы, ПЭП, УЭП? Как проверить достоверность времени?
Как мы говорили, для работников будет достаточно ПЭП, для работодателя — усиленной квалифицированной электронной подписи (УКЭП). Достоверность времени обеспечивает сертификация средств, а также локальные нормативные акты компании, в которых будет дано определение «доверенному времени».
Как согласовать трудовой договор новому сотруднику, если его ещё нет в домене? Он ещё не является сотрудником компании.
Существует несколько подходов. Например, предварительное создание учетной записи для нового сотрудника — еще на этапе трудоустройства кандидат может подписывать трудовой договор в электронном виде. Это далеко не самый важный для цифровизации процесс. Подписание трудового договора – разовое мероприятие, и большого эффекта от перевода его в электронный вид не будет.
Как фиксируется факт получения уведомления работником через личный кабинет? Т.е. фиксируется ли открытие документа как факт получения уведомления?
В истории работы с документом фиксируются все действия: когда работник получил уведомление, просматривал документы, что с ними делал. Это все хранится в логах системы, а при проведении проверки эти данные передаются на техническую экспертизу.
Какие могут быть решения в случае, если документы хранятся в электронном виде (действующие или архивные), а работник подал заявление на уничтожение персональных данных? Как достичь одновременного уничтожения всех копий электронного документа?
В таком случае документы, содержащие персональные данные, передаются на гарантированное уничтожение, и с помощью специальных механизмов данные затираются. Обычно персональные данные хранятся в структурированном виде, их можно легко удалить.
Если мы хотим уничтожить все копии электронного документа, их нужно будет найти (полнотекстовым поиском в системе, посмотреть, какие документы создавались копированием этого документа), а затем запустить процедуру уничтожения — перезатирания данных на дисковом пространстве несколько раз.
Читайте также Переводим кадровый документооборот в «цифру». С чего начать? |
Обеспечение юридической значимости и электронные подписи
Можете рассказать про варианты ПЭП? Имеется ли какая-то статистика применения на предприятиях? Наиболее распространенные, плюсы и минусы вариантов.
Вариантов несколько. Можно применять только логин и пароль, можно использовать двухфакторную аутентификацию с помощью смс. Где-то применяется ПЭП с использованием криптографии. Главное – это все должно быть регламентировано в локальных нормативных актах.
ПЭП не нужно перевыпускать? Разве она выдается не на 1 год?
Механизм формирования ПЭП не регламентирован, нет единого стандарта применения простой подписи. Каждая компания может сама разработать свой формат ПЭП и закрепить его в локальных нормативных актах (стандарт должен соответствовать ФЗ-63 «Об электронной подписи»). Перевыпускать ПЭП не требуется. Компания может вести политику периодического изменения ключей ПЭП, но это не обязательно.
Каковы действия работодателя, если работник заявил, что его ПЭП скомпрометирована?
В регламентирующих документах должно быть прописано, что сотрудник должен не допустить компрометации ЭП. Обычно ПЭП завязывается на логин и пароль сотрудника для входа в информационную систему. Т.е. первое действие – выдать сотруднику новые логин и пароль и, соответственно, новую ПЭП.
Также требуется провести проверку, чтобы выяснить, когда была скомпрометирована ПЭП, какие действия совершались из этой учетной записи с момента компрометации, какие документы были подписаны. При обнаружении пула документов, подписанных скомпрометированной ПЭП, то лучше переподписать документы перевыпущенной подписью.
Если в документе есть несколько подписей, несущих в себе разное юридическое значение (подписание (инициирование)/ согласование / ознакомление), как можно отличить эти подписи на документе?
Если документ существует в отрыве от системы, то отличить эти подписи нельзя. В системе DIRECTUM существуют понятия согласующей и утверждающей подписи, которые выполняют функции разграничения видов подписания. Информацию о назначении подписи также можно (и нужно) хранить в метаинформации внутри zip-контейнера при долговременном хранении.
Как микс подписей отражать в штампе?
Если имеется в виду штамп времени, то отражать микс в нем не нужно, эта информация о подписях будет в XML-файле. Если речь о штампе ЭП, который ставится на визуализации документа, то на нем можно отобразить всю информацию обо всех поставленных подписях.
Архивное хранение и форматы электронных документов
«Хранение электронных документов» — имеется в виду носитель электронных документов или данные, передаваемые на какой-то сервер? Что физически представляет собой контейнер? Передаем в каком виде по какому каналу?
Хранение электронных документов – это совокупность программно-аппаратных средств, это и физическое хранение, и ПО, которое выстраивает логическую работу с сохраненными данными, и сервер, на котором развернута система хранения архивных документов. Контейнер – это zip-архив, в котором лежит документ в изначальном формате, его PDF-A, открепленный файл ЭП, и метаданные в XML-формате.
Передать можно через установленную систему, если она сама создает контейнеры, либо система передает документы в форматах, которые поддерживает, а мы (DIRECTUM) со своей стороны можем сделать преобразование. Если система ставится в контуре предприятия, то передача происходит по каналу внутри контура, если это выделенная среда хранения, то канал передачи должен быть защищенным, зашифрованным.
При преобразовании документов в новый формат подпись уже будет недействительной?
Верно. При переводе документа в другой формат мы получаем новую сущность в системе, и подпись становится недействительной. Текущее решение – хранить в едином контейнере документ в первоначальном формате и его открепленную подпись, а также документ, преобразованный в формат PDF/A. В законопроектах, касающихся электронного кадрового документооборота, вводится процедура «конвертации документа в новый формат», при которой документ подписывается ЭП того, кто его конвертирует, и получает такую же юридическую значимость, как документ в первоначальном формате.
Около 3 лет назад слышала о новом формате XML с возможностью присоединения визуализации документа. Некий микс XML и PDF. Знаете ли Вы что-либо о развитии такого формата?
Сейчас такой формат применяется для первичных учетных документов. Единственное, для просмотра таких документов потребуется приложения для чтения XML-формата.
После перештамповки возможно ли кому-то из сотрудников компании получить доступ к документу в архиве в случае необходимости? Если да, то поделитесь, пожалуйста, техникой организации такого доступа.
При перештамповке меняется файл ЭП, который хранится отдельно. Доступ к документу мы организуем с помощью приложения для просмотра zip-архива, в котором содержится PDF-файл самого документа. Как до перештамповки, так и после нее сотрудники могут обращаться к документам в соответствии с назначенными правами доступа.
В говорили «Конвертировать документы в актуальный вид нужно будет в архивных документах в электронном виде», сколько на ваш взгляд потребуется конвертировать повторно и сколько по трудозатратам это может занять в крупных компаниях? Выгодно ли это с учетом амортизации? Какая практика сейчас в более прогрессивных странах (например, в ЕС, США, Азия)?
Конвертация — полностью автоматизированный процесс и проходить будет в фоновом режиме, как и последующая проверка контрольных сумм документов до и после конвертации. Она может потребоваться не чаще, чем 1 раз в 10 лет, поскольку сейчас широко распространен подход поддержки форматов более старых версий. Поэтому да, выгодно. С точки зрения прогрессивности в части цифровизации пример стран ЕС не самый подходящий, в некоторых областях технологии автоматизации в России гораздо прогрессивнее. Практика разная. Нередко применяются нормы ISO и стандарты электронной подписи CAdES-A. В других странах в принципе нет требований к обеспечению юридической значимости электронных документов. Национальные архивы США, например, с 2023 года не будут принимать бумажные экземпляры документов постоянного срока хранения.
Какие меры можно предпринять, если после проверки обнаружена разница контрольных сумм, и может ли быть поздно уже что-либо исправлять?
Важно регулярно проводить проверки. При обнаружении расхождений можно обратиться к резервным копиям. Если там не удалось найти недостающие документы, то действуем так же, как и при порче бумажного документа — составляем акт об утрате, соблюдая таким образом требования Росархива к архивному хранению документов.
По некоторым документам есть четко законодательно регламентированные сроки составления/подписания, в момент КЭП/НЭП проставляется дата подписания документа на штампе. Каким образом урегулируются вопросы с опозданием в подписании?
В документе будет стоять конкретная актуальная дата подписания. Подписать электронные документы задним числом нельзя — это одна из целей ведения документооборота в электронном виде.
Источник: DIRECTUM
Комментарии 4
Откуда это следует?
Сертификация каких средств имеется в виду? Часовой станции? Как нормативный документ обеспечит доверенное время?
Какой эксперт возьмет на себя ответственность заявить в суде, что в логах (ведущихся работодателем) ничего не модифицировалось?
Что такое электронная подпись определил 63-ФЗ. Аутентификация и криптография никак не относятся к ПРОСТОЙ ЭП.
ПЭП это подпись документа, она формируется в процессе подписания (хотя аутентификацию/авторизацию в ИС с помощью логина/пароля невозможно считать подписанием документа в ИС). ПЭП не выдается, "выдаются" ключи.
Пользователь может заявить, что все документы с ПЭП подделаны. Как это опровергнуть?
На текущий момент это наше видение оптимального подхода («золотая середина» между безопасностью и экономической эффективностью), сформированное на анализе текущего законодательства (ФЗ-63, ТК) и участия наших экспертов в рабочих группах по государственным инициативам в части цифровизации экономики и ДО.
Тут коллеги имели ввиду, что должно применяться не самописное и недоверенного ПО, а средства, разработанные сертифицированным разработчиком, по доп. требовании, средства, прошедшие процедуру подтверждения соответствия требованиям к безопасности.
Касательно нормативки – в ней можно закрепить время какой службы меток времени считать доверенным между участниками соглашения, если такая служба не имеет соответствующей аккредитации и применяется исключительно для собственных нужд.
Если речь идёт о чувствительной информации, искажение которой несёт определённые риски, то обеспечение и проверка целостности таких данных – отдельный вопрос. К примеру, при хранении, логи системы можно подписывать службой меток доверенного времени или распределять их хранение на разные узлы, минимизируя риски намеренного изменения логов. В противном случае работник вправе вовсе отказаться от электронного взаимодействия или дополнительно запрашивать выгрузку подписанных документов на свои носители.
Чтобы не быть голословным, разложим 63-ФЗ по определениям:
Ст. 2 п.1 электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
Ст.5 п. 2 Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
Ст.5 п.3 3. Неквалифицированной электронной подписью является электронная подпись, которая:
· получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
· позволяет определить лицо, подписавшее электронный документ;
· позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
· создается с использованием средств электронной подписи.
*Такая ЭП должна соответствовать всем этим критериям, а не случайному их набору.
В случае с ПЭП, нет законодательного запрета на применение криптографии. Основная задача ПЭП – подтвердить формирование какой-то уникальной информации определённым лицом. А проверка определённости лица и есть аутентификация, т.е. проверка подлинности той или иной информации.
И надёжнее применять математически доказанные методы проверки.
Для отработки таких возражений, перед формированием ПЭП документ заверяется УКЭП Работодателя. И только после того, как документ «заморожен», его отправляют на ознакомление. Работник может выгрузить документ с ЭП и проверить как действительность ЭП на документе, так и целостность этого документа.
Странно слышать про какую-то безопасность в контексте ПРОСТОЙ ЭП...
Про TSP (RFC-3161) в контексте усиленной (криптографической) подписи все известно. Вопрос был про простую (некриптографическую) подпись.
:-) LIMS Московской антидопинговой лаборатории: СК РФ vs WADA...
63-ФЗ четко относит криптографические преобразования при подписании в категорию усиленных (т.е. криптографических) подписей, для которых установлен отдельный порядок!
В том то и дело, что аутентификация производится математически доказанными криптографическими методами, а их нет в простой ЭП.
И как это опровергает заявление Пользователя "все документы с ПЭП подделаны"?
И что же в соответствии с этими определениями является простой ЭП? Как проверить ее действительность?
Под какие уровни защищенности персональных данных должны быть аттестованы информационные системы и коннекторы работодателей? Как подключить "коннекторы" к ПФР?