Sprawozdania finansowe - praktyczne problemy z e-podpisem
26 marca 2021 r. minister finansów podpisał rozporządzenie o przedłużeniu terminów na sporządzenie sprawozdań finansowych za rok obrotowy 2020.
Zgodnie z wcześniejszymi zapowiedziami termin ten został wydłużony dla jednostek sektora prywatnego oraz organizacji non-profit o trzy miesiące oraz dla jednostek sektora finansów publicznych o miesiąc. Mimo kolejnego wydłużenia terminów wymagania techniczne względem sprawozdań finansowych pozostają bez zmian. W poniższym tekście chcielibyśmy zwrócić uwagę na istotne kwestie związane z podpisaniem e-sprawozdań finansowych przed którymi ponownie staną raportujący w 2021 r.
Zobowiązanie do udostępnienia sprawozdania finansowego w formie elektronicznej
Począwszy od 2019 roku podmioty zobowiązane do prowadzenia księgowości w formie określonej w ustawie o rachunkowości są zobowiązane do sporządzenia, a następnie udostępnienia sprawozdania finansowego w ustrukturyzowanej formie elektronicznej. W praktyce oznacza to, że sprawozdania finansowe są obecnie elektronicznymi plikami zgodnymi ze standardem XML. Sam plik XML to nic innego jak plik tekstowy, który jest zgodny ze strukturą oraz zawartością zdefiniowaną w schemacie wzorcowym – pliku XSD opublikowanym przez Ministerstwo Finansów.
Co istotne proces złożenia sprawozdania finansowego w KRS (u Szefa KAS) obejmuje nie tylko przygotowanie dokumentu, ale także jego prawidłowe podpisanie przez osobę odpowiedzialną za prowadzenie ksiąg rachunkowych oraz kierownika jednostki. Jeżeli jest nim organ wieloosobowy (np. zarząd spółki kapitałowej) sprawozdanie powinno zostać podpisane przez wszystkich członków tego organu. Z organizacyjnego punktu widzenia złożenie podpisów pod dokumentem w XML stanowi nierzadko proces o wiele bardziej skomplikowany niż samo przygotowanie sprawozdania.
E-podpis e-podpisowi nie równy
Ministerstwo Finansów, w ramach publikowanej na swojej stronie dokumentacji interfejsu programistycznego dla aplikacji eSprawozdania wskazuje na wymagania techniczne, które powinien spełniać podpis elektroniczny składany pod e-sprawozdaniem.
W tym miejscu należy podkreślić, że aplikacja eSprawozdania służy do przesyłania e-sprawozdań do Szefa KAS (organu podległego Ministrowi Finansów), podczas gdy zdecydowanie większa część podmiotów zobowiązanych jest do składania sprawozdań finansowych do eKRS czyli w ramach infrastruktury Ministerstwa Sprawiedliwości. Oznacza to, że z wysokim prawdopodobieństwem podmioty składające sprawozdania komunikują się z innymi serwerami w przypadku składania sprawozdania do KRS/ Szefa KAS. Naturalnym następstwem jest wniosek, że opublikowany przez MF dokument (a więc i wymogi techniczne dla podpisów) ma zastosowanie do sprawozdań składanych do Szefa KAS. W praktyce z powodu braku oddzielnej dokumentacji dla komunikacji z bramką eKRS, podatnicy stosują się do wymagań z ww. dokumentu. Na ten moment jest to podejście akceptowane na etapie walidacji podpisu przez eKRS. Warto jednak podkreślić, że powinna mieć miejsce publikacja oficjalnego dokumentu listującego wszystkie wymagania techniczne stawiane plikom XML jak i podpisom na bramce eKRS. Z pomocą takich informacji ryzyko problemów z komunikacją z zasobami Ministerstwa Sprawiedliwości zostałoby sprowadzone do minimum.
Autoryzacja XML z e-Sprawozdaniem
Przechodząc do kwestii sposobów autoryzacji XML z e-Sprawozdaniem możliwe są następujące rozwiązania:
1. Podpis zaufany (ePUAP)
2. Podpis kwalifikowany:
- wewnętrzny otoczony (Enveloped).
- wewnętrzny otaczający (Enveloping).
- zewnętrzny (Detached).
3. Podpis eDowodem:
- wewnętrzny otoczony (Enveloped).
- wewnętrzny otaczający (Enveloping).
- zewnętrzny (Detached).
Otoczony a otaczający czyli jak podpisywać sprawozdania
W praktyce rzadko zdarza się, by osoby podpisujące e-sprawozdanie uzgadniały pierwotnie między sobą kto, w jakiej kolejności, i jakim rodzajem podpisu będzie autoryzował sprawozdanie finansowe. W niektórych przypadkach prowadzić to może do nieintencjonalnej ingerencji w samą strukturę pliku z e-sprawozdaniem co skutecznie uniemożliwi złożenie pliku XML. Celem lepszego tego zobrazowania poniżej prezentujemy problem w uproszczony sposób.
Wygląd sprawozdania finansowego możemy sprowadzić do następującej formy:
<SprawozdanieFinansowe>
<ZawartośćSprawozdania>
</ZawartośćSprawozdania>
</SprawozdanieFinansowe>
Po podpisie podpisem zaufanym plik/ podpisem kwalifikowanym otoczonym/podpisie eDowodem otoczonym XML wygląda następująco:
<SprawozdanieFinansowe>
<ZawartośćSprawozdania>
<Podpis>
</Podpis>
</ZawartośćSprawozdania>
</SprawozdanieFinansowe>
Po podpisie podpisem kwalifikowanym otaczającym/podpisie eDowodem otaczającym XML wygląda następująco:
<Podpis>
<SprawozdanieFinansowe>
<ZawartośćSprawozdania>
</ZawartośćSprawozdania>
</SprawozdanieFinansowe>
</Podpis>
Po złożeniu podpisu kwalifikowanego zewnętrznego/podpisu eDowodem zewnętrznym w pierwotnym pliku z e-Sprawozdaniem nie są dokonywane żadne zmiany. Powstaje za to oddzielny plik z podpisem i wygląda on następująco:
<Podpis>
</Podpis>
Każdy podpis elektroniczny zawiera nie tylko dane identyfikującego samego podpisującego (certyfikat), ale tworzy także tzw. skrót podpisywanego pliku. W ten sposób potwierdzana jest zarówno tożsamość podpisującego jak i sama treść podpisywanego dokumentu (po utworzeniu skrótu pliku, jakakolwiek modyfikacja treści samego pliku będzie pociągała za sobą brak pozytywnej weryfikacji podpisu).
Najczęstszym błędem popełnianym przez podmioty składające sprawozdania jest mieszanie podpisów wewnętrznych (w tym ePUAP) z podpisami zewnętrznymi. Jeżeli chociaż jeden podpis wewnętrzny zostanie złożony na dokumencie podpisanym wcześniej podpisem zewnętrznym to tak jak wskazano wyżej dokonamy ingerencji w treść samego dokumentu XML z e-Sprawozdaniem. Tym samym skrót podpisanego pliku z pierwszego podpisu nie będzie spójny z treścią dokumentu ponieważ podpis wewnętrzny dokonał zmian w treści dokumentu pierwotnego.
Przy składaniu tak podpisanego e-Sprawozdania bramka zwróci komunikat o nieprawidłowym podpisie. Aby uniknąć tego scenariusza warto jest, by przy podpisywaniu e-sprawozdania ustalić spójne podejście do typu podpisów. Jeżeli dochodzi do mieszanych rodzajów podpisów należy pamiętać, aby podpisów zewnętrznych dokonywać po podpisach wewnętrznych.
Podpis zagraniczny czyli diabeł tkwi w szczegółach
Drugim częstym problemem, z którym borykają się podmioty składające sprawozdania finansowe jest możliwość wykorzystywania podpisów wystawionych poza Polską. W przypadku kapitału zagranicznego podpisujący najczęściej nie będą korzystać z podpisu zaufanego ePUAP, a tym bardziej z eDowodu. Certyfikaty wykorzystywane w podpisach kwalifikowanych wystawiane są na całym świecie. Jednakże na potrzeby podpisywania sprawozdań musi to być certyfikat:
- polski lub
- europejski,
czyli taki, który wylistowany jest na zaufanej liście TSL. Certyfikat będzie weryfikowany przy składaniu e-Sprawozdania.
Poza miejscem na liście należy się jeszcze upewnić, że podpis może zostać złożony w postaci XAdES BES zgodnej ze schematem http://www.w3.org/2000/09/xmldsig oraz że wykorzystywaną funkcją skrótu jest RSA-SHA256. Dopiero spełnienie powyższych przesłanek pozwoli na skuteczne skorzystanie z e-podpisu wystawionego poza granicami polski przy autoryzacji e-Sprawozdań.
Jeśli do złożenia eSprawozdania finansowego niezbędne są podpisy kilku, kilkunastu osób lub w procesie składania podpisu uczestniczą osoby korzystające z zagranicznych podpisów kwalifikowanych warto zastanowić się nad skorzystaniem z aplikacji EY – EYeSign. Aplikacja identyfikuje zainstalowane podpisy kwalifikowane i dokonuje ich automatycznej rekonfiguracji pozwalającej jednym kliknięciem podpisać plik eSF/ JPK i złożyć plik XML na bramce eKRS/wysłać do Szefa KAS.
Wstecz
Dalej