Привожу пример внутреннего регламента по документообороту и хранению первичных документов в торговой компании с учетом цифровой подписи и электронного архива. Схема — шаблон: адаптируйте под нормативы вашей юрисдикции и ИТ-инфраструктуру.
1. Общие положения
- Цель: обеспечить единый порядок оформления, подписания, хранения и уничтожения первичных документов (далее — Документы), их электронных копий и архивов с применением электронной подписи.
- Область действия: все подразделения и сотрудники, генерирующие/использующие Документы.
2. Термины
- Электронный документ — файл, содержащий содержание документа и метаданные.
- Электронная подпись (ЭП) — квалифицированная/не квалифицированная; для юридически значимых первичных документов применяется квалифицированная ЭП (КЭП).
- Электронный архив — система хранения и поиска электронных Документов с обеспечением целостности и доступности.
3. Ответственности
- Руководитель компании — утверждение регламента, контроль исполнения.
- Руководители подразделений — организация документооборота, назначение ответственных лиц.
- Оператор ЭДО/ИТ — настройка ЭДО, выдача и отзыв сертификатов, резервирование, обеспечение шифрования и логирования.
- Ответственные за архив — прием на хранение, выдача, уничтожение.
4. Порядок оформления первичных документов
- Формат: предпочтительно PDF/A для окончательных версий; промежуточные форматы — DOCX, XLSX.
- Требования к содержанию: наименование документа, дата, номер, наименование контрагентов, сумма, подписи/печати (при необходимости).
- Нумерация: сквозная номерация электронных первичных документов по регистру; присваивание уникального идентификатора (UID).
5. Применение электронной подписи
- Для подписания первичных документов используется квалифицированная ЭП (КЭП) уполномоченных сотрудников.
- Перед подписанием сотрудник проверяет документ на полноту и корректность.
- Подписание проводится в системе ЭДО или с помощью сертифицированного ПО/токена.
- Проверка подписи: при приемке документа ответственный проверяет валидность сертификата, статус отзыва (OCSP/CRL) и соответствие метаданных; фиксируется результат проверки в журнале.
- Требования к сертификатам: срок действия сертификата — не менее $1$ рабочей недели на момент подписания; при истечении — документ считается неподписанным до повторной подписи.
- Учет и хранение закрытых ключей: приватные ключи хранятся на аппаратных носителях (токены/смарт-карты) и подлежат политике доступа.
6. Электронный архив — общие требования
- Формат хранения: первичный документ хранится в неизменном виде в формате PDF/A или контейнере, содержащем исходный файл + подпись + метаданные (например, XML).
- Метаданные: UID, тип документа, дата создания, автор, контрагент, сумма, дата подписания, UID подписи, сертификат подписи, хеш.
- Целостность: для каждого файла сохраняется контрольная сумма алгоритмом $\text{SHA-256}$; при каждом доступе проверяется соответствие.
- Версионирование: изменения документа запрещены; при необходимости создается новая версия с новым UID и ссылкой на предыдущую.
- Индексация и поиск: по UID, дате, контрагенту, типу документа, сумме.
7. Резервное копирование и защита
- Резервное копирование: ежедневные инкрементальные, еженедельные полные; хранение backup-версий: ежедневные — $30$ дней, еженедельные — $90$ дней, ежемесячные — $365$ дней.
- Хранение резервных копий в отдельном дата‑центре/хранилище; шифрование бэкапов.
- Передача по сети — только по защищенным каналам (TLS), доступ по ролям и MFA.
8. Доступ и разграничение прав
- Ролевой доступ (RBAC): администратор архива, бухгалтер, менеджер по продажам, аудитор и т.д.; права выдаются по минимально необходимому принципу.
- Логи доступа: все операции (чтение, запись, подпись, удаление) фиксируются с указанием пользователя, времени и IP; хранение логов — не менее $365$ дней.
- Внешний доступ контрагентам — через защищенный портал или единый интерфейс выгрузки с отметкой об экспорте.
9. Контроль подлинности и верификация
- При приеме электронных документов: проверка подписи, сверка с бумажным оригиналом (если требуется).
- При сомнениях — инициируется акт проверки с описанием расхождений и подписями ответственных.
10. Хранение сроков и уничтожение
- Рекомендуемые сроки хранения (примерный ориентир — согласовать с юридическим отделом):
- первичные учетные документы — минимум $5$ лет;
- бухгалтерские регистры и отчеты — минимум $5$ лет;
- договоры, акты — минимум $5$ лет после окончания отношений;
- документы по персоналу — минимум $75$ лет (при необходимости сохранять трудовой стаж) либо в соответствии с локальным законодательством.
- Уничтожение: по истечении срока хранения документы подлежат уничтожению по акту с участием комиссии; электронные файлы удаляются и из резервных копий в рамках политики хранения.
11. Аудит и ответственность
- Внутренние аудиты документооборота не реже одного раза в год; выборочные проверки — по запросу руководства или при выявлении инцидента.
- Нарушения регламента — дисциплинарная ответственность в соответствии с локальными правилами.
12. Переходный период и миграция
- Для перехода на электронный архив: план миграции, каталогизация имеющихся бумажных документов, сканирование в формат PDF/A, подписание и присвоение UID.
- Контроль качества мигрированных документов и сверка с оригиналами.
13. Приложения (примерные)
- Перечень типов первичных документов и ответственные лица.
- Шаблон метаданных (XML/JSON).
- Порядок действий при утрате/компрометации ключа ЭП.
- Журнал приемки/выдачи документов.
Короткие рекомендации по внедрению
- Используйте сертифицированные решения ЭДО и КЭП.
- Прописать процедуру реагирования на инциденты (утрата ключа, нарушение целостности).
- Согласовать сроки хранения и требования с юридическим отделом и внешними аудиторами.
Если нужно, могу подготовить готовый шаблон регламента в текстовом файле (Word) с заполненными разделами и приложениями.