Docházkové systémy jsou především určeny pro naplnění povinnosti zaměstnavatelů, uložené Zákoníkem práce, k evidenci pracovní doby, práce přesčas, noční práce a pracovní pohotovosti a dále pracovních cest, dovolených, přestávek a překážek v práci.
Přístupové systémy jsou primárně určeny k řízení fyzického přístupu osob do budov a prostor na základě elektronické identifikace těchto osob a zjištění práva přístupu v daném místě a čase. Lapidárně řečeno přístupový systém je inteligentní systém nahrazující klíče ke dveřím.
Z předchozího je zřejmé, že se jedná o jasně vymezené systémy, které řeší jinou problematiku a splňují jiné požadavky. Jedním z cílů tohoto článku je přispět k lepší orientaci v této oblasti a zdůvodnit, proč moderní systémy mají specializované funkční moduly pro evidenci docházky a řízení přístupu.
Přístupové systémy pro řízení bezpečnosti
Fyzický přístup do budov, kanceláří, počítačových sálů, nebo do pokoje v moderním hotelu je příkladem řešení fyzické bezpečnosti s využitím elektronických identifikačních předmětů, řídicího systému a elektronicky řízených zábran – zámků, dveřních systémů, závor a karuselů. Specifickým rysem všech přístupových systémů je silná závislost na technickém vybavení. Dodavatelé přístupových systémů proto zpravidla nabízejí jednoúčelové systémy, vázané na konkrétní produktovou řadu technického vybavení.
V současnosti mají přístupové systémy většinou hierarchickou architekturu technického vybavení, na jejímž vrcholu je řídící jednotka, která komunikuje s podřízenými vyhodnocovacími jednotkami prostřednictvím sériové sběrnice (RS 485), nebo sady sériových linek (RS232). Řídící jednotka (kontrolér) je spojena s nadřízeným PC serverem přímo prostřednictvím sítě LAN nebo s použitím převodníku Ethernet/RS485. Úkolem řídící jednotky je načtení definice přístupových pravidel z nadřízeného serveru, distribuce těchto pravidel na vyhodnocovací jednotky a sběr stavových a provozních údajů přístupového systému. Vyhodnocovací jednotky jsou propojeny přímo se systémem elektronického zámku dveří, s elektronickými čtečkami a případně i s dalšími komponenty prostřednictvím bezpotenciálových vstupů a výstupů. Svojí architekturou jsou tyto systémy určeny do středních a větších instalací, které obslouží díky délce přenosových tras (až 1200 m pro RS 485) a vhodně zvolenému počtu řídících jednotek. Pro velmi malé, nebo dokonce autonomní (jednodveřové) systémy není hierarchická architektura ekonomicky efektivní.
Některé moderní systémy nabízejí distribuovanou lineární architekturu, využití strukturované kabeláže a TCP/IP komunikace pro všechny řídící členy přístupového systému. Tyto řídící členy jsou rovnocenné a komunikují přímo pouze s nadřízeným serverem. Tato distribuovaná architektura zjednodušuje fyzickou instalaci díky použití strukturované kabeláže s napájením po ethernetu (PoE) a lze ji široce škálovat od autonomního systému až po rozsáhlé areály propojené LAN sítí. Použití distribuované lineární architektury je vhodné zvláště do nově projektovaných nebo rekonstruovaných budov, kde se rozvody strukturované kabeláže umístí i do míst dveřních systémů a příslušná síť se pomocí aktivních prvků logicky oddělí do VLAN. Přístupové systémy na LAN sítích jsou dalším zajímavým příkladem konvergence technologií.
Základním požadavkem na přístupový systém je bezpečnost, jednotlivé komponenty mají často bezpečnostní certifikáty technického prostředku vydávané NBÚ. V kontrastu s tím je skutečnost, že v mnoha případech přetrvává používání relativně velmi slabých technologií pro identifikaci osob. Běžně je využívána radiofrekvenční identifikace, založená na použití bezkontaktní čtečky a identifikačního předmětu, nejčastěji čipové karty. Široce používanou je v této oblasti technologie MIFARE Classic, jejíž kryptografické bezpečnost, založená na algoritmu Crypto-1, byla prolomena již v roce 2008. Podobně pro rozšířenou konkurenční technologii HID Prox byla v roce 2009 demonstrována možnost klonování čipů. Ještě významnějším bezpečnostním problémem je poměrně častá praxe, kdy se pro identifikaci používá pouze čtení jedinečného čísla karty (UID), bez využití kryptografických možností, které čip nabízí. Moderní přístupové systémy proto musí k dosažení adekvátní bezpečnosti identifikace využívat čipové karty a čtecí zařízení, které využívají silnou kryptografii (3DES, AES), například Mifare DESFire EV1, nebo HID iCLASS.
Novým trendem je využití dvoufaktorové identifikace kombinací identifikace kartou a zadáním kódu PIN, případně využitím biometrického údaje, nejčastěji otisku prstu. Přístupové systémy umožňují vedle základního účelu – umožnění nebo zakázání vstupu – navíc monitorovat přítomnost osob v jednotlivých prostorách. V kombinaci s kamerovým systémem lze zaznamenat fotografii, nebo krátké video osob, které vstupují do chráněných prostor, případně osob, kterým byl přístup odepřen.
Docházkové systémy pro evidenci pracovní doby
Pro mnohé je nejviditelnější komponentou docházkového systému docházkový terminál, nahrazující někdejší „píchačky“ elektronickým zařízením. Docházkový terminál, jakkoli programovatelný a sofistikovaný, ale určitě není rozhodující částí systému. Na rozdíl od přístupových systémů, spočívá těžiště kvalitního docházkového systému především v softwarovém řešení. Důležitá je vazba na personální agendu, neboť docházka se eviduje pro osoby v pracovně právním vztahu k zaměstnavateli. Neméně důležitou je vazba na zpracování platů a mezd, které je závislé na evidenci odpracované doby. Moderní docházkové systémy musí být schopné zpracovávat pevnou i pružnou pracovní dobu s rovnoměrným i nerovnoměrným rozdělením, různé typy směn, přerušení pracovní doby, dovolené, evidovat noční a přesčasovou práci, pohotovost a pracovní cesty a současně hlídat splnění všech zákonných požadavků a limitů. Klíčová je podpora procesů žádostí, povolování a schvalování (například dovolených, přesčasů a pracovních cest) prostřednictvím konfigurovatelného systému, který respektuje organizační strukturu a oprávnění nadřízených. Dnes již prakticky nezbytnou částí docházkového systému jsou samoobslužné funkce, prostřednictvím kterých mohou zaměstnanci zjišťovat plán směn, kalendář dovolených, plánovat, zadávat, nebo upravovat záznamy docházky a podávat žádosti prostřednictvím web rozhraní. Vzhledem k různým požadavkům zaměstnavatelů, měnící se legislativě a komplikované definici některých pojmů (jako příklad lze uvést přesčas při pružné pracovní době) musí být moderní docházkový systém velmi obecný, široce konfigurovatelný a parametrizovatelný. Správná implementace takového systému zpravidla vyžaduje kvalifikovanou službu zkušeného týmu dodavatele.
Většina současných systémů získává vstupní docházková data prostřednictvím HW terminálů. Existuje mnoho typů terminálů, od nejjednodušších, pouze s pevně přiřazenými nebo programovatelnými tlačítky, přes specializované terminály s textovým nebo grafickým displejem až po průmyslové tablety s dotykovou obrazovkou a plnohodnotným operačním systémem. Právě použití dotykových tabletů s operačním systémem Windows nebo Linux dává vývojářům i uživatelům velmi univerzální a ergonomickou platformu pro implementaci funkčně bohatých docházkových terminálů. Tyto terminály mohou navíc poskytovat řadu doplňkových funkcí, zejména pro uživatele, kteří nemají přístup k vlastnímu počítači. Mezi tyto funkce patří například zobrazení kalendáře směn, možnost opravy nebo zadání chybějících docházkových záznamů, výpis docházkových sestav, podání žádosti o dovolenou, nebo jiného požadavku v rámci firemních procesů (workflow, time management) a další samoobslužné funkce. Stále větší obliba dotykových displejů zvyšuje nabídku a stlačuje ceny tabletů pod úroveň specializovaných docházkových terminálů. Lze dodat tablety určené do průmyslového nebo venkovního prostředí s vysokou úrovní krytí.
Zajímavou variantou docházkového terminálu je mobilní klient, založený na využití smartphone. Zaměstnanci, kteří tráví většinu pracovní doby u zákazníků a na zahraničních pracovních cestách, mohou snadno pořizovat docházkové záznamy a pracovat s evidencí docházky prostřednictvím web rozhraní „chytrého telefonu“. Vedle jednoduchého ovládání poskytuje tato platforma i funkce geolokace, které lze volitelně využít pro uložení skutečného místa pořízení záznamu.
K vytvoření docházkového záznamu na terminálu se zpravidla používá bezkontaktní čipová karta, nebo podobný identifikační přehled. Pochopitelný a oprávněný je požadavek uživatelů na použití stejné karty pro evidenci docházky i pro přístupový systém. Mnohem diskutabilnější je ovšem další požadavek, na kombinaci funkcí obou systémů, zejména aby přístupový systém generoval současně i docházkový záznam. To může být celkem logické a pohodlné při běžném ranním příchodu do budovy, činí však značné potíže s interpretací odchodů a příchodů v průběhu dne. Platí jednoduchý příměr, přístupový systém je „klíč od dveří“ a jakýkoli průchod dveřmi nemusí nutně znamenat začátek nebo konec práce. Optimální řešení je provozovat dva specializované systémy, docházkový a přístupový, které jsou součástí integrovaného systému. Takový systém umožňuje sdílet údaje o společnosti, zaměstnancích a uživatelích, provádět křížové kontroly a získat věrohodný přehled o činnosti zaměstnanců.
Propojení systémů
Stále častějším požadavkem zákazníků je propojený systém typu „vše v jednom“. Uživatelé bývají frustrováni z nepropojenosti specializovaných systémů různých dodavatelů i z nákladů na pořízení a údržbu některého z komplexních podnikových ekonomických systémů. Právě docházkové a přístupové systémy mají z principu těsnou vazbu na systémy pro řízení lidských zdrojů, zejména personalistiku a mzdy. Personalistika poskytuje aktuální údaje o zaměstnancích, zvláště důležité jsou údaje o začátku a konci pracovně právních vztahů, o úvazku a dovolené, o přeřazení na jinou pozici nebo lokalitu, případně změnu nadřízenosti. Mzdový systém může automaticky využívat docházkové údaje pro výpočet složek mzdy a náhrad. Docházka poskytuje podklady pro zjištění nároků na příspěvek zaměstnavatele na stravování zaměstnanců. Systém pro vydávání, personalizaci a správu čipových karet nebo jiných identifikačních předmětů vhodně doplňuje služby systému.
Systémy typu „vše v jednom“ jsou zpravidla modulární, založené na robustním systémovém jádru. Jádro poskytuje všem modulům služby, například autentizace a autorizace uživatelů, logování událostí, společné správu systému, vytváření uživatelských sestav, exporty, importy, zálohování a obnovu dat. Jednotlivé moduly (personalistika, mzdy, docházka, přístupový systém) lze využívat v libovolné kombinaci, nad společnými daty. Není proto třeba implementovat nejrůznější rozhraní a můstky pro transformaci a přenos dat mezi systémy, ani řešit velmi komplikované změny závislých údajů při opravách v minulosti. Jednodušší je též obnova dat ze zálohy, než v případě systémů, které nemají společnou databázi.
Systém typu „vše v jednom“ je výhodný především v situaci, kdy se uživatel rozhoduje o pořízení nového systému, nové technologie, nalezení úspor při provádění režijních činností nebo zefektivnění firemních postupů. Samozřejmě i takový systém lze implementovat postupně, často se v první řadě pořizuje nebo mění docházkový systém, neboť nevyžaduje větší investice do technického vybavení. V dalším kroku může následovat implementace personálního a mzdového systému a integrace, nebo úprava přístupového systému. Přesto nemusí být vždy efektivní požadovat za každou cenu systém, který umí úplně vše. Například podnikové ekonomické systémy mají relativně malou vazbu na systémy pro řízení lidských zdrojů i na docházkové a přístupové systémy. I v případě nepropojených systémů lze poměrně snadno získat zajímavé informace z jejich databází s použitím manažerské nadstavby založené na použití vhodného systému Business Intelligence.
Shrnutí
Moderní docházkové a přístupové systémy představují spojení pokročilých HW technologií – čipových karet a čteček, programovatelných terminálů, biometrických snímačů, síťové komunikace a nové generace SW systémů ve vícevrstvé architektuře. Největší užitek získají uživatelé z integrovaných modulárních systémů typu „vše v jednom“. Investice do pořízení a údržby takového systému může být dostupná pro firmy a organizace všech velikostí, pokud si správně vyberou systém a dodavatele.
Ivo Rosol
ředitel vývojové divize
OKsystem s.r.o.
