Työvälineet ja tietotekniikka

Järjestelmien, liittymien ja prosessien kuvauksen merkitys kasvaa järjestelmien kehittyessä.

Tietojärjestelmän dokumentointi

Jäsensisällössä löytyvä tilitoimiston järjestelmädokumentaatio on ohjeellinen ja käyttäjän tulee muokata sitä tarpeen mukaan. Järjestelmädokumentaation tulee kattaa kaikki tietojärjestelmät, joita asiakastoimeksiantojen hoidossa tarvitaan.

Jäsensisältönä lisäksi mallit ohjelmisto-, laitteisto- ja käyttäjäluettelosta sekä mallipohjat tilitoimistohenkilöstön sekä asiakkaan henkilöstön käyttäjäkohtaisten oikeuksien dokumentoimiseen.

TAL-STA 2 1.5, TAL-STA 2 1.6

Tietoturvan kartoitus

Tilitoimistoissa käsiteltyä asiakkaiden tietoa tulee käsitellä huolellisesti ja säilyttää turvallisesti.

Lomakkeen sisältö lähtee liikkeelle usein helpommin ymmärrettävistä tiedon suojauksen tavoista: onko tilitoimiston tilat lukittu asianmukaisesti tai onko työpaperit muiden asiakkaiden nähtävillä työpöydillä näiden käydessä tilitoimistossa, edeten tietojärjestelmien turvallisuutta käsitteleviin kysymyksiin.

Lomake on laadittu siten, että jokaiseen kysymykseen ei ole ”oikeaa” kyllä- tai ei-vastausta, mutta sisäisessä arvioinnissa on tärkeää pysähtyä miettimään, onko asialla merkitystä omassa toiminnassa ja onko asiasta varmistuttu. Lomaketta voi käyttää myös osittain esimerkiksi keskustelussa ulkopuolisen IT-palveluntarjoajan kanssa.

Tätä itsearviointilomaketta tilitoimistossa käsiteltävien tietojen turvallisesta säilyttämisestä ja käsittelemisestä käytetään tilitoimistotarkastuksen johdon haastattelussa arvioitaessa kontrollien riittävyyttä.

Lomake on myös yksi Tilitoimisto yrityksen palveluorganisaationa -lomakkeen liitteistä.

TAL-STA2 1.7

Tietosuoja

Taloushallintoliitto on laatinut jäsenistölle työkaluja EU:n tietosuoja-asetuksen vaatimusten täyttämiseksi. Jäsensisällössä ohjausta ja esimerkkejä säilyttämiseen: Selosteluonnos käsittelytoimista ja henkilötiedojen turvallisen käsittelyn kuvauksen malli sähköiseen ja paperiseen toimintamalliin. Jäsensisällössä on myös mallikirje asiakasviestintään.

Aiheesta on myös laadittu luonnos rekisterinpitäjän ohjeistuksesta henkilötietojen käsittelijälle. Tilitoimiston asiakkaan (rekisterinpitäjä) on ohjeistettava tilitoimistoa (henkilötietojen käsittelijä) henkilötietojensa käsittelystä. Tätä mallia voi hyödyntää ohjeistuksen antamisessa, kuitenkin niin, että asiakas määrittelee omien tietojensa käsittelyn ja tekee muutokset tähän malliin, jotta se vastaa rekisterinpitäjän tahtoa henkilötietojen käsittelystä.

 

Moni tilitoimisto on ulkoistanut palkanlaskentaohjelmistonsa palvelinten ylläpidon esimerkiksi käyttäessään järjestelmää pilvipalveluna. Tällöin ohjelmistotalo ja sen mahdolliset alihankkijat saattavat myös olla tietosuoja-asetuksen kannalta henkilötietojen käsittelijöitä, joiden toiminnasta tilitoimisto vastaa omalle asiakkaalleen. Näin on esimerkiksi silloin, kun tilitoimisto on tehnyt sopimuksen ohjelmistosta ja ohjelmistotoimittajan tai sen alihankkijan henkilöstö käsittelee henkilötietoja esimerkiksi tukipalvelutoiminnoissa tai tietokannan huoltotöissä.

Näissä tilanteissa tilitoimiston on syytä varmistua siitä, että tietoturva ja tietosuoja-asetuksen vaatimukset on asianmukaisesti huomioitu myös ohjelmistotoimittajan toimesta. Jäsenill on laadittu jäsensisällöstä ladattava kyselyn, jonka avulla tilitoimisto voi pyytää ohjelmistotoimittajaltaan selvityksen asiantilasta, jos ohjelmistotalo ei ole vielä oma-aloitteisesti tiedottanut asiasta. Olemme toimittaneet kyselyn myös ennakkoon kaikille ohjelmistotaloille, jotka ovat Taloushallintoliiton yhteistyöjäseniä. Ideana oli, että he voivat tiedottaa itse aktiivisesti asiakkaitaan tai valmistautua etukäteen tilitoimistolta tuleviin kyselyihin.

Korostamme vielä, että kysely liittyy lähinnä tilanteisiin, jossa palkkajärjestelmää ei hallinnoida tilitoimiston omilla palvelimilla. Jos tilitoimisto on ulkoistanut palkanlaskentajärjestelmän ylläpidon konesaliyritykselle, kannattaa kysely lähettää sinne.

Asiakkaan toimeksiantoon liittyvän aineiston säilyttäminen

Aineisto tulee säilyttää yhteneväisellä tavalla tilitoimistossa.

TAL-STA2 1.7

Asiakkaan toimeksiantoon liittyvän aineiston säilyttäminen sähköisesti

Tarkastuslautakunta on nähnyt puutteita erityisesti tilikaudenaikaisessa arkistoinnissa. Se on laatinut kansiorakennemallin, jonka tilitoimisto voi ottaa pohjaksi oman arkistointinsa kehittämiseen. Tämä malli on tehty tilanteisiin, jossa tilitoimistolla ei ole käytössään muuta erityistä arkistoinnin sovellusta.

Tilitoimistossa säilytetään ja arkistoidaan kaikki aineisto yhtenäisellä tavalla toiminnan jatkuvuuden turvaamiseksi erityistilanteissa. Tilitoimisto voi käyttää tästä kansiorakenteesta niitä osia, jotka se katsoo tarpeelliseksi kuitenkin niin, että kaikille asiakkaille käytetään samaa perusrakennetta. Jos toimeksiantoon kuuluu muita palvelualueita, esimerkiksi budjetointia tai investointilaskelmia, avataan niille omia kansioita.

  • Asiakkaan sähköinen aineisto siirretään jatkuvasti sähköiseen arkistoon tallentamalla ne asiakkaan asiakasnumerolla tai nimellä nimettyyn kansioon. Tiedostojen varmistuksesta huolehditaan säännöllisesti.
    • Viralliset dokumentit tallennetaan pdf-muodossa ja kirje- ja muut lomakepohjat word- tai excel-muodoissa.
  • Tiedostot nimetään yhtenäisesti. Esimerkiksi:
    • Pöytäkirjat: Hallitus12052012, yhtiökokous
    • Palkkatodistukset: PekkaNieminen12052012
    • Tilinpäätös: TP31122011virallinen
  • Tilinpäätösaineisto ja raportit voidaan tallentaa omiin vuosikansioihinsa.
  • Sähköpostikirjeenvaihtoarkistoidaan sähköpostiohjelman mahdollistamalla tavalla sopivaksi katsotuin väliajoin. Tärkeät viestit on syytä nimetä ja arkistoida erikseen.
  • Lain mukaan säilytettävä aineisto voidaan tallentaa Tilinpäätös-kansioon ja siirtää ne sieltä pysyväisarkistoon (DVD ym.).