1. Etusivu
  2. Auktorisoinnin edellytykset

Auktorisoinnin edellytykset

Kuka voi hakea jäseneksi?

Taloushallinnon palveluyritys – tervetuloa joukkoomme!

Taloushallintoliiton sääntöihin perustuvat auktorisoidun jäsenen edellytykset

  1. Sitoutuu noudattamaan taloushallintopalvelualan hyvää tapaa.
  2. Hyväksyy liiton valvonnan ja toiminnan tarkastukset.

Taloushallintopalvelualan hyvään tapaan perustuvat edellytykset

  1. Taloudelliset edellytykset
    – Palveluyritys on vakavarainen
  2. Riippumattomuus
  3. Laadun varmentaminen
    – Kirjalliset kuvaukset yhtenäisisitä työskentelymenetelmistä
    – Menetelmä asiakastöiden laadun varmistamiseen
    – Varahenkilöjärjestelmä
    – Palveluyritys varmistaa vuosittain, että henkilöstö noudattaa yhtenäisiä työ- ja dokumentointimenetelmiä
    – Menetelmä vaarallisten työyhdistelmien tunnistamiseksi, ehköisemiseksi ja valvomiseksi.
  4. Vakuutusturva
    – Palveluyrityksellä on voimassa kattavuudelta riittävä varallisuusvastuuvakuutus
    – Palveluyritys varmistaa vuosittain, että kaikki sen palvelut ovat vakuutusturvan piirissä.
  5. Osaaminen
    – Palveluyritys on nimennyt laadusta vastaavan henkilön, jolla on tuotettuun palveluun soveltuva voimassa oleva KLT-, PHT- tai muu alalla yleisesti tunnustettu asiantuntijatutkinto TAI muu selvitys siitä, että osaaminen on riittävää ja sitä ylläpidetään
    – Perehdytysohjelma
    – Henkilöstöllä on tehtäviään ja asiakkuuksiaan vastaava koulutus ja osaaminen
    – Palveluyritys mahdollistaa henkilöstölleen heidän tehtäviään vastaavaa koulutusta vähintään 2pv vuodessa
    – Palveluyritys varmistaa ennen toimeksiannon vastaanottamista tai vaihdostilanteissa, että henkilöstöllä on riittävästi osaamista toimeksiannon hoitamiseen.
  6. Resurssit
  7. Sopiminen
    – Kirjallinen sopimus ja sopimus henkilötietojen käsittelystä toimeksiannoista kaikille asiakkuuksille
    – Toimeksiantosopimuksesta tulee käydä selkeästi ilmi palveluiden ja lisäpalveluiden sisältö jsekä hinta selkeästi ilmi
    – Palveluyritys informoi asiakasta viipymättä annetun tarjouksen tai hinta-arvion mahdollisesta ylittymisestä
    – Palveluyrityksen tulee sopii asiakkaan yhteyshenkilöstä, jolla on oikeus saada tietoja ja toimittaa aineistoa.
  8. Palvelujen tuottaminen laadukkaasti
    – Palveluyritys dokumentoi toimeksiannon alkaessa asiakkaan toimialaan ja toiminnan luonteeseen liittyvät erityisvaatimukset
    – Palveluyritys ilmoittaa kirjallisesti asiakkaalle tämän antamassa aineistossa on olennaisia puutteita
  9. Raportointi ja asiakasviestintä
    – Palveluyritys tiedottaa asiakkailleen olennaisista toimeksiannon hoitamiseen liittyvistä lainsäädäntömuutoksista hyvissä ajoin.
  10. Dokumentointi
    – Palveluyritys ylläpitää jatkuvasti ajantasaista dokumentaatiota asiakaskohtaisista työohjeista, käytännöistä ja perustiedoista
    – Palveluyritys dokumentoi ja säilyttää asiakkaan perustiedot ja aineistot järjestelmällisellä tavalla
    – Palveluyritys dokumentoi asiakkaan kirjanpitoaineiston, tositteet ja muistiot asiakkaan toiminnan laatu ja laajuus huomioiden riittävällä tavalla
    – Palveluyritys säilyttää toimeksiantoa koskevat perustiedot vähintään viisi vuotta toimeksiannon päättymisestä.
  11. Tietoturva on toteutettu toimialan parhaiden käytäntöjen mukaisesti
Lue lisää: Tietoturvan käytäntöjä yksityiskohtaisesti
  • Kaikkien organisaation tietoverkon aktiivilaitteiden (reitittimet, palomuurit, kytkimet) pääkäyttäjätunnusten oletussalasanat vaihdettu
  • Tietoverkon aktiivilaitteiden hallintaan käytetään ainoastaan suojattuja (https/ssh) yhteyksiä
  • Organisaation mahdollinen vierasverkko eriytetty organisaation sisäisestä tietoverkosta luotettavalla menetelmällä
  • Mahdollisten langattomien verkkojen salauksessa käytetään vähintään WPA2- protokollaa, tai sitä edistyneempää menetelmää
  • Organisaation palomuureilla on rajoitettu tietoliikennettä asianmukaisesti siten, että haavoittuvat palvelut ja protokollat on estetty tai niitä suojataan VPN-tunneloinnilla
  • Palvelinkäyttöjärjestelmiä suojataan tarkoituksenmukaisella palomuuriratkaisulla
  • Palvelinkäyttöjärjestelmissä käytetään virustorjuntaohjelmistoa tai tarkoituksenmukaista haittaohjelmien torjuntaa
  • Palvelinkäyttöjärjestelmien ja/tai levyjärjestelmien data varmuskopioidaan automatisoidusti vähintään toiseen fyysiseen sijaintiin
  • Varmuuskopiot ovat käytettävissä, vaikka palvelinkäyttöjärjestelmien fyysinen sijainti tuhoutuisi esimerkiksi tulipalossa
  • Palvelinkäyttöjärjestelmät päivitetään säännöllisesti joko automatisoidusti tai asiantuntijan toimesta
  • Palvelimien sovellusohjelmistot päivitetään säännöllisesti joko automatisoidusti tai asiantuntijan toimesta
  • Kaikki palvelinkäyttöjärjestelmät ovat ohjelmistotoimittajan tuen piirissä
  • Palvelinkäyttöjärjestelmien ylläpito on ICT-ammattilaisen jatkuvassa ylläpidossa ja valvonnassa
  • Tietokoneiden paikalliset kiintolevyt on kryptattu, eli salakirjoitettu
  • Kaikissa tietokoneissa on luvaton käyttö estetty salasanalla, suojakoodilla tai biometrisella tunnisteella
  • Kaikissa tietokoneissa on automaattinen näytön lukitus päällä
  • Tietokoneissa käytetään virus- ja haittaohjelmien torjuntaohjelmistoa
  • Tietokoneita suojataan palomuuriohjelmistolla
  • Jos liiketoimintakriittistä tietoa säilytetään tietokoneiden paikallisella kiintolevyllä, on tietojen synkronointi tai varmuuskopiointi keskitettyyn tallennussijaintiin automatisoitu
  • Tietoturvapäivitykset asennetaan säännöllisesti ja automatisoidusti tietokoneiden käyttöjärjestelmiin
  • Tietoturvapäivitykset asennetaan säännöllisesti ja automatisoidusti tietokoneiden sovellusohjelmiin
  • Jos työntekijöiden henkilökohtaisesti omistamiensa tietokoneiden käyttö työtehtäviin kirjallisesti tai muutoin on sallittu, on työntekijöiden henkilökohtaisten tietokoneiden tietoturvasta huolehdittu organisaation omia laitteita vastaavalla tavalla
  • Kaikkien mobiililaitteiden tallennustila ja mahdolliset muistikortit on kryptattu, eli salattu
  • Kaikkien mobiililaitteiden luvaton käyttö on estetty salasanalla, suojakoodilla tai biometrisella tunnisteella
  • Kaikissa mobiililaitteissa on automaattinen näytön lukitus päällä
  • Jos työntekijöiden henkilökohtaisten mobiililaitteiden käyttö työtehtäviin, kuten työsähköpostin lukemiseen on sallittu, on työntekijöiden henkilökohtaisten mobiililaitteiden tietoturvasta huolehdittu organisaation omia laitteita vastaavalla tavalla
  • Sähköpostipalveluun kirjautumisessa on otettu käyttöön monimenetelmäinen todentaminen (2FA/MFA) tai vastaava ratkaisu käyttäjätunnus/salasanaparin lisäksi
  • Kaikkien organisaation käyttämien tietojärjestelmien pääkäyttäjätunnusten oletussalasanat on vaihdettu
  • Kaikkien työntekijöiden kanssa on laadittu kirjallinen salassapitosopimus
  • Työntekijän työsuhteen päättyessä hänen käyttöoikeuksiensa poistamisesta ja käyttäjätunnusten passivoimisesta huolehditaan johdonmukaisella tavalla
  • Asiakkaan tai kolmannen osapuolen edustajat tunnistetaan luotettavalla menetelmällä ennen kuin heille luovutetaan asiakkaan kirjanpitoaineistoja
  • Asiakkaan paperisen kirjanpitoaineiston luovutuksista laaditaan kirjalliset luovutustodistukset luovutettaessa aineistoja asiakkaalle
  • Asiakkaan paperisen kirjanpitoaineiston luovutuksista laaditaan kirjalliset luovutustodistukset luovutettaessa aineistoja tilintarkastajalle
  • Asiakkaan paperisen kirjanpitoaineiston luovutuksista laaditaan kirjalliset luovutustodistukset luovutettaessa aineistoja asiakkaan valtuuttamalle edustajalle
  • Olennaisissa taloushallinnon pilvipalveluissa käytetään ohjelmistotoimittajan tarjoamaa monimenetelmäistä (2FA/MFA) todentamista käyttäjätunnuksen ja salasanan lisäksi, jos se on teknisesti mahdollista.
  1. Täyttää tietosuoja-asetukseen liittyvät velvoitteet
Lue lisää: EU:n yleisen tietosuoja-asetuksen vaatimukset
  • ICT-palveluntarjoajien kanssa on laadittu henkilötietojen käsittelysopimukset, jos ne käsittelevät henkilötietoja
  • Organisaation käyttämien taloushallinnon pilvipalveluiden toimittajien on kanssa laadittu henkilötietojen käsittelysopimus, jos ne käsittelevät henkilötietoja
  • Organisaatio on laatinut henkilötietojen käsittelysopimuksen niiden asiakkaiden kanssa, joiden henkilötietoja se käsittelee
  • Organisaatio on laatinut henkilötietojen käsittelysopimuksen niiden yhteistyökumppaneidensa kanssa, jotka käsittelevät henkilötietoja organisaation lukuun
  • Organisaatio on laatinut tietosuoja-asetuksen mukaisen selosteen käsittelytoimista
  • Lisätietoa löydät Hyvä palkkahallintotapa -oppaasta
  1. Täyttää rahanpesulakiin liittyvät velvoitteet
Rahanpesulainsäädäntöön liittyvät velvoitteet
  • Organisaatio laatinut rahanpesulain mukaisen riskiarvion rahanpesun ja terrorismin rahoittamisen riskien tunnistamiseksi ja arvioimiseksi
  • Organisaatio rekisteröitynyt rahanpesun valvontarekisteriin
  • Organisaatio laatinut riskiarvioon perustuvat kirjalliset toimintaohjeet rahanpesulain velvoitteiden toteuttamiseksi organisaatiossa
  • Organisaatio kouluttanut henkilöstönsä rahanpesun ja terrorismin rahoittamisen estämistä koskevien käytäntöjensä osalta
  • Organisaatio nimennyt johdostaan henkilön, joka vastaa rahanpesulain velvoitteiden noudattamisen sisäisestä valvonnasta yrityksessä
  • Asiakkaan edustajien henkilöllisyys tunnistetaan ja todennetaan rahanpesulain mukaisesti asiakassuhteen alkaessa
  • Asiakkaan tuntemistiedot säilytetään rahanpesulain mukaisesti
  • Asiakkaan tosiasialliset edunsaajat tunnistetaan asiakassuhteen alkaessa
  • Organisaatio pyrkii tunnistamaan poliittisesti vaikutusvaltaiset henkilöt asiakassuhdetta perustettaessa
  • Organisaatiolla on tehokkaat menettelytavat sekä sisäinen valvonta pakotteiden ja jäädyttämispäätösten noudattamisen varmistamiseksi.
  • Lisätietoa aiheesta verkkosivuillamme

Liity jäseneksi
Jäsenmaksut
Jäsenedut

Tilaa Taloushallintoliiton uutiskirje

Tilaamalla uutiskirjeemme saat taloushallintoalaa koskevan uusimman tiedon ensimmäisten joukossa suoraan sähköpostiisi. Lisäksi saat tiedon esimerkiksi uusimmista koulutuksistamme ja tapahtumistamme. Tutustu uutiskirjevalikoimaamme!

Tilaa uutiskirje