Taloushallintoliitto on nostanut esiin taloushallinnon ja erityisesti tilitoimistojen kasvavan tarpeen varautua erilaisiin häiriötilanteisiin ja kyberuhkiin.
Moninaiset uhkakuvat
“Taloushallinnon kautta voidaan suoraan vaikuttaa ihmisten luottamukseen tai herättää yhteiskunnallista epäjärjestystä”, toteaa Taloushallintoliiton toimitusjohtaja Jari Seppä. Hänen mukaansa kaikkien taloushallinnon parissa toimivien velvollisuus on juuri nyt varautua kasvavaan haitallisen vaikuttamisen uhkaan.
“Palkka- ja henkilöstöhallinnon palveluita tuottavia yrityksiä on Suomessa valtava joukko. Tähän joukkoon mahtuu toimijoita, joiden tieto- ja kyberturvan kypsyystaso vaihtelee suuresti. Kehittämällä oman toimintansa varautumista ja liiketoiminnan jatkuvuudenhallintaa, alamme toimijat voivat parantaa Suomen huoltovarmuutta ja kansallista kriisinkestävyyttä”, kertoo Taloushallintoliiton valmiuspäällikkö Juuso Lehmuskoski.
Erityisen haavoittuvaksi talous- ja palkkahallinnon tekee sen monimutkainen digitaalinen ympäristö, jossa jokainen toimija – palveluntarjoaja, ohjelmistotoimittaja ja pankki – muodostaa kriittisen lenkin ketjussa. Usein näitä ketjuja on vieläpä monia. Häiriö missä tahansa ketjun osassa voi lamauttaa koko prosessin toiminnan.
Esimerkkejä häiriötilanteista ja toimintatavoista niiden aikana
Seuraavassa on esitetty kolme esimerkkiä mahdollisista ulkopuolisten toimijoiden aiheuttamista palkkahallinnon häiriötilanteista ja toimintatavoista niiden aikana.
Esimerkki 1: Palkka-aineistojen siirto ei onnistu normaaleja kanavia pitkin
- Jos käytössä on varapankki, jonka normaali kanava toimii, käytä sitä.
- Ota käyttöön etukäteen sovittu vaihtoehtoinen tietoturvallinen toimitustapa pankin kanssa.
- Varmista, että vaihtoehtoinen kanava on testattu ja toimiva.
- Ilmoita häiriöstä pankkiin ja muille asianosaisille.
- Dokumentoi poikkeustilanne ja seuraa tilanteen normalisoitumista.
Esimerkki 2: Tilitoimiston asiakas ei pysty tekemään työsuhteisiin, poissaoloihin tai vuosilomiin liittyviä toimia
1. Vaihtoehtoisen tiedonsiirtokanavan aktivointi:
- Salattu sähköposti
- Yhteinen luotettu tiedostojenjakoalusta
- Muu ennalta sovittu tietoturvallinen menetelmä
2. Kriittisten tietojen toimittaminen sovitussa muodossa:
- Määrämuotoinen Excel-pohja
- PDF-lomake
- Strukturoitu sähköpostiviesti
3. Tietojen käsittelyn priorisointi:
- Ensin palkanmaksun kannalta välttämättömät tiedot
- Sitten muut työsuhdetapahtumat
- Lopuksi ei-kiireelliset päivitykset
Esimerkki 3: Työajanseurantajärjestelmän häiriöt: työaikakorvausten tietoja ei ole saatavilla järjestelmästä
1. Välittömät toimenpiteet:
- Maksa säännöllisiä korvauksia saaville edellisen jakson mukaiset korvaukset.
- Vaihtoehtoisesti maksa kaikille sama ennalta sovittu summa.
2. Korjaavat toimenpiteet järjestelmien palauduttua:
- Tee täsmäytys todellisten ja maksettujen korvausten välillä.
- Korjaa mahdolliset erot seuraavassa palkanmaksussa.
- Dokumentoi poikkeustilanne ja tehdyt korjaukset.
3. Viestintä:
- Informoi palkansaajia poikkeusjärjestelystä.
- Kerro korjausaikataulu.
- Ohjeista mahdollisten kysymysten varalta.
Varautumisen avainkohtia
Palkkahallinnossa kuten kaikessa muussakin toiminnassa häiriötilanteisiin varautumisessa keskeistä on:
- Organisaation riippuvuuksien tunnistaminen ja riskiarvion tekeminen.
- Käytössä olevien järjestelmien ja palvelukumppanien kartoitus.
- Avainresurssien ja keskeisimpien tehtävien tunnistaminen.
- Varamenettelyjen määrittäminen kriittisille toiminnoille.
- Jatkuvuussuunnitelman laatiminen ja selkeän johtovastuun määrittäminen.
- Häiriöviestintä- ja palautumissuunnitelmien tekeminen.
- Säännöllinen harjoittelu.