Taloushallinnon robotisoituminen haastaa kontrollit
Viimeiset 5–6 vuotta ovat olleet robotiikan vauhdikasta marssia yritysten ja yhteisöjen toimistotöihin. Taloushallinto on sähköisyyden ja määrämuotoisuuden vuoksi ollut erityisen hyvää maaperää robotiikan käyttöönotolle. Robotteja on käyttöönotettu kaikkiin taloushallinnon prosesseihin, kuten toimittajatietojen hallintaan, ostolaskujen käsittelyyn, laskutukseen, täsmäytyksiin sekä kausien sulkuihin. Robotti sopii taloushallintoon senkin vuoksi, että se on väsymätön aineistojen käsittelijä ja pilkuntarkka kirjaaja. Sanotaan myös, että robotti ei tee virheitä, mikä on taloushallinnon toiminnassa erityisen suuri arvo. Vai tekeekö sittenkin? Robottien onnistunut hyödyntäminen vaatii ymmärrystä niiden mukanaan tuomista riskeistä ja riskien hallinnasta. Perinteiset kontrollit muuttuvat robottien myötä, mutta niiden tarve ei suinkaan poistu.
Samalla kun robotit ovat yleistyneet, on alettu olla huolissaan myös niiden tietoturvasta. Onko tietoturva saanut riittävästi ja tarpeeksi nopeasti huomiota sisäisen valvonnan ja tilintarkastuksen keskusteluissa ja suunnitelmissa? Puheissa robotit kyllä vilahtelevat, mutta on hyvä kysyä, ovatko niiden – ja laajemminkin prosessiautomaation – riskit kattavasti tunnistetut ja hallitut.
Myös robottien kohdalla hyvä tietoturva lähtee hyvistä perustuksista. Seuraavassa on nostettu esiin muutamia näkökulmia, jotka on tärkeä huomioida robotteja suunniteltaessa, toteutettaessa ja käytettäessä. Tässä yhteydessä jätetään tekninen tietoturvallisuus tarkastelun ulkopuolelle ja keskitytään kontrollipisteisiin, jotka liittyvät robottien ja niiden käyttäjien toimintavaltuuksiin. Sisäisen valvonnan termein tarkastelu-näkökulmana on vaarallisten työyhdistelmien välttäminen robotisoituvassa taloushallinnossa.
Robottien ajoympäristöön liittyvät oikeudet
Robottien ajoympäristön tietoturvallisuus ja ennen kaikkea pääsynhallinta pitää miettiä ensimmäisenä kuntoon. Robotti voi olla yksittäisen ihmisen ohjauksessa toimiva, niin sanottu työpöytärobotti, keskitetysti hallittu prosessi- tai palvelin-robotti tai näiden yhdistelmä. Jos kyseessä on työpöytäautomaatio, on hyvä muistaa, että kyseisen robotin tietoturvallisuus kulminoituu työaseman käyttäjään. Mikäli käyttäjä on huolimaton työasemansa käytössä, voi tämä aiheuttaa isojakin riskejä tietoturvalle. Yrityksen harkitessa työpöytäautomaatioiden käyttöä on syytä varmistaa, että yrityksen työasemapolitiikat ovat ajantasaiset ja että työntekijät myös noudattavat niitä.
Prosessi- tai palvelinrobotin kohdalla on tärkeä varmistaa, että robottien ajoympäristöt ovat vahvan pääsynhallinnan piirissä. Ihanteellista olisi, että pääsy tuotantoajoympäristöön vaatii hyväksynnän päätetyn prosessin mukaan ja että pääsy tuotantoympäristöön on vain tietyn aikaa voimassa. Vahvan pääsynhallinnan piirissä tulee luonnollisesti olla myös robotti- tehtävän suoritusparametrien ja koodin muuttaminen. Jälkikäteen on siis aukottomasti pystyttävä osoittamaan, mikä robottikoodin versio suoritettiin ja mille parametreille tiettynä ajankohtana. Näin ollen siis robottikehittäjien ja robottiylläpitäjien toimenpiteitä on kyettävä seuraamaan myös versionhallinnan näkökulmasta.
Roboteille oikeat roolit ja identiteetit
Kun tekninen toimintaympäristö on tietoturvan ja käytänteiden osalta kunnossa, on hyvä siirtyä pohtimaan, millä roolilla tai identiteetillä robotti työskentelee. Työpöytäautomaation tapauksessa on usein tarpeen, että robotti käyttää työasemankäyttäjän identiteettiä esimerkiksi kirjautuessaan käyttäjän puolesta eri järjestelmiin tai ladatessaan käyttäjän tekemää dokumenttia dokumentinhallintajärjestelmään.
Jos robotti puolestaan suorittaa itsenäisesti prosessin osaa tai kokonaisuutta, on robotille syytä luoda oma identiteettinsä. Molemmissa tapauksissa työketjujen oikeakohtainen katkeaminen on vähintään yhtä tärkeä asia kuin perinteisessä toimintamallissa vaarallisten työyhdistelmien välttämiseksi. Mikäli mahdollista, on myös syytä harkita, pitäisikö prosessin eri osissa käyttää eri robottia ja myös eri identiteeteillä. Esimerkiksi saapuneen tilauksen käsittelisi yksi robotti ja tilauksen siirtyessä seuraavaan vaiheeseen toinen robotti toisella identiteetillä jatkaisi prosessia. Tällöin robotin käyttämien tunnusten oikeuksia voitaisiin rajoittaa huomattavasti enemmän kuin sellaisessa tilanteessa, jossa yksi robotti hoitaisi koko prosessin.
Mahdollisten virheselvitysten tekeminen niin ikään helpottuisi, kun robotin käyttämiin järjestelmiin syntyisi lokeja robotin eri vaiheista eri identiteetillä. Tällöin myös mahdollisten virheiden paikantaminen helpottuisi, kun voitaisiin helposti osoittaa, missä robottitehtävän vaiheessa mahdollinen virhe on tapahtunut.
Käyttöoikeudet vastaamaan identiteettejä
Robottitehtävän identiteetin päättämisen jälkeen on syytä varmistaa vain tarpeelliset käyttöoikeudet identiteetille luoduille tunnuksille. Vaikka robottitehtävä voi työskennellä ihmisen tavoin käyttöliittymässä, ei ole suositeltavaa kopioida ihmiskäyttäjien käyttäjäprofiileja robotille pohtimatta kaikkien oikeuksien tarpeellisuutta. Hyvin usein ihmiskäyttäjä tarvitsee työhönsä robottia laajemmat käyttöoikeudet. Robottitehtävissä laajoja käyttöoikeuksia on syytä välttää. Tällaisissakin tilanteissa on järkevämpää pilkkoa tehtävä osiin, jolloin vältytään liian laajoilta käyttäjäoikeuksilta.
Kun käyttäjäoikeudet robotille ovat selvillä, on syytä varmistaa, missä robotin käyttämiä salaisuuksia, kuten käyttäjänimiä ja salasanoja, säilytetään. Tärkeää olisi varmistaa, että salaisuuksia säilytetään asianmukaisissa ”salaisuusholveissa” ja että niiden pääsynhallinta on tiukasti rajattu. Robotin esimiehellä tai työnohjaajalla tulee olla mahdollisuus päivittää robotin käyttämää salaisuutta tarvittaessa, mutta kenelläkään muulla kuin robotilla ei saisi olla oikeutta lukea salaisuuden arvoa. Tämä siksi, ettei kenelläkään saisi olla tiedossa esimerkiksi robotin käyttämän käyttäjätunnuksen ja salasanan kombinaatiota.
Tässä vaiheessa moni esittää kysymyksen, eikö robotin esimies tiedä sitä, jos hän kerran syöttää salaisuudet holviin robotin käytettäväksi. Vastaus tähän on luonnollisesti kyllä, mutta ihan yhtä luonnollista tulee olla, että robotti kykenee vaihtamaan oman salasanansa. Ja mielellään niin, että jos joku muu päivittää salaisuuden robotin salaisuus ”holviin”, tulee robotin seuraavalla kerralla vaihtaa välittömästi käyttämänsä salasana uuteen tapauskohtaisessa kohde- tai SSO-järjestelmässä.
Robottien lisäksi huomio robottien toteutukseen
Robotin identiteettien ja niihin liittyvien käyttövaltuuksien lisäksi on siis kriittisen tärkeä huomioida myös robottien käyttöön sekä ennen kaikkea robottien kehittämiseen liittyvät kontrollitarpeet. Toimivasta ja turvallisesta teknisestä arkkitehtuurista huolimatta robotin ohjelmointiin liittyy aina kriittisiä kontrollipisteitä, jotka ovat monessa mielessä perinteisestä toiminnasta poikkeavia. Esimerkiksi robottikehittäjä ei saa missään vaiheessa päästä muuttamaan robotin toimintaa tai valtuuksia ilman, että siitä jää selkeät merkinnät versionhallintaan. Jälleen kerran tulee olla selvitettävissä, kuka teki, mitä teki, milloin teki ja miksi teki. Tehtyjä muutoksia pitää myös valvoa.
Kun perusteet ovat kunnossa, robotiikka tarjoaa erittäin tietoturvallisen resurssin yrityksen käyttöön. Robotti on väsymätön puurtaja, jota eivät häiritse tiukat tietoturvapolitiikat eivätkä toistuvat sisäänkirjautumiset vahvoilla salasanoilla. Robotti suorittaa tehtävänsä toistuvasti juuri sille osoitetuilla tavoilla pohtimatta tehtävien tai tietoturvarutiinien tarpeellisuutta. Robottia ei myöskään millään tavalla häiritse pitää tarkkaa kirjapitoa tekemistään työtehtävistä tai tiedottaa niistä tarpeellisille henkilöille tai järjestelmille sovitulla tavalla.
Top 4 -vinkit tietoturvallisen robotiikan aloittamiseen:
1) Tarkka valvonta. Varmista kenellä on pääsyoikeus robotin ympäristöön
Jokainen robottiympäristöön kirjautuminen ja muutos tulee kyetä selvittämään audit trailista. Kuka teki, mitä teki, milloin teki ja lopuksi vielä miksi teki.
2) Robottipalvelinten automaattinen käynnistys ja sammutus. Varmista, että robotit tai robottikoneet eivät ole tarpeettomasti käynnissä
Jatkuvasti käynnissä olevat robottiresurssit eivät ainoastaan kuluta sähköä ja rahaa, vaan myös mahdollistavat potentiaaliset väärinkäytösyritykset ollessaan turhaan päällä.
3) Varmista automatisoitu salasanojen ja muiden salaisuuksien hallinta
Salasanat tulee säilyttää turvallisesti, ja robottien tulisiosata itsenäisesti vaihtaa omat salasanansa. Luonnollisesti tämä koskee kaikkia robotin käyttämiä salaisuuksia, ei pelkästään salasanoja.
4) Vaadi kattavat lokimerkinnät ja ammattimainen versionhallinta
Yhdistettäessä robottien käyttämien järjestelmien lokitiedot robotin omiin lokeihin sekä robottiympäristön lokeihin, tulisi pystyä selvittämään, mitä milloinkin on tapahtunut ja mitä tietoja robotti on käsitellyt. Myöskään ammattimaista versionhallintaa ja sen lokitietoja ei tule unohtaa. Robottikehittäjällä ei saa olla missään vaiheessa mahdollisuutta muuttaa robottitoteutusta ilman, että siitä jää selkeät merkinnät version hallintaan.
Mitä on ohjelmistorobotiikka?
- RPA (Robotic Process Automation) tarkoittaa robottia, joka käyttää olemassa olevia tietojärjestelmiä, usein ihmiskäyttäjän tavoin.
- Ohjelmistorobotiikka automatisoi ihmisten rutiininomaisia tehtäviä, jotka muuten tehtäisiin manuaalisesti.
- Robotti työskentelee eri rajapinnoissa. Se käsittelee ja liikuttelee tietoa monipuolisesti.
- Robotin käyttöönotto ei edellytä muutoksia olemassa oleviin tietojärjestelmiin.
- RPA on tehokas tapa kasvattaa yrityksen tuottavuutta ja työn mielekkyyttä – se mahdollistaa investoinnin nopean takaisinmaksun.
- RPA tarjoaa erinomaisen mahdollisuuden tuoda automaatio osaksi organisaatiota sekä kasvattaa pääomatuottoa riskittömästi ja nopeasti.
- Robotti voi olla joko yksittäisen henkilön käytössä ja vastuulla oleva työpöytäautomaatio tai varsinainen ohjelmistorobotti, joka on hallittu ja itsenäiseen työskentelyyn kykenevä prosessiautomaatioratkaisu.
- Puhtaimmillaan robotti työskentelee itsenäisestä käyttöympäristöstä käsin ja on riippumaton organisaation IT-järjestelmistä.
- Aidolle ohjelmistorobotille on tunnusomaista jatkuva, käyttäjäriippumaton ylläpito.
- Työnkulkujen automatisoinnin lisäksi robotiikkaa käytetään yhä enemmän datan liikutteluun, muokkaamiseen ja hyödyntämiseen.
- Teknisesti robotiikka laajenee tulevaisuudessa entisestään niin sanottuun hyperautomaaton suuntaan, jossa siihen kytketään erilaisia datan käsittelyä ja hyödyntämistä mahdollistavia työkaluja (esimerkiksi koneoppiminen ja tekoäly).
- Robotti EI korvaa ihmisiä kokonaan, vaan tukee yksittäisissä tehtävissä.