सहकारीमा सूचना प्रणाली अडिटको आवश्यकता किन?

परिचय
आजको डिजिटल युगसम्म आइपुग्दा नेपालको सहकारी आन्दोलन अहिले लाखौँ सदस्यहरूको रोजीरोटी, वित्तीय पहुँच र उद्यमशिलता प्रवर्द्धनको आधार बनेको छ । सहकारी विभागको तथ्यांक अनुसार नेपालमा करिब ३० हजारको हाराहारीमा सहकारी संस्था दर्ता भएका छन् । जसमा ७०  लाखभन्दा बढी सदस्यहरू आवद्ध छन् । 

सहकारीहरूले आफ्नो सेवा प्रणालीमा प्रविधिको प्रयोग गर्दै खाता व्यवस्थापनको लागि CBS, त्यस्तै अन्य डिजिटल प्रणालि जस्तै LMS (Loan Management System),  MIS (Management Information System), मोबाइल एप, अनलाइन बैंकिङ, क्लाउड स्टोरेज, आफ्नै website जस्ता माध्यममार्फत डिजिटल सेवा विस्तार गरेका छन् ।

यद्यपि, यो प्रविधिको प्रयोगसँगै सहकारीहरू डिजिटल जोखिम, साइबर आक्रमण, डाटा चोरी र प्रणालीगत कमजोरीहरूको जोखिममा पर्न सक्ने देखिन्छ । जोखिममा परि हालेमा कानुनी झन्झट, नियमकीय दण्ड, सदस्यहरुको विस्वास गुम्ने डर तथा प्रतिष्ठामा आँच आउने हुन सक्छ |

यिनै जोखिमहरूलाई व्यवस्थापन गर्न, सूचना सुरक्षालाई सुनिश्चित गर्न र डिजिटल पारदर्शिता कायम राख्न सहकारी संस्थाहरूमा IS Audit को अभ्यास अत्यन्त आवश्यक भइसकेको छ। आउनुहोस् आज यस सम्बन्धी केही चर्चा गरौं |

IS Audit भनेको के हो?

IS Audit (Information System Audit) भन्नाले सहकारीमा प्रयोग हुने सूचना प्रणालीको समग्र मूल्यांकन गर्ने प्रक्रिया हो । यसमा MIS प्रणाली, डाटा सुरक्षाका उपाय, पहुँच नियन्त्रण, सफ्टवेयर संरचना र हार्डवेयर व्यवस्थापन आदिको मूल्यांकन गरिन्छ । यसमा समग्र सूचना प्रणालीको प्रभावकारिता, अखण्डता तथा कार्य क्षमताको परिक्षण गरि कमजोरी मुल्यांकन पश्चात सुझाबसहित प्रतिवेदन तयार गरिन्छ ।

सरल शब्दमा भन्नु पर्दा IS Audit ले आफ्नो संस्था भित्र रहेको डाटाको  सुरक्षा, संस्थाको विद्युतीय संजाल तथा पुर्बाधार, संस्थाको हार्डवेयर/सफ्टवेयर लगायतका सम्पति, सूचना प्रविधिमार्फत हुने सुशासन, नियमकीय अनुपालन सहित बृहत क्षेत्र समावेश गर्दछ |  यसको माध्यमबाट संस्थाको सूचना प्रविधिको प्रभावकारितासहित सूचना प्रविधिसँग सम्बन्धित प्रणालीको कार्य क्षमतामाथि उच्च दृस्टी प्रदान गर्दछ । यसबाट हामीले हाम्रो संस्थाको प्राबिधिक पक्ष कुन तहमा छ थाहा हुन्छ र प्राप्त सुझाब अनुरुप कार्य गर्दा भविष्यमा आउने जोखिम न्यूनीकरणमा सहयोग पुग्छ ।

यस IS Audit प्रक्रियामा नियामक निकायको सूचना प्रविधिको अनुपालना भए नभएको मूल्यांकन गरिनुका साथै यो Audit प्रक्रियामा बिभिन्न सुरक्षा फ्रेमवर्क (जस्तै: GDPR, ISO २७००१, NIST, PCI-DSS आदि) भित्र रही काम गरिन्छ । यसले संस्थाको सूचना प्रविधिले स्थापित मानकहरु अबलम्बन गरे नगरेको यकिन हुनुको साथै सो सम्बन्धी अनुपालनाको कार्यान्वयनको स्थितीको जानकारी प्राप्त हुन्छ |

IS Audit को उद्देश्य

•    डाटा सुरक्षाको सुनिश्चितता
•    प्रणालीगत त्रुटिहरूको पहिचान
•    कानुनी मापदण्डहरूको अनुपालन
•    वित्तीय पारदर्शिता र सुशासनको प्रवर्द्धन

IS Audit मा समावेश हुने प्रमुख क्षेत्रहरू

अब आउनुहोस्, IS Audit कसरी गरिन्छ, बुँदागत रुपमा थोरै चर्चा गरौं ।

१)  प्रारम्भिक तयारी (Planning Phase)

यसको उद्देश्य भनेको संस्थाले किन IS Audit गर्दैछ भन्ने विषयमा सम्बन्धित पक्ष बीच साझा धारणा बनाउनको लागि छलफल गर्ने हो । वित्तीय लेखा परिक्षण सबैले बुझेको नै हुन्छ तर यो IS Audit सहकारी संस्थाको लागि नयाँ हुन सक्छ । त्यसकारण पनि के के मुल्यांकन गर्ने (जस्तै डाटा सुरक्षा, नेटवर्क संजाल, कार्यविधि तथा नीति, सिस्टममा पहुँच आदि) छलफल गर्ने गरिन्छ । सहकारी संस्थाको सेवा केन्द्र धेरै हुन सक्छन । सबैमा परिक्षण गर्न समय र खर्चको कारणले गर्दा छनौटको आधारमा कुन कुन सेवा केन्द्रमा परिक्षण गर्ने आदि छलफल हुने गर्दछ । प्राविधिक लेखापरीक्षक तथा सहयोगी, संस्थाबाट प्रतिनिधि राखी समुह गठन गरि कार्य शुरु गर्ने गरिन्छ । साथै यी परिक्षण (VAPT) गर्न के-के पूर्वाधार आवश्यक पर्छ सो को तयारीको लागि पनि संस्था तयार हुनुपर्छ । 

२)  प्रणाली बुझाई (System Understanding)

यस चरणमा संस्थामा भएको सूचना प्रणालीको अबलोकन गरि अध्ययन गरिन्छ । कुन कुन सफ्टवेयर कसरी प्रयोग भएको छ ? (जस्तै CBS, MIS, LMS आदि, संस्थाकै भवनमा Server राखी संचालनमा छ कि ? वा cloud मा राखी संचालन गरिएको छ आदि ) र कार्यान्वयनको अवस्था बारे जानकारी संकलन गरिन्छ । यहि चरणमा संस्थाको  नीतिहरुको समिक्षा गरिन्छ ।

नीतिहरुमा विशेषगरि IT Policy, Data Privacy Policy, Business Continuity Policy, Backup Policy आदि पर्ने  गर्दछ । संस्थाको डाटा सुरक्षित छ छैन तथा संस्थाको प्रणालीमा अनधिकृत पहुँच रोक्ने उपायहरु अबलम्बन गरिएको छ छैन हेर्ने गरिन्छ । यसबाट संस्थाको जोखिमको प्रारम्भिक मूल्यांकन हुन्छ ।

३)    प्रणाली परिक्षण (Testing and Evaluation)

यस परिक्षणमा संस्थाको डाटामा प्रयोगकर्ताको पहुँच नियन्त्रण (access control) को स्थितीको मुल्यांकन गरिन्छ । संस्थाको प्रणालीमा लग इन व्यवस्थापन, पासवर्ड नीति, तह अनुसार पहुँच व्यवस्था छ छैन हेरिन्छ । संस्थामा निर्माण हुने हरेक दिनको डाटाको backup को नियमितता तथा डाटा सुरक्षणमा encryption को प्रयोगको सुनिस्चितता हेर्ने गरिन्छ । अझ संस्थाको हरेक कम्प्युटरमा antivirus तथा firewall जस्ता सुरक्षाका उपायहरुको अवस्था परिक्षण गरि यकिन गरिन्छ ।

यहि चरणमा माथि उल्लेख गरिएको परिक्षणको लागि VAPT (Vulnerability Assessment and Penetration Testing) मार्फत कमजोरी पत्ता लगाउने गरिन्छ । जसमा  Vulnerability Assessment (VA) - प्रणालीका सम्भावित कमजोरीहरू पहिचान गर्ने प्रक्रिया हो भने Penetration Testing (PT) - ती कमजोरीमार्फत वास्तविक साइबर आक्रमणजस्तै परीक्षण गर्ने अभ्यास हो |

यसै चरणमा नेटवर्क संजालको परिक्षण तथा संस्थामा भौतिक सुरक्षाको कार्यान्वयन के कस्तो छ भनेर हेरिन्छ । यदि जुनै प्राकृतिक प्रकोपद्वारा संस्थाको डाटा नस्ट भएमा कसरि यसमा पुन प्राप्ति गरि प्रणाली संचालन गर्ने र कति छिटो र कति अवधिको डाटाको उपलब्धता हुन्छ भनि अवस्था मूल्यांकन हुन्छ । प्रणालीमा भएको सबै गतिबिधिहरु (audit trail) रेकर्ड हुन्छ हुन्न भनेर पनि परिक्षण हुन्छ ।

४)    जोखिम विश्लेषण (Risk Analysis)

माथिको चरणहरुबाट प्राप्त कमजोरीहरुको सम्भाव्यता र असरको विश्लेषण गरि उच्च, मध्यम, र न्यून जोखिमको वर्गीकरण गर्ने कार्य सम्पन्न हुन्छ |

५)    निष्कर्ष तथा प्रतिवेदन (Audit Report)

परिक्षण नतिजा सहित जोखिम वर्गीकरण गरि पहिचान गरिएका समस्या कमजोरी तथा सुधारको सिफारिस सहितको प्रतिवेदन तयार भै संस्थालाइ कसरि सुधार गर्न सकिन्छ भन्ने कार्ययोजनाको सल्लाहसहित बुझाउने गरिन्छ ।

सहकारीमा IS Audit किन आवश्यक छ?

- डाटा सुरक्षाको सुनिश्चितता
- वित्तीय पारदर्शिता र सुशासन
- कानुनी तथा नियामक मापदण्डहरू पालना
- भविष्यका जोखिमको रोकथाम 

चुनौतीहरू

- स्रोतको अभाव

IS Audit को लागि विशेष प्राबिधिक समूहको जरुरत पर्ने हुँदा विज्ञहरुबाट गर्नु पर्ने हुन्छ | त्यसकारण सबै सहकारीहरूले बजेट अभावका कारण IS Audit र VAPT गर्न सक्दैनन् कि भन्ने जोखिम छ ।

- दक्ष जनशक्तिको कमी

प्रविधिको क्षेत्रमा प्रशिक्षित कर्मचारीहरूको पहुँच न्यून छ । यसलाई बुझ्ने कर्मचारीको पनि संस्थामा आवश्यकता पर्छ ।

- सचेतनाको कमी

सहकारीको व्यवस्थापन तहमा सुरक्षा मापदण्डप्रति बुझाइ अझै कम छ । यसकारण पनि डिजिटल सुरक्षामा ध्यान नपुगेको हुन सक्छ ।

सुझावहरू

•    नियामक निकायले  IS Audit र VAPT अनिवार्य गर्ने नीति बनाउने
•    सम्बन्धित निकायले बृहत्तर IS Audit कार्यक्रमको अनुदान वा सहुलियत व्यवस्था गर्ने
•    सहकारी महासंघ वा प्राविधिक संघसंस्थाले तालिम, टेम्पलेट र सर्भिस उपलब्ध गराउने
•    प्राथमिकताको क्षेत्र पहिचान गरेर, त्यो प्रणालीको मात्र परिक्षण शुरुवात गर्ने 
•    प्रविधिमा आधारित नीति विधि बनाउन शुरु गर्ने 

निष्कर्ष

डिजिटल प्रविधिको प्रयोगले सहकारीलाई छरितो, आधुनिक र पहुँच योग्य बनाइरहेको कुरामा कसैको दुइमत छैन । तर, प्रविधिको जोखिम पनि त्यतिकै गम्भीर रहेको कुरा नकार्न सकिदैन । त्यसैले, प्रत्येक सहकारी संस्थाले सूचना प्रणाली अडिट (IS Audit) र भल्नरेबिलिटी मूल्याङ्कन तथा पेनेट्रेशन टेस्टिङ (VAPT) जस्ता सुरक्षाका अभ्यासहरूलाई नियमित रूपमा अवलम्बन गर्नु आवश्यक छ।

यी अभ्यासहरू न केवल सहकारीको डाटा सुरक्षामा, तर पारदर्शिता, नियमन र संस्थागत विश्वासको निर्माणमा समेत महत्वपूर्ण आधार बनिरहेका छन् भनि हामी सबैले बुझ्नु पर्छ । सहकारीको दिगो भविष्य डिजिटल सुरक्षाको बलियो जगमाथि मात्र उभिन सक्छ भनि मनन गरि  डिजिटल सुरक्षालाई सानो रुपमा नलिऔं । (लेखक सूचना प्रविधि र सहकारी विषयका जानकार हुन् ।)