• Commander Saini

Cyber Risk Management और The Company Act 2013

Updated: Jan 20, 2019

एक कंपनी आज डिजिटल रूप में अपने वित्तीय (Financial) रिकॉर्ड को बनाए रखती है। वित्तीय लेनदेन के लिए वेबसाइट / नेट-बैंकिंग / ऑन-लाइन भुगतान का उपयोग किया जाता है; वित्तीय डेटा को cloud में रखा जाता है, लेनदेन और approval ईमेल और अन्य कार्य इलेक्ट्रॉनिक माध्यमों से दिए जाते हैं। ये रिकॉर्ड नेट पर या तो लोकल एरिया नेटवर्क (LAN), वाइड एरिया नेटवर्क (WAN) और वर्चुअल प्राइवेट नेट (VPN) द्वारा access किए जाते हैं। Access control mechanism भी कम्प्यूटरीकृत हैं। मनुष्यों की ओर से मशीनों द्वारा authentication और authorisation का process भी किया जाता है। Audit Trails और log बहुत बडे होते हैं और मानव-पठनीय नहीं हैं। ये सभी और बहुत सी चीजें विभिन्न cyber risk हैं जो केवल उचित methodological approach से ही कम किए जा सकते हैं। कंपनी अधिनियम की धारा 134 (3) (n) के अंतर्गत Board of Directors से annual financial audit report को अनुमोदित करने के लिए जरूरी है कि कंपनी के लिए risk assesmet report को अवश्य शामिल करें। इसमें जोखिम (Risk) के तत्वों की पहचान करना शामिल है, खासतौर से वो जो risk कंपनी के अस्तित्व के लिए खतरा बन सकती हैं। जैसे कि कंप्यूटर आधारित खतरे, उदाहरण- Ransomware सभी वित्तीय रिकॉर्ड को encrypt कर सकता है और e-fraud कंपनी के पैसे को ठग सकता है। ऐसे बहुत से Cyber risk हैं जो कंपनी को बहुत अधिक नुकसान पहुँचा सकते हैं। इसलिए वार्षिक financial audit जब Ministry of Corporate Affairs को report दी जाए तो उसमें Cyber risk assessment को शामिल किया जाना चाहिए। यदि कंपनी को Computers के misuse से अगर वित्तीय हानि या प्रतिष्ठा का नुकसान होता है, और अगर कंपनी के पास Cyber risk policy नहीं है या cyber risk assessment नहीं किया है तो इसे non - compliance माना जाएगा। धारा 177 (4) (vii) के तहत गठित audit committee के लिए यह आवश्यक हैं कि वह financial audit के समय Computer और इससे संबंधित सभी risks का सही से मुल्यांकन करे। कुछ लोगों का तर्क है कि कानून केवल एक financial risk management की उम्मीद करता है और इसमें cyber risk की कोई भूमिका नहीं है। यह एक गलत दृष्टिकोण है। जैसा कि पहले कहा गया था, आज, कोई भी financial record keeping मैनुअल नहीं है। सब Financial control computers पर निर्भर हैं। Computers की प्रक्रिया मनुष्यों को दिखाई नहीं देती है। उदाहरण के लिए, maker - Checker का नियंत्रण अब computer द्वारा ही Control होता है। यह देखा गया है कि कई छोटी कंपनी में एक ही व्यक्ति maker-Checker की दोनों प्रक्रिया एक computer से करता है। इसलिए auditors बिना तकनीकी सहायता के इसे audit ही नहीं कर सकते। अतः ऐसी उनकी audit report बिना तथ्यों के होगी, लेखा परीक्षकों के लिए इस नियंत्रण को मान्य करना संभव नहीं होगा।

उदाहरण के लिए वित्तीय लेखांकन से "slami technique" से पैसे चुराना संभव है। एक विशाल डेटाबेस के साथ, हर data entry को Verify करना और उसके Screen पर दिखाए गए उत्तर को बिना back end के audit किए approve करना illegal है। वित्तीय रिकॉर्ड में हेरफेर करने वाले internal threat या हैकर्स की andit trail को पकड़ना हो तो यह आवश्यक है कि उपयुक्त साइबर सुरक्षा नियंत्रण भी लागू हो। उप-धारा 177 (6) audit committee को अधिकार देती है कि external expert की जहाँ आवश्यकता हो सहायता लें । हालांकि कानून उन्हें रिकॉर्ड में निहित जानकारी तक पूरी तरह access करने की अनुमति देता है, लेकिन केवल IT security experts ही वास्तव में उपयुक्त उपकरणों का उपयोग करके यह जान सकते हैं कि Computers के अंदर क्या चल रहा है। लेखा परीक्षकों को कंपनी के वित्तीय रिकॉर्ड चाहे वो मुख्य कार्यालय में हों या cloud में या कहीं और, नियंत्रण और पारदर्शिता का हर समय पूर्ण अधिकार प्राप्त है। दुनिया में कहीं से भी इन रिकॉर्डों के access के लिए वीपीएन का उपयोग आवश्यक है। यदि कोई कंपनी ऐसे अधिकार auditors देती है, तो उसे पर्याप्त Cyber risk assessment के बाद ही VPN connectivity देनी चाहिए; अन्यथा, हैकर्स ही इस VPN के रास्ते financial system में घुस सकते हैं। कंपनी अधिनियम की धारा 143 (9) में सभी लेखा परीक्षकों को ऑडिटिंग मानकों का पालन करने की आवश्यकता होती है। इसमें ऑडिटिंग एंड एश्योरेंस स्टैंडर्ड (AAS) 29, "ऑडिटिंग एंड अश्योरेंस स्टैंडर्ड (AAS) 6," रिस्क असेस्मेंट्स एंड इंटरनल कंट्रोल " के साथ पढ़ा गया " Auditing in a Computer Information System Environment"शामिल है। आज के sophisticated साइबर वातावरण में ऐसा कार्य आम financial auditor के लिए करना बहुत कठिन है। इसलिए ये standards इसमें विशेषज्ञों के सहयोग की अपेक्षा करते हैं। AAS 29 और AAS 6 के साथ (non Compliance) गैर-अनुपालन auditors के साथ-साथ बोर्ड को भी परेशानी में डाल सकते हैं। The Companies Act की धारा 402,सभी इलेक्ट्रॉनिक दस्तावेजों और अभिलेखों को The Information Technology Act 2000 के दायरे मे ले आती है। इसका मतलब यह भी है कि Indian Evidence Act और Indian Penal Code में प्रासंगिक प्रावधान भी cyber offences के साथ लागू हो जाते हैं। आने वाले Privacy कानून भी कंपनियों और उसके data security के मुद्दों को प्रभावित करेंगे। इन मुद्दों का कंपनी के अस्तित्व पर बहुत गहरा प्रभाव पड़ सकता है।

इसलिए यह एक Compliance requirement हैं कि annual financial audit report के साथ cyber risk assessment report संलग्न हो।


#CompaniesAct #CYberRisk #Auditing #Standards #GRC #Compliance #InformationTechnologyAct #VAPT #Board #Directors #BoardOfDirectors

55 views