संस्थागत आई टि अडिट

It Audit Services Jan 3, 2024

सुचना प्रबिधिको प्रयोग आक्रामक रुपमा बढ्दै गएको छ । हरेक कम्प्युटर, मोबाइल डिभाइसहरु एक अर्का संग जोडिएका छन् । संस्थागत जानकारीहरु व्हाट्सएप, भाइभर, इमेल, वेबसाइट, सामाजिक संजाल मार्फत ट्रान्सफर भै रहेका हुन्छन । अहिलेको समयमा डेटालाइ नै सम्पति भनिन्छ । डेटाको गोपनियता नहुदा भविष्यमा विभिन्न जोखिम आउन सक्ने बारे सबैलाइ जानकारी हुनु जरुरि छ ।

संस्थाको आई टि पोलेसी, प्रक्रिया, आई टि इन्फ्रास्ट्रक्चर, हार्डवेयर, सूचनाको गोपनियता, क्लाउड कम्प्युटिंगको प्रयोग, फेलओभर रिकोभारी, डेटा इन्क्रिप्सन आदिलाइ उचित नियमन गर्ने प्रक्रियालाइ नै आई टि अडिट भनिन्छ ।

आई टि अडिटका प्रक्रियाहरू सिर्जना गर्ने, व्यवहारमा ल्याउने, परीक्षण गर्ने र मूल्याङ्कन गर्ने प्रक्रिया आई टि अडिट अडिटरको कार्यक्षेत्रमा पर्छ । यी प्रोटोकलहरूले नेटवर्कहरू, सफ्टवेयर एप्लिकेसनहरू, सुरक्षा प्रणालीहरू, सञ्चार प्रणालीहरू, सफ्टवेयर विकास र परियोजना व्यवस्थापन प्रक्रियाहरू, र कुनै पनि अन्य आई टि प्रणालीहरू समावेश गर्न सक्छन् जुन व्यवसायको प्राविधिक पूर्वाधारको एक भाग हो र यसले जोखिम नियन्त्रण र न्यूनीकरण गर्दछ ।

आई टि अडिट विशेषज्ञहरूले, आई टि अडिट कार्यक्रमहरू फेला पार्न र बहस गर्नको लागि महत्त्वपूर्ण समय खर्च गर्छन्, र राम्रो कारणका साथ-यी कारकहरूले काम पूरा भएको क्षमता र अन्ततः संस्थालाई दिइएको आश्वासनमा प्रभाव पार्छ ।

आई टि अडिट प्रतिवेदनको विषयवस्तुले लेखापरीक्षण अनुगमन प्रक्रियालाई मार्गदर्शन गर्ने र कम्पनीको लागि बारम्बार बजेट खर्च गर्ने भए तापनि, तिनीहरू विरलै छलफल गरिन्छन् ।

प्रत्येक कम्पनीको आई टि अडिट प्रतिवेदनले कडा व्यावसायिक मापदण्डहरू पालना गर्छ भनी ग्यारेन्टी गर्न, ISACA ले मापदण्ड, दिशानिर्देश, श्वेतपत्र, र रिपोर्ट टेम्प्लेट तयार गरेको छ।

यी दिशानिर्देशहरू पालना गर्नाले पनि आई टि अडिटरलाई धेरै सहयोगी हुन्छ। ISACA आई टि प्रोफेस्नलहरूको विश्वव्यापी संघ हो जसले प्रशिक्षण, प्रमाणीकरण, स्रोतहरू र समुदायलाई लेखापरीक्षण, शासन, जोखिम, गोपनीयता र साइबर सुरक्षा प्रदान गरेर डिजिटल विश्वासलाई अगाडि बढाउन मद्दत गर्दछ ।

आई टि अडिट कसरी गर्ने

आईटी अडिटको तयारीका दुई मुख्य चरणहरू; सूचना सङ्कलन र योजना हुन्, त्यसपछि हालको आन्तरिक नियन्त्रण ढाँचाको बुझाइ हो । संस्थाहरूको बढ्दो संख्याले जोखिममा आधारित लेखापरीक्षण विधि प्रयोग गरिरहेको छ, जसले आई टि अडिटरलाई जोखिम मूल्याङ्कन गरेर ठोस परीक्षण वा अनुपालन परीक्षण सञ्चालन गर्ने कि नगर्ने भनेर निर्धारण गर्न दिन्छ ।

आई टि अडिटरहरूले जोखिम-आधारित दृष्टिकोण प्रयोग गरेर तिनीहरूको व्यवसाय वा कम्पनीको ज्ञानको अतिरिक्त परिचालन र आन्तरिक नियन्त्रणहरूमा फोकस गर्छन् । यस प्रकारको जोखिम मूल्याङ्कन निर्णयको सहायताले नियन्त्रणको लागत र लाभ विश्लेषणलाई ज्ञात जोखिमसँग जोड्न सकिन्छ ।

आई टि अडिटरले “जानकारी सङ्कलन” चरणमा निम्न पाँच वस्तुहरू निर्धारण गर्नुपर्छ:

व्यापार र उद्योग संग परिचित
अघिल्लो वर्षको लेखापरीक्षणको नतिजा
वर्तमान वित्तीय डेटा
नियमहरू शासित नियमहरू
निहित जोखिमको अनुमान

सूचना प्रविधि अडिटको लक्ष्यहरू

व्यापार जोखिम कम गर्नको लागि, आईटी अडिट लक्ष्यहरू प्राय: आन्तरिक नियन्त्रणहरू ठाउँमा छन् र उद्देश्य अनुसार सञ्चालन भइरहेका छन् भनी पुष्टि गर्नमा केन्द्रित हुन्छन् । यी लेखापरीक्षण लक्ष्यहरू मध्ये कानूनी र नियामक आवश्यकताहरूको पालना सुनिश्चित गर्ने साथै सूचना सुरक्षा र डेटा र सूचना प्रणालीहरूको गोपनीयता, अखण्डता र उपलब्धता समावेश हुन्छ ।

केही उदाहरणहरू:

साइबरसेक्युरिटी अडिटहरू: यी अडिटहरूले सम्भावित कमजोरीहरू हेर्छन्; ह्याकरहरू वा अन्य खराब आक्रमणहरूले सुरक्षित डाटाहरूमा पहुँच गर्न सक्छन् ।
इन्टरप्राइज-स्तर आईटी संरचनाका अडिटहरू: निर्दिष्ट संरचनाहरूले तिनीहरूलाई उच्च स्केलमा अझ प्रभावकारी रूपमा कार्य गर्न सक्षम बनाउँदा आईटी प्रक्रियाहरू कसरी व्यवस्थित गरिएको छ भनेर जाँच्न यो अर्थपूर्ण हुन्छ ।
अवस्थित प्रणाली र एप्लिकेसन अडिटहरू: संस्थाहरूले सबै अवस्थित प्रणालीहरू र एप्लिकेसनहरूको लागि सुरक्षा उपायहरूको लेखा परीक्षा गर्न सक्छन् ।
विकास प्रणाली र एप्लिकेसन अडिटहरू: संस्थाहरूले तिनीहरूको परिवर्तन आवश्यकताहरू पूरा गर्न नयाँ आईटी प्रणालीहरू सिर्जना गर्दा, तिनीहरू अवस्थित सुरक्षा मापदण्डहरूसँग पङ्क्तिबद्ध छन् भनेर सुनिश्चित गर्न तिनीहरूको लेखा परीक्षण गर्नुपर्छ ।
भौतिक आईटी सुविधा अडिटहरू: संस्थाहरूले तिनीहरूको आवश्यक आईटी पूर्वाधारसँग सम्बन्धित भौतिक स्थानहरूमा सर्तहरू र सुरक्षा उपायहरूको लेखा परीक्षण गर्न सक्छन् ।
तेस्रो-पक्ष अडिटहरू: तेस्रो-पक्ष एप्लिकेसनहरूले कत्तिको राम्रो काम गरिरहेका छन् र तिनीहरूले संस्थाको फराकिलो आईटी पूर्वाधारमा कसरी प्रभाव पार्छन् भनेर मूल्याङ्कन गर्न सार्थक हुन सक्छ ।
सर्भर अडिटहरू: यी अडिटहरूले व्यवसायको समग्र नेटवर्क सुरक्षा प्रदर्शन र यसले अनुपालन मापदण्डहरू पूरा गर्छ कि गर्दैन भनेर मूल्याङ्कन गर्दछ ।

समग्र उद्देश्य भनेको संस्थाको आईटी प्रणालीसँग सम्बन्धित जोखिमहरूको मूल्याङ्कन गर्नु र ती जोखिमहरूलाई कम गर्न समाधानहरू पहिचान गर्नु हो, चाहे नयाँ प्रणाली कार्यान्वयन, समस्या समाधान गर्ने प्रविधिहरू, वा कर्मचारी व्यवहार परिमार्जनहरू द्वारा गर्ने होस ।

संस्थाका कर्मचारीहरूले पूर्वाधारमा सुरक्षाहरू कसरी डिजाइन र कार्यान्वयन गर्ने भनेर निर्धारण गर्दछ; यद्यपि, यी प्रतिरक्षाहरूले डेटाको लागि सबैभन्दा सुरक्षित वातावरण कायम राख्न अनुपालन मापदण्डहरू पूरा गर्नुपर्छ ।

संस्थाहरूले तिनीहरूको आई टि ले सकेसम्म प्रभावकारी रूपमा अडिटिङद्वारा काम गरिरहेको छ भनी पत्ता लगाउन सक्छन् ।

आई टि अडिटको उद्देश्य जुन सुकै आई टि प्रणालीहरूले कत्तिको राम्रोसँग काम गरिरहेको छ भन्ने बारे जाँच बुझ गरि रिपोर्ट दिनु हो ।

संस्थाको सूचना प्रबिधि संरचना, प्रक्रियाहरू र प्रणालीहरूको विस्तृत विश्लेषणलाई आई टि अडिट भनिन्छ । यसको मुख्य लक्ष्य भनेको आन्तरिक नियन्त्रणहरूले कत्तिको राम्रोसँग काम गरिरहेको छ भनी मूल्याङ्कन गर्नु र डाटाको उपलब्धता, गोपनीयता, वा अखण्डतालाई खतरामा पार्न सक्ने कुनै त्रुटि वा कमजोरीहरू फेला पार्नु हो ।

डाटा सुरक्षा, सञ्जाल पूर्वाधार, हार्डवेयर र सफ्टवेयर सम्पत्तिहरू, आई टि प्रशासन, अनुपालन, र अन्य विषयहरू सबै आई टि अडिटहरू द्वारा विस्तृत रूपमा समाबेस गरिएका छन् ।

आईटी अडिटका मुख्य पक्षहरू निम्नलिखित छन्:

सुरक्षा मूल्याङ्कन : अनाधिकृत पहुँच, डाटा उल्लंघन, र अन्य साइबर आक्रमणबाट आउने खतराहरू विरुद्ध सुरक्षा गर्न संस्थाको सूचना सुरक्षा उपायहरूको प्रभावकारिताको मूल्याङ्कन ।

जोखिम व्यवस्थापन : संगठनको आईटी वातावरणसँग सम्बन्धित जोखिमहरूको मूल्याङ्कन गर्ने र जोखिम व्यवस्थापन रणनीतिहरूको प्रभावकारिताको मूल्याङ्कन गर्ने ।

अनुपालन : संस्थाले सूचना सुरक्षा र डेटा सुरक्षा सम्बन्धी सान्दर्भिक कानून, नियमहरू, र उद्योग मापदण्डहरूको पालना गर्दछ भनेर सुनिश्चित गर्ने ।

डाटा अखण्डता र उपलब्धता : डाटाको शुद्धता र विश्वसनीयता, साथै महत्वपूर्ण आईटी सेवाहरू र प्रणालीहरूको उपलब्धता जाँच गर्ने ।

आईटी गभर्नेन्स : संगठनको आईटी शासन संरचना, नीतिहरू, र प्रक्रियाहरूको समीक्षा गर्दै तिनीहरूले समग्र व्यापार उद्देश्यहरूलाई समर्थन गर्दछ र उत्कृष्ट अभ्यासहरूको पालना गर्दछन् ।

परिवर्तन व्यवस्थापन : आईटी प्रणालीहरूमा भएका परिवर्तनहरूलाई अवरोधहरू र सुरक्षा कमजोरीहरूको जोखिमलाई कम गर्न कसरी व्यवस्थित र नियन्त्रण गरिन्छ भनेर मूल्याङ्कन गर्ने ।

नेटवर्क र पूर्वाधार मूल्याङ्कन : कमजोरी र कमजोरीहरू पहिचान गर्न संगठनको सञ्जाल संरचना, हार्डवेयर, र सफ्टवेयरको जाँच गर्ने ।

घटना प्रतिक्रिया : आईटी सुरक्षा घटनाहरूको प्रतिक्रिया र पुन: प्राप्ति गर्न संगठनको तयारी र क्षमताहरूको मूल्याङ्कन गर्ने ।

आईटी अडिटहरू आफ्नै कर्मचारीहरूद्वारा वा बाह्य रूपमा आईटी लेखा परीक्षा फर्महरूद्वारा सञ्चालन गर्न सकिन्छ । आईटी अडिटको नतिजाहरूले संस्थालाई यसको आईटी नियन्त्रणहरू बलियो बनाउन, सुरक्षा उपायहरू बढाउन, र समग्र आईटी शासन सुधार गर्न मद्दत गर्न बहुमूल्य अन्तर्दृष्टि र सिफारिसहरू प्रदान गर्दछ । नियमित आईटी लेखा परीक्षणहरू विकसित टेक्नोलोजीमा अनुकूलन गर्न, उदीयमान खतराहरूलाई सम्बोधन गर्न, र बलियो र सुरक्षित आईटी वातावरण कायम राख्न महत्त्वपूर्ण छन् ।