आंतरिक नियंत्रण और लेखा परीक्षा
1) उद्देश्य और क्षेत्र
उद्देश्य: सुरक्षित और कानूनी रूप से व्यावसायिक लक्ष्यों की प्राप्ति सुनिश्चित करना, परिचालन, वित्तीय, अनुपालन और प्रतिष्ठित जोखिमों को कम करना।
कवरेज: सभी डोमेन में प्रक्रिया और आईटी नियंत्रण: भुगतान/कैसआउट, केवाईसी/एएमएल/प्रतिबंध, धोखाधड़ी रोधी, आरजी, विपणन/डेटा निर्यात, देवऑप्स/एसआरई, डीडब्ल्यूएच/बीआई, गोपनीयता/जीडीपीआर, टीआरएम।
2) संरक्षण सिद्धांत और मॉडल
रक्षा की तीन पंक्तियां: 1) प्रक्रिया के मालिक (संचालन/उत्पाद), 2) जोखिम/अनुपालन/सुरक्षा (कार्यप्रणाली, निगरानी), 3) स्वतंत्र आंतरिक ऑडिट।
जोखिम-आधारित: अवशिष्ट जोखिम की प्राथमिकता के अनुसार नियंत्रण बनाया जा
साक्ष्य-संचालित: प्रत्येक नियंत्रण में औसत दर्जे का मानदंड, डेटा स्रोत और उत्पादकता कलाकृतियां हैं।
स्वचालित-प्रथम: यदि संभव हो - स्वचालित और निरंतर नियंत्रण (CCM) मैनुअल के बजाय।
3) जोखिम मानचित्र उद्देश्य - नियंत्रण
1. जोखिम रजिस्टर: कारणों/घटनाओं/परिणामों (वित्त, खिलाड़ियों, लाइसेंस) की पहचान करें।
2. नियंत्रण उद्देश्य: क्या रोकने/पता लगाने/सही करने की आवश्यकता है (उदाहरण के लिए, "धन की अवैध निकासी", "पीआईआई तक अनधिकृत पहुंच")।
3. नियंत्रण गतिविधियाँ: लक्ष्य प्राप्त करने के लिए विशिष्ट नीतियों/प्रक्रियाओं
नियंत्रण के प्रकार:- निवारक: आरबीएसी/एबीएसी, एसओडी (4-आंखें), सीमा और स्कोरिंग, डेटा सत्यापन, वेबऑटन, एमटीएलएस।
- जासूस: SIEM/अलर्ट, सामंजस्य, SLA/SLO डैशबोर्ड, ऑडिट लॉग (WORM), विसंगति नियंत्रण।
- सुधारात्मक: ऑटो-लॉक, रिलीज़ रोलबैक, कुंजी रोटेशन, मैनुअल पार्सिंग और रिटर्न।
- क्षतिपूर्ति: यदि मुख्य नियंत्रण असंभव है - मजबूत करने के उपाय (अतिरिक्त निगरानी, दोहरे सत्
4) नियंत्रण पुस्तकालय
प्रत्येक परीक्षण के लिए निम्नलिखित रिकॉर्ड कि
आईडी/नाम, उद्देश्य, जोखिम, प्रकार, आवृत्ति, नियंत्रण स्वामी, कलाकार, निष्पादन विधि (मैनुअल/ऑटो/गाइड), साक्ष्य के स्रोत, केपीआई/केआरआई, नीतियों/प्रक्रियाओं के साथ संचार, आश्रित सिस।
राज्य: मसौदा → सक्रिय → निगरानी → सेवानिवृत्त। वर्शनिंग और लॉग बदलें।
अभिलेखों के उदाहरण (बढ़ेहुए):- 'CTRL-PAY-004' - 4-आंखें भुगतान के लिए अनुमोदित> X (निवारक, दैनिक, मालिक: भुगतान प्रमुख, साक्ष्य: अनुप्रयोग/लॉग, KPI: 100% कवरेज)।
- 'CTRL-DWH-012' - स्टोरफ्रंट में पीआईआई मास्किंग (निवारक, स्थायी, मालिक: डेटा के प्रमुख, साक्ष्य: परीक्षण अनुरोध, केपीआई: ≥95% नकाबपोश पढ़ ता है)।
- 'CTRL-SEC-021' - व्यवस्थापक कंसोल (निवारक) के लिए MFA; साक्ष्य: IdP रिपोर्ट; केपीआई: 100% गोद लेना)।
5) आरएसीआई और मालिक
6) योजना लेखा परीक्षा और परीक्षण
वार्षिक योजना जोखिम-उन्मुख (उच्च अवशिष्ट जोखिम, नियामक आवश्यकताओं, घटनाओं, नई प्रणालियों) का गठन किया गया है।
जाँच के प्रकार:- डिजाइन प्रभावशीलता (डीई): क्या नियंत्रण जोखिम को कम करने के लिए सही ढंग से डिज़ाइन किए गए हैं।
- ऑपरेटिंग दक्षता (OE) - चाहे वह स्थिर रूप से और किसी दी गई आवृत्ति पर काम करे।
- विषयगत/प्रक्रिया लेखा परीक्षा: एंड-टू-एंड डोमेन सत्यापन (उदा। KYC/AML या कैसआउट)।
- अनुवर्ती/सत्यापन - CAPA बंद होने की पुष्टि।
दृष्टिकोण: वॉकथ्रू (ट्रेसिंग), साक्षात्कार, कलाकृति/लॉग समीक्षा, एनालिटिक्स, प्रदर्शन (पुनरावृत्ति)।
7) साक्ष्य और नमूने
साक्ष्य के प्रकार: लॉग अपलोड (हस्ताक्षर/हैश), आईडीपी/एसएसओ रिपोर्ट, टिकट और अनुमोदन लॉग, कॉन्फ्रेंस, टाइमस्टैम्प के साथ स्क्रीनशॉट, स्टोरफ्रंट से xl/csv, पीएएम सत्र।
अखंडता: WORM प्रतियां, हैश चेन/हस्ताक्षर, 'ts _ utc' निर्दिष्ट करता है।
नमूना: सांख्यिकीय/निर्णय; आकार नियंत्रण और आत्मविश्वास स्तर की आवृत्ति पर निर्
मानदंड: पास/विफल; मैनुअल ऑपरेशन के लिए डी मिनिमिस थ्रेसहोल्ड की अनुमति है।
8) गैर-अनुरूपताओं का मूल्यांकन और वर्गीकरण
ग्रेडेशन: क्रिटिकल/हाई/मीडियम/लो।
मानदंड: प्रभाव (धन/पीआईआई/लाइसेंस), संभावना, अवधि, दोहराव, क्षतिपूर्ति नियंत्रण।
रिपोर्टिंग: कार्ड खोजें (जोखिम, विवरण, उदाहरण, मूल कारण, प्रभाव, आवश्यक कार्रवाई, समय, मालिक), ट्रैकिंग स्थिति।
9) CAPA और परिवर्तन प्रबंधन
सुधारात्मक और निवारक क्रियाएं: मूल कारण का उन्मूलन, न केवल लक्षण।
S.M.A.R.T.- उपाय: विशिष्ट, औसत दर्जे का, दिनांकित; जिम्मेदारी और मील के पत्थर।
परिवर्तन सलाहकार बोर्ड: उच्च जोखिम वाले परिवर्तन सीएबी पास करते हैं; नीतियों/प्रक्रियाओं/भूमिकाओं को अद्यतन करना।
प्रदर्शन सत्यापन: एन सप्ताह/महीने के बाद फिर से ऑडिट।
10) निरंतर निगरानी (सीसीएम) और एनालिटिक्स
CCM उम्मीदवार: उच्च-आवृत्ति और औपचारिक नियंत्रण - SoD संघर्ष, JIT मुद्दे, असामान्य निर्यात, MFA कवरेज, भुगतान सीमा, प्रतिबंध हिट।
उपकरण: SIEM/UEBA नियम, डेटा/BI डैशबोर्ड, सर्किट/मास्किंग वेलिडेटर, एक्सेस टेस्ट (पॉलिसी-ए-कोड)।
सिग्नल/अलर्ट: दहलीज/व्यवहार; SOAR टिकट; महत्वपूर्ण विचलन के लिए ऑटो-ब्लॉक।
लाभ: पता लगाने की गति, मैनुअल लोड में कमी, बेहतर उत्पादकता।
11) मेट्रिक्स (केपीआई/केआरआई)
केपीआई (निष्पादन):- महत्वपूर्ण प्रक्रियाओं के नियंत्रण से कवरेज ≥ 95
- मैनुअल कंट्रोल का ऑन-टाइम निष्पादन ≥ 98%
- CAPA समय पर बंद (उच्च/महत्वपूर्ण) ≥ 95%
- स्वचालित MoM ↑ नियंत्रण का हिस्सा
- SoD विकार = 0
- पीआईआई 'उद्देश्य' = 0 के बिना पहुँचता है
- लीक/घटनाओं ने ≤ 72 एच - 100% अधिसूचित किया
- परिचालन नियंत्रण की असफल दर <2% (प्रवृत्ति घट जाती है)
12) आवृत्ति और कैलेंडर
दैनिक/निरंतर: CCM, धोखाधड़ी विरोधी संकेत, भुगतान सीमा, मास्किंग।
साप्ताहिक: भुगतान/रजिस्टर, निर्यात नियंत्रण, चेतावनी विश्लेषण का सामंजस्य।
मासिक: एमएफए/एसएसओ रिपोर्ट, एक्सेस रजिस्टर, विक्रेता निगरानी, केआरआई रुझान।
त्रैमासिक: अधिकार पुन: प्रमाणीकरण, विषयगत समीक्षा, बीसीपी/डीआर तनाव परीक्षण।
वार्षिक: पूर्ण लेखा परीक्षा योजना और जोखिम मानचित्
13) मौजूदा नीतियों के साथ एकीकरण
आरबीएसी/एबीएसी/कम से कम विशेषाधिकार, अभिगम नीतियां और विभाजन - निवारक नियंत्रणों का एक स्रोत।
पासवर्ड नीति और एमएफए प्रशासन/महत्वपूर्ण संचालन के लिए अनिवार्य आवश्यकताएं हैं।
लेखा परीक्षा लॉग/लॉग पॉलिसी - जासूसी और स्पष्ट नियंत्रण।
टीपीआरएम और तृतीय पक्ष अनुबंध - बाहरी नियंत्रण: एसएलए, डीपीए/एससीसी, ऑडिट अधिकार।
14) चेकलिस्ट
14. 1 नया नियंत्रण डिजाइन
- उद्देश्य और संबंधित जोखिम वर्णित
- परिभाषित प्रकार (निवारक/जासूसी/सुधारात्मक)
- मालिक/कलाकार और आवृत्ति सौंपा
- डेटा स्रोत और साक्ष्य प्रारूप निर्दिष्ट
- बिल्ट-इन मेट्रिक्स (केपीआई/केआरआई) और अलर्ट
- नीतियों/प्रक्रियाओं के लिंक
- DE/OE परीक्षण योजना परिभाषित
14. 2 लेखा परीक्षा
- स्कोप और डीई/ओई मानदंड सहमत
- पुनर्प्राप्त कलाकृतियों और पहुँच की सूची
- नमूना सहमत और तय
- परिणाम और निष्कर्ष वर्गीकृत
- CAPAs, समय सीमा और मालिकों को मंजूरी
- हितधारकों को जारी और सूचित रिपोर्ट
14. 3 निगरानी और रिपोर्टिंग (मासिक)
- सभी महत्वपूर्ण नियंत्रणों के लिए केपीआई/केआरआई
- असफलता/गलत सकारात्मक रुझान
- CAPA और Delinquency स्थिति
- स्वचालन/जेएमए प्रस्ताव
15) विशिष्ट त्रुटियां और उनसे कैसे बचें
लक्ष्य/मीट्रिक के बिना नियंत्रण: औपचारिक उद्देश्य और केपीआई/केआरआई।
सबूत के बिना मैनुअल नियंत्रण: WORM में फॉर्म/स्क्रिप्ट और स्टोर कलाकृतियों को मानकीकृत करें।
अपवादों का बहिष्कार: एक समाप्ति तिथि और प्रतिपूरक उपायों के साथ अपवादों का एक रजिस्टर।
"ऑन पेपर" काम करता है - वास्तव में नहीं: नियमित ओई परीक्षण और सीसीएम।
CAPAs खोलें: मासिक जोखिम समिति पर स्वचालित वृद्धि और स्थिति।
16) कार्यान्वयन रोडमैप
सप्ताह 1-2: जोखिम मानचित्र को अपडेट करें, नियंत्रण की एक सूची संकलित करें, मालिकों को नियुक्त करें, सबूत टेम्पलेट को मंजूरी दें।
सप्ताह 3-4: केपीआई/केआरआई निगरानी शुरू करें, स्वचालन (सीसीएम) के लिए 5-10 नियंत्रणों का चयन करें, वार्षिक ऑडिट योजना को मंजूरी दें।
महीना 2: 1-2 विषयगत ऑडिट (उच्च जोखिम) आयोजित करें, SOAR अलर्ट लागू करें, बोर्ड रिपोर्टिंग स्थापित करें।
महीना 3 +: CCM का विस्तार करें, त्रैमासिक समीक्षा करें, मैनुअल नियंत्रण कम करें, DE/OE कवरेज और CAPA बंद होने की दर बढ़ाएं।
टीएल; डीआर
प्रभावी आंतरिक नियंत्रण = जोखिम कार्ड लक्ष्य - मालिक और सबूतों के साथ स्पष्ट गतिविधियां, साथ ही नियमित डीई/ओई परीक्षण, सीएपीए और सीसीएम स्वचालन। यह जोखिम प्रबंधन को औसत दर्जे का, ऑडिट पूर्वानुमानित और अनुपालन सिद्ध करने योग्य बनाता है।