RBI/2004/191
DBS.CO.OSMOS.BC/11/33.01.029/2003-04                                           

30 अप्रैल, 2004

1. बैंक अपने कम्प्यूटरीकरण के स्तर के अनुरूप एक आईएस लेखा परीक्षा नीति अपना सकते हैं (यदि पहले से नहीं अपनाई गई हो) और उद्योग की सर्वोत्तम प्रथाओं तथा आरबीआई द्वारा समय-समय पर जारी दिशानिर्देशों के अनुरूप नियमित अंतराल पर इसकी समीक्षा कर सकते हैं।
2. बैंक सभी अत्यंत महत्वपूर्ण शाखाओं (व्यवसाय की प्रकृति और मात्रा के संदर्भ में) को कवर करते हुए वार्षिक आधार पर आईएस लेखा परीक्षा आयोजित करने के लिए उचित प्रणाली और प्रथाओं को अपना सकते हैं।
3. इस तरह के लेखा परीक्षा को प्राथमिकता देते हुए सांविधिक लेखा परीक्षा से पहले किया जाना चाहिए ताकि आईएस लेखा परीक्षा रिपोर्ट सांविधिक लेखा परीक्षारों को जांच के लिए समय पर उपलब्ध हो और लेखा परीक्षा रिपोर्ट में टिप्पणियों, यदि कोई हो, को शामिल किया जा सके।
4. आईएस लेखा परीक्षा रिपोर्ट को शीर्ष प्रबंधन के समक्ष रखा जाना चाहिए और लेखा परीक्षा नीति में उल्लिखित समय सीमा के भीतर अनुपालन सुनिश्चित किया जाना चाहिए।

उपर्युक्त दिशानिर्देश चालू वित्तीय वर्ष के दौरान लागू किए जाएं। यह परिपत्र अगली बैठक में बैंक के बोर्ड के समक्ष रखा जाए। कृपया इस परिपत्र की प्राप्ति सूचना श्री पी. पार्थसारथी, महाप्रबंधक, भारतीय रिज़र्व बैंक, बैंकिंग पर्यवेक्षण विभाग, आईएस लेखा परीक्षा कक्ष, डब्ल्यूटीसी I, तीसरी मंजिल, कफ परेड, कोलाबा, मुंबई 400005 को दें।
भवदीय,

(एम. पलानीसामी)
मुख्य महाप्रबंधक

संलग्न: यथोक्त

अनुलग्नक

I कार्य समूह रिपोर्ट/दिशानिर्देश

1. जिलानी समिति की अनुशंसाएं (1995):  जिलानी कार्य समूह ने कमियों पर ध्यान केंद्रित करने और उपाय सुझाने के लिए बैंकों में आंतरिक नियंत्रण और निरीक्षण/लेखा परीक्षा प्रणालियों की समीक्षा की। तदनुसार, कार्य समूह ने जोखिमों से निपटने के लिए विभिन्न नियंत्रण उपाय सुझाए, जिसमें ईडीपी लेखा परीक्षा की एक विशेष प्रणाली की आवश्यकता और ईडीपी प्रणाली को निरीक्षण और लेखा परीक्षा विभाग के नियंत्रण और अधीक्षण के तहत लाना शामिल है (विशिष्ट सिफारिशें - अध्याय XII - संख्या 52 से 62)।
2. बैंकिंग क्षेत्र में प्रौद्योगिकी उन्नयन पर समिति की रिपोर्ट (1999): प्रौद्योगिकी की आउटसोर्सिंग और उन्नयन पर विभिन्न मुद्दों की जांच करते हुए, समिति ने सीपीपीडी/आईटी विभाग के लेखा परीक्षा के प्रबंधन और पूरी तरह से कम्प्यूटरीकृत शाखाओं की आउटसोर्सिंग लेखा परीक्षण के लिए इन-हाउस क्षमताओं के विकास की अनुशंसा की (पैराग्राफ 4.5.13 और 4.5.14)।
3. इंटरनेट बैंकिंग पर रिपोर्ट (2001):  विनियामकीय और पर्यवेक्षी परिप्रेक्ष्य से इंटरनेट बैंकिंग के विभिन्न पहलुओं की जांच करने और भारत में अपनाने के लिए उचित मानकों की अनुशंसा करने हेतु कार्य समूह की स्थापना की गई थी। रिपोर्ट में इंटरनेट बैंकिंग में कई महत्वपूर्ण सुरक्षा नीति मुद्दों पर प्रकाश डाला गया (धारा 9.3 के तहत विभिन्न पैराग्राफ)।
4. बैंकिंग और वित्तीय क्षेत्र के लिए सूचना प्रणाली सुरक्षा के लिए कार्य समूह (2001):  बैंकिंग और वित्तीय क्षेत्र के लिए आईएस लेखा परीक्षा और आईएस सुरक्षा दिशानिर्देशों के मानकों और प्रक्रियाओं पर चर्चा करने और उन्हें अंतिम रूप देने के लिए कार्य समूह का गठन किया गया था। आईएस लेखा परीक्षा और आईएस सुरक्षा मुद्दों की एक विस्तृत श्रृंखला पर मानकों और प्रक्रियाओं को अपनाने के लिए यह रिपोर्ट एक बुनियादी दस्तावेज के रूप में कार्य करती है।
5. कंप्यूटर लेखा परीक्षा पर समिति की रिपोर्ट (2002): बीएफएस के आदेश पर, एक मानकीकृत जाँच सूची संकलित करने के लिए आरबीआई, आईसीएआई और कुछ बैंकों के प्रतिनिधियों की एक समिति का गठन किया गया था ताकि सभी बैंक यह सुनिश्चित कर सकें कि उनकी कम्प्यूटरीकृत शाखाएं अपेक्षित नियंत्रण लागू करती हैं और शाखा लेखा परीक्षक भी इसे सत्यापित करते हैं और तदनुसार रिपोर्ट करते हैं। जाँच सूची में प्रासंगिक जोखिम क्षेत्र शामिल थे और बैंकों और वित्तीय संस्थानों को चेक सूची को सामान्य दिशानिर्देशों के रूप में अपनाना था।
6. बैंकों की कम्प्यूटरीकृत शाखाओं के लिए आईबीए का सुरक्षात्मक सतर्कता मैनुअल (2002): इस मैनुअल में अन्य बातों के साथ-साथ, आंतरिक नियंत्रण और सुरक्षा, सूचना सुरक्षा और आईएस लेखा परीक्षा, स्व-समीक्षा और अनुपालन के लिए जांच सूची, आईटी प्रबंधन, आईटी नीतियां और कानून को व्यापक रूप से शामिल किया गया है।

II भारतीय रिज़र्व बैंक द्वारा जारी अनुदेश:

1. DOS.No.PP.BC.20/16.03.026/96-97, 1 नवंबर, 1996: जिलानी समिति की अनुशंसाओं पर कार्य करने के लिए बैंकों को निर्देश जारी किए गए, जिन्हें तीन भागों में विभाजित किया गया। 25 अनुशंसाओं के एक सेट को बैंकों द्वारा आवश्यक रूप से लागू किया जाना था जबकि 79 अनुशंसाओं के दूसरे सेट को यथासंभव लागू किया जाना था। इन अनुशंसाओं में ईडीपी लेखा परीक्षा को शामिल किया गया और ईडीपी गतिविधियों के पूरे डोमेन को निरीक्षण और लेखा परीक्षा विभाग की जांच के तहत लाया गया।
2. "कंप्यूटर और दूरसंचार प्रणालियों में जोखिम और नियंत्रण" पर दिशानिर्देश (फरवरी 1998): दिशानिर्देश नोट में जोखिम प्रबंधन में विभिन्न जोखिमों और निर्धारित नियंत्रण उपायों की रूपरेखा दी गई थी और बैंकों को नियंत्रण प्रक्रियाओं को डिजाइन करते समय परिचालन वातावरण की प्रकृति, पैमाने और जटिलता को ध्यान में रखना था। नियंत्रण प्रणाली तैयार करते समय, आरबीआई निरीक्षण/पर्यवेक्षी प्रणाली/आंतरिक/बाह्य लेखा परीक्षकों की अतिरिक्त आवश्यकताओं पर विचार किया जाना था।
3. रिकॉर्ड के रखरखाव पर दिशानिर्देश (फरवरी 1998 और जुलाई 2002): रिकॉर्ड रखरखाव पर मार्गदर्शन नोट के माध्यम से रिकॉर्ड के रखरखाव में न्यूनतम स्तर के मानदंड निर्धारित किए, जिसे सूचना और संचार प्रौद्योगिकी से संबंधित कानूनी पहलुओं और परिचालन जोखिमों में बदलाव के कारण मई 2002 में व्यापक रूप से संशोधित किया गया था। बैंकों को रिकॉर्ड रखरखाव नीति में बदलावों का अनुपालन करने की सलाह दी गई थी जिसमें इलेक्ट्रॉनिक मीडिया रखरखाव नीति शामिल थी और आईएस लेखा परीक्षा में उक्त नीति की समीक्षा शामिल होनी चाहिए।
4. DOS.No.CO.PP.BC. 55/11.01.005/98-99 दिनांक 19 जून, 1999: बैंकों को निरीक्षण और लेखा परीक्षा विभाग के भीतर ईडीपी लेखा परीक्षा सेल बनाने और स्थापित करने की सूचना दी गई थी।
5. DBS.CO.PP.BC.11/11.01.005/2001-2002, 17 अप्रैल, 2002, विस्तृत लेखा परीक्षा रिपोर्ट (एलएफएआर) - संशोधन: केंद्रीय वैधानिक लेखा परीक्षकों द्वारा दायर की गई विस्तृत लेखा परीक्षा रिपोर्ट में स्वचालन और कम्प्यूटरीकरण पहलू (पैराग्राफ III-V), ईडीपी लेखा परीक्षा, आंतरिक नियंत्रण और प्रक्रियाएं आदि तथा सिस्टम और नियंत्रण (पैराग्राफ III - VII) शामिल हैं।
6. DBS.CO.PP.BC. 10/11.01.005/2002-03, 27 दिसंबर 2002 जोखिम आधारित आंतरिक लेखा परीक्षा पर : जोखिम आधारित आंतरिक लेखा परीक्षा पर करने की अवधारणाओं और तौर-तरीकों का प्रसार करते हुए, बैंकों को यह आदेश दिया गया कि वे जोखिम-आधारित आंतरिक लेखा परीक्षा प्रणाली के एक भाग के रूप में आईएस लेखा परीक्षा लागू करें।