BCom 3rd Year Information System Audit Study Material notes in Hindi
Table of Contents
BCom 3rd Year Information System Audit Study Material notes in Hindi: Information Audit Tolls and Techniques Information System Audit Risk-Based Information System Audit The IS Audit Process Traditional Audit & Information System Audit Primary Changes Audit in internet Environment Computer Based Information System Long Answer Question Information System Audit Answer Short Answer Multiple Choice Questions:
BCom 3rd Year Internet Basic Concepts Study Material notes in hindi
सूचना प्रणाली लेवा परीक्षा
[INFORMATION SYSTEM AUDIT
कम्प्यूटर सूचना प्रणालियाँ बहुत से विभिन्न उद्देश्यों की पूर्ति करती हैं। इसमें व्यावसायिक लेन-देन से लेकर पुनः घटित मामलों का निर्णय करने के लिए आवश्यक सूचना, वरिष्ठ अधिकारियों को कठिन योजना प्रतिपादित करने में सहायता करना एवं कार्यालयीय सूचना एवं कॉरपोरेट डेटा को सम्बद्ध करना शामिल है। लेकिन ऐसी जटिल सूचना प्रणालियाँ अस्तित्व में आती हैं, निस्संदेह लोगों द्वारा। तकनीक का विकास तेजी से हुआ है लेकिन किसी प्रणाली का सबसे महत्वपूर्ण पक्ष मानव-जानकारी एवं विचारों को कम्प्यूटर परिचालन में प्रयोग करना है। ताकि वांछित कार्य निष्पादित कर सके। उपयोगी होने के लिए, कम्प्यूटर आधारित सूचना प्रणाली को उचित रूप से कार्य करना चाहिए, प्रयोग में सरल और उस संगठन के लिए उपयुक्त होना चाहिए जिसके लिए इसे डिजायन किया गया है। यदि प्रणाली लोगों को ज्यादा कुशलता से कार्य करने में मदद करती है तो वे इसका प्रयोग करेंगे। यदि ऐसा नहीं होता तो वे निश्चित ही इसका उपयोग करने से बचेंगे।
सूचना (Information)
सूचना या जानकारी वह डेटा है जो अर्थपूर्ण उपयोगी ढंग से रखी गई है। डेविस तथा ओल्सन ने इस प्रकार परिभाषित किया है-“सूचना ऐसा डेटा है जिसको इस प्रकार प्रोसेस किया जाता है कि वह प्राप्तकर्ता के लिए उपयोगी सिद्ध हो और तात्कालिक निर्णय लेने में उसकी कोई भूमिका हो।” उदाहरणार्थ, विभिन्न विक्रय प्रतिनिधियों ने बिक्री से सम्बन्धित जो आंकड़े दिए हैं, उनसे बिक्री विभाग को एक साथ एकत्र करके कुल बिक्री ज्ञात कर सकता है। यह जानकारी मार्केटिंग मैनेजर के लिए बेहद उपयोगी हो सकती है, जिस पर भविष्य में बिक्री की । प्लानिंग बनाने का भार होता है।
__’डेटा’ और ‘सूचना या जानकारी’ का एक ही अर्थ है और ये शब्द अदल-बदल कर प्रयोग किए जाते हैं। वैसे डेटा और जानकारी में वही सम्बन्ध है, जो कच्चे माल और तैयार उत्पाद में होता है। डेटा प्रोसेसिंग सिस्टम उस जानकारी को प्रोसेस करता है, जिसके आधार पर व्यापारिक निर्णय लिए जाते हैं। अत: कह सकते हैं कि जैसा जानकारी का स्तर होगा, उसी स्तर के होंगे व्यापारिक निर्णय। इसलिए, किसी भी व्यवसाय के बने रहने में सूचनाओं और जानकारी का बड़ा हाथ होता है।
सूचना के प्रकार (Types of Information)-सूचना को किसी व्यापारिक संस्थान के लिए मोटे तौर पर दो भागों में बाँटा जा सकता है-आन्तरिक सूचना और बाहरी सूचना।
आन्तरिक सूचना (Internal Information)-विभिन्न कार्यकारी क्षेत्रों से संगठन के भीतर एकत्र की गई सूचना को आन्तरिक सूचना कहते हैं। इस प्रकार की सूचना को संगठन के अन्दर घनिष्ठ से उच्च स्तरीय प्रबन्धन द्वारा प्रोसेस करके बनाया जाता है। आन्तरिक सूचना का सम्बन्ध सदैव संगठन के भीतरी क्रियाकलापों। से होता है। उत्पादन के आंकड़े, बिक्री के आंकड़े, कर्मियों के सम्बन्ध में जानकारी, लेखा और माल इत्यादि। आन्तरिक सूचना के कुछ उदाहरण हैं।
बाहरी सूचना (External Information)-किसी व्यावसायिक संस्थान के वातावरण से बाहर के स्रोतों से जुटाई गई सूचना को बाहरी सूचना कहते हैं। यह संस्थान की कार्यक्षमता को बाहरी रूप से प्रभावित करती है।
उदाहरणार्थ, सरकारी नीतियाँ, प्रतियोगिता, आर्थिक स्तर इत्यादि बाहरी सूचनाओं की श्रेणी में आते हैं। आन्तरिक व बाहरी सूचनाओं तक प्रबन्धन की विभिन्न स्तरों से पहुँचता है।
सिस्टम की परिभाषा (Definition of a System)
व्यवस्था आपस में जुड़े छोटे-छोटे हिस्सों का सम्मिश्रण है जिसके द्वारा सामूहिक कार्य अथवा उद्देश्य को पूर्ण किया जाता है। उदाहरणार्थ, हमारा शरीर भी एक सिस्टम है जिसमें कई हिस्से जैसे कि सिर, दिल, हाथ, पैर इत्यादि सम्मिलित हैं। शरीर के सभी हिस्से नाड़ियों व शिराओं के जाल द्वारा जुड़े रहते हैं। इस सिस्टम का उद्देश्य हमें प्राणवान बनाए रखना है। अत: किसी वस्तु के अलग-अलग हिस्से, इन हिस्सों के आपस में जुड़ने की प्रक्रिया व उनके उद्देश्यों की पूर्ति करने का नाम सिस्टम है। व्यापार भी एक सिस्टम है जिसमें विभिन्न आर्थिक संसाधन, जैसे कि लोग, पैसा, वस्तुएँ, मशीन इत्यादि, संस्थान की विभिन्न प्रक्रियाओं (जैसे कि उत्पादन, विपणन, वित्त आदि) द्वारा माल व सेवाओं में परिवर्तित होते हैं। कम्प्यूटर पर आधारित सूचना सिस्टम भी ऐसा ही है जिसमें लोग, हार्डवेयर, सॉफ्टवेयर, डेटा व अन्य पद्धतियाँ परस्पर क्रिया करके ठीक समय पर प्राधिकृत व्यक्तियों को सूचना प्रदान करती है।
लेखा परीक्षा उपकरण और तकनीक (Audit Tools and Techniques)
सबसे अच्छा लेखा परीक्षा उपकरण और तकनीक एक आपदा के एक आवधिक अनुकार है। अन्य लेखा परीक्षा तकनीक टिप्पणियों, साक्षात्कार, परीक्षण सूची, पूछताछ, बैठकों, प्रश्नावली और प्रलेखन समीक्षा शामिल होंगे। इन उपकरणों और तरीकों को नीचे के रूप में वर्गीकृत किया जा सकता है
- स्वचालित उपकरण-स्वचालित उपकरण एक किस्म की एक कम समय अवधि में खामियों के लिए बडी कम्प्युटर प्रणालियों की समीक्षा करने के लिए सम्भव बनाते हैं। वे कमजोर पहँच नियन्त्रण जैसे खतरों और कमजोरियों, कमजोर पासवर्ड, सिस्टम सॉफ्टवेयर की अखण्डता की कमी आदि खोजने के लिए इस्तेमाल किया जा सकता है।
- आन्तरिक नियन्त्रण अंकेक्षण-इसमें जाँच, अवलोकन और परीक्षण शामिल हैं यह प्रक्रिया को वैध रूप से कार्य कराता है, जिससे त्रुटियों, अनियमितताओं, या कानूनों और विनियमों के अनुपालन की कमी का पता लगा सकते हैं।
- आपदा और सुरक्षा परीक्षण सूची-इसे परीक्षण सूची का इस्तेमाल प्रणाली के खिलाफ लेखा परीक्षित के लिए किया जा सकता है, कर सकते हैं। परीक्षण का आपदा सधार की नीतियों और प्रथाओं, जो आधारभूत फॉर्म पर आधारित होना चाहिए। जाँच सची के आकस्मिक बिन्दु से प्रणाली में परिवर्तन की पष्टि करने के लिए इस्तेमाल किया जा सकता है। प्रवेश परीक्षण-प्रवेश परीक्षण करने के लिए कमजोरियों का पता लगाने में इस्तेमाल किया जा सकता है।
- सूचना प्रणाली लेखा परीक्षा (Information Systems Audit) सूचना प्रणाली लेखा परीक्षा ऑडिट सूचना प्रणाली लेखा परीक्षा सिस्टम को सुरक्षित और प्रभावी बनाकर सुनिश्चित करने में एक महत्वपर्ण भूमिका निभाते हैं।
- सूचना प्रौद्योगिकी (आईटी) लोक प्रशासन के भीतर एक अभिन्न अंग बन गया है। कई प्रशासनिक प्रक्रियाओं में इसके महत्व के कारण आजकल, आईटी अवसंरचना और उसके आवेदन के रूप में अच्छी तरह से ऑडिट का हिस्सा बन गए हैं। ऑडिट गतिविधियाँ सूचना प्रौद्योगिकी के एक संगठन के शासन में अपनी रणनीतियों और उद्देश्यों का समर्थन करती हैं कि क्या आकलन करना चाहिए। इसलिए, लेखा परीक्षकों को अपने नियत कार्य प्रदर्शन करने के लिए महत्वपूर्ण सूचना प्रौद्योगिकी जोखिम और नियन्त्रण के साथ ही उपलब्ध आईटी। लेखा परीक्षा तकनीक के बारे में विशेष ज्ञान होना आवश्यक है। _
आईटी विषयों को नियमित लेखा परीक्षा की प्रक्रिया में एकीकृत या संयुक्त ऑडिट ही किया जा सकता है। सूचना प्रौद्योगिकी लेखा परीक्षा की प्राथमिक जिम्मेदारी नहीं है लेकिन, ज्यादातर लेखा परीक्षकों को इस क्षेत्र में पूरी तरह से विशेषज्ञता की कमी है। हालांकि, एक पेशेवर लेखा परीक्षक के रूप में, लेखा परीक्षा की रणनीति में आईटी विषयों को एकीकृत करने के लिए सक्षम होने व जोखिम के बारे में ज्ञान प्राप्त करने की आवश्यकता है। आउटसोर्स आईटी पर्यावरण लेखा परीक्षा करने की आवश्यकता होती है। यह कार्य विशेष रूप से चुनौतीपूर्ण होता है।
आईएस लेखा परीक्षण की श्रेणियाँ (Categories of IS Audits)
सूचना लेखा परीक्षण की श्रेणियाँ (Categories of IS Audits)-सूचना लेखा परीक्षण को पाँच प्रकार की श्रेणियों में बाँटा गया है
(1) सिस्टम और अनुप्रयोग (Systems and Applications)-लेखा परीक्षण करने के लिए सत्यापित प्रणाली और अनुप्रयोग कुशल और पर्याप्त रूप से नियन्त्रित करने के लिए सुनिश्चित वैध, विश्वसनीय, समय पर, और सुरक्षित इनपुट, प्रसंस्करण, और आउपुट सभी स्तरों पर प्रणाली गतिविधि का प्रयोग किया जाता है।
(2) सूचना प्रसंस्करण सुविधाएँ (Information Processing Facilities)-लेखा परीक्षण को सत्यापित किया जाता है प्रसंस्करण सुविधा के लिए सामान्य और संभावित विघटनकारी शर्तों के तहत अनुप्रयोगों की समय पर, सही और कुशल प्रसंस्करण सुनिश्चित करने के लिए नियन्त्रित किया जाता है।
(3) प्रणाली विकास (System Development)-लेखा परीक्षक सत्यापित करने के लिए विकास के तहत प्रणाली संगठन के उद्देश्यों को पूरा करना और यह सुनिश्चित होता है कि प्रणालियों के विकास के लिए । आम तौर पर मानक प्रणाली के विकास के अनुसार स्वीकार किए जाते हैं।
(4) आईटी और उद्यम वास्तकला प्रबन्धन (Management of IT and Enterprise Architecture)-लेखा परीक्षण को सत्यापित करने के बाद आईटी प्रबन्धन एक संगठनात्मक ढाँचे और प्रक्रियाओं के लिए सूचना संसाधन के लिए एक नियन्त्रित और कुशल वातावरण सुनिश्चित विकसित की जाती है।
(5) दूरसंचार, इंट्रानेट और एक्सट्रानेट (Telecommunications, Intranets and Extranets)- नियन्त्रण की पुष्टि के लिए लेखा परीक्षण (कम्प्यूटर प्राप्त सेवाओं) ग्राहक, सर्वर, ग्राहक और सर्वर को जोड़ने के लिए नेटवर्क का प्रयोग किया जाता है।
सूचना प्रणाली लेखा परीक्षा कार्यप्रणाली
सूचना प्रणाली लेखा परीक्षा को मानकों और दिशा निर्देशों के अनुसार विकसित किया गया है। एक लेखा परीक्षा सम्पत्ति की सूचना के लिए प्रासंगिक है जो कि जोखिम का निर्धारण करने पर ध्यान देते हैं और इन जोखिमों को कम करने में नियन्त्रण करते हैं। आईएस लेखा परीक्षक सामान्य नियन्त्रण की समीक्षा या विशिष्ट नियन्त्रण की समीक्षा का रूप में ले लेता है।
लेखा परीक्षा योजना
कार्यक्षेत्र पर ध्यान केन्द्रित करके लेखा परीक्षक सुरक्षा क्षमता के साथ ही साथ लेखा कार्यक्रम तैयार करता है। आईएस लेखा परीक्षक एक ऐसा तन्त्र स्थापित करता है जिससे ग्राहक, मुद्दों, आवश्यक कौशल और रिपोर्टिंग बाधाओं को संभालने के लिए संसाधनों, लेखा परीक्षा पर्यावरण, स्वचालित उपकरणों और लागत की सीमा का आकलन किया जा सकता है।
लेखा परीक्षक लेखा परीक्षा की योजना के सम्बन्ध में इस प्रकार के निम्न प्रबन्धन के कार्यों का निर्धारण करता हैं।
- जिम्मेदारी (Responsibility)
- प्राधिकरण (Authority)
- जवाबदेही (Accountability)
जोखिम मूल्यांकन और बिजनेस प्रोसेस विश्लेषण
लेखा परीक्षक प्रायः व्यापार के जोखिम का अनुवादक होता है जो आन्तरिक नियन्त्रण की लागत व लाभ के विश्लेषण को निर्धारित करने के लिए उपयोग किया जाता है। लेखा परीक्षा प्रक्रिया की प्रकृति, समय और सीमा, संसाधनों की मात्रा निर्धारित करने के लिए निम्न अवश्यकता होती है
- वित्तीय घाटों का जोखिम (Risk of Financial Loss)
- नमूना आधार मूल्यांकन (Sample base Evaluation)
- व्यक्तिगत कुंजी में परिवर्तन (Change in Key Personal)
- ऑपरेशन की जटिलता (Complexity of Operations)
- आन्तरिक नियन्त्रण की गुणवत्ता (Quality of Internal Control)
- पिछले ऑडिट का समय (Time Since last Audit)
- तेजी से विकास और प्रौद्योगिकी (Rapid Growth And Technology)
जोखिम आधारित सूचना प्रणाली लेखा परीक्षा
(RISK BASED INFORMATION SYSTEM AUDIT)
प्रायः लेखा परीक्षक कम्प्यूटर सहायता लेखा परीक्षा तकनीक (कम्प्यूटरीकृत लेखा परीक्षा तकनीक) का उपयोग करता है। सूचना प्रणालियों के क्षेत्र में सीएएटी का उपयोग आम तौर पर लेखा परीक्षा है जो इकाई की जटिलता और स्वचालन स्तर से फैसला करता है।
लेखा परीक्षा कार्य का प्रदर्शन
लेखा परीक्षा योजना का गठन और जोखिम मूल्यांकन के बाद लेखा परीक्षा कार्य को किया जाता है जिसमा लेखा परीक्षा प्रक्रिया, पर्याप्त और विश्वसनीय सबूतों का मूल्यांकन और लेखा परीक्षा के कार्य को शामिल किया जाता है।
रिपोर्टिग
कार्य के क्षेत्र को ध्यान में रखते हुए ऑडिट परीक्षण करते समय ऑडिट योजना, अवधि, तथ्यों को विचार करते हुए, लेखा परीक्षक को सभी निष्कर्षों, सिफारिशों, योग्यता और सीमा को अपनी रिपोर्ट में देना होता है। जो किसी संस्था के सूचना प्रणाली के लिए प्रभावशाली व निर्णायक होते हैं।
सूचना प्रणाली
लेखा परीक्षा प्रक्रिया (The IS Audit Process)
एक आईएस वातावरण के लेखापरीक्षण में प्रणाली का मूल्यांकन, अभ्यास, और संचालन में निम्न में से। एक या दोनों शामिल हो सकते हैं
- आन्तरिक नियन्त्रण के भीतर मूल्यांकन आईएस वातावरण वैधता, विश्वसनीयता और सुरक्षा सूचना को आश्वस्त करने के लिए है।
- आईएस वातावरण में क्षमता और प्रभावशीलता का मूल्यांकन आर्थिक मामले में है।
आईएस लेखा परीक्षण प्रक्रिया दोनों विशिष्ट कम्प्यूटर प्रोग्राम और डेटा प्रसंस्करण पर्यावरण के सम्बन्ध में आन्तरिक नियन्त्रण की पर्याप्तता का मूल्यांकन करने के लिए होता है। इसमें प्रभावशीलता और दक्षता का मूल्यांकन भी शामिल है। लेखा परीक्षण की प्रक्रिया का ध्यान केन्द्रित (गुंजाइश और उद्देश्य) न केवल सुरक्षा जिसकी तुलना गोपनीयता, अखण्डता और उपलब्धता है, बल्कि प्रभावशीलता (परिणाम उन्मुखीकरण दक्षता (संसाधनों का इष्टतम उपयोग) पर है। __
आईएस लेखा परीक्षक की जिम्मेदारी (Responsibility of IS Auditor)-लेखापरीक्षा उद्देश्य और गुंजाइश कौशल एवं क्षमता की आवश्कताओं का महत्वपूर्ण असर आईएस लेखापरीक्षक पर है। कौशल जो आम तौर पर लेखापरीक्षक की उम्मीद में शामिल है
- व्यवसाय संचालन, अभ्यास और अनुपालन आवश्यकताओं की गहरी जानकारी,
- अपेक्षित व्यावसायिक तकनीकी योग्यता और प्रमाणपत्र होना चाहिए,
- सूचना जोखिम और नियन्त्रण के लिए एक अच्छी समझ,
- आईटी व्यूहरचनाओं, नीतियों, और प्रक्रिया के नियन्त्रण का ज्ञान,
- व्यापार सम्बन्धित तकनीकी और मैनुअल नियन्त्रण को निरन्तरता से समझने की क्षमता,
- व्यावसायिक मानक का अच्छा ज्ञान और आईटी नियन्त्रण के सर्वश्रेष्ठ अभ्यास और सुरक्षा। इसलिए गुंजाइश और उद्देश्यों को परिभाषित करने के लिए लेखापरीक्षण के लिए सबूत इकट्ठा करने और मूल्यांकन करने के लिए सूचना मॉडल के विकास के लिए मानकों एवं मानक अनुकूलन द्वारा लेखापरीक्षण की प्रक्रिया शुरू होती है।
आईएस लेखा परीक्षक के कार्य (Function of IS Auditor)-आईटी लेखापरीक्षक अक्सर व्यापार जोखिम के अनुवादक के रूप में आईटी के उपयोग से सम्बन्धित प्रबन्धन के लिए होता है। तकनीकी अच्छी तरह से जाँच करने के लिए पर्याप्त जोखिम (प्रौद्योगिकी प्रबन्धन जरूरी नहीं) को समझने और एक मजबूत मूल्यांकन और वर्तमान जोखिम उन्मुख प्रबन्धन के लिए सलाह का मूल्यांकन कर सकते हैं।
आईटी लेखापरीक्षक, आईटी प्रणाली और प्रक्रिया से सम्बन्धित जोखिम की समीक्षा करता है, उनमें कुछ निम्न हैं
(1) अपर्याप्त सूचना सुरक्षा (उदाहरण, लापता या एंटीवायरस नियन्त्रण के खत्म हो चके समय, खुले कम्प्यूटर बन्दरगाहों, पासवर्ड के बिना खुली प्रणाली या कमजोर पासवर्ड आदि)।
(2) कॉर्पोरेट संसाधनों या लचर शासन के अकुशल प्रयोग (जैसे अनावश्यक आईटी मद्रण संसाधन पर । भारी खर्च, भंडारण उपकरणों, उच्च शक्ति सर्वर और वर्कस्टेशन आदि)।
(3) अप्रभावी आईटी व्यूहरचनाएँ, नीतियाँ और अभ्यास (नीतियों की कमी सचना के उपयोग के लिए आर। संचार प्रौद्योगिकी (आईसीटी) संसाधन सहित इंटरनेट के उपयोग की नीतियों, सुरक्षा अभ्यासों आदि)।
(4) आईटी से सम्बन्धित धोखाधड़ी (सहित फिशिंग, हैकिंग आदि)।
सूचना प्रणाली लेखा परीक्षण का प्रयोजन (Scope of IS Audit)-सूचना प्रणाली लेखा परीक्षण के प्रयोजन में आन्तरिक नियन्त्रण की प्रणाली की उपयुक्तता और प्रभावकारिता के परीक्षण और मूल्यांकन के साथ सूचना प्रणाली के प्रदर्शन की गुणवत्ता को भी शामिल किया जाना चाहिए। सूचना प्रणाली लेखा परीक्षण नियोजन, सुनियोजन, निर्देशन की प्रक्रिया की जाँच और मूल्यांकन यह निर्धारित करने के लिए करती है कि क्या उद्देश्यों और लक्ष्यों को प्राप्त करने के लिए उचित आश्वासन मौजूद है। इस प्रकार के मूल्यांकनों में, समुचित तौर पर आन्तरिक नियन्त्रण की सम्पूर्ण प्रणाली के मूल्य का निरूपण करने के लिए सूचनाएँ उपलब्ध करवाई जाती है।
लेखा परीक्षण के प्रयोजन में सूचना और सूचना प्रणाली के लिए प्रयोग और सुरक्षा के लिए आन्तरिक नियन्त्रण प्रणालियों को भी निम्न के अन्तर्गत शामिल किया जाता है
- 1 निर्दिष्ट सामग्री
- 2. संप्रयोग प्रणाली
- 3. तकनीकी
- 4. सुविधाएँ
- 5. लोग
सूचना प्रणाली का लेखा परीक्षक इस पर विचार करता है कि क्या उपरोक्त समीक्षा से प्राप्त की गई सूचनाएँ उचित क्षेत्रों को सम्मिलित करने की ओर सांकेतिक हैं। सूचना प्रणाली लेखा परीक्षक अन्यों के साथ निम्न की जाँच करता है
- 1 सूचना प्रणाली क्रियाओं के लिए सूचना प्रणाली मिशन विवरण और स्वीकृत लक्ष्य व उद्देश्य।
- 2 सूचना प्रणाली के प्रयोग से सम्बन्धित जोखिमों का मूल्यांकन और उन जोखिमों को नियन्त्रित करने की पद्धति।
- 3. व्यूह रचना को कार्यान्वित करने के लिए सूचना प्रणाली व्यूह रचना योजना और उन योजनाओं के सम्मुख हुए विकास की निगरानी।
- 4. सूचना प्रणाली बजट और असहमतियों की निगरानी।
- 5. सूचना प्रणाली के प्रयोग के लिए उच्च स्तर की नीतियाँ और इन नीतियों के साथ अनुरूपता की सुरक्षा व निगरानी।
- 6. प्रमुख संविदा अनुमोदन और पूर्तिकर्ताओं के प्रदर्शन पर निगरानी।
- 7. सेवा स्तर की संविदाओं के सम्मुख प्रदर्शन की निगरानी। प्रमुख प्रणालियों का अधिग्रहण और कार्यान्वयन पर निर्णय।
- 8. सूचना प्रणालियों पर बाहरी प्रभावों का प्रभाव जैसे इंटरनेट, पूर्तिकर्ताओं का विलयन अथवा तरलता।
- 9. स्वतः निर्धारण रिपोर्ट, आन्तरिक और बाहरी लेखा परीक्षण की रिपोर्ट, गुणवत्ता गारण्टी की रिपोर्ट,
- 10. सूचना प्रणाली पर अन्य रिपोर्ट का नियन्त्रण।
- 11. व्यवसाय की निरन्तरता की योजना, उसका परीक्षण और परीक्षण का परिणाम।
- 12. कानूनी और नियामक आवश्यकताओं के साथ अनुवृत्ति।
- 13. वरिष्ठ सूचना प्रणाली के कर्मचारियों जिसमें आन्तरिक सूचना प्रणाली लेखा परीक्षण प्रबन्धन आर।
व्यवसाय प्रक्रिया के स्वामी शामिल हैं, के लिए नियक्ति प्रदर्शन पर निगरानी और सफलता का। योजना।
सचना प्रणाली लेखा परीक्षण की रिपोर्ट (IS Audit Reports)
व्यापार तौर पर लेखा परीक्षण की रिपोर्ट में निम्न वर्गों को शामिल किया जाता है-शीर्षक पष्ठ, विषय-वस्तु का सार (जिसमें सिफारिश भी सम्मिलित है), परिचय, निष्कर्ष और परिशिष्ट। एक लेखा परीक्षण के इन अवयवों पर आगे चर्चा की गई है
आवरण और शीर्षक का पृष्ठ-लेखा परीक्षण की रिपोर्ट को शीर्षकों का प्रदर्शन करने वाली विडी क. साथ मानकीकृत आवरण का प्रयोग करना चाहिए। सूचना प्रणाली लेखा परीक्षण’ अथवा ‘निदिष्ट सामग्रियो का। लेखा परीक्षण’, विभाग का नाम और रिपोर्ट को जारी करने की तिथि (माह और वर्ष)। इन विषयों काप्रत्येक पृष्ठ के नीचे बार-बार उल्लेख किया गया हो। शीर्षक पृष्ठ पर भी लेखा परीक्षण की टीम के सदस्यों के नाम को लिखा जा सकता है।
विषय वस्तु की तालिका-तालिका को पृष्ठ संख्या के साथ वर्गों व उपवर्गों से सूचीबद्ध किया जाता है जिसमें सार और सिफारिशें, परिचय, निष्कर्ष (लेखा परीक्षण के क्षेत्र से) और परिशिष्ट (जैसे आवश्यकता हो)।
सार/विशेष सार-लेखा परीक्षण के समय सार प्रमुख विशेषताओं की शीघ्र समीक्षा प्रस्तुत करती है जब प्रमुख विषयों को लेखा परीक्षण की रिपोर्ट में शामिल किया जाता है। यह सिफारिशों को शामिल करने के पश्चात् तीन पृष्ठों से अधिक बड़ी नहीं होनी चाहिए।
परिचय-परिचय में विस्तार को सम्मिलित नहीं करना चाहिए। इसमें निम्न अवयवों को शामिल किया जाना चाहिए
सन्दर्भ-समीक्षा के समय की अवधि के दौरान यह उपवर्ग लेखा परीक्षण की स्थिति में संक्षिप्त तौर पर शर्तों की विवेचना करती है। उदाहरण के लिए निकाय की भूमिका, आकार और संस्थान विशेषतः सूचना प्रणाली प्रबन्धन के सम्बन्ध में, समीक्षा के अन्तर्गत व्यतीत अवधि के दौरान सूचना प्रणाली प्रबन्धन पर महत्वपूर्ण प्रभाव, घटनाएँ जिन पर ध्यान दिया जाना चाहिए, सांस्थानिक बदलाव, सूचना तकनीकी के विघ्न, भूमिकाओं और कार्यक्रमों में आने वाले बदलाव, आन्तरिक लेखा परीक्षणों के परिणाम अथवा अपनी पिछले लेखा परीक्षणों का अनुसरण करना, यदि लागू हो तो।
उद्देश्य-यह उपवर्ग उन कार्यों और विशेष कार्यक्रमों का संक्षिप्त विवरण होता है जिनका लेखा परीक्षण किया गया है और मुवक्किल के अधिकार क्षेत्र में है।
प्रयोजन-प्रयोजन उस अवधि को सूचीबद्ध करता है जितना समय समीक्षा, प्रत्येक कार्य व कार्यक्रम में शामिल किए जाने वाले विषय, जिन स्थानों का निरीक्षण करना है और कार्य-क्षेत्र पर कार्य करने की तिथियाँ।
कार्य-पद्धति-यह वर्ग संक्षिप्त तौर पर नमूनों, निर्दिष्ट प्रविष्टियों को एकत्र करने की तकनीक और लेखा परीक्षक के विचारों के आधार का विवरण प्रस्तुत करता है। यह कार्य पद्धति में व्याप्त किसी तरह की कमजोरियों की भी पहचान करता है जिससे मुवक्किल और लेखा परीक्षक को रिपोर्ट के परिणाम के रूप में पहले से सूचित निर्णयों की अनुमति दी जा सके।
निष्कर्ष-निष्कर्ष एक लेखा परीक्षक रिपोर्ट के प्रमुख भाग का निर्माण करता है। वह प्रत्येक लेखा परीक्षण के विषय की जाँच से स्थापित उद्देश्य और मुवक्किल की अपेक्षाओं के सन्दर्भ में परिणाम प्राप्त करता है। यदि लेखा परीक्षक किसी मानकीकृत क्रम निर्धारण मानक का प्रयोग कर रहा है जैसे इंफोसैकग्रेड अथवा कोई अन्य, तो प्राप्त मूल्य भी निश्चित होना चाहिए।
विचार-यदि लेखा परीक्षण कार्य यह माँग करता है कि लेखा परीक्षक एक लेखा परीक्षण का विचार प्रस्तत करे तो लेखा परीक्षक को आवश्यकता के साथ सामंजस्य स्थापित करने के लिए विचार प्रस्तुत करने चाहिए।
परिशिष्ट-परिशिष्ट का प्रयोग तब किया जा सकता है जब रिपोर्ट को समझने के लिए आवश्यक हो।। आमतौर पर इनमें व्यापक आंकड़े, प्रकाशक की ओर से उद्धरण, दस्तावेजों और सन्दर्भो को सम्मिलित किया जाता है।
सचना प्रणाली लेखापरीक्षण प्रमाणित उद्देश्यों की प्रक्रिया (उन बाह्य लेखा परीक्षक के) है जिसकामा सम्पत्ति सरक्षा और डेटा अखंडता, और प्रबन्धन पर केन्द्रित है जो न केवल प्रमाणित (उन आन्तरिक परीक्षक के उद्देश्यों में, बल्कि प्रभावशीलता और दक्षता के उद्देश्यों में शामिल है।
पारम्परिक लेखा परीक्षा और सूचना प्रणाली लेखा परीक्षा
(TRADITIONAL AUDIT & INFORMATION SYSTEM AUDIT)
सूचना प्रणाली लेखा परीक्षा परिसम्पत्तियों और प्रक्रियाओं का मूल्यांकन और आकलन करने की प्रक्रिया है। सूचना प्रणाली लेखा परीक्षा अंकेक्षण तथ्य की वैधता निर्धारित करने के लिए किया जाता है। पारम्परिक लेखा परीक्षा एक संगठन के वित्तीय प्रणालियों और प्रक्रियाओं के मूल्यांकन के बारे में बताता है। पारम्परिक लेखा। परीक्षा का प्राथमिक उद्देश्य धोखाधड़ी का पता लगाने के लिए है। पारम्परिक लेखा परीक्षा वित्तीय लेन-देन अखंडता पर ज्यादातर केन्द्रित है और संगठन की नीतियों और प्रक्रियाओं का अनुपालन की करता है।
सूचना प्रणाली लेखा परीक्षा राजस्व मान्यता. खातों प्राप्य और खाते देनदारियाँ व्यावसायिक प्रक्रियाओं को शामिल करते हए, ऑडिट तीसरे पक्ष के उपकरणों या स्वदेशी अनुकूलित आईटी अनुप्रयोगों के द्वारा स्वचालित है। सूचना प्रणाली लेखा परीक्षा अंकेक्षण आम तौर पर पारम्परिक लेखा परीक्षा में शामिल किया जाता है जो लेखा परीक्षकों के लिए एक बदलाव है। पारम्परिक लेखा परीक्षा वित्तीय बयान के प्रभावों, संगठनों उनके व्यापार के बाहर ले जाने के रास्ते का आकलन करने के लिए एक बहु वर्ष, आवधिक प्रक्रिया है। पारम्परिक लेखा परीक्षा समय लेने वाली और अत्यधिक मानवीय वाली प्रक्रिया है जो वित्तीय लेखा को प्रभावित करती है। पारम्परिक लेखा परीक्षा शेयरधारकों, निवेशकों और नियामक एजेंसियों को जानकारी की वैधता और विश्वसनीयता का पता लगाने के लिए किया जाता है। इसके विपरीत, सूचना प्रणाली लेखा परीक्षा अंकेक्षण प्रायः मुद्दों की पहचान के बारे पता लगाना नहीं है। पारम्परिक लेखा परीक्षा कभी कभी लेखांकन, गुणवत्ता, ऊर्जा सहित विभिन्न डोमेन, आदि के विस्तार से भी सम्बन्धित रहती है। आईटी कमजोरियों की पहचान करने के लिए स्वचालित उपकरण है जिससे सूचना प्रणाली लेखा परीक्षा वातावरण इन उपकरणों का उपयोग कर सकते हैं। कई सूचना प्रणाली लेखा परीक्षा अंकेक्षक क्रियान्वित करने के लिए समय समय पर प्रशिक्षण या विशेषज्ञता के साथ जटिल वातावरण जैसे ईआरपी (एंटरप्राइज रिसोर्स प्लानिंग) प्रणाली को कार्यान्वित नहीं कर पाते हैं।
सूचना प्रणाली लेखा परीक्षा अंकेक्षकों को नीति में बदलाव, प्रक्रियाओं सहित सॉफ्टवेयर विकास जीवन चक्र, अभिगम नियन्त्रण प्रबन्धन, परिवर्तन प्रबन्धन, के आकलन करने की जरूरत है। अधिक से अधिक संगठन नई प्रौद्योगिकियों के कार्यान्वयन के साथ तेजी से आगे बढ़ रहे हैं,सूचना प्रणाली लेखा परीक्षा अंकेक्षण समस्याओं को ढूँढने पर इतना नहीं केन्द्रित है। सूचना प्रणाली लेखा परीक्षा अंकेक्षण प्रक्रियाओं और संगठन आईटी उद्योग साथियों के साथ चलाया जाता है । संक्षेप में, एक सूचना प्रणाली लेखा परीक्षा अंकेक्षण में सर्वोत्तम प्रथाओं को लागू करने और शुरू करने के साथ-साथ अवसरों, व्यापार नीतियों, प्रक्रियाओं को पहचानना है और लागू करना है। पारम्परिक लेखा परीक्षा का फोकस वित्तीय लेखांकन पर है। सूचना प्रणाली लेखा परीक्षा अंकेक्षण में, ध्यान केवल ऑडिट उद्देश्य के दायरे में हैं कि सूचना प्रणाली लेखा परीक्षा सिस्टम है। सूचना प्रणाली लेखा परीक्षा अंकेक्षण अंकेक्षण, का एक अभिन्न हिस्सा है।
व्यापार संचालन पर बदलाव का प्रभाव (हस्त माध्यम से इलेक्ट्रॉनिक माध्यम को अपनाने में)
Impact of Changes on Business Processes (For Shifting from Manual to Electronic Medium)]
लेका प्रक्रिया पर प्रभावों को अग्र बिन्दुओं द्वारा उल्लिखित किया जा सकता है
सूचना प्रणाली लेखा परीक्षा
(A) प्रारम्भिक बदलाव (Primary Changes)
(1) लेन-देन प्रक्रिया का अभिलेखन करना (Recording the Process of Transactions)CIS पद्धति के अन्तर्गत लेन-देन विवरण रखने की प्रक्रिया में प्रमख बदलाव लेखा प्रक्रिया के कम्प्यूटरीकृत होने से आया है, प्रारम्भिक लेखा से आवश्यक पस्तिका और फिर अंतत: प्रमुख पुस्तिका में लेन-देन प्रक्रियाओं के लेखों (दस्तावेजों) का क्रमानुसार विवरण का नियमित रूप से रिकॉर्ड रखने की प्रक्रिया को हाथ से किए गए कार्य में नहीं देखा गया है। कई मामलों में प्राथमिक बही में तीन प्रक्रियाओं का उल्लेख होता है। पुस्तिका लेखा-बही और आखिरी लेखा (तुलन-पत्र और लाभ-हानि लेखा) तीनों प्रक्रियाओं को एक साथ ही किया जाता है।
(2) लेखा-पुस्तिकाओं से (From of Accounting Records)-यन्त्रीकरण प्रायः प्राथमिक विवरणों के पूरे या कुछ भागों के उपयोग का ही परिणाम है। पंच-कार्ड का सफल प्रयोग या इलेक्ट्रॉनिक डाटा प्रोसेसर ने माध्यमिक और अन्तिम दोनों ही विवरणों के रूपों को हस्तकौशल की अपेक्षा बहुत ही कारगर तौर पर मौखिक रूप से पूरी तरह बदल दिया है।
(3) खुले पृष्ठों की लेखन सामग्री का प्रयोग (Use of Loose-leaf Stationaries)-लेखा प्रक्रिया के हस्तशैली में प्रयुक्त हस्तलेखन की सीमा को इलेक्ट्रॉनिक माध्यम में खुले पृष्ठों की मशीन का विवरण लेखन द्वारा दूर करके रख दिया गया है। एक कम्प्यूटरीकृत सूचना प्रणाली में रिकॉर्ड करने के पारम्परिक प्रक्रियाओं को मैग्नेटिक टेपों फ्लॉपी डिस्कों, प्रिन्ट आउट द्वारा हटा दिया गया है। इन रिकॉर्डों को अनाधिकृत तरीके से इस्तेमाल, बर्बादी और छेड़छाड़ से बचाव करने के लिए इनके ऊपर उचित/यथोचित नियन्त्रण रखना आवश्यक है।
(4) लेखा कोड का प्रयोग (Use of Accounting Code)-एक कम्प्यूटरीकृत सूचना पद्धति में नामों और विवरणों को प्रस्तुत करने के लिए अल्फान्यूमैरिक कोडों का बहुतायत से प्रयोग होता है। लेखाकारों को अंकेक्षकों की तरह कोडों के प्रयोग से अवगत होना पड़ता है जो कि शुरुआत में भिन्न लेन-देन प्रक्रियाओं को समझने में आंशिक रूप से जटिलताएँ पैदा कर सकती हैं।
(5) लेन-देन प्रक्रिया के बीच अन्तराल (Absence of Link Between Transaction)-एक कम्प्यूटरीकृत सूचना प्रणाली प्रक्रिया में अपर्याप्तता हो सकती है। प्रारम्भिक रिकार्ड, माध्यमिक लेखा और अन्तिम रिकॉर्डों के बीच परस्पर सम्बन्ध की आंशिक रूप से या पूर्ण रूप से अनुपस्थिति हो सकती है। ये अंकेक्षकों के लिए विशेष समस्याएँ पैदा करती हैं। जिसके कारण अंकेक्षकों को लेन-देन प्रक्रिया के शुरुआत से अन्त तक के रिकॉर्डों को ढूँढ़ने में समस्याएँ आती हैं और लेखा प्रमाणों के गायब हो जाने की आशंका मन में पैदा हो जाती है।
इंटरनेट वातावरण में लेखा परीक्षा के संचालन विषयक और अनुप्रयोग
(CONDUCT AND APPLICATIONS OF INFORMATION SYSTEM
AUDIT IN INTERNET ENVIRONMENT)
आज के व्यापारिक संसार में लेखांकन व्यवसायियों का निरन्तर कम्प्यूटरीकृत सूचना प्रणाली से सम्पर्क बना रहता है। लेखाकार, क्योंकि संगठन में स्थापित कम्प्यूटरीकृत सूचना प्रणाली के प्रमख उपयोगकर्ता होते हैं. इसलिए इसके प्रारूप तथा उसकी कार्य विधि को जानने और तैयार करने में भागीदार बने रहते हैं। लेखांकन प्रबन्धकों को सूचना-तन्त्र का मूल्यांकन तथा मापक जानना चाहिए। आन्तरिक तथा बाह्य अंकेक्षणकर्ताओं को इस सचना-तन्त्र की गुणवत्ता को जानना चाहिए तथा दी गयी व प्राप्त हुई सूची की सत्यता का मल्यांकन करना चाहिए। लेखांकन सलाहकारों का मुख्य योगदान इस तन्त्र का प्रारूप बनाने व उसके उपयोग नियन्त्रण तथा मूल्यांकन करने में होता है।
कम्प्यूटर सूचना प्रणालियाँ बहुत से विभिन्न उद्देश्यों की पूर्ति करती हैं। इसमें व्यावसायिक लेन-देन से लेकर पुनः घटित मामलों को निर्णीत करने के लिए आवश्यक सूचना, वरिष्ठ अधिकारियों को कठिन योजना प्रतिपादित करने में सहायता करना एव कायालयाय सूचना एव कारपोरेट डेटा को सम्बद्ध करना शामिल है। निस्संदेह लोगाद्वारा। ही जटिल सचना प्रणालियों अस्तित्व में आती हैं। तकनीक का विकास तेजी से हुआ लेकिन किसी प्रणाला का सबस महत्वपूर्ण पक्ष मानव-जानकारी एवं विचारों को कम्प्यूटर परिचालन में प्रयोग करना है ताकि इस वांछित कार्य को निष्पादित कर सके। कम्प्यूटर आधारित सूचना प्रणाली को सरल होना चाहिए और उस संगठन के लिए उपयुक्त होना चाहिए जिसके लिए इसे डिजायन किया गया है। यदि प्रणाली लोगों को ज्यादा कुशलता से कार्य करने में मदद करती है तो वे इसका प्रयोग अधिक करेंगे। यदि ऐसा नहीं होता तो वे निश्चित ही इसका उपयोग करने से बचेंगे।
सूचना युग में कम्प्यूटर और नेटवर्क प्रौद्योगिकी, इंटरनेट और ई वाणिज्य संचालन और प्रबन्धन मॉडल नाटकीय ढंग से बदलने से उद्यम के विकास में तेजी से बदलाव आया है। एक संगठन के कम्प्यूटर सिस्टम से दसो तक इलेक्ट्रॉनिक डेटा के स्थानान्तरण के लिए, डेटा आमतौर पर किसी निश्चित प्रकार के सर्वमान्य प्रारूप में। संरक्षित होता है। सूचना प्रणाली (IS) क्षेत्र में अंकेक्षण किया जाता है जिससे संगठन में कम्प्यूटर सिस्टम द्वारा इसे सीधे तौर पर प्रयोग में लाया जा सके। EDI को इस रूप में भी समझा जा सकता है जिसमें संगठन इलेक्ट्रॉनिक लेन-देन को सनिश्चित करते हैं। आदान-प्रदान प्रक्रियाओं में प्रभाव डालने के लिए EDI संगठनों को EDI सेवाओं की आवश्यकता पड़ती है। साधारण तौर पर हो रहे डेटा प्रसारण की अपेक्षा में अधिकांशत: तीसरी पार्टी द्वारा उपलब्ध कराए जाते हैं और इसीलिए तीसरी पार्टी द्वारा ये सेवाएँ उपलब्ध कराए जाने के कारण इसकी उपयोगिता में वृद्धि होती है। इसलिए इसे वैल्यू एडेड नेटवर्क कहा जाता है।
सिस्टम के अन्तर्गत निम्नलिखित लाभ आते हैं
- 1 अन्तर संगठन आदान-प्रदान की प्रक्रिया में गिरावट आती है।
- 2. लेन-देन प्रक्रिया से सम्बन्धित पृष्ठ कार्य/कागजी कार्य खत्म हो जाता है।
- 3. बहुत सारे मनुष्यों द्वारा व्याख्याओं और प्रक्रियाओं में भागीदारी की आवश्यकता को हटा देने से
- 4. लेन-देन प्रक्रिया का खर्च कम हो जाता है।
- 5. व्यक्ति की भागीदारी में कमी करने से अशद्धियाँ कम हो जाती हैं।
सूचना लेखा परीक्षा के संचालन में इंटरनेट वातावरण में विभिन्न अनुप्रयोगों का प्रयोग किया जाता है। स्रोत दस्तावेजों में से सूचना का सार निकाल कर कम्प्यूटर फॉर्मेट में प्रवेश करने के लिए स्रोतों का जत्था अवधि क्रम में डेटा प्रवेश का कार्य ऑफ-लाइन किया जाता है। एक कम्प्यूटरीकृत प्रारूप प्रक्रियाकरण के लिए लेन-देन फाइल है। एक बार जब डेटा प्रवेश का कार्य सम्पन्न हो जाता है, तो अभिलिखित प्रविष्टियाँ स्रोत दस्तावेजों के साथ अनुमोदित हो जाती हैं। एक बार जब अभिलिखित दस्तावेज जाँच लिए जाते हैं, तब स्रोत दस्तावेजों को भविष्य के अभिदेश के लिए अलग रूप से संगृहित कर लिया जाता है।
मुख्य फाइल का नवीनीकरण (Updation of Master file) सभी डेटा का सिस्टम में प्रवेश कर उन्हें संचालित और संक्षेपण किया जाता है, जिससे मास्टर फाइल का नवीनीकरण हो। आउटपुट की उत्पत्ति (Generation of Output) संचालन और मास्टर फाइल के नवीनीकरण के बाद सूचनाओं की जरूरत के अनुसार समय-समय पर उत्पत्ति की जाती है। लगातार लेन-देन प्रक्रिया के बडे भागों के संचालन में जहाँ कम्प्यूटर की क्षतिपूर्ति नियन्त्रण और प्रभावशाली उपयोगिता की आवश्यकता है वहाँ सामूहिक प्रक्रिया प्रणाली का उपयोग किया जाता है। ऑन-लाइन संचालन प्रणाली (Online Processing System) व्यक्तिगत लेन-देन पकियाओं के अपने उत्पत्ति बिन्दु से शुरू होकर उनके समूह में संग्रह होने से रोकने वाले संचालन को ऑन-लाइन संचालन दर्शाता है। चुम्बकीय डिस्क और केन्द्रीय संचालक (Central processor) द्वारा नियन्त्रित एवं जुड़े अनगिनत सीमान्तों (terminals) जैसे प्रत्यक्ष पहुँच डिवाइस उपकरणों (Direct access devices) द्वारा यह साभव हो पाता है। इस प्रकार से, संस्थान के विभिन्न विभागों को तारों (केबलों) द्वारा संचालकों से जोड़ा जाता बालेन-देन प्रक्रिया संचालन और फाइलों के नवीनीकरण के अलावा ऑन-लाइन परिचालन पद्धति द्वारा पछताछ। किया का भी प्रबन्ध किया जाता है। ऑन-लाइन संचालन अभिलेखों (Records) के नवीनीकरण स्थिति (Updated status) का पुष्टि status) की पुष्टि किसी भी समय पर कर देता है, जो कि बैच संचालन द्वारा नहीं होता. परन्त एक लाइन संचालन महँगी है। अंत: सम्बद्ध प्रोसेसिंग (Interactive Processing) इस सच्चाई यह भी कि ऑन-लाइन संचालन महँगी है। अंतःसन किया के अन्तर्गत, प्रयोक्ता और कम्प्यूटर के बीच सीधा संवाद होता है। इसे कार्य व्यापार संचालन भी संचालनहपर्ण रूप से व्यक्तिगत तौर पर आधारित लेन-देन प्रक्रिया पर आधारित है जो सभी प्रासंगिक कहते हैं, क्योंकि यह पूर्ण रूप से व्यक्तिगत तौर पर
संचालन क्रियाओं द्वारा अगले लेन-देन प्रक्रिया होने से पहले का व्यवहार और पूछताछ का व्यवहार की तात्कालिक | प्रतिक्रियाओं पर आधारित होता है। ऑन-लाइन रियल टाइम प्रोसेसिंग (Online Real Time Processing) कार्य सम्पन्न होने के तुरन्त बाद के लेन-देन प्रक्रिया द्वारा फाइलों के नवीनीकरण की प्रक्रिया को दर्शाने वाली विधि को ‘रियल टाइम’ कहते हैं। रियल टाइम पद्धति साधारणतः पछताछ प्रक्रिया में विशिष्टता सहित एक ऑन-लाइन पद्धति है। सिस्टम का पूछताछ पर प्रतिक्रिया ही खद उसके प्रक्रियाओं को नियन्त्रित रखने में उपयोग होता है। रियल टाइम पद्धति की प्रतिक्रिया एक प्रकार की प्रति पूर्ति नियन्त्रण पद्धति है। प्राकृतिक रूप से प्रतिक्रिया समय एक व्यवहार को दूसरे से अलग करता है। वास्तविक समय पद्धति आमतौर पर बहुप्रोग्रामिंग और बहु-संचालन में संचालित होता है। यह सिस्टम की उपयोगिता और विश्वसनीयता दोनों को बढ़ाता है। रियल टाइम पद्धति में ‘प्रोग्राम हस्तक्षेप की क्षमता CPU में रख सकता है। ये एक प्रोग्राम के निष्पादन में अस्थायी रुकावटों का पड़ाव है ताकि अत्यधिक आवश्यक संदेशों को प्राथमिक प्रबन्धनों को किया जा सके। कुछ कम्प्यूटर प्रणाली वास्तविक समय प्रक्रिया को समर्पित होते हैं और दूसरे समूह और वास्तविक समय दोनों प्रकारों की प्रक्रिया प्रारूप में बनाये जाते हैं ताकि वे अन्य इकाइयों की तरह भी एक-दूसरे को आधार प्रदान करते हैं।
ई. आई. एस. (Electronic Information System )-एक ऐसी विधि है जिसमें सम्बन्धित सूचना को सीधे ऑन-लाइन एक्सेस करके उसका उपयोग किया जाता है। यह सूचना या जानकारी समयबद्ध, सटीक और क्रियान्वयन योग्य होती है। व्यवसाय के विभिन्न पहलओं से सम्बद्ध यह जानकारी वरिष्ठ प्रबन्धकों के लिए विशेष रूप से उपयोगी होती है। EIS में काम करना बहुत आसान है और यही कारण है कि प्रबन्धक व्यापक रणनीति वाले कारकों को पहचान कर इस सूचना का प्रयोग इस कारकों के मूल कारणों को पहचानने में करते हैं।
EIS निम्नलिखित उद्देश्यों को पूरा करती है
(i) EIS का प्राथमिक उद्देश्य किसी संस्थान में प्रबन्धन के विषय में समझना, इसकी कार्यप्रणाली और बाहरी वातावरण से इसके सम्बन्धों के विषय में जानना है।
(ii) सूचना को सही समय पर उपलब्ध कराना EIS का सहायक उद्देश्य माना जाता है। इसमें दिए गए प्रश्नों के उत्तरों के आधार पर प्रबन्धक रणनीतिक मामलों में समय पर निर्णय ले सकते हैं।
(iii) यह संस्थान के किसी क्षेत्र विशेष या व्यावसायिक समस्या की ओर प्रबन्धन का ध्यान आकृष्ट करती है। इसकी सहायता से प्रबन्धक और उनके मातहत कर्मचारी आपस में मिल-जुलकर काम करते हैं, ताकि EIS द्वारा संकेतित कारक के मूल को पहचान कर उस पर काम किया जा सके।
कम्प्यटर आधारित सूचना व्यवस्था (CBIS – Computer Based Information System) हार्डवेयर तथा सॉफ्टवेयर नेटवर्कों की पूरक है, जिसका प्रयोग व्यधित तथा संस्थान डेटा को एकत्र,फिल्टर प्रोसेस, बनाने और वितरित करने में करते हैं। आगे इस अध्याय में केवल CBIS पर ही प्रकाश डाला जाएगा। आधुनिक व्यापार को सचारु व लाभकारी रूप से चलाने में सूचना व्यवस्था महत्वपूर्ण योगदान दे सकती है। व्यापार सचना व्यवस्था की कुछ विशेषताएँ निम्नलिखित हैं• सूचना व्यवस्था प्रबन्धकों को प्रभावशाली निर्णय लेने में सहायता करती है जिससे संस्था द्वारा तय किए लक्ष्यों को प्राप्त करने में आसानी रहती है।
- 1. यदि सूचना व्यवस्था को भली-भाँति बनाया गया है तो संस्था को प्रतिस्पर्धात्मक माहौल में भी लाभ मिलता है।
- 2. यदि सूचना व्यवस्था सही समय पर सही फैसला लेने में सहायता करती है।
- 3. कुछ जटिल समस्याओं को सुलझाने के लिए सूचना व्यवस्था से नए सझाव मिल सकते हैं।
- 4. सूचना व्यवस्था से मिली जानकारी का उपयोग प्रबन्धक असामान्य स्थितियों में भी कर सकते हैं।
- 5. सूचना व्यवस्था को एक प्रक्रिया के रूप में देखा जाए तो इसे किसी कार्य या क्रिया की व्यूहरचना बनाने में भी प्रयोग किया जा सकता है।
सूचना प्रणाली लेखा परीक्षा में साइबर अपराधों की चुनौतियाँ
(CYBER CRIME THREATS IN INFORMATION SYSTEM AUDIT)
कोई भी कम्प्यूटरीकत वातावरण व्यक्तियों पर निर्भर है। यद्यपि वे एक इन्टरप्राइज कम्प्यूटिंग की सफलता में वही भूमिका अदा करते हैं. लेकिन यह भी एक तथ्य है कि लोगों द्वारा किए जाने वाले साइबर अपराधों से खतरा हमेशा रहता है। आई. टी. ऑपरेशनल टीम का स्पेशल स्किलसेट, प्रोग्रामर्स, डेटा एडमिनिस्ट्रेटर आदि यह सुनिश्चित करने में मुख्य कड़ी हैं कि आई. टी अवस्थापना यूजर की आवश्यकतानुसार आउटपुट उपलब्ध कराए। इसी समय, सोशल इंजीनियरिंग जोखिम मुख्य लोगों को लक्ष्य करते हैं ताकि संवेदनशील सूचना प्राप्त कर उद्योग के सूचना स्रोतों का दोहन किया जा सके। बाहरी एजेंसियों पर निर्भर रहने से भी खतरे उपजते हैं। उपकरण आपति एवं सहयोग, उपभोज्य वस्तुओं, सिस्टम्स एवं प्रोग्राम अनुरक्षण, एअरकंडीशनिंग, हॉट-साइड प्रोवाइडर्स, युटिलिटीज के लिए विभिन्न वेंडर्स एवं सेवा प्रदाताओं बड़े पैमाने पर निर्भर हैं। साइबर उपराधों से कुछ गम्भीर खतरे निम्न हैं
गबन (Embezzlement)-यह धन या अन्य बहुमूल्य वस्तुओं का अवैध तरीके से उस व्यक्ति द्वारा अपने प्रयोग या उद्देश्यों के लिए गबन है, जिसे कि इसे सौंपा गया था (विशेष रूप से कोई कर्मचारी)।
धोखाधड़ी (Fraud)-यह सूचनाओं या पहचान का दूसरों को धोखा देने हेतु आन्तरिक तौर पर गलत
करण से घटित होता है, क्रेडिट या डेबिट कार्ड या ATM का अवैधानिक प्रयोग या धोखाधड़ी पूर्ण सूचन प्रेषित करने, धनराशि या मूल्यवान चीजें प्राप्त करने, के लिए इलेक्ट्रॉनिक साधनों का प्रयोग धोखाधड़ी कम्पनी के अन्दर या बाहर के किसी व्यक्ति द्वारा किया जा सकता है।
स्वामित्व सम्बन्धी सूचनाओं की चोरी (Theft of Proprietary Information)-सामान्यतया इलेक्ट्रॉनिक नकल से, डिजायनों, योजनाओं, ब्लूप्रिंट्स, कोड्स, कम्प्यूटर प्रोग्राम्स, फार्मूला, रिसाइप्स व्यापार सीक्रेट्स, ग्राफिक्स, कापीराइट किया गया मैटेरियल, फॉर्स, फाइल्स सूचियाँ एवं वैयक्तिक या वित्तीय सूचना प्राप्त करना अवैध है।
सेवा की अस्वीकृति (Denial of Service)-बाहरी अवस्थापनाओं पर निर्भर सेवाओं में रुकावट या उनका अवनतिकरण हो सकता है। समस्याएँ इंटरनेट कनेक्शन या ई-मेल सेवाओं से भी पैदा हो सकती हैं जिसका परिणाम सूचना के सामान्य प्रवाह में रुकावट हो सकता है। सेवा में अस्वीकृति सामान्यतया पिंग अटैक्स, पोर्ट स्कैनिंग प्रोब्स एवं इनकमिंग डेटा की अत्यधिक मात्रा से भी हो सकती है।
ताड़े फोड़ या ध्वसं (Vandalism or Sabotage)- यह इलक्ट्रानिक फाइल्स, डेटा, वेब पेजों एवं प्रोग्राम्स का इरादतन या दुर्भावनापूर्ण क्षति, विकृति, विनाश या अन्य प्रकार का बदलाव है।
कम्प्यूटर वायरस (Computer Virus)-वायरस कम्प्यूटर कोस के छिपे हुए खण्ड हैं, जो अपने आपको प्रविष्ट कर या अन्य प्रोग्राम्स को मॉडीफाई कर प्रसारित होता है।
जोखिम आकलन क्रिया-पद्धतियाँ एवं एप्लीकेशन्स
अन्य (Other)-खतरे में कई अन्य मामले शामिल हैं, जैसे, घुसपैठ, रिसपॉन्डेन्ट्स कम्प्यूटर नेटवर्क में छिद या अरक्षितता (जैसे-हैंकिंग या स्नाइफिंग) चाहे क्षति या हानि परिणामस्वरूप सहन कर ली गई हो।
अभ्यासार्थ प्रश्न (Exercise Questions)
दीर्घ उत्तरीय प्रश्न (Long Answer Type Questions)
1 सूचना लेखा पणाली से आप क्या समझते हैं? और आधुनिक युग में इसका महत्व क्या है?
What do you mean by information system audit? And what is its importance of it in the modern age ?
2. पारम्परिक लेखा पराक्षा आर सूचना लखा प्राणली में क्या अन्तर है?
What is the Difference Between a Traditional audit & information System Audit?
3. सूचना प्रणाली लेखा परीक्षा कार्यप्रणाली क्या है? और इसको विस्तार से समझाइए।
What is the procedure of information system audit? And explain it.
4. सूचना प्रणाली लेखा परीक्षा की श्रेणियाँ क्या हैं? और इसके कार्य क्या हैं?
What are the categories of information system audit? And what are its functions ?
लघु उत्तरीय प्रश्न (Short Answer Type Questions)
1 संक्षिप्त में टिप्पणी लिखिए (Write short notes)।
(i) इंटरनेट वातावरण में लेखा परीक्षा का संचालन
(Conduct of IS audit in internet environment)
(ii) सी. बी. आई. एस. (CBIS)
(iii) सूचना प्रणाली की रिपोर्ट (IS Audit Reports)
(iv) ऑन-लाइन रियल टाइम प्रोसेसिंग (Online Real Time Processing)
बहुविकल्पीय प्रश्न (Multiple Choice Questions)
1 सीबीआईएस है-CRTS
(a) कम्प्यूटर बेस्ड इन्फॉर्मेशन सिस्टम
(b) कम्प्यूटर बेस्ड इन्टरनल सिस्टम
(c) कम्प्यूटर बेस्ड इन्टीग्रेटेड सिस्टम
(d) उपर्युक्त में से कोई नहीं
2. लेखा परीक्षा उपकरण और तकनीक है
(a) स्वचालित उपकरण व प्रवेश परीक्षण
(b) आन्तरिक नियन्त्रण अंकेक्षण
(c) आपदा और सुरक्षा परीक्षण सूची
(d) उपर्युक्त सभी
3. आईएस लेखापरीक्षण की श्रेणियाँ हैं
(a) सिस्टम और अनुप्रयोग
(b) सूचना प्रसंस्करण सुविधाएँ
(c) प्रणाली विकास
(d) उपर्युक्त सभी
4. लेखा परीक्षक लेखा परीक्षा की योजना में प्रबन्धन के कार्यों का निर्धारण करता है
(a) जिम्मेदारी
(b) जवाबदेही
(c) प्राधिकरण
(d) उपर्युक्त सभी
5. सूचना प्रणाली की रिपोर्ट में शामिल नहीं होता है
(a) आवरण
(b) नियन्त्रण (c) परिचय
(d) परिशिष्ट
6. ईडीपी है-
(a) इलेक्ट्रॉनिक डाटा प्रोसेसिंग
(b) इलेक्ट्रॉनिक डाक्यूमेंट प्रोसेसिंग
(c) इलेक्ट्रॉनिक डाटा प्लानिंग
(d) इलेक्ट्रनिँक डिलीवरी प्रोंसेसिंग
7.सूचना प्रणाली के लेखा परीक्षा कार्यप्रणाली में नहीं होता है
(a) लेखा परीक्षा योजना
(b) जोखिम मूल्यांकन और बिजनेस प्रोसेस विश्लेषण
(c) समीक्षा
(d) लेखा परीक्षा कार्य का प्रदर्शन
8. आईएस लेखा परीक्षक के कार्य हैं
(a) अपर्याप्त सूचना सुरक्षा
(b) आईटी से सम्बन्धित धोखाधड़ी
(c) कॉर्पोरेट संसाधनों या लचर शासन के अकुशल प्रयोग
(d) उपर्युक्त सभी
9. जोखिम आधारित सूचना प्रणाली लेखा परीक्षा में है
(a) नियोजन
(b) मूल परीक्षण
(c) समीक्षा नियन्त्रण
(द) उपर्युक्त सभी
10. आईटी ऑडिट में नहीं होता है(a) मैनुअल विधि
(b) प्रौद्योगिकी आचरण (c) विशिष्ट आईटी एवं अंकेक्षक
(d) उपर्युक्त सभी
[उत्तर-1. (a), 2. (d), 3. (d), 4. (d), 5. (b), 6. (a), 7. (b), 8. (b), 9. (d), 10. (a)]
