आधाभन्दा बढि बीमा कम्पनीले अझै बुझाउन सकेनन् आईटी अडिट रिपोर्ट
काठमाडौं । बीमा समितिले बीमा कम्पनीहरुलाई आईटी अडिट रिर्पोटको लागि पटक–पटक म्याद थप गरेर पनि आधा भन्दा बढी कम्पनीहरुले अझैसम्म गत वर्षकै आईटी अडिट रिपोर्ट बुझाउन सकेका छैनन् । बीमा समितिले तोकेको आईटी अडिटले बीमा कम्पनीहरुलाई ठूलो आर्थिक भार थप्ने भएकोले पनि बीमा कम्पनीहरु आईटी अडिटतर्फ चासो नदेखाएको बुझिएको छ ।
बीमा समितिले तोकेको पुस मसान्तभित्रमा गतवर्षको आईटी अडिट गरी सो को प्रतिवेदन बीमा समिति समक्ष बुझाउनुपर्नेमा अझै आधा भन्दा बढि कम्पनीले गतवर्षकै आईटी अडिट रिपोर्ट बुझाएका छैनन् ।
बीमा समितिका अनुसार हाल संचालनमा रहेका ४१ कम्पनीमध्ये १३ कम्पनीहरुले मात्र आइटी अडिटको रिर्पाट बुझाएका छन् । जीवन बीमा कमपनीहरु मध्ये नेशनल लाइफ, सूर्या लाइफ, गुराँस लाइफ, प्राईम लाइफ, आइएमई लाइफ, रिलायन्स लाइफ, सिटिजन लाइफ, सानिमा लाइफ र प्रभु लाइफ इन्स्योरेन्स कम्पनीले आइटी अडिटको रिर्पाट बुझाएका छन् भने बाँकि १० जीवन बीमा कम्पनीहरुले भने बुझाएका छैनन् ।
त्यस्तै, २० निर्जिवन बीमा कम्पनीहरुमध्ये ५ कम्पनीले मात्र अडिट रिर्पोट बुझाएका छन् । निर्जिवन बीमा कम्पनीहरुबाट नेपाल इन्स्योरेन्स, एनएलजी इन्स्योरेन्स, नेको इन्स्योरेन्स, सगरमाथा इन्स्योरेन्स र प्रभु इन्स्योरेन्स मात्र अडिट रिर्पोट बुझाएका छन् ।
समितिले जारी गरेको सूचना प्रविधि मार्गदर्शन २०७६ मा पुस मसान्तभित्रमा अनिवार्य आइटी अडिट गर्नुपर्ने व्यवस्था छ । बीमा कम्पनीहरुको नियामक निकाय बीमा समितिले निर्देशिका जारी गर्दै बीमा कम्पनीहरुलाई वार्षिक रुपमा अनिवार्य आईटि अडिट गर्ने प्राबधान राखेको छ । समितिले यस्तो निर्देशिका २०७६ मा जारी गरेको थियो ।बीमा समितिले चैत ११ गते बीमकको सूचना प्रविधि मार्गदर्शन २०७६ नामक निर्देशिका जारी गरेको थियो ।
बैंक तथा वित्तीय संस्थालाई सूचना प्रविधि (आईटी) अडिट गर्दै आईरहेका छन् । आईटी अडिटको लागि बैंकहरुमा केही सहज भएपनि बीमा कम्पनीहरुका लागि थप झन्झट हुने गरेको छ ।
बीमा कम्पनीहरुका लागि आईटी अडिट नयाँ सुरुवात हो । कोरोनाको महामारीको कारण बीमा कम्पनीहरुले बीमकको सूचना प्रविधि मार्गदर्शन, २०७६ लाई निरन्तरता दिन सकेका थिएनन् । जसका कारण कुनै पनि बीमा कम्पनीहरुले आइटी अडिटको कार्य सम्पन्न गर्न कठिन भएको सम्बन्धित बीमा कम्पनीहरुको भनाई छ ।
उक्त निर्देशिका अनुसार बीमकले ईजाजतपत्र प्राप्त सूचना प्रविधि सम्बन्धी परीक्षकबाट वार्षिक रुपमा आफ्नो सूचना प्रविधि प्रणालीको परीक्षण गर्नुपर्ने छ । त्यस्तो परीक्षणको प्रतिवेदन आर्थिक वर्ष समाप्त भएको ६ महनाभित्र बीमा समितिमा पेश गर्नुपर्ने प्रावधान समेत राखिएको छ ।
त्यसैगरि निर्देशिकाले आइटी अडिट गर्दा समेटिनुपर्ने विषयवस्तुहरुको बारेमा समेत उल्लेख गर्दै त्यसमा प्रयोगकर्ताको आधिकारीकता, आन्तरिक तथा बाह्य संभाबित जोखिमहरु, डाटाबेस, कारोबार, नेटवर्क, हार्डवेयरको सुरक्षा, प्रणालीमा पहुँच कायम गर्ने अनधिकृत प्रयत्न सम्बन्धी विषय, प्रत्यक्ष पहुँच रोक्न सक्ने उपयाहरु लगायतका विषयहरु रहेका छन् ।
उक्त निर्देशिका अनुसार सूचना प्रविधि विपत ब्यवस्थापनको लागि योजना तयार गरी कार्यान्वयन गर्नुपर्नेछ भने डाटा सेन्टरको रिकभरी, डाटा तथा पावर तथा प्रणालीको ब्याकअप, सूचनाको सूरक्षा लगायतका विषयहरु समेटिएको छ । निर्देशनमा कम्पनीहरुलाई सक्कली उत्पादनहरु प्रयोग गर्न भनिएको छ भने हार्डवेयर तथा सफ्टवेयर वा सो सम्बन्धी सक्कली उत्पादनहरु प्रयोग गरेर लाईसेन्स राख्नुपर्ने प्रावधान राखिएको छ ।
बीमा कम्पनीहरुले सूचना प्रविधि प्रणालीको संचालन तथा प्रयोग सबै शाखाहरुमा गर्नुपर्नेछ भने आफ्नै डाटा सेन्टर राखिनुपर्ने समेत व्यवस्था गरिएको छ । बीमकले आफ्नै भौतिक डाटा सेन्टर स्थापना गर्नुपर्ने प्रावधानका साथमा रिकभरी डाटा सेन्टरको समेत व्यवस्था गर्न भनिएको छ । कम्पनीले नेपालमा दर्ता भई संचालनमा रहेका क्लाउड डाटा सेन्टरको समेत प्रयोग गर्न सक्ने सुविधा दिएको छ ।
त्यस्तै, विदेशी बीमकको शाखा कार्यालयको हकमा त्यस्तो एप्लिकेसन सर्भर, बीमकको केन्द्रिय कार्यालय वा मुख्य कार्यालयमा राखिनुपर्नेछ । साथै बीमकले उपदफा (२) र (३) बमोजिम अन्य सेवा प्रदायकबाट लिएको रहेछ भने बीमकले सम्बन्धीत सेवा प्रदायकसँग खरिद सम्झौता तथा नन–डिस्क्लोजर सम्झैता गनुपर्ने व्यवस्था मार्गदर्शनमा गरिएको छ । साथै, विपद् व्यवस्थापनको लागि राखिने रिकभरी डाटा सेन्टरको हकमा भने बीमक कम्पनीको केन्द्रीय कार्यालय रहेको प्रदेश भन्दा बाहेक अन्य प्रदेशको कुनै स्थानमा डाटा सेन्टरको ब्याकअप राख्नुपर्नेछ ।
अन्य सेवा प्रदायकसँग डाटा सेन्टरको सुविधा लिएको खण्डमा बीमकको सूचनाको सूरक्षा बीमक कम्पनीले नै लिनुपर्नेछ भने आफ्नो कोर एप्लिकेशन सर्भर भने कम्पनीको केन्द्रीय कार्यालयमा राख्नुपर्ने प्रावधान राखिएको छ । जारी भएको सो निर्देशिकामा कम्पनीहरुले तयार पार्नुपर्ने वेभसाइटको संरचना र राखिनुपर्ने विषयवस्तुको बारेमा समेत उल्लेख गरिएको छ ।
बीमा कम्पनीहरुले आफ्नै डोमन नेम सहितको औपचारिक इमेलको व्यवस्था लागू गर्नुपर्ने प्रावधान समेत राखिएको छ भने बीमा सफ्टवेयरको प्रयोग, बीमा एप्सको प्रयोग, विद्युतीय भुक्तानी सम्बन्धि व्यवस्था, डिजिटल सिग्नेचरको व्यवस्था, सुरक्षा प्रणाली अपनाउनुपर्ने लगायतका अन्य विषयहरु उल्लेख गरेको छ ।
उक्त निर्देशिका बमोजिक बीमा कम्पनीहरुले साइबर जोखिम तथा क्षतिलाई न्यूनिकरण गर्न आवश्यक व्यवस्था गर्नुपर्नेछ भने साइबर बीमा गर्नुपर्ने प्रावधानमा उल्लेख गरिएको छ ।
बीमा समितिको उक्त निर्देशन कार्यान्वयन गर्दा बीमक कम्पनीहरुमाथि बार्षिक करोडौंको भार थपिने छ । माईक्रोसफ्टको विण्डोज समेत जेन्युअन प्रयोग नहुने नेपालजस्तो देशका बीमा कम्पनीहरुमा प्रयोग भइरहेका सयौं कम्प्युटरहरुमा जेन्युअन सफ्टवयेर जडान गर्दा करोडभन्दा बढि लागत लाग्नेछ ।
