भारिबैं/गैबैंपवि/2016-17/53
मास्टर निदेश डीएनबीएस.पीपीडी.संख्या04/66.15.001/2016-17
08 जून, 2017
मास्टर निदेश - एनबीएफसी सेक्टर के लिए सूचना प्रौद्योगिकी ढांचा
भारतीय रिज़र्व बैंक अधिनियम, 1934 (1934 के अधिनियम 2) के 45-एल के उप-खंड (1) के अनुसार प्रदत्त शक्तियों का प्रयोग करते हुए भारतीय रिज़र्व बैंक, निम्नानुसार मास्टर निदेश - एनबीएफसी सेक्टर के लिए सूचना प्रौद्योगिकी फ्रेमवर्क 2017, इसकी आवश्यकता व देश की ऋण प्रणाली को देश के हितार्थ विनियमित करने में सक्षम बनाने में इसकी भूमिका को देखते हुए जारी करता है।
(डॉ. सत्यन डेविड)
मुख्य महाप्रबंधक
अनुलग्नकः एनबीएफसी सेक्टर के लिए सूचना प्रौद्योगिकी ढांचा – निदेश
सूची
प्रस्तावनाः
पिछले कुछ वर्षों में एन.बी.एफ.सी (गैर-बैंकिंग वित्तीय कंपनी) क्षेत्र के आकार और जटिलता में वृद्धि हुई है। जैसे-जैसे NBFC उद्योग परिपक्व होते जा रहा है और स्तर प्राप्त कर रहा है इसकी सूचना प्रौद्योगिकी / सूचना सुरक्षा (IT / IS) ढांचा, व्यवसाय निरंतरता योजना (BCP), डिजास्टर रिकवरी (DR) प्रबंधन, IT ऑडिट इत्यादि में सर्वोत्तम प्रथाओं को न्यूनतम मानदण्ड निर्धारित किया जाना चाहिए।
2. तदनुसार, एनबीएफसी क्षेत्र के लिए आईटी फ्रेमवर्क पर निदेश संलग्न है जिनसे एनबीएफसी की प्रक्रियाओं में सुरक्षा, सुरक्षा उपाय, दक्षता में वृद्धि अपेक्षित है। इससे एन.बी.एफ.सी और उनके ग्राहकों को लाभ होगा। हो सकता है कि परिपत्र में उल्लेख की गई आवश्यकताओं में से कुछ को एनबीएफसियों ने पहले ही लागू कर लिया हो या लागू कर रहे हों। इसलिए एनबीएफसी के लिए यह आवश्यक है कि वे अपनी वर्तमान स्थिति और परिपत्र में निर्धारित व्यवस्थाओं के मध्य अंतर का औपरचारिक विशलेषण करें और अंतर को समाप्त करने और दिशानिर्देशों का अनुपालन करने के लिए समयबद्ध कार्ययोजना तैयार करें।
3. प्रस्तावित आई.टी ढांचे का फोकस सूचना प्रद्यौगिकी अभिशासन, आईटी नीति, सूचना और साइबर सुरक्षा, आईटी परिचालन, आईएस ऑडिट, व्यवसाय निरंतरता योजना और आईटी सर्विसेज आउटसोर्सिंग पर है। निदेश को दो भागों में वर्गीकृत किया गया है, जो 500 करोड़ रुपए से अधिक की आस्तियों वाली सभी एनबीएफसी (प्रणालीगत रूप से महत्वपूर्ण माने जाने वाले) पर लागू होने वाले निदेश भाग-ए में तथा 500 करोड़ रुपए से कम के आस्ति आकार वाले एनबीएफसी के लिए निदेश भाग-बी में दिए गए हैं।
4. एनबीएफसी इन निर्देशों को मास्टर निदेश से अंतर के विश्लेषण और प्रस्तावित कार्रवाई के साथ दिनांक 30 सितम्बर 2017 अपने बोर्ड के समक्ष प्रस्तुत करें।
5. प्रणालीगत रूप से महत्वपूर्ण एन.बी.एफ.सी मास्टर निर्देशों का दिनांक 30 जून 2018 तक और 500 करोड़ रुपए के कम की आस्ति वाली अन्य एनबीएफसी मास्टर निर्देशों का दिनांक 30 सितम्बर 2018 तक अनुपालन सुनिश्चित करें।
अध्याय-ए
सूचना प्रद्यौगिकी अभिशासन
1. सूचना प्रद्यौगिकी अभिशासन
सूचना प्रद्यौगिकी अभिशासन कॉर्पोरेट गवर्नेंस का एक अभिन्न अंग है। इसमें नेतृत्व का समर्थन, संगठनात्मक संरचना और प्रक्रियाएँ शामिल हैं ताकि यह सुनिश्चित किया जा सके कि NBFC की आईटी जारी रह सके तथा व्यवसायिक कार्यनीतियों और उद्देश्यों का विस्तार हो। प्रभावी आईटी गवर्नेस निदेशक मंडल और कार्यकारी प्रबंधन की जिम्मेदारी है।
सूचना प्रद्यौगिकी अभिशासन को लागू करते समय बोर्ड और वरिष्ठ प्रबंधन की अच्छी तरह से परिभाषित भूमिकाएं और जिम्मेदारियां महत्वपूर्ण हैं। स्पष्ट रूप से परिभाषित भूमिकाएं प्रभावी परियोजना नियंत्रण को सक्षम बनाती हैं। लोग, जब वे उनसे दूसरों की अपेक्षाओं से अवगत होते हैं, बजट के भीतर और गुणवत्ता के अपेक्षित स्तर पर समय पर काम पूरा करने में सक्षम होते हैं। आईटी शासन के हितधारकों में शामिल हैं: निदेशक मंडल, आईटी कार्यनीति समितियां, सीईओ, व्यापार कार्यकारी अधिकारी, मुख्य सूचना अधिकारी (सीआईओ), मुख्य प्रौद्योगिकी अधिकारी (सीटीओ), आईटी संचालन समितियाँ (एक कार्यकारी स्तर पर कार्य करना और प्राथमिकता सेटिंग, संसाधन आवंटन और परियोजना पर नज़र रखना), मुख्य जोखिम अधिकारी और जोखिम समितियाँ।
मूल्य वितरण, आईटी जोखिम प्रबंधन, आईटी संसाधन प्रबंधन और प्रदर्शन प्रबंधन के बुनियादी सिद्धांतों को गवर्नेस ढांचे का आधार बनाना होगा। सूचना प्रद्यौगिकी अभिशासन में निरंतर जीवन-चक्र होता है। यह एक ऐसी प्रक्रिया है जिसमें आईटी कार्यनीति जिम्मेदारियों को निष्पादित करने के लिए आवश्यक संसाधनों का उपयोग करके प्रक्रियाओं को चलाती है। आईटी की महत्वपूर्णता को देखते हुए, एनबीएफसी ऐसे विवेकपूर्ण शासन मानकों के प्रासंगिक पहलुओं का पालन कर सकते हैं जिन्हें वित्त उद्योग में स्वीकार्यता मिली है।
1.1 आईटी कार्यनीति समिति: एनबीएफसी को एक आईटी कार्यनीति समिति बनाने की आवश्यकता है। समिति का अध्यक्ष एक स्वतंत्र निदेशक होगा और सीआईओ और सीटीओ समिति का हिस्सा होना चाहिए। आईटी कार्यनीति समिति को एक उपयुक्त अंतराल पर मिलना चाहिए, लेकिन दो बैठकों के बीच छह महीने से अधिक समय तक नहीं रहना चाहिए। समिति अन्य बोर्ड समितियों और वरिष्ठ प्रबंधन के साथ साझेदारी में काम करेगी ताकि उन्हें इनपुट प्रदान किया जा सके। यह कॉर्पोरेट कार्यनीतियों, बोर्ड नीति समीक्षा, साइबर सुरक्षा व्यवस्था और आईटी शासन से संबंधित किसी भी अन्य मामले के अनुरूप आईटी कार्यनीतियों की समीक्षा और संशोधन करेगा। इसके विचार-विमर्श को बोर्ड के समक्ष रखा जाएगा।
1.2 आईटी कार्यनीति समिति की भूमिकाएं और जिम्मेदारियां: कुछ भूमिकाओं और जिम्मेदारियों में शामिल हैं:
-
आईटी कार्यनीति और नीति दस्तावेजों को मंजूरी देना और यह सुनिश्चित करना कि प्रबंधन ने प्रभावी कार्यनीतिक योजना प्रक्रिया को लागू किया है;
-
यह सुनिश्चित करते हुए कि प्रबंधन ने प्रक्रियाओं और प्रथाओं को लागू किया है जो यह सुनिश्चित करते हैं कि आईटी व्यवसाय को मूल्य प्रदान करता है;
-
आईटी निवेश सुनिश्चित करना जोखिमों और लाभों के संतुलन का प्रतिनिधित्व करता है और यह बजट स्वीकार्य है;
-
कार्यनीतिक लक्ष्यों को प्राप्त करने और आईटी संसाधनों के उपयोग और उपयोग के लिए उच्च-स्तरीय दिशा प्रदान करने के लिए आवश्यक आईटी संसाधनों का निर्धारण करने के लिए प्रबंधन द्वारा उपयोग की जाने वाली विधि की निगरानी;
-
एनबीएफसी की वृद्धि को बनाए रखने और आईटी जोखिमों और नियंत्रणों के प्रति जोखिम के बारे में जागरूक होने के लिए आईटी निवेश का उचित संतुलन सुनिश्चित करना।
सूचना प्रोद्यौगिकी नीति
2. एनबीएफसी बोर्ड अनुमोदित आईटी नीति तैयार कर सकते हैं, जिसमें उनके संगठन के उद्देश्यों के अनुरूप निम्नलिखित शामिल होः-
ए. आईटी संगठनात्मक संरचना एनबीएफसी द्वारा किए जा रहे व्यावसायिक गतिविधियों के आकार, पैमाने और प्रकृति के अनुरूप है;
बी. NBFC मुख्य कार्यकारी अधिकारी (CIO) या आईटी संचालन के प्रभारी के रूप में एक वरिष्ठ कार्यकारी को नामित कर सकते हैं, जिनकी जिम्मेदारी आईटी नीति के कार्यान्वयन को सुनिश्चित करना है, जिसमें IT कार्यनीति, मूल्य वितरण, जोखिम प्रबंधन और IT संसाधन प्रबंधन शामिल है।
सी. NBFC के वरिष्ठ / मध्यम स्तर के प्रबंधन में तकनीकी दक्षता सुनिश्चित करने के लिए, यह सुनिश्चित करने के लिए कि पर्याप्त, सक्षम और सक्षम मानव संसाधन उपलब्ध हैं, आईटी प्रशिक्षण आवश्यकताओं का आवधिक मूल्यांकन तैयार किया जाना चाहिए।
डी. जो NBFC वर्तमान में IPv6 प्लेटफॉर्म का उपयोग नहीं कर रहे हैं, वे भारत सरकार द्वारा 2012 में जारी राष्ट्रीय दूरसंचार नीति के अनुसार स्थानानंतरित करें। (परिपत्र DNBS (Inf.) के CC.No 309/24.01.022/2012-13) 08 नवंबर, 2012 के अनुसार)
सूचना और साइबर सुरक्षा
3. सूचना सुरक्षा
सूचना सभी एनबीएफसी के लिए एक संपत्ति है और सूचना सुरक्षा (आईएस) संगठनात्मक लक्ष्यों को प्राप्त करने के लिए इन परिसंपत्तियों के संरक्षण को संदर्भित करता है। आईएस का उद्देश्य संवेदनशील सूचनाओं तक पहुंच को नियंत्रित करना है, केवल वैध उपयोगकर्ताओं द्वारा उपयोग सुनिश्चित करना ताकि डेटा को उचित प्राधिकरण के बिना पढ़ा या साझा न किया जा सके। एनबीएफसी के पास निम्नलिखित मूल सिद्धांतों के साथ बोर्ड द्वारा अनुमोदित आई.एस. नीति होनी चाहिएः
ए. गोपनीयता - केवल अधिकृत उपयोगकर्ताओं की संवेदनशील डेटा तक पहुंच सुनिश्चित करना।
बी. सत्यनिष्ठा - यह सुनिश्चित करके कि प्राधिकरण के बिना कोई संशोधन नहीं है सटीकता और जानकारी की विश्वसनीयता सुनिश्चित करना।
सी. उपलब्धता - यह सुनिश्चित करना कि उपयोगकर्ताओं को निर्बाध डेटा की आवश्यकता होने पर यह उपलब्ध हो।
डी. प्रामाणिकता - आईएस के लिए यह सुनिश्चित करना आवश्यक है कि डेटा, लेनदेन, संचार या दस्तावेज (इलेक्ट्रॉनिक या भौतिक) वास्तविक हैं।
3.1 आईएस नीति निम्नलिखित मूल सिद्धांतों के साथ आईएस ढांचे की अनिवार्य व्यवस्था करे:
ए. सूचना आस्तियों की पहचान और वर्गीकरण। एनबीएफसी संपत्ति की अलग और स्पष्ट पहचान के साथ सूचना संपत्ति की विस्तृत सूची बनाए रखेंगे।
बी. कार्यों का अलगाव: सूचना प्रणाली सुरक्षा में विशेष रूप से संलग्न और सूचना प्रौद्योगिकी प्रभाग जो वास्तव में कंप्यूटर सिस्टम को लागू करता है के सुरक्षा अधिकारी / समूह (भौतिक सुरक्षा और साइबर सुरक्षा दोनों) के कर्तव्यों का अलगाव होना चाहिए। सूचना सुरक्षा कार्य में कर्मचारियों की संख्या, कौशल के स्तर और जोखिम मूल्यांकन, सुरक्षा वास्तुकला, भेद्यता मूल्यांकन, फोरेंसिक मूल्यांकन, आदि जैसी तकनीक की के संदर्भ में संसाधनों की पर्याप्ता होनी चाहिए। इसके अलावा, सिस्टम प्रशासन, डेटाबेस प्रशासन और लेनदेन प्रसंस्करण से संबंधित जिम्मेदारियों में स्पष्ट विभाजन होना चाहिए।
सी. भूमिका आधारित अभिगम नियंत्रण - सूचना तक पहुंच अच्छी तरह से परिभाषित उपयोगकर्ता भूमिकाओं (सिस्टम प्रशासक, उपयोगकर्ता प्रबंधक, एप्लिकेशन स्वामी आदि) पर आधारित होनी चाहिए। एनबीएफसी को किसी विशेष कार्य के लिए एक या कुछ व्यक्तियों पर निर्भरता से बचना चाहिए। उपयोगकर्ता प्रोफाइल और अनुमतियों और प्रमुख व्यावसायिक मापदंडों (जैसे ब्याज दरों) को अपग्रेड / परिवर्तित करने के अधिकार स्पष्ट रूप से विभाजित होने चाहिए और इन्हें प्रलेखित किया जाना चाहिए।
डी. कार्मिक सुरक्षा - कुछ अधिकृत एप्लिकेशन मालिकों / उपयोगकर्ताओं को वित्तीय संस्थान प्रक्रियाओं का आंतरिक ज्ञान हो सकता है और वे सिस्टम और डेटा के लिए संभावित खतरा पैदा करते हैं। एनबीएफसी के पास इस संबंध में उचित जांच और संतुलन की एक प्रक्रिया होनी चाहिए। सिस्टम प्रशासक, साइबर सुरक्षा कर्मियों, आदि जैसे विशेषाधिकृत पहुंच वाले कार्मिकों की पृष्ठभूमि की कड़ी जाँच और छानबीन होनी चाहिए।
ई. भौतिक सुरक्षा - भौतिक घटकों तक शारीरिक पहुँच और इन्हें क्षति पहुंचाकर या तोड़फोड़ कर सूचना की गोपनीयता, सत्यनिष्ठा और उपलब्धता को प्रभावित किया जा सकता है। एनबीएफसी को सूचना सुरक्षा संपत्तियो की भौतिक सुरक्षा के लिए एक सुरक्षित वातावरण बनाने की आवश्यकता है जैसे कि संवेदनशील डेटा का सुरक्षित स्थान, डेटा सेंटर जैसे संवेदनशील क्षेत्रों तक सीमित पहुंच आदि।
एफ. मेकर-चेकर वित्तीय संस्थाओं की सूचना प्रणाली में प्राधिकरण के महत्वपूर्ण सिद्धांतों में से एक है। प्रत्येक लेनदेन के लिए, इसके पूरा होने के लिए आवश्यक रूप से कम से कम दो व्यक्ति होने चाहिए क्योंकि यह त्रुटि के जोखिम को कम करेगा और सूचना की विश्वसनीयता सुनिश्चित करेगा।
जी. घटना प्रबंधन - आईएस नीति को परिभाषित करना चाहिए कि घटना किसे माना जाए। एनबीएफसी सूचना सुरक्षा घटनाओं को रोकने, पता लगाने, विश्लेषण और जवाब देने के लिए प्रक्रियाओं को विकसित और कार्यान्वित करेगा।
एच. ट्रेल्स- एनबीएफसी यह सुनिश्चित करेंगे कि विनियामक और कानूनी आवश्यकताओं सहित अपनी व्यावसायिक आवश्यकताओं को पूरा करने वाली आईटी संपत्तियों के लिए ऑडिट ट्रेल मौजूद हों ताकि ऑडिट में सुविधा हो, आवश्यकता पड़ने पर फोरेंसिक साक्ष्य के रूप प्रयोग और विवाद समाधान में सहायता करना। यदि एक कर्मचारी, उदाहरण के लिए, एक अनधिकृत अनुभाग तक पहुंचने का प्रयास करता है, तो यह अनुचित गतिविधि ऑडिट ट्रेल में दर्ज की जानी चाहिए।
आई. सार्वजनिक मुख्य अवसंरचना (PKI) - NBFC डेटा की गोपनीयता, अभिगम नियंत्रण, डेटा की समग्रता, प्रमाणीकरण और गैर-मध्यस्थता सुनिश्चित करने के लिए PKI के उपयोग को बढ़ा सकती हैं।
3.2 साइबर सुरक्षा
बोर्ड अनुमोदित साइबर सुरक्षा नीति की आवश्यकता
एनबीएफसियों को बोर्ड द्वारा विधिवत अनुमोदित एक साइबर-सुरक्षा नीति स्थापित करना चाहिए, जिसमें व्यापार की जटिलता के स्तर और जोखिम के स्वीकार्य स्तर को देखते हुए साइबर खतरों से निपटने के लिए उपयुक्त दृष्टिकोण वाली कार्यनीति को स्पष्ट रूप से शामिल किया जाए। एनबीएफसियों को संगठनात्मक व्यवस्थाओं की समीक्षा करनी चाहिए ताकि सुरक्षा चिंताओं को समझा जा सके, उन पर पर्याप्त ध्यान दिया जा सके और त्वरित कार्रवाई को सक्षम करने के लिए पदानुक्रम में उचित स्तरों तक बढ़ाया जा सके।
3.3 अरक्षतिता प्रबंधन
अरक्षितता को किसी संगठन की सूचना प्रौद्योगिकी आधार चाहे वह हार्डवेयर हो या सॉफ्टवेयर में अंतर्निहित कॉन्फ़िगरेशन दोष के रूप में परिभाषित किया जा सकता है, जिसका उपयोग संगठन की संवेदनशील जानकारी एकत्र करने के लिए किसी तीसरे पक्ष द्वारा किया जा सकता है। अरक्षितता प्रबंधन, अरक्षतिता के साथ जुड़े जोखिम और लागत के आधार पर अरक्षतिता को खत्म करने या कम करने की प्रक्रिया को निर्धारित करने की एक सतत प्रक्रिया है। NBFC अरक्षतिता को प्रबंधित और समाप्त करने के लिए एक कार्यनीति तैयार कर सकते हैं और इस तरह की कार्यनीति को साइबर सुरक्षा नीति में स्पष्ट रूप से उल्लेख किया जाए।
3.4 साइबर सुरक्षा तैयारियों के संकेतक
साइबर सुदृढ़ता फ्रेमवर्क की पर्याप्तता और पालन का आकलन किया जाना चाहिए और इसे जोखिम / तैयारियों के स्तर का आकलन करने के संकेतकों के विकास के माध्यम से मापा जाना चाहिए। इन संकेतकों का उपयोग योग्य और सक्षम पेशेवरों द्वारा किए गए स्वतंत्र अनुपालन जांच और ऑडिट के माध्यम से व्यापक परीक्षण के लिए किया जाना चाहिए। कर्मचारियों सहित हितधारकों के बीच जागरूकता भी इस मूल्यांकन का एक हिस्सा बनना चाहिए।
3.5 साइबर संकट प्रबंधन योजना
एक साइबर संकट प्रबंधन योजना (CCMP) तुरंत विकसित किया जाना चाहिए और यह समग्र बोर्ड द्वारा अनुमोदित कार्यनीति का एक हिस्सा होना चाहिए। CCMP को निम्नलिखित चार पहलुओं को संबोधित करना चाहिए: (i) पहचान (ii) प्रत्युत्तर (iii) बहाली और (iv) नियंत्रण। एनबीएफसी को साइबर हमलों को रोकने और किसी भी साइबर घुसपैठ का तुरंत पता लगाने के लिए प्रभावी उपाय करने की आवश्यकता है ताकि रक्षात्मक कार्रवाई की जा सके, इसे ठीक किया जा सके और नियंत्रित किया जा सके। एनबीएफसी से अपेक्षित है कि वो जीरो डे हमला, रिमोट एक्सेस खतरा और लक्षित हमलों जैसे उभरते साइबर खतरों का सामना करने के लिए पूरी तरह से तैयार हों। अन्य बातों के अलावा, एनबीएफसी को डिनायल ऑफ सर्विस, डिस्ट्रीब्यूटेड डिनायल ऑफ सर्विस (डीडीओएस), रेन्सम वेयर/क्राइप्टो वेयर, डिस्ट्रक्टिव मालवेयर, बिजेनस ई-मेल फ्राड जिनमें स्पाम, ई-मेल फिशिंग, स्पेयर फिशिंग, व्हेलिंग, विशिंग फ्राड, ड्राइव बॉय डाउनलोड,विभिन्न प्रकार के साइबर खतरों का समाधान करने के लिए आवश्यक निवारक और सुधारात्मक उपाय करने चाहिए, जिनमें लेकिन इसमें सीमित नहीं है, सेवा से वंचित, सेवाओं से इनकार (डीडीओएस), फिरौती-वेयर / क्रिप्टो वेयर, विनाशकारी मैलवेयर, व्यापार ईमेल स्पैम, ईमेल फ़िशिंग, स्पीयर फ़िशिंग, व्हेलिंग, विशिंग फ़्रॉड, ड्राइव-बाय डाउनलोड, ब्राउज़र गेटवे फ्रॉड, घोस्ट एडमिनिस्ट्रेटर कारनामे, पहचान धोखाधड़ी, मेमोरी अपडेट धोखाधड़ी, पासवर्ड फ़्रेड, आदि।
3.6 भारिबैंक के साथ साइबर-सुरक्षा घटनाओं पर जानकारी साझा करना
एनबीएफसी के लिए यह आवश्यक है कि वह सभी प्रकार की असामान्य सुरक्षा घटनाओं (सफल और साथ ही प्रयास की गई घटनाएं जो सफल नहीं हुई) जैसा कि अनुलग्नक I के बिंदु संख्या 2 में निर्दिष्ट है की रिपोर्टिंग डीएनबीएस सेंट्रल ऑफिस, मुंबई को करे। अनुलग्नक I साइबर सुरक्षा घटनाओं सहित मूलभूत सूचनाओं से संबंधित है जैसा कि अनुलग्नक I के सीएसआईआर फॉर्म में विनिर्दिष्ट है। रिपोर्टिंग के अन्य विवरणों को अनुलग्नक I के अनुसार टेम्पलेट में प्रदान किया गया है।
3.7 हितधारकों / शीर्ष प्रबंधन / बोर्ड के मध्य साइबर-सुरक्षा जागरूकता
यह समझना चाहिए कि साइबर जोखिम को प्रबंधित करने के लिए साइबर-सुरक्षित वातावरण बनाने के लिए पूरे संगठन की प्रतिबद्धता की आवश्यकता होती है। इसके लिए सभी स्तरों पर कर्मचारियों के बीच उच्च स्तर की जागरूकता की आवश्यकता होगी। शीर्ष प्रबंधन और बोर्ड को भी खतरों की अतिसुक्ष्म बारिकियों की उचित जानकारी होनी चाहिए एवं इसके बारे में उचित अभिज्ञता हेतु जागरुकता कार्यक्रम का आयोजन किया जाए। एनबीएफसी पूरी सक्रियता से अपने ग्राहकों, विक्रेताओं, सेवा प्रदाताओं और अन्य संबंधित हितधारकों के बीच अपने साइबर लोच के उद्देश्यों और इसकी आवश्यकता की समझ को बढ़ावा दें, और उनके समायोजित कार्यान्वयन और परीक्षण की सहायता के लिए उचित कार्रवाई सुनिश्चित करें।
3.8 डिजिटल हस्ताक्षर
एक डिजिटल हस्ताक्षर प्रमाण पत्र इलेक्ट्रॉनिक रूप से इकाई की पहचान को प्रमाणित करता है। यह डिजिटल हस्ताक्षर प्रमाणपत्र का उपयोग करके एक्सचेंज की गई जानकारी की पूर्ण गोपनीयता सुनिश्चित करके ऑनलाइन लेनदेन के लिए उच्च स्तर की सुरक्षा भी प्रदान करता है। एनबीएफसी महत्वपूर्ण इलेक्ट्रॉनिक दस्तावेजों की प्रामाणिकता और अखंडता की रक्षा और उच्च मूल्य निधि हस्तांतरण के लिए डिजिटल हस्ताक्षरों के उपयोग पर विचार कर सकते हैं।
3.9 आईटी जोखिम मूल्यांकन
एनबीएफसी कम से कम वार्षिक आधार पर अपने आईटी सिस्टम का व्यापक जोखिम मूल्यांकन करें। मूल्यांकन में एनबीएफसी की सूचना प्रौद्योगिकी परिसंपत्तियों और उसके मौजूदा सुरक्षा नियंत्रणों और प्रक्रियाओं के खतरों और भेद्यता का विश्लेषण करना चाहिए। अभ्यास का उद्देश्य मौजूद जोखिमों का पता लगाना और जोखिमों के उचित शमन के लिए आवश्यक नियंत्रण के उचित स्तर का निर्धारण करना होना चाहिए। जोखिम मूल्यांकन को मुख्य जोखिम अधिकारी (सीआरओ), सीआईओ और एनबीएफसी के बोर्ड के संज्ञान में लाया जाना चाहिए और इसे सूचना सुरक्षा लेखा परीक्षकों को इनपुट के रूप में प्रदान किया जाना चाहिए।
3.10 मोबाइल वित्तीय सेवाएँ
एनबीएफसी जो पहले से मोबाइल वित्तीय सेवाओं का उपयोग कर रहे हैं या करना चाहते हैं, उन्हें ग्राहकों को सेवाएं प्रदान करने के लिए मोबाइल एप्लिकेशन द्वारा उपयोग की जाने वाली सूचना परिसंपत्तियों की सुरक्षा के लिए एक तंत्र विकसित करना चाहिए। मोबाइल सेवाओं के लिए उपयोग की जाने वाली तकनीक गोपनीयता, अखंडता, प्रामाणिकता सुनिश्चित करने वाली होनी चाहिए और इसमें एंड-टू-एंड एन्क्रिप्शन की व्यवस्था अवश्य होनी चाहिए।
3.11 सोशल मीडिया जोखिम
अपने उत्पादों के विपणन के लिए सोशल मीडिया का उपयोग करने वाले एनबीएफसियों को सोशल मीडिया जोखिमों और खतरों से निपटने में पूरी तरह सुसज्जित होना चाहिए। चूंकि सोशल मीडिया में सहजता से अकाउंट टेकओवर और मालवेयर वितरण किया जा सकता है ऐसे में एन्क्रिप्शन और सुरक्षित कनेक्शन जैसे उचित नियंत्रण, ऐसे जोखिमों को कम करने के लिए प्रचलित होना चाहिए।
3.12 प्रशिक्षण
मानव संपर्क सूचना सुरक्षा श्रृंखला की सबसे कमजोर कड़ी है। इसलिए, एक प्रारंभिक और चल रहे प्रशिक्षण और सूचना सुरक्षा जागरूकता कार्यक्रम की महत्वपूर्ण आवश्यकता है। सूचना प्रौद्योगिकी प्रणाली, खतरों / अरक्षतिता और / या सूचना सुरक्षा ढांचे में बदलाव को ध्यान में रखते हुए कार्यक्रम को समय-समय पर अद्यतन किया जा सकता है। मूल्यांकन / परीक्षा प्रक्रिया के माध्यम से प्रशिक्षण कार्यक्रमों की प्रभावशीलता को ट्रैक करने के लिए एक तंत्र होने की आवश्यकता है। किसी भी समय, एनबीएफसी को उपयोगकर्ता सुरक्षा और सूचना सुरक्षा से संबंधित जागरूकता पर एक अद्यतन स्थिति बनाए रखने की आवश्यकता है।
आईटी परिचालन
4आईटी परिचालन में सूचना के प्रसंस्करण और भंडारण को प्रोत्साहित किया जाना चाहिए, ताकि आवश्यक जानकारी समयबद्ध, विश्वसनीय, सुरक्षित और लचीला रूप में उपलब्ध हो। बोर्ड या वरिष्ठ प्रबंधन को मौजूदा और नियोजित आईटी परिचालनों और जोखिम सहिष्णुता से जुड़े जोखिम को ध्यान में रखे और फिर जोखिम प्रबंधन के लिए नीति बनाए और इसकी निगरानी करे।
4.1 सूचना प्रणाली (नया अनुप्रयोग सॉफ्टवेयर) और परिवर्तन प्रबंध का अधिग्रहण और विकास
आईटी परियोजनाओं को लागू करते समय यह अनुभव रहा है कि खराब सिस्टम डिजाइन और कार्यान्वयन के साथ-साथ अपर्याप्त परीक्षण के कारण कई प्रणालियां विफल हो जाती हैं। एनबीएफसी सिस्टम की डिजाइन, विकास और परीक्षण चरणों में सिस्टम की कमियों और दोषों की पहचान करें।
NBFC एक संचालन समिति स्थापित करें, जिसमें व्यवसाय के मालिकों, विकास टीम और अन्य हितधारकों को शामिल किया जाए, जो परियोजना की प्रगति का पर्यवेक्षण और निगरानी कर सके, जिसमें परियोजना के प्रत्येक चरण में विकसित होने वाले उत्पादों को शामिल करना और परियोजना के समय सीमा के अनुसार उत्पाद के विकास का काम पूरा करना भी शामिल है।
4.2 एनबीएफसी को अपने आईटी सिस्टम को अपने ग्राहकों और व्यवसाय की बदलती जरूरतों के अनुरूप नियमित आधार पर बदलने की आवश्यकता है। बदलाव इस तरह से किया जाना चाहिए कि प्रतिकूल घटनाओं और सेवाओं में व्यवधान कम से कम हो सके और ग्राहकों को इससे अधिकतम लाभ हो। इस प्रयोजन के लिए, एनबीएफसी अपनी बोर्ड की मंजूरी के साथ, एक परिवर्तन प्रबंधन नीति विकसित करें, जिसमें निम्नलिखित शामिल हों:
ए. व्यवसाय से परिवर्तन प्रस्तावों को प्राथमिकता और जवाब देना,
बी. प्रस्तावित परिवर्तनों का लागत लाभ विश्लेषण,
सी. प्रस्तावित परिवर्तनों से जुड़े जोखिमों का आकलन करना,
डी. कार्यान्वयन, निगरानी और रिपोर्टिंग में बदलाव।
यह सुनिश्चित करना कि परिवर्तन प्रबंधन नीति का पालन निरंतर आधार पर किया जा रहा है, वरिष्ठ प्रबंधन की ज़िम्मेदारी होनी चाहिए।
4.3 आईटी सक्षम प्रबंधन सूचना प्रणाली
एनबीएफसी का आईटी कार्य व्यवसाय की जरूरतों के अनुसार विभिन्न व्यावसायिक कार्यों के संबंध में एक मजबूत और व्यापक प्रबंधन सूचना प्रणाली (एमआईएस) को प्रोत्साहित करने वाला होना चाहिए। एक अच्छे एमआईएस को शीर्ष प्रबंधन सहित व्यवसाय में सभी स्तरों पर सूचना की जरूरतों का ध्यान रखना चाहिए।
4.4 एनबीएफसी एमआईएस स्थापित कर सकते हैं जो शीर्ष प्रबंधन के साथ-साथ निर्णय लेने में व्यवसाय प्रमुखों की भी सहायता करे और विभिन्न व्यावसायिक कार्यक्षेत्रों के संचालन पर भी नजर बनाए रखे। मजबूत आईटी प्रणाली होने पर, एनबीएफसी के पास प्रभावी सिस्टम जनित एमआईएस के भाग के रूप में निम्न हो सकते हैं (सांकेतिक सूची)
ए. शीर्ष प्रबंधन के लिए लक्ष्य की तुलना में वित्तीय स्थिति को संक्षिप्त रूप में प्रस्तुत करने वाला एक डैशबोर्ड। इसमें श्रेणियों के आधार पर परिसंपत्तियों पर रिटर्न की प्रवृत्ति, प्रमुख विकास व्यवसाय सेगमेंट, नेट-वर्थ की आवाजाही आदि की जानकारी शामिल हो सकती है।
बी. विशेष उल्लेख खातों और एनपीए का सिस्टम समर्थित पहचान और वर्गीकरण और इस संबंध में एमआईएस रिपोर्ट जेनरेट करना।
सी. एमआईएस उत्पादों, विशेषतः बड़े मूल्य के ऋण के मूल्य निर्धारण मे सुगमता प्रदान करने वाला होना चाहिए।
डी. MIS को नियामक आवश्यकताओं और उनका अनुपालन भी प्रदर्शित करना चाहिए।
ई. परिचालन और गैर-परिचालन राजस्व और व्यय, अनुभाग / वर्टिकल की लागत लाभ विश्लेषण, धन की लागत, आदि सहित वित्तीय रिपोर्ट (लेनदेन स्तर पर विनियामक अनुपालन भी)
एफ. कोषागार परिचालन से संबंधित रिपोर्ट।
जी. धोखाधड़ी विश्लेषण - संदेहास्पद लेन-देन विश्लेषण, गबन, चोरी या संदिग्ध धन-शोधन, संपत्ति का दुरुपयोग, वित्तीय रिकॉर्ड का हेरफेर आदि। आरबीआई को धोखाधड़ी की रिपोर्टिंग की नियामक आवश्यकता प्रणाली संचालित होनी चाहिए।
एच. आईटी सुरक्षा प्रणालियों की क्षमता और प्रदर्शन विश्लेषण।
आई. घटनाओं की रिपोर्टिंग एवं उनका प्रभाव और भविष्य में ऐसी घटनाएं दोबार न घटित हों इसके लिए उठाए गए कदम।
4.5 पर्यवेक्षी आवश्यकताओं के लिए एमआईएस - महत्वपूर्ण निर्णय लेने में प्रबंधन की सहायता करने वाले एमआईएस पर्यवेक्षक के लिए आवश्यक जानकारी / रिटर्न तैयार करने में भी सहायता करेंगे। एमआईएस डिजाइन करते समय रिपोर्टिंग सिस्टम(पर्यवेक्षक को) की वर्तमान संरचना को ध्यान में रखा जाना चाहिए। सभी विनियामक / पर्यवेक्षी रिटर्न सिस्टम संचालित होने चाहिए; एनबीएफसी की एमआईएस प्रणाली और सीओएसएमओएस के तहत रिपोर्टिंग के बीच सहज एकीकरण होना चाहिए। इसके अलावा, यह आवश्यक है कि आरबीआई निरीक्षकों को “केवल पढ़ने के लिए” पहुंच प्रदान की जाए।
आईएस ऑडिट
5. सूचना प्रणाली लेखा परीक्षा (आईएस ऑडिट) के लिए नीति।
आईएस ऑडिट का उद्देश्य संगठन की आईटी अवसंरचना की गोपनीयता, अखंडता और उपलब्धता सुनिश्चित करने के लिए स्थापित नियंत्रण की प्रभावशीलता पर एक अंतर्दृष्टि प्रदान करना है। आईएस ऑडिट, आईटी अवसंरचना जैसे सर्वर आर्किटेक्चर, स्थानीय और व्यापक क्षेत्र नेटवर्क, भौतिक और सूचना सुरक्षा, दूरसंचार आदि से उत्पन्न जोखिम को कम करने के लिए जोखिम और तरीकों की पहचान करे।
5.1 आईएस ऑडिट को एनबीएफसी के आंतरिक लेखापरीक्षा प्रणाली का अभिन्न अंग होना चाहिए। आईएस की रूपरेखा तैयार करते समय, एनबीएफसी इस संबंध में ISACA, IIA, ICAI जैसे व्यावसायिक निकायों द्वारा जारी मार्गदर्शन का अनुपालन करेगा। ICAI ने "मानक आंतरिक लेखा परीक्षा (SIA) 14: आंतरिक लेखा परीक्षा सूचना प्रौद्योगिकी वातावरण" विषय पर प्रकाशित किया है। एनबीएफसी अपने बोर्ड द्वारा विधिवत अनुमोदित एक आईएस ऑडिट ढांचा अपनाएं। इसके अलावा, एनबीएफसी के पास ऑडिट समिति में पर्याप्त रूप से कुशल कर्मचारी होंने चाहिए जो आईएस ऑडिट के परिणामों को समझ सकें।
5.2 कवरेज: आईएस ऑडिट में आईटी प्रणालियों की नीति और निरीक्षण की प्रभावशीलता, प्रक्रियाओं और आंतरिक नियंत्रणों की पर्याप्तता का मूल्यांकन करना, कमियों को दूर करने के लिए सुधारात्मक कार्रवाई की सिफारिश करना और इसके लिए फॉलो-अप करना। आईएस ऑडिट को व्यापार निरंतरता योजना, आपदा वसूली संरचना प्रभावशीलता का भी मूल्यांकन करना चाहिए और यह सुनिश्चित करना चाहिए कि संगठन में BCP प्रभावी रूप से लागू हो। आईएस ऑडिट की प्रक्रिया के दौरान, सभी लागू कानूनी और वैधानिक आवश्यकताओं के अनुपालन को उचित महत्व दिया जाना चाहिए।
5.3 कार्मिक - आईएस ऑडिट एनबीएफसी की आंतरिक टीम द्वारा किया जा सकता है। अपर्याप्त आंतरिक कौशल के मामले में, एनबीएफसी इस उद्देश्य के लिए आईटी / आईएस ऑडिट के क्षेत्र में पर्याप्त विशेषज्ञता रखने वाली बाहरी एजेंसी की नियुक्ति कर सकते हैं। इन मानकों की तुलना में इनकी रूपरेखा की प्रभावकारिता का आकलन करने के लिए कानूनी और विनियामक आवश्यकताओं के कौशल और समझ का सही मिश्रण होना चाहिए। IS लेखा परीक्षकों को रवैये और उपस्थिति दोनों में एनबीएफसी के प्रबंधन से स्वतंत्र रूप से कार्य करना चाहिए। बाहरी पेशेवर सेवा प्रदाताओं को नियोजित करने के मामले में, स्वतंत्रता और जवाबदेही के मुद्दों का ठीक से समाधान किया जाना चाहिए।
5.4 आवधिकता- आईएस ऑडिट की आवधिकता आदर्श रूप से एनबीएफसी के आकार और संचालन पर आधारित होनी चाहिए, लेकिन वर्ष में कम से कम एक बार आयोजित की जा सकती है। आईएस ऑडिट को वैधानिक ऑडिट से पहले प्राथमिकता से किया जाना चाहिए ताकि आईएसआई ऑडिट रिपोर्ट समय-समय पर वैधानिक लेखा परीक्षकों को निरीक्षण के लिए और ऑडिट रिपोर्ट में टिप्पणियों, यदि कोई हो, को शामिल करने के लिए अच्छी तरह से उपलब्ध हो।
5.5 रिपोर्टिंग - रूपरेखा में रिपोर्टिंग ढांचे को को स्पष्ट रूप से निर्धारित किया जाना चाहिए, चाहे बोर्ड या बोर्ड की एक समित यथा. बोर्ड की लेखा परीक्षा समिति (ACB)
5.6 अनुपालन - एनबीएफसी का प्रबंधन आईएस ऑडिट के दौरान कथित टिप्पणियों और सिफारिशों के जवाब में की जाने वाली उचित कार्रवाई का निर्णय लेने के लिए जिम्मेदार है। अनुपालन के अनुपालन / निर्वाह के लिए जिम्मेदारियां, रिपोर्टिंग लाइनें, अनुपालन प्रस्तुत करने की समय - सीमा, अनुपालन स्वीकार करने के लिए प्राधिकरण का फ्रेमवर्क में स्पष्ट रूप से उल्लेख किया जाना चाहिए। फ्रेमवर्क में लेखा परीक्षकों / निरीक्षण / नियामक अधिकारियों के लिए ऑडिट-मोड एक्सेस की व्यवस्था होनी चाहिए।
5.7 कंप्यूटर-असिस्टेड ऑडिट तकनीक (सीएएटी): एनबीएफसी आईएस ऑडिट के संचालन के लिए मैनुअल तकनीकों और सीएएटी का उचित मिश्रण अपनाएंगे। सीएएटी का उपयोग महत्वपूर्ण क्षेत्रों में किया जा सकता है (जैसे राजस्व हानि का पता लगाना, ट्रेजरी फ़ंक्शन, नियंत्रण में कमी के प्रभाव का आकलन करना, एएमएल आवश्यकताओं एवं आमतौर पर उन क्षेत्रों में जहां लेनदेन की एक बड़ी मात्रा की सूचना दी जाती के तहत ग्राहक लेनदेन की निगरानी करना) विशेष रूप से महत्वपूर्ण कार्यों या प्रक्रियाओं के लिए वित्तीय / नियामक / कानूनी पहलू।
कारोबार निरंतरता योजना
6. कारोबार निरंतरता योजना (BCP) और आपदा वसूली
बीसीपी किसी संगठन के समग्र व्यापार निरंतरता प्रबंधन योजना का एक महत्वपूर्ण हिस्सा है, जिसमें महत्वपूर्ण व्यावसायिक प्रक्रियाओं की निरंतरता, बहाली और वसूली सुनिश्चित करने के लिए नीतियां, मानक और प्रक्रियाएं शामिल हैं। बीसीपी को किसी आपदा से उत्पन्न होने वाले परिचालन, वित्तीय, कानूनी, प्रतिष्ठा संबंधी और अन्य महत्वपूर्ण परिणामों को कम करने के लिए डिज़ाइन किया जाना चाहिए।
एनबीएफसी को बोर्ड अनुमोदित बीसीपी नीति अपनानी चाहिए। समय-समय पर रिपोर्टों के माध्यम से बोर्ड द्वारा बीसीपी के कामकाज की निगरानी की जानी चाहिए। CIO निरंतर प्रभावशीलता सुनिश्चित करने के लिए BCP के निर्माण, समीक्षा और निगरानी के लिए जिम्मेदार होगा। BCP में निम्नलिखित मुख्य विशेषताएं होंगीः-
6.1 व्यावसायिक प्रभाव विश्लेषण- NBFC विस्तृत व्यावसायिक प्रभाव विश्लेषण तैयार करने के लिए महत्वपूर्ण व्यावसायिक कार्यक्षेत्रों, स्थानों और साझा संसाधनों की पहचान करेंगें। यह प्रक्रिया एनबीएफसी के व्यापार पर किसी भी अप्रत्याशित प्राकृतिक या मानव निर्मित आपदाओं के प्रभाव पर विचार करेगी। संस्था प्राथमिकता के क्रम में व्यावसायिक प्रभाव क्षेत्रों को स्पष्ट रूप से सूचीबद्ध करेगी।
6.2 वसूली कार्यनीति / आकस्मिक योजना - NBFC विभिन्न प्रणालियों, विभागों और व्यावसायिक प्रक्रियाओं के बीच अंतर्संबंधों से जुड़ी अरक्षितता को पूरी तरह से समझने का प्रयास करेगी। BCP विभिन्न विफलता परिदृश्यों की संभावनाएं स्पष्ट होना चाहिए। वसूली के लिए विभिन्न विकल्पों का मूल्यांकन किया जाना चाहिए और आपदा की स्थिति में नुकसान को कम करने के लिए सबसे प्रभावी, व्यावहारिक कार्यनीति का चयन किया जाना चाहिए।
6.3 एनबीएफसी अपने महत्वपूर्ण व्यापार प्रणालियों और डेटा केंद्रों के लिए आवश्यक बैकअप साइटों को रखने की आवश्यकता पर विचार करें।
6.4 एनबीएफसी बीसीपी की वार्षिक आधार पर या जब महत्वपूर्ण आईटी या व्यावसायिक घटना घटित होती है तो यह निर्धारित करने के लिए कि क्या आकस्मिकता योजना में बताई गई समय सीमा के भीतर इकाई को व्यापार के स्वीकार्य स्तर तक पहुंचाया जा सकता है, परीक्षण करेंगे। परीक्षण 'सबसे खराब स्थिति' पर आधारित होना चाहिए। अंतर विश्लेषण के साथ परिणाम सीआईओ और बोर्ड के सामने रखे जाएं। बोर्ड की अंतर्दृष्टि के साथ GAP विश्लेषण को अद्यतन BCP के निर्माण का आधार बनाना चाहिए।
आईटी सेवा की आउटसोर्सिंग
7. आईटी सेवा आउटसोर्सिंग के लिए नीति
आईटी से संबंधित व्यावसायिक प्रक्रिया की आउटसोर्सिंग एनबीएफसी को मूल्यवान कार्यनीतिक और आर्थिक लाभों को साकार करने का अवसर प्रदान कर सकती है। हालांकि, किसी भी आउटसोर्सिंग व्यवस्था के शुरू होने से पहले, जोखिम, अनुबंध व्यवस्था की जोखिम और नियामक अनुपालन दायित्वों पर ध्यानपूर्वक विचार कर लेना चाहिए। कंपनियां आमतौर पर उच्च दक्षता, अपर्याप्त संसाधनों और विशेष ज्ञान की कमी के कारण अपनी आईटी संबंधित व्यवसाय प्रक्रिया को तीसरे पक्ष के विक्रेता को आउटसोर्स करती हैं। आईटी सेवाओं को आउटसोर्स करने के एनबीएफसी के फैसले को संस्थान के समग्र कार्यनीति योजना और कॉर्पोरेट उद्देश्यों के अनुरूप होना चाहिए।
7.1 एनबीएफसी और आउटसोर्सिंग सेवा प्रदाता के बीच अनुबंध को नियंत्रित करने वाले नियमों और शर्तों को लिखित समझौतों में सावधानीपूर्वक परिभाषित किया जाना चाहिए और एनबीएफसी के कानूनी वकील द्वारा उनके कानूनी प्रभाव और प्रवर्तनीयता की बारिकी से जांच की जानी चाहिए। अनुबंध संबंधी समझौते में निम्नलिखित प्रावधान होने चाहिएः-
ए) निगरानी और पर्यवेक्षण: एनबीएफसी के सेवा प्रदाता द्वारा निरंतर निगरानी और मूल्यांकन प्रदान करना चाहिए ताकि कोई भी आवश्यक सुधारात्मक उपाय तुरंत किया जा सके। आउटसोर्सिंग सेवा प्रदाता के पास आउटसोर्स की गई डेटा / एप्लिकेशन की सुरक्षा सुनिश्चित करने के लिए पर्याप्त सिस्टम और प्रक्रियाएं होनी चाहिए।
बी) बही और रिकार्ड तक पहुंच / लेखा परीक्षा और निरीक्षण:इसमें शामिल होंगे:
i) सुनिश्चित करें कि NBFC के पास सेवा प्रदाता के पास उपलब्ध आउटसोर्स की गई गतिविधि के लिए प्रासंगिक सभी बही, रिकॉर्डों और सूचनाओं तक पहुँचने की क्षमता है। प्रौद्योगिकी आउटसोर्सिंग के लिए, प्रशासनिक गतिविधियों के लिए अपेक्षित ऑडिट ट्रेल्स और लॉग को अनुमोदित अनुरोधों के आधार पर एनबीएफसी के पास बनाए रखा जाना चाहिए और सुलभ होना चाहिए।
ii) एनबीएफसी को सेवा प्रदाता का ऑडिट करने का अधिकार प्रदान करें चाहे यह इसके आंतरिक या बाहरी लेखा परीक्षकों द्वारा, या इसकी ओर से कार्य करने के लिए नियुक्त बाहरी विशेषज्ञों द्वारा किया जाए। एनबीएफसी के पास सेवा प्रदाता द्वारा एनबीएफसी के लिए की गई किसी भी ऑडिट या समीक्षा रिपोर्ट या निष्कर्ष की प्रति प्राप्त करने का भी अधिकार होना चाहिए।
iii) अनुबंध समझौते में भारतीय रिज़र्व बैंक या इसके द्वारा अधिकृत व्यक्तियों कोNBFC के दस्तावेज़, लेनदेन के रिकॉर्ड और सेवा प्रदाता द्वारा निर्दिष्ट संग्रहीत या संसाधित की गई अन्य आवश्यक जानकारी तक उचित समय के भीतर पहुंच प्रदान करने की शर्त शामिल होनी चाहिए। इसमें कागज और इलेक्ट्रॉनिक प्रारूपों में रखी गई जानकारी भी शामिल है।
7.2 बोर्ड और वरिष्ठ प्रबंधन अंततः आउटसोर्सिंग संचालन ’और ऐसे आउटसोर्सिंग संबंधों में निहित जोखिमों के प्रबंधन के लिए जिम्मेदार हैं। एनबीएफसी के निदेशक मंडल सभी आउटसोर्सिंग निर्णयों के प्रभावी पूर्ण तत्परता, पर्यवेक्षण, आउटसोर्सिंग के प्रबंधन एवं जवाबदेही के लिए जिम्मेदार है। सभी आईटी आउटसोर्स कार्यों के लिए एक प्रभावी शासन तंत्र और जोखिम प्रबंधन प्रक्रिया स्थापित करने की जिम्मेदारी बोर्ड और आईटी कार्यनीति समिति की है।
7.3 आउटसोर्स किए गए कार्यों के संबंध में आईटी कार्यनीति समिति की भूमिका में निम्न शामिल रहेंगेः-
ए) आउटसोर्स की गई प्रक्रियाओं के लिए एक उपयुक्त शासन तंत्र का निर्माण करना, जिसमें जोखिम आधारित नीतियों और प्रक्रियाओं का समावेश हो, जो कि आउटसोर्सिंग से शुरू से अंत तक जुड़े जोखिमों को प्रभावी ढंग से पहचाना जा सके, मापा जा सके, निगरानी और नियंत्रण किया जा सके।
बी) जोखिमों की प्रकृति और आउटसोर्सिंग की भौतिकता के आधार पर आउटसोर्सिंग के लिए अनुमोदन अधिकारियों को परिभाषित करना;
सी) विकासशील व्यवस्था की प्रकृति, कार्यक्षेत्र और जटिलता के अनुरूप मजबूत और उत्तरदायी आउटसोर्सिंग जोखिम प्रबंधन नीतियों और प्रक्रियाओं का विकास;
डी) आउटसोर्सिंग कार्यनीतियों और सभी मौजूदा महत्वपूर्ण आउटसोर्सिंग व्यवस्था की आवधिक समीक्षा करना;
ई) बोर्ड द्वारा विकसित ढांचे के आधार पर सभी संभावित आउटसोर्सिंग के जोखिम और महत्व का मूल्यांकन;
एफ) नीतियों और प्रक्रियाओं की प्रभावशीलता की समय-समय पर समीक्षा;
जी) समय-समय पर एनबीएफसी के बोर्ड को आउटसोर्सिंग से जुड़े महत्वपूर्ण जोखिमों के बारे में सूचित करना।
एच) अनुमोदित नीतियों और प्रक्रियाओं के अनुसार एक स्वतंत्र समीक्षा और ऑडिट सुनिश्चित करना;
आई) यह सुनिश्चित करना कि आकस्मिक योजनाओं को पर्याप्त रूप से विकसित और परीक्षण किया गया है;
जे) एनबीएफसी को यह सुनिश्चित करना चाहिए कि आउटसोर्सिंग के कारण उनकी व्यावसायिक निरंतरता की तैयारियों पर प्रतिकूल प्रभाव न पड़े। एनबीएफसी से उम्मीद की जाती है कि वह आरबीआई द्वारा जारी किए गए ठोस व्यवसाय निरंतरता प्रबंधन प्रथाओं को अपनाए और व्यावहारिक आश्वासन प्राप्त करे कि आउटसोर्स सेवा प्रदाता निरंतर आधार पर व्यापार निरंतरता की शीघ्रता और तत्परता बनाए रखेगा।
अध्याय – बी
रु 500 करोड़ से नीचे की संपत्ति आकार वाले एनबीएफसी के लिए संस्तुतियां
8. यह अनुशंसा की जाती है कि छोटे एनबीएफसी मुख्य रूप से डेटाबेस को बनाए रखने के लिए बुनियादी आईटी सिस्टम विकसित करना शुरू कर सकते हैं। रु 500 करोड़ से नीचे की संपत्ति का आकार रखने वाले NBFC के पास बोर्ड द्वारा अनुमोदित सूचना प्रौद्योगिकी नीति / सूचना प्रणाली नीति होगी। इस नीति को नीचे उल्लेख किए गए आधारभूत मानकों को ध्यान में रखते हुए तैयार किया जा सकता है और इसे 30 सितंबर, 2018 तक लागू किया जाएगा। आईटी सिस्टम में निम्नलिखित होंगे:
I. बुनियादी सुरक्षा पहलू जैसे कि भौतिक / लॉजिकल पहुंच नियंत्रण और अच्छी तरह से परिभाषित पासवर्ड नीति;
II. एक अच्छी तरह से परिभाषित उपयोगकर्ता भूमिका;
III. त्रुटि और दुरुपयोग के जोखिम को कम करने और डेटा / सूचना की विश्वसनीयता सुनिश्चित करने के लिए एक मेकर-चेकर अवधारणा;
IV. सूचना सुरक्षा और साइबर सुरक्षा;
V. मोबाइल फाइनेंशियल सर्विसेज, सोशल मीडिया और डिजिटल सिग्नेचर सर्टिफिकेट के संबंध में आवश्यकताएं जैसा कि उपर्युक्त पैरा 3.18, 3.10 और 3.11 में उल्लेख किया गया है।
VI. उच्च प्रबंधन के लिए सिस्टम जनित रिपोर्ट जिसमें वित्तीय स्थिति का सारांश प्रस्तुत किया गया हो जिसमें परिचालन और गैर-परिचालन राजस्व और व्यय, अनुभाग / वर्टिकल की लागत लाभ विश्लेषण, धन की लागत, आदि शामिल हो।
VII. RBI (COSMOS रिटर्न) को विनियामक रिटर्न दाखिल करने की पर्याप्तता;
VIII. समय-समय पर रिपोर्ट (प्रत्येक वर्ष में कम से कम एक बार) के माध्यम से बोर्ड की नियमित निगरानी सुनिश्चित करने के लिए बोर्ड द्वारा विधिवत अनुमोदित एक बीसीपी नीति;
IX. आवधिक परीक्षण के साथ डेटा के बैकअप की व्यवस्था।
8.1 एनबीएफसी के संचालन का आकार और जटिलता में वृद्धि के साथ आईटी सिस्टम को उत्तरोत्तर बढ़ाया जाना चाहिए। |