कागजी IT अडिटले पूँजीबजार सुरक्षित हुन्छ ? सेबोनको मौनतामाथि गम्भीर प्रश्न

-डिडी राजा

 

नेपालको पूँजी बजार पछिल्ला वर्षहरूमा तीव्र गतिमा डिजिटल रूपान्तरणतर्फ अग्रसर हुँदै आएको छ। मोबाइल एपमार्फत अर्डर प्रविष्ट गर्ने, API को प्रयोगबाट कारोबार सञ्चालन गर्ने तथा स्वचालित ट्रेडिङ प्रणाली अपनाउने प्रवृत्ति उल्लेख्य रूपमा बढेको छ। यस्ता प्रविधिमैत्री अभ्याससँगै, स्पष्ट कानुनी अनुमति नहुँदाहुँदै पनि केही लगानीकर्ताले बोट (bot) तथा अनधिकृत स्वचालित प्रणालीमार्फत अर्डर राख्ने गतिविधि विस्तार गर्दै गएको देखिन्छ। यसले बजारको पारदर्शिता, निष्पक्षता र नियमित सञ्चालनमा थप जोखिम सिर्जना गरिरहेको छ।

यही परिवर्तित प्राविधिक परिवेशका बीच नेपाल स्टक एक्सचेञ्ज (नेप्से) ले सार्वजनिक गरेको ‘IT Audit Guidelines–2026’ बाट बजार सुरक्षाको आधार बलियो हुने अपेक्षा गरिएको थियो। तर निर्देशिकाको सूक्ष्म अध्ययन तथा क्षेत्रीय र अन्तर्राष्ट्रिय मापदण्डसँग तुलना गर्दा यसको उद्देश्य सीमित, संरचना कमजोर र नियामकीय कार्यान्वयन पक्ष अपर्याप्त देखिन्छ।

१. ब्रोकर प्रणालीका वास्तविक जोखिम समेट्न नसकेको निर्देशिका

निर्देशिकाले ब्रोकरहरूको सम्पूर्ण आईटी प्रणालीको लेखापरीक्षण गर्ने लक्ष्य राखे पनि यसको संरचना मुख्यतः IT General Controls (IGC) मा केन्द्रित देखिन्छ। पासवर्ड नीति, एन्टिभाइरस, ब्याकअप, कागजी अभिलेखीकरण तथा नेटवर्क स्वच्छता जस्ता आधारभूत प्रावधानहरू समेटिए पनि पूँजी बजारमा उत्पन्न हुने जटिल तथा उच्च जोखिमयुक्त प्राविधिक चुनौतीहरू सम्बोधन गर्न यी उपाय पर्याप्त हुँदैनन्। यस अर्थमा निर्देशिका सामान्य ‘आईटी स्वच्छता सूची’ जस्तै सीमित बनेको छ।

ब्रोकर प्रणालीको केन्द्रीय भाग मानिने Trading Infrastructure(जस्तै OMS, TMS, API तथा ब्याक अफिस प्रणाली)सम्बन्धी जोखिमलाई पर्याप्त प्राथमिकता दिइएको देखिँदैन। विशेषगरी बजार दुरुपयोग, त्रुटिपूर्ण अर्डर प्रविष्टि, अनधिकृत स्वचालित कारोबार तथा API/Algo दुरुपयोग नियन्त्रणका लागि आवश्यक सुरक्षात्मक संयन्त्र(जस्तै Order Validation, Risk Management System (RMS), API दुरुपयोग पहिचान र एल्गोरिद्मिक दुरुपयोग परीक्षण)स्पष्ट रूपमा उल्लेखित छैनन्। यिनै क्षेत्रमा सबैभन्दा गम्भीर जोखिम उत्पन्न हुने सम्भावना रहँदा पनि त्यसलाई प्राथमिकता नदिनु नियमनको प्रभावकारितामै प्रश्न उठाउने विषय हो।

२. लेखापरीक्षक छनोटका मापदण्ड कमजोर

निर्देशिकामा उल्लेख गरिएको Auditor Selection सम्बन्धी व्यवस्था सतही र अपूरो देखिन्छ। उच्च जोखिमयुक्त ब्रोकर प्रणालीको आईटी लेखापरीक्षणका लागि आवश्यक प्राविधिक योग्यता, प्रमाणीकरण तथा अनुभवसम्बन्धी स्पष्ट मापदण्ड नहुँदा नियमनको विश्वसनीयतामा नै असर पर्न सक्छ।

अनिवार्य प्रमाणपत्र वा प्राविधिक दक्षता सम्बन्धी स्पष्ट प्रावधान छैन। हित–संघर्ष (conflict of interest) रोकथामको बाध्यकारी व्यवस्था उल्लेखित छैन। Auditor rotation वा cooling-off period जस्ता आधारभूत नियामकीय अभ्याससमेत समेटिएको छैन।

यस सन्दर्भमा भारतका नियामक निकायहरू(SEBI र NSE)ले अपनाएका कडा मापदण्ड उल्लेखनीय छन्, जहाँ auditor empanelment, प्राविधिक योग्यता, अनिवार्य रोटेशन तथा भौगोलिक प्रमाणीकरणसमेत लागू गरिएको छ। तुलनात्मक रूपमा हेर्दा नेपालको व्यवस्था प्रारम्भिक चरणमै सीमित देखिन्छ।

३. साइबर सुरक्षा संरचना अस्पष्ट

निर्देशिकामा ‘Cyber Security’ शब्द प्रयोग गरिए पनि कार्यान्वयनयोग्य सुरक्षात्मक संरचना स्पष्ट रूपमा परिभाषित गरिएको छैन। उच्च जोखिमयुक्त ब्रोकर प्रणालीका लागि आवश्यक साइबर आर्किटेक्चर, निरन्तर अनुगमन संयन्त्र तथा घटना प्रतिक्रिया प्रक्रिया उल्लेखनीय रूपमा अनुपस्थित छन्।

आधुनिक साइबर सुरक्षा अभ्यासका आधारभूत तत्व(जस्तै Zero Trust Architecture, Multi-Factor Authentication (MFA), SOC/SIEM Monitoring, Cyber Resilience Framework तथा Incident Response Timeline)निर्देशिकामा स्पष्ट रूपमा समेटिएका छैनन्। यस्ता संरचनाबिना साइबर सुरक्षा नाममात्र सीमित रहने र वास्तविक जोखिम नियन्त्रण कमजोर हुने सम्भावना रहन्छ।

४. अवैध स्वचालित उपकरणबारे मौनता

बजारमा auto-clicker, अनधिकृत API पहुँच, ब्राउजर अटोमेसन तथा स्वचालित ट्रेडिङ स्क्रिप्टहरूको प्रयोग बढ्दो क्रममा रहेको संकेतहरू देखिएका छन्। यस्ता उपकरणले ब्रोकर प्रणाली बाइपास गर्ने, उच्च आवृत्ति कारोबारजस्तो व्यवहार उत्पन्न गर्ने तथा बजार दुरुपयोगको जोखिम बढाउने सम्भावना राख्छन्।

तर निर्देशिकाले यस्ता अवैध स्वचालित उपकरण, बोट दुरुपयोग वा स्वचालित हेरफेरसम्बन्धी निगरानी संयन्त्र वा परीक्षण मापदण्डबारे स्पष्ट व्यवस्था गरेको छैन। यो मौनता स्वयंमा नियामकीय कमजोरीको सूचक बन्न सक्छ।

५. TOR अस्पष्ट, लेखापरीक्षण मनलाग्दी हुने जोखिम

लेखापरीक्षण कसरी गर्ने, कुन प्रणाली वा नियन्त्रणलाई कति गहिराइमा परीक्षण गर्ने, कुन प्रमाण अनिवार्य हुने, यी विषयमा स्पष्ट र विस्तृत Terms of Reference (TOR) उपलब्ध छैन। यसले लेखापरीक्षकलाई व्यक्तिपरक निर्णयका आधारमा सीमित परीक्षण गरेर प्रतिवेदन तयार गर्ने अवसर दिन सक्छ।

भारतमा SEBI र NSE ले अत्यन्त विस्तृत TOR लागू गरेका छन्, जहाँ प्रत्येक प्रणाली अवयव, परीक्षणको गहिराइ, नियन्त्रण उद्देश्य, प्रमाणको स्वरूप र नमूना आकारसम्म पूर्वनिर्धारित गरिएको हुन्छ। त्यसको तुलनामा यहाँको TOR अस्पष्ट रहनुले लेखापरीक्षणको गुणस्तर र एकरूपतामा प्रश्न उठाउन सक्छ।

६. कार्यान्वयन, दण्ड र निगरानी संयन्त्रको अभाव

निर्देशिका उल्लङ्घन भएमा कस्तो कारबाही हुने, कति जरिवाना लाग्ने वा सुधारात्मक कदम कसरी प्रमाणीकरण गरिने भन्ने स्पष्ट व्यवस्था छैन। न त प्रभावकारी enforcement mechanism, न supervisory oversight, न नै दण्ड संरचना स्पष्ट रूपमा परिभाषित गरिएको छ।

भारतमा भने कडा दण्ड संरचना, आकस्मिक निरीक्षण, निरन्तर अनुगमन तथा मानकीकृत audit-closure प्रक्रिया लागू गरिएको छ। त्यसको अभावले यहाँ लेखापरीक्षणको प्रभावकारिता सीमित हुने जोखिम देखिन्छ।

७. सेबोनको कमजोर पर्यवेक्षण भूमिका

निर्देशिकाका अपूर्णताभन्दा पनि गम्भीर विषय नियामक निकाय नेपाल धितोपत्र बोर्ड (सेबोन) को निष्क्रियता हो। Framework स्वीकृति, auditor नियमन, TOR मानकीकरण, साइबर सुरक्षा निर्देशन तथा enforcement संयन्त्र विकासजस्ता जिम्मेवारी सेबोनकै दायरामा पर्छन्। तर यस सन्दर्भमा स्पष्ट नेतृत्व वा सशक्त पर्यवेक्षण देखिएको छैन।

नियामक निकाय सक्रिय र प्रभावकारी नभएसम्म निर्देशिका कागजी सुधारमै सीमित रहने र पूँजी बजारको समग्र सुरक्षा तथा विश्वसनीयतामा असर पर्ने सम्भावना रहन्छ।

निष्कर्ष

नेप्सेको IT Audit Guidelines ले पूँजी बजारलाई सुरक्षित र विश्वसनीय बनाउने मूल उद्देश्यलाई समग्र रूपमा सम्बोधन गर्न सकेको देखिँदैन। सतही जोखिम उल्लेख गरिए पनि ट्रेडिङ प्रणाली परीक्षण, साइबर सुरक्षा संरचना, लेखापरीक्षकको विश्वसनीयता, स्पष्ट TOR तथा प्रभावकारी कार्यान्वयन जस्ता मूल पक्षहरूमा ठोस पहल अभाव देखिन्छ।

नेपालको पूँजी बजारको सुरक्षा र पारदर्शिता सुनिश्चित गर्ने अन्तिम जिम्मेवारी सेबोनकै काँधमा छ। तर नियामकीय इच्छाशक्ति र कार्यान्वयन क्षमताबिना सुधार सम्भव हुँदैन। अब सुधार केवल निर्देशिका संशोधनबाट होइन, सशक्त नियमन र प्रभावकारी कार्यान्वयनबाट मात्र सम्भव हुनेछ।