Author: Pretesh Biswas

Pretesh Biswas has wealth of qualifications and experience in providing results-oriented solutions for your system development, training or auditing needs. He has helped dozens of organizations in implementing effective management systems to a number of standards. He provide a unique blend of specialized knowledge, experience, tools and interactive skills to help you develop systems that not only get certified, but also contribute to the bottom line. He has taught literally hundreds of students over the past 5 years. He has experience in training at hundreds of organizations in several industry sectors. His training is unique in that which can be customized as to your management system and activities and deliver them at your facility. This greatly accelerates the learning curve and application of the knowledge acquired. He is now ex-Certification body lead auditor now working as consultancy auditor. He has performed hundreds of audits in several industry sectors. As consultancy auditor, he not just report findings, but provide value-added service in recommending appropriate solutions. Experience Consultancy: He has helped over 100 clients in a wide variety of industries achieve ISO 9001,14001,27001,20000, OHSAS 18001 and TS 16949 certification. Industries include automotive, metal stamping and screw machine, fabrication, machining, assembly, Forging electrostatic and chrome plating, heat-treating, coatings, glass, plastic and rubber products, electrical and electronic equipment, assemblies & components, batteries, computer hardware and software, printing, placement and Security help, warehousing and distribution, repair facilities, consumer credit counseling agencies, banks, call centers, etc. Training: He has delivered public and on-site quality management training to over 1000 students. Courses include ISO/TS -RAB approved Lead Auditor, Internal Auditing, Implementation, Documentation, as well as customized ISO/TS courses, PPAP, FMEA, APQP and Control Plans. Auditing: He has conducted over 100 third party registration and surveillance audits and dozens of gap, internal and pre-assessment audits to ISO/QS/TS Standards, in the manufacturing and service sectors. Other services: He has provided business planning, restructuring, asset management, systems and process streamlining services to a variety of manufacturing and service clients such as printing, plastics, automotive, transportation and custom brokerage, warehousing and distribution, electrical and electronics, trading, equipment leasing, etc. Education & professional certification: Pretesh Biswas has held IRCA certified Lead Auditor for ISO 9001,14001 and 27001. He holds a Bachelor of Engineering degree in Mechanical Engineering and is a MBA in Systems and Marketing. Prior to becoming a business consultant 6 years ago, he has worked in several portfolios such as Marketing, operations, production, Quality and customer care. He is also certified in Six Sigma Black belt .

आईएसओ 27001:2022 सूचना सुरक्षा प्रबंधन प्रणाली

सूचना सुरक्षा प्रबंधन प्रणाली का अवलोकन

सूचना सुरक्षा से तात्पर्य सूचना की सुरक्षा सुनिश्चित करने से है:

गोपनीयता: यह सुनिश्चित करना कि जानकारी केवल उन लोगों के लिए ही उपलब्ध हो जिन्हें इसे उपयोग करने की अनुमति है।
सत्यनिष्ठा: यह सुनिश्चित करना कि जानकारी सटीक और पूर्ण है तथा बिना अनुमति के उसमें कोई संशोधन नहीं किया गया है।
उपलब्धता: यह सुनिश्चित करना कि आवश्यकता पड़ने पर जानकारी अधिकृत उपयोगकर्ताओं के लिए सुलभ हो।

सूचना सुरक्षा नियंत्रणों (नीतियाँ, प्रक्रियाएँ, कार्यविधियाँ, संगठनात्मक संरचनाएँ, तथा सॉफ़्टवेयर और हार्डवेयर फ़ंक्शन) के उपयुक्त सेट को लागू करके प्राप्त की जाती है। सूचना सुरक्षा प्रबंधन प्रणाली (आईएसएमएस) सूचना सुरक्षा को स्थापित करने, लागू करने, संचालित करने, निगरानी करने, समीक्षा करने, बनाए रखने और सुधारने के लिए व्यवस्थित व्यावसायिक जोखिम दृष्टिकोण के आधार पर सूचना की सुरक्षा और प्रबंधन करने का तरीका है। यह सूचना सुरक्षा के लिए एक संगठनात्मक दृष्टिकोण है।
आईएसओ दो मानक प्रकाशित करता है जो किसी संगठन के आईएसएमएस पर ध्यान केंद्रित करते हैं:

अभ्यास मानक संहिता: ISO 27002. इस मानक का उपयोग ISMS विकसित करने के लिए एक प्रारंभिक बिंदु के रूप में किया जा सकता है। यह सूचना परिसंपत्तियों की सुरक्षा के लिए एक कार्यक्रम की योजना बनाने और उसे लागू करने के लिए मार्गदर्शन प्रदान करता है। यह नियंत्रणों (सुरक्षा उपायों) की एक सूची भी प्रदान करता है जिन्हें आप अपने ISMS के भाग के रूप में लागू करने पर विचार कर सकते हैं।
प्रबंधन प्रणाली मानक: ISO 27001. यह मानक ISMS के लिए विनिर्देश है। यह बताता है कि ISO/IEC 27002 को कैसे लागू किया जाए। यह वह मानक प्रदान करता है जिसके आधार पर प्रमाणन किया जाता है, जिसमें आवश्यक दस्तावेजों की सूची भी शामिल है। कोई संगठन जो अपने ISMS का प्रमाणन चाहता है, उसकी जाँच इस मानक के आधार पर की जाती है।

मानक निम्नलिखित प्रथाओं को निर्धारित करते हैं:

सभी गतिविधियों को एक विधि का पालन करना चाहिए। विधि मनमाना है लेकिन इसे अच्छी तरह से परिभाषित और प्रलेखित किया जाना चाहिए।
किसी कंपनी या संगठन को अपने सुरक्षा लक्ष्यों का दस्तावेजीकरण करना चाहिए। एक ऑडिटर यह सत्यापित करेगा कि क्या ये आवश्यकताएं पूरी हुई हैं।
आईएसएमएस में प्रयुक्त सभी सुरक्षा उपायों को जोखिम विश्लेषण के परिणामस्वरूप क्रियान्वित किया जाएगा ताकि जोखिमों को समाप्त किया जा सके या स्वीकार्य स्तर तक कम किया जा सके।
मानक सुरक्षा नियंत्रणों का एक सेट प्रदान करता है। यह संगठन पर निर्भर करता है कि वह अपने व्यवसाय की विशिष्ट आवश्यकताओं के आधार पर कौन से नियंत्रण लागू करना चाहता है।
किसी भी प्रक्रिया में ऑडिट और समीक्षा के माध्यम से सुरक्षा प्रणाली के सभी तत्वों का निरंतर सत्यापन सुनिश्चित किया जाना चाहिए।
एक प्रक्रिया को सूचना और सुरक्षा प्रबंधन प्रणाली के सभी तत्वों में निरंतर सुधार सुनिश्चित करना चाहिए। (आईएसओ 27001 मानक योजना-करो-जाँचो-कार्य करो [पीडीसीए] मॉडल को अपने आधार के रूप में अपनाता है और उम्मीद करता है कि आईएसएमएस कार्यान्वयन में इस मॉडल का पालन किया जाएगा।)

आईएसओ 27001:2022 संरचना

खण्ड 0: परिचय

यह मानक सूचना सुरक्षा प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, रखरखाव और निरंतर सुधार के लिए आवश्यकताएँ प्रदान करता है। संगठन अपनी आवश्यकताओं, उद्देश्यों, सुरक्षा आवश्यकताओं, प्रक्रियाओं, अपने आकार और संगठन की संरचना से प्रभावित होकर रणनीतिक निर्णय के रूप में सूचना सुरक्षा प्रबंधन को लागू करेगा। परिचय उस क्रम की ओर भी ध्यान आकर्षित करता है जिसमें आवश्यकताएँ प्रस्तुत की जाती हैं, यह बताते हुए कि यह क्रम उनके महत्व को नहीं दर्शाता है या उस क्रम को इंगित नहीं करता है जिसमें उन्हें लागू किया जाना है। परिचय किसी भी मॉडल के बजाय केवल आवश्यकताओं को संदर्भित करता है, और यह अब स्पष्ट रूप से बताता है कि सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) का उद्देश्य जोखिम प्रबंधन प्रक्रिया को लागू करके सूचना की गोपनीयता, अखंडता और उपलब्धता को संरक्षित करना है और इच्छुक पक्षों को यह विश्वास दिलाना है कि जोखिमों का पर्याप्त रूप से प्रबंधन किया जाता है। यह इस बात पर भी जोर देता है कि ISMS संगठन की प्रक्रियाओं और समग्र प्रबंधन संरचना का हिस्सा है और उसके साथ एकीकृत है; यह एक महत्वपूर्ण संदेश को पुष्ट करता है – ISMS व्यवसाय के लिए बोल्ट-ऑन नहीं है। यह यह बताकर इसे पुष्ट करता है कि प्रक्रियाओं, सूचना प्रणालियों और नियंत्रणों के डिजाइन में सूचना सुरक्षा पर विचार किया जाता है। अन्य प्रबंधन प्रणाली मानकों के साथ संगतता बनी हुई है और अनुलग्नक SL को अपनाने से यह स्पष्ट रूप से प्रदर्शित और सुदृढ़ हो गई है।

खंड 1: दायरा

इस खंड का उद्देश्य संगठन के संदर्भ में ISMS की स्थापना, कार्यान्वयन और निरंतर सुधार की आवश्यकताओं के माध्यम से मानक की प्रयोज्यता को बताना है। यह संगठन की आवश्यकताओं के अनुरूप सूचना सुरक्षा जोखिमों के आकलन और उपचार की आवश्यकता को पूरा करता है। यह एक सामान्य मानक है और आकार, प्रकृति और प्रकार के बावजूद सभी संगठनों पर लागू होता है। इस मानक के अनुरूप होने का दावा करने के लिए बहिष्करण स्वीकार्य नहीं हैं।

धारा 2: मानक संदर्भ

एकमात्र मानक संदर्भ आईएसओ/आईईसी 27000, सूचना प्रौद्योगिकी – सुरक्षा तकनीक – सूचना सुरक्षा प्रबंधन प्रणाली – अवलोकन और शब्दावली है।

खंड 3: शब्द और परिभाषाएँ

इसमें कोई शब्द या परिभाषा शामिल नहीं है। ISO/IEC 27000 में दिए गए सभी शब्द और परिभाषाएँ लागू होती हैं, जिसमें अनुलग्नक SL में दिए गए सामान्य शब्द और परिभाषाएँ शामिल हैं। तुलना की जानी चाहिए और जहाँ आवश्यक हो, संदर्भित अन्य दस्तावेज़ों से आगे स्पष्टीकरण मांगा जाना चाहिए। हालाँकि, कृपया सुनिश्चित करें कि आप ISO/IEC 27000 का ऐसा संस्करण उपयोग करते हैं जो ISO/IEC 27001:2022 के बाद प्रकाशित हुआ हो, अन्यथा इसमें सही शब्द या परिभाषाएँ नहीं होंगी। यह पढ़ने के लिए एक महत्वपूर्ण दस्तावेज़ है। कई परिभाषाएँ, उदाहरण के लिए ‘प्रबंधन प्रणाली’ और ‘नियंत्रण’, बदल दी गई हैं और अब नए ISO निर्देशों और ISO 31000 में दी गई परिभाषाओं के अनुरूप हैं। यदि कोई शब्द ISO/IEC 27000 में परिभाषित नहीं है, तो कृपया ऑक्सफ़ोर्ड इंग्लिश डिक्शनरी में दी गई परिभाषा का उपयोग करें। यह महत्वपूर्ण है, अन्यथा, भ्रम और गलतफहमी का परिणाम हो सकता है।

आईएसओ और आईईसी निम्नलिखित पतों पर आईएसओ 27000/27001 में प्रयुक्त शब्दावली डेटाबेस बनाए रखते हैं:
— 1SO ऑनलाइन ब्राउज़िंग प्लेटफ़ॉर्म: https://www.iso.org/obp
पर उपलब्ध है — आईईसी इलेक्ट्रोपीडिया: https://www.electropedia.org पर उपलब्ध है

धारा 4: संगठन का संदर्भ

यह खंड आंशिक रूप से निवारक कार्रवाई की मूल्यह्रास अवधारणा को संबोधित करता है और आंशिक रूप से ISMS के लिए संदर्भ स्थापित करता है। यह प्रासंगिक बाहरी और आंतरिक मुद्दों को एक साथ लाकर इन उद्देश्यों को पूरा करता है, अर्थात वे जो संगठन की ISMS के इच्छित परिणाम को प्राप्त करने की क्षमता को प्रभावित करते हैं, ISMS के दायरे को निर्धारित करने के लिए इच्छुक पक्षों की आवश्यकताओं के साथ। यह ध्यान दिया जाना चाहिए कि ‘मुद्दा’ शब्द न केवल उन समस्याओं को शामिल करता है, जो पिछले मानक में निवारक कार्रवाई का विषय रही होंगी, बल्कि ISMS के लिए संबोधित करने के लिए महत्वपूर्ण विषय भी शामिल हैं, जैसे कि कोई भी बाजार आश्वासन और शासन लक्ष्य जो संगठन ISMS के लिए निर्धारित कर सकता है।
ध्यान दें कि ‘आवश्यकता’ शब्द एक ‘आवश्यकता या अपेक्षा है जो बताई गई है, आम तौर पर निहित या अनिवार्य है’। खंड 4.2 के साथ संयुक्त रूप से, इसे अपने आप में एक शासन आवश्यकता के रूप में माना जा सकता है, क्योंकि सख्ती से कहा जाए तो एक ISMS जो आम तौर पर स्वीकृत सार्वजनिक अपेक्षाओं के अनुरूप नहीं था, उसे अब मानक के साथ गैर-अनुपालन माना जा सकता है। आपको इच्छुक पक्षों की “प्रासंगिक” आवश्यकताओं की पहचान करनी चाहिए और यह निर्धारित करना चाहिए कि ISMS के माध्यम से किनका समाधान किया जाएगा।
अंतिम आवश्यकता (धारा 4.4) आईएसएमएस की स्थापना, कार्यान्वयन, रखरखाव और निरंतर सुधार करना है, जिसमें मानक की आवश्यकताओं के अनुसार आवश्यक प्रक्रिया और उनकी परस्पर क्रिया शामिल है।

धारा 5: नेतृत्व

यह खंड ‘शीर्ष प्रबंधन’ पर आवश्यकताओं को रखता है जो वह व्यक्ति या लोगों का समूह है जो संगठन को उच्चतम स्तर पर निर्देशित और नियंत्रित करता है। ध्यान दें कि यदि वह संगठन जो ISMS का विषय है, किसी बड़े संगठन का हिस्सा है, तो ‘शीर्ष प्रबंधन’ शब्द छोटे संगठन को संदर्भित करता है। इन आवश्यकताओं का उद्देश्य शीर्ष से नेतृत्व करके नेतृत्व और प्रतिबद्धता का प्रदर्शन करना है। शीर्ष प्रबंधन की एक विशेष जिम्मेदारी सूचना सुरक्षा नीति स्थापित करना है, और मानक उन विशेषताओं और गुणों को परिभाषित करता है जिन्हें नीति में शामिल किया जाना है। अंत में, यह खंड शीर्ष प्रबंधन पर सूचना सुरक्षा-संबंधित जिम्मेदारियों और प्राधिकारों को सौंपने की आवश्यकताएं रखता है, जो ISO 27001 के लिए ISMS अनुरूपता और ISMS प्रदर्शन पर रिपोर्टिंग से संबंधित दो विशेष भूमिकाओं पर प्रकाश डालता है।

खंड 6: योजना

खंड 6.1.1 (सामान्य) निवारक कार्रवाइयों से निपटने के नए तरीके को पूरा करने के लिए खंड 4.1 और 4.2 के साथ काम करता है। इस खंड का पहला भाग (यानी 6.1.1 c तक और इसमें शामिल) जोखिम मूल्यांकन से संबंधित है जबकि खंड 6.1.1 d) जोखिम उपचार से संबंधित है। चूंकि सूचना सुरक्षा जोखिम के मूल्यांकन और उपचार को खंड 6.1.2 और 6.1.3 में निपटाया जाता है, इसलिए संगठन इस खंड का उपयोग ISMS जोखिमों और अवसरों पर विचार करने के लिए कर सकते हैं।
खंड 6.1.2 (सूचना सुरक्षा जोखिम मूल्यांकन) विशेष रूप से सूचना सुरक्षा जोखिम के मूल्यांकन से संबंधित है। ISO 31000 में दिए गए सिद्धांतों और मार्गदर्शन के साथ संरेखित करते हुए, यह खंड जोखिम पहचान के लिए एक शर्त के रूप में परिसंपत्तियों, खतरों और कमजोरियों की पहचान को हटा देता है। यह जोखिम मूल्यांकन विधियों की पसंद को बढ़ाता है जिसका उपयोग कोई संगठन कर सकता है और फिर भी मानक के अनुरूप है। खंड ‘जोखिम मूल्यांकन स्वीकृति मानदंड’ को भी संदर्भित करता है, जो जोखिम के केवल एक स्तर के अलावा अन्य मानदंडों की अनुमति देता है। जोखिम स्वीकृति मानदंड अब स्तरों के अलावा अन्य शब्दों में व्यक्त किए जा सकते हैं, उदाहरण के लिए, जोखिम का इलाज करने के लिए उपयोग किए जाने वाले नियंत्रण के प्रकार। यह खंड ‘परिसंपत्ति मालिकों’ के बजाय ‘जोखिम मालिकों’ को संदर्भित करता है और बाद में जोखिम उपचार योजना और अवशिष्ट जोखिमों के लिए उनकी स्वीकृति की आवश्यकता होती है। इसमें संगठनों को परिणाम, संभावना और जोखिम के स्तरों का आकलन करने की भी आवश्यकता होती है।

खंड 6.1.3, (सूचना सुरक्षा जोखिम उपचार) सूचना सुरक्षा जोखिम के उपचार से संबंधित है। यह अनुलग्नक A से नियंत्रणों का चयन करने के बजाय आवश्यक नियंत्रणों के ‘निर्धारण’ को संदर्भित करता है। फिर भी, मानक अनुलग्नक A के उपयोग को क्रॉस-चेक के रूप में बनाए रखता है ताकि यह सुनिश्चित किया जा सके कि कोई आवश्यक नियंत्रण अनदेखा नहीं किया गया है, और संगठनों को अभी भी प्रयोज्यता का विवरण (SOA) प्रस्तुत करना आवश्यक है। जोखिम उपचार योजना का निर्माण और अनुमोदन अब इस खंड का हिस्सा है।
खंड 6.2, (सूचना सुरक्षा उद्देश्य और उन्हें प्राप्त करने की योजना) सूचना सुरक्षा उद्देश्यों से संबंधित है। यह “प्रासंगिक कार्य और स्तर” वाक्यांश का उपयोग करता है, जहाँ यहाँ, ‘कार्य’ शब्द संगठन के कार्यों को संदर्भित करता है, और ‘स्तर’ शब्द, इसके प्रबंधन के स्तर, जिनमें से ‘शीर्ष प्रबंधन’ सबसे ऊंचा है। खंड उन गुणों को परिभाषित करता है जो किसी संगठन के सूचना सुरक्षा उद्देश्यों में होने चाहिए। सूचना सुरक्षा उद्देश्यों की निगरानी की जानी चाहिए और उन्हें “दस्तावेजित जानकारी के रूप में उपलब्ध कराया जाना चाहिए”

खण्ड 6.3 (परिवर्तन की योजना) इस बारे में है कि कैसे सुनिश्चित किया जाए कि आईएसएमएस में परिवर्तन योजनाबद्ध तरीके से हो। चूंकि इसमें ऐसी कोई प्रक्रिया निर्दिष्ट नहीं की गई है जिसे शामिल किया जाना चाहिए, इसलिए आपको यह निर्धारित करना चाहिए कि आप कैसे प्रदर्शित कर सकते हैं कि आईएसएमएस में परिवर्तन वास्तव में योजनाबद्ध तरीके से किए गए हैं।

धारा 7: समर्थन

यह खंड इस आवश्यकता से शुरू होता है कि संगठन ISMS को स्थापित करने, लागू करने, बनाए रखने और निरंतर सुधारने के लिए आवश्यक संसाधनों का निर्धारण और प्रावधान करेंगे। सरल शब्दों में कहें तो यह एक बहुत ही शक्तिशाली आवश्यकता है जो सभी ISMS संसाधन आवश्यकताओं को कवर करती है। समर्थन खंड यह बताता है कि एक प्रभावी ISMS को स्थापित करने, लागू करने, बनाए रखने और निरंतर सुधारने के लिए क्या आवश्यक है, जिसमें शामिल हैं:

संसाधन आवश्यकताएँ
सूचना सुरक्षा निष्पादन में शामिल लोगों की शिक्षा, प्रशिक्षण और अनुभव के संदर्भ में योग्यता
सूचना सुरक्षा नीति, सुरक्षा प्रदर्शन और आईएसएमएस आवश्यकताओं के अनुरूप न होने के निहितार्थ के बारे में जागरूकता।
इच्छुक पक्षों के साथ क्या, कब, किसके साथ, कैसे, आदि विषयों पर संचार।

अंत में, ‘दस्तावेजीकृत जानकारी’ के लिए आवश्यकताएँ हैं। मानक “दस्तावेजों और अभिलेखों” के बजाय “दस्तावेजीकृत जानकारी” को संदर्भित करता है और आवश्यकता है कि उन्हें सक्षमता के प्रमाण के रूप में बनाए रखा जाए। ये आवश्यकताएँ दस्तावेजीकृत जानकारी के निर्माण और अद्यतनीकरण तथा उनके नियंत्रण से संबंधित हैं। अब आपको प्रदान किए जाने वाले दस्तावेजों की सूची या उन्हें दिए जाने वाले विशेष नाम नहीं हैं। नए संशोधन में नाम के बजाय विषय-वस्तु पर जोर दिया गया है। ध्यान दें कि दस्तावेजीकृत जानकारी के लिए आवश्यकताएँ उस खंड में प्रस्तुत की गई हैं जिसका वे उल्लेख करते हैं।

धारा 8: संचालन

संगठन को सूचना सुरक्षा आवश्यकताओं को पूरा करने और मानक में निर्धारित कार्यों को लागू करने के लिए आवश्यक प्रक्रियाओं की योजना बनानी चाहिए, उन्हें लागू करना चाहिए और नियंत्रित करना चाहिए। संगठन को क्लॉज 6 में पहचाने गए कार्यों को लागू करने के लिए प्रक्रियाओं के लिए मानदंड स्थापित करना चाहिए और उन प्रक्रियाओं को मानदंडों के अनुरूप नियंत्रित करना चाहिए। उन्हें ISM से संबंधित “बाहरी रूप से प्रदान की गई प्रक्रियाओं, उत्पादों या सेवाओं” को नियंत्रित करने की आवश्यकता है। संगठन को नियोजित अंतराल पर सूचना सुरक्षा जोखिम आकलन करना चाहिए और सूचना सुरक्षा जोखिम उपचार योजना को भी लागू करना चाहिए। यह खंड उन योजनाओं और प्रक्रियाओं के निष्पादन से संबंधित है जो पिछले खंडों के विषय हैं। संगठनों को अपनी सूचना सुरक्षा आवश्यकताओं को पूरा करने के लिए आवश्यक प्रक्रियाओं की योजना बनानी चाहिए और उन्हें नियंत्रित करना चाहिए, जिनमें शामिल हैं:

दस्तावेज़ रखना
परिवर्तन का प्रबंधन
प्रतिकूल घटनाओं पर प्रतिक्रिया
किसी भी आउटसोर्स प्रक्रिया का नियंत्रण

परिचालन नियोजन और नियंत्रण में नियोजित अंतरालों पर सूचना सुरक्षा जोखिम आकलन करने और सूचना सुरक्षा जोखिम उपचार योजना के कार्यान्वयन को भी अनिवार्य किया गया है।
खंड 8.1 खंड 6.1 में निर्धारित कार्यों के निष्पादन, सूचना सुरक्षा उद्देश्यों और आउटसोर्स प्रक्रियाओं की उपलब्धि से संबंधित है;
खंड 8.2 नियोजित अंतरालों पर सूचना सुरक्षा जोखिम आकलन के निष्पादन से संबंधित है, या जब महत्वपूर्ण परिवर्तन प्रस्तावित किए जाते हैं या घटित होते हैं; और
खंड 8.3 जोखिम उपचार योजना के कार्यान्वयन से संबंधित है।

धारा 9: कार्यनिष्पादन मूल्यांकन

संगठन सूचना सुरक्षा प्रदर्शन और सूचना सुरक्षा प्रबंधन प्रणाली की प्रभावशीलता का मूल्यांकन करेगा। संगठन नियोजित अंतराल पर आंतरिक ऑडिट आयोजित करेगा ताकि यह जानकारी मिल सके कि सूचना सुरक्षा प्रबंधन प्रणाली संगठन की अपनी आवश्यकताओं और अंतर्राष्ट्रीय मानक आवश्यकताओं के अनुरूप है या नहीं।

खंड 9.1 (निगरानी, मापन, विश्लेषण और मूल्यांकन) का पहला पैराग्राफ खंड के समग्र लक्ष्यों को बताता है। एक सामान्य अनुशंसा के रूप में, निर्धारित करें कि आपको सूचना सुरक्षा प्रदर्शन और अपने ISMS की प्रभावशीलता का मूल्यांकन करने के लिए किस जानकारी की आवश्यकता है। इस ‘सूचना की आवश्यकता’ से पीछे की ओर काम करें और निर्धारित करें कि क्या मापना और निगरानी करना है, कब कौन और कैसे। केवल इसलिए निगरानी और माप करने का कोई मतलब नहीं है क्योंकि आपके संगठन में ऐसा करने की क्षमता है। केवल तभी निगरानी और माप करें जब यह सूचना सुरक्षा प्रदर्शन और ISMS प्रभावशीलता का मूल्यांकन करने की आवश्यकता का समर्थन करता है। ध्यान दें कि किसी संगठन की कई सूचना आवश्यकताएँ हो सकती हैं, और ये आवश्यकताएँ समय के साथ बदल सकती हैं। उदाहरण के लिए, जब कोई ISMS अपेक्षाकृत नया होता है, तो सूचना सुरक्षा जागरूकता कार्यक्रमों में उपस्थिति की निगरानी करना महत्वपूर्ण हो सकता है। एक बार इच्छित दर प्राप्त हो जाने के बाद, संगठन जागरूकता कार्यक्रम की गुणवत्ता की ओर अधिक ध्यान दे सकता है। यह विशिष्ट जागरूकता उद्देश्य निर्धारित करके और यह निर्धारित करके ऐसा कर सकता है कि उपस्थित लोगों ने जो सीखा है उसे किस हद तक समझा है। बाद में भी, सूचना की आवश्यकता यह निर्धारित करने के लिए विस्तारित हो सकती है कि संगठन के लिए सूचना सुरक्षा पर जागरूकता के इस स्तर का क्या प्रभाव पड़ता है। वैध परिणाम देने के लिए निगरानी, माप, विश्लेषण और मूल्यांकन के लिए एक तुलनीय और पुनरुत्पादनीय विधि का चयन किया जाना चाहिए।
आंतरिक ऑडिट और प्रबंधन समीक्षा आईएसएमएस के प्रदर्शन की समीक्षा करने और इसके निरंतर सुधार के लिए उपकरण के प्रमुख तरीके बने हुए हैं। आवश्यकताओं में नियोजित अंतराल पर आंतरिक ऑडिट करना, एक ऑडिट कार्यक्रम की योजना बनाना, स्थापित करना, लागू करना और बनाए रखना, ऑडिटर का चयन करना और ऑडिट प्रक्रिया की वस्तुनिष्ठता और निष्पक्षता सुनिश्चित करने वाले ऑडिट करना
शामिल है। खंड 9.3 (प्रबंधन समीक्षा) में, सटीक इनपुट और आउटपुट निर्दिष्ट करने के बजाय, यह खंड अब समीक्षा के दौरान विचार के लिए विषयों पर आवश्यकताएं रखता है।

धारा 10: सुधार

निवारक कार्रवाइयों को संभालने के नए तरीके के कारण, इस खंड में कोई निवारक कार्रवाई की आवश्यकता नहीं है। हालाँकि, कुछ नई सुधारात्मक कार्रवाई की आवश्यकताएँ हैं। पहली है गैर-अनुरूपता पर प्रतिक्रिया करना और गैर-अनुरूपता को नियंत्रित करने और सुधारने और परिणामों से निपटने के लिए, जहाँ लागू हो, कार्रवाई करना। दूसरा यह निर्धारित करना है कि क्या समान गैर-अनुरूपता मौजूद है, या संभावित रूप से हो सकती है। हालाँकि निवारक कार्रवाई की अवधारणा विकसित हुई है, फिर भी संभावित गैर-अनुरूपता पर विचार करने की आवश्यकता है, भले ही यह वास्तविक गैर-अनुरूपता का परिणाम हो। यह सुनिश्चित करने के लिए एक नई आवश्यकता भी है कि सुधारात्मक कार्रवाइयाँ सामने आई गैर-अनुरूपता के प्रभावों के लिए उपयुक्त हैं। निरंतर सुधार की आवश्यकता को ISMS की उपयुक्तता और पर्याप्तता के साथ-साथ इसकी प्रभावशीलता को कवर करने के लिए बढ़ाया गया है, लेकिन यह अब यह निर्दिष्ट नहीं करता है कि कोई संगठन इसे कैसे प्राप्त करता है।

अनुलग्नक A सूचना सुरक्षा नियंत्रण संदर्भ

सूचना सुरक्षा नियंत्रणों को 4 समूहों या थीम में वर्गीकृत किया जा सकता है। ये हैं:

लोग, यदि वे व्यक्तिगत लोगों से संबंधित हैं;
भौतिक, यदि वे भौतिक वस्तुओं से संबंधित हों;
तकनीकी, यदि वे प्रौद्योगिकी से संबंधित हों;
अन्यथा उन्हें संगठनात्मक के रूप में वर्गीकृत किया जाता है।

5 संगठनात्मक नियंत्रण

5.1 सूचना सुरक्षा के लिए नीतियां

नियंत्रण
सूचना सुरक्षा नीति और विषय-विशिष्ट नीतियों को परिभाषित किया जाना चाहिए, प्रबंधन द्वारा अनुमोदित किया जाना चाहिए, प्रकाशित किया जाना चाहिए, संबंधित कर्मियों और संबंधित इच्छुक पक्षों द्वारा संप्रेषित और स्वीकार किया जाना चाहिए, और नियोजित अंतराल पर और यदि महत्वपूर्ण परिवर्तन होते हैं तो उनकी समीक्षा की जानी चाहिए।

इस नियंत्रण का उद्देश्य व्यवसाय, कानूनी, वैधानिक, नियामक और संविदात्मक आवश्यकताओं के अनुसार सूचना सुरक्षा के लिए प्रबंधन निर्देश और समर्थन की निरंतर उपयुक्तता, पर्याप्तता, प्रभावशीलता सुनिश्चित करना है। प्रबंधन को सूचना सुरक्षा की अपनी दिशा और समर्थन को स्पष्ट करने के लिए नीतियों का एक सेट परिभाषित करना चाहिए। शीर्ष स्तर पर, एक समग्र “सूचना सुरक्षा नीति” होनी चाहिए। एक दस्तावेज बनाने की जरूरत है, जिसमें बताया जाए कि संगठन सूचना सुरक्षा उद्देश्यों को कैसे प्रबंधित करता है। इस दस्तावेज को प्रबंधन द्वारा अनुमोदित किया जाना चाहिए, और इसमें उच्च और निम्न-स्तर की दोनों नीतियां शामिल होनी चाहिए। एक बार नीतियां लागू हो जाने के बाद, उनकी नियमित रूप से समीक्षा की जानी चाहिए। इसके लिए सबसे अच्छा तरीका एक नियमित बैठक निर्धारित करना है और स्थिति की आवश्यकता होने पर बीच में एक अतिरिक्त बैठक की योजना बनाना है।

5.2 सूचना सुरक्षा भूमिकाएँ और जिम्मेदारियाँ

नियंत्रण
सूचना सुरक्षा भूमिकाओं और जिम्मेदारियों को संगठन की आवश्यकताओं के अनुसार परिभाषित और आवंटित किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य संगठन के भीतर सूचना सुरक्षा के कार्यान्वयन, संचालन और प्रबंधन के लिए एक परिभाषित, स्वीकृत और समझी जाने वाली संरचना स्थापित करना है। नीति को यह परिभाषित करने की आवश्यकता है कि कौन किस परिसंपत्ति, प्रक्रिया या सूचना सुरक्षा जोखिम गतिविधि के लिए जिम्मेदार है। यह महत्वपूर्ण है कि असाइनमेंट स्पष्ट रूप से और सभी असाइनमेंट के लिए किया जाए। सुनिश्चित करें कि भूमिकाएँ और ज़िम्मेदारियाँ आपके संगठन के अनुकूल हों; पाँच लोगों की एक छोटी टीम को संभवतः पूर्णकालिक सुरक्षा अधिकारी की आवश्यकता नहीं है।

5.3 कर्तव्यों का पृथक्करण

नियंत्रण
परस्पर विरोधी कर्तव्यों और जिम्मेदारी के परस्पर विरोधी क्षेत्रों को अलग किया जाना चाहिए।

इस नियंत्रण का उद्देश्य धोखाधड़ी, त्रुटि और सूचना सुरक्षा नियंत्रणों को दरकिनार करने के जोखिम को कम करना है। कंपनी की परिसंपत्तियों के किसी भी दुरुपयोग को रोकने के लिए, किसी संवेदनशील गतिविधि को पूरी तरह से नियंत्रित करने की “शक्ति” एक ही व्यक्ति के पास नहीं होनी चाहिए। इसे लागू करने का सबसे अच्छा तरीका सभी गतिविधियों को लॉग करना और महत्वपूर्ण कार्यों को करने और जाँचने या अनुमोदन करने और आरंभ करने में विभाजित करना है। यह धोखाधड़ी और त्रुटि को रोकता है, उदाहरण के लिए एक व्यक्ति द्वारा सभी कंपनी चेक बनाने और उन पर हस्ताक्षर करने के मामले में।

5.4 प्रबंधन जिम्मेदारियाँ

नियंत्रण
प्रबंधन को सभी कार्मिकों से यह अपेक्षा करनी चाहिए कि वे संगठन की स्थापित सूचना सुरक्षा नीति, विषय-विशिष्ट नीतियों और प्रक्रियाओं के अनुसार सूचना सुरक्षा लागू करें।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि प्रबंधन सूचना सुरक्षा में अपनी भूमिका को समझे और यह सुनिश्चित करने के लिए कार्रवाई करे कि सभी कर्मचारी अपनी सूचना सुरक्षा जिम्मेदारियों के बारे में जानते हैं और उन्हें पूरा करते हैं। प्रबंधन को यह सुनिश्चित करने की आवश्यकता है कि सभी कर्मचारी और ठेकेदार संगठन की सूचना सुरक्षा नीति के बारे में जानते हैं और उसका पालन करते हैं। उन्हें एक उदाहरण बनकर नेतृत्व करना चाहिए और दिखाना चाहिए कि सूचना सुरक्षा उपयोगी और आवश्यक दोनों है।

5.5 अधिकारियों से संपर्क

नियंत्रण
संगठन को संबंधित प्राधिकारियों के साथ संपर्क स्थापित करना चाहिए और उसे बनाए रखना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि संगठन और संबंधित कानूनी, विनियामक और पर्यवेक्षी प्राधिकरणों के बीच सूचना सुरक्षा के संबंध में सूचना का उचित प्रवाह हो। यह स्पष्ट होना चाहिए कि अधिकारियों (जैसे कानून प्रवर्तन, विनियामक निकाय, पर्यवेक्षी प्राधिकरण) से संपर्क करने के लिए कौन जिम्मेदार है, किन अधिकारियों से संपर्क किया जाना चाहिए (जैसे कौन सा क्षेत्र/देश), और किन मामलों में ऐसा करने की आवश्यकता है। घटनाओं पर त्वरित और पर्याप्त प्रतिक्रिया प्रभाव को बहुत कम कर सकती है, और कानून द्वारा अनिवार्य भी हो सकती है।

5.6 विशेष रुचि समूहों से संपर्क

नियंत्रण
संगठन को विशेष हित समूहों या अन्य विशेषज्ञ सुरक्षा मंचों और पेशेवर संघों के साथ संपर्क स्थापित करना चाहिए और बनाए रखना चाहिए।

इस नियंत्रण का उद्देश्य सूचना सुरक्षा के संबंध में सूचना का उचित प्रवाह सुनिश्चित करना है। यह सुनिश्चित करने के लिए कि नवीनतम सूचना सुरक्षा प्रवृत्तियों और सर्वोत्तम प्रथाओं को बनाए रखा जाता है, आईएसएमएस कार्यों वाले कर्मियों द्वारा विशेष रुचि समूहों के साथ अच्छा संपर्क बनाए रखा जाना चाहिए। ऐसे समूहों से कुछ मामलों में विशेषज्ञ सलाह मांगी जा सकती है, और यह किसी के अपने ज्ञान को बेहतर बनाने के लिए एक बढ़िया स्रोत हो सकता है।

5.7 ख़तरे की खुफिया जानकारी

नियंत्रण

सूचना सुरक्षा खतरों से संबंधित जानकारी एकत्रित की जानी चाहिए और खतरे की खुफिया जानकारी उत्पन्न करने के लिए उसका विश्लेषण किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य संगठन के खतरे के माहौल के बारे में जागरूकता प्रदान करना है ताकि उचित शमन कार्रवाई की जा सके। खतरों पर प्रतिक्रिया करने से उनकी पहली भौतिक घटना को रोकने में बहुत कम मदद मिलती है। अपने संगठन के लिए खतरों के बारे में जानकारी एकत्र करने और उसका विश्लेषण करने से, आपको इस बात का बेहतर अंदाजा होगा कि आपके संगठन के लिए प्रासंगिक खतरों से बचाव के लिए कौन से सुरक्षा तंत्र लागू किए जाने चाहिए। कंप्यूटर चिप निर्माताओं को राज्य के अभिनेताओं द्वारा लक्षित आईपी-चोरी हमलों के लिए तैयार रहने की आवश्यकता है, लेकिन एक छोटे SaaS-प्रदाता के लिए, स्वचालित फ़िशिंग मेल एक बड़ा खतरा हैं।

5.8 परियोजना प्रबंधन में सूचना सुरक्षा

नियंत्रण
सूचना सुरक्षा को परियोजना प्रबंधन में एकीकृत किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि परियोजनाओं और डिलीवरेबल्स से संबंधित सूचना सुरक्षा जोखिमों को परियोजना जीवन चक्र के दौरान परियोजना प्रबंधन में प्रभावी ढंग से संबोधित किया जाए। एक सफल संगठन-व्यापी ISMS कार्यान्वयन को सुनिश्चित करने के लिए, सूचना सुरक्षा पर विचार किया जाना चाहिए और सभी परियोजनाओं में आवश्यकताओं के रूप में इसका दस्तावेजीकरण किया जाना चाहिए। ये आवश्यकताएँ व्यवसाय, कानूनी और अन्य मानकों या विनियमों के अनुपालन से उत्पन्न हो सकती हैं। यदि आपके पास परियोजना प्रबंधन पुस्तिकाएँ या टेम्पलेट हैं, तो एक सूचना सुरक्षा अध्याय शामिल किया जाना चाहिए।

5.9 सूचना और अन्य संबद्ध परिसंपत्तियों की सूची

नियंत्रण:
स्वामियों सहित सूचना और अन्य संबद्ध परिसंपत्तियों की एक सूची विकसित और अनुरक्षित की जानी चाहिए।

इस नियंत्रण का उद्देश्य संगठन की जानकारी और अन्य संबंधित परिसंपत्तियों की पहचान करना है ताकि उनकी सूचना सुरक्षा को बनाए रखा जा सके और उचित स्वामित्व प्रदान किया जा सके। संगठन को सभी सूचना और सूचना प्रसंस्करण परिसंपत्तियों की पहचान करनी चाहिए। सभी परिसंपत्तियों को एक सूची में तैयार किया जाना चाहिए, जिसे उचित रूप से बनाए रखा जाना चाहिए। यह जानना कि कौन सी परिसंपत्तियाँ हैं, उनका महत्व, वे कहाँ हैं, और उन्हें कैसे संभाला जाता है, जोखिमों की पहचान करने और भविष्यवाणी करने में आवश्यक है। यह कानूनी दायित्वों या बीमा उद्देश्यों के लिए भी अनिवार्य हो सकता है।
सूची में सभी परिसंपत्तियाँ, इसलिए पूरी कंपनी की अगर सूची पूरी है, तो उसका एक मालिक होना चाहिए। परिसंपत्ति स्वामित्व के लिए धन्यवाद, परिसंपत्तियों पर उनके पूरे जीवन चक्र के दौरान नज़र रखी जाती है और उनकी देखभाल की जाती है। समान परिसंपत्तियों को समूहीकृत किया जा सकता है और किसी परिसंपत्ति की दिन-प्रतिदिन की देखरेख एक तथाकथित संरक्षक को छोड़ी जा सकती है, लेकिन मालिक जिम्मेदार रहता है। परिसंपत्ति स्वामित्व को प्रबंधन द्वारा अनुमोदित किया जाना चाहिए।

5.10 सूचना और अन्य संबद्ध परिसंपत्तियों का स्वीकार्य उपयोग

नियंत्रण

सूचना और अन्य संबद्ध परिसंपत्तियों के संचालन के लिए स्वीकार्य उपयोग और प्रक्रियाओं के लिए नियमों की पहचान, दस्तावेजीकरण और कार्यान्वयन किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सूचना और अन्य संबद्ध परिसंपत्तियाँ उचित रूप से संरक्षित, उपयोग और संभाली जाएँ। सूचना परिसंपत्तियों तक पहुँचने के लिए अच्छी तरह से प्रलेखित नियम होने चाहिए। परिसंपत्ति के उपयोगकर्ताओं को परिसंपत्ति के उपयोग के बारे में सूचना सुरक्षा आवश्यकताओं के बारे में पता होना चाहिए, और उनका पालन करना चाहिए। परिसंपत्तियों के संचालन के लिए, प्रक्रियाएँ भी मौजूद होनी चाहिए। कर्मियों को परिसंपत्तियों के लेबलिंग को समझने की आवश्यकता है, और यह जानना चाहिए कि वर्गीकरण के विभिन्न स्तरों को कैसे संभालना है। चूँकि वर्गीकरण के लिए कोई सार्वभौमिक मानक नहीं है, इसलिए अन्य पक्षों के वर्गीकरण स्तरों का ज्ञान होना भी महत्वपूर्ण है, क्योंकि वे संभवतः आपके वर्गीकरण स्तरों से भिन्न होंगे।

5.11 परिसंपत्तियों का रिटर्न

नियंत्रण
कार्मिकों और अन्य इच्छुक पक्षों को, उनकी नियुक्ति, अनुबंध या समझौते में परिवर्तन या समाप्ति पर, उनके कब्जे में मौजूद संगठन की सभी परिसंपत्तियां वापस कर देनी चाहिए।

इस नियंत्रण का उद्देश्य रोजगार, अनुबंध या समझौते को बदलने या समाप्त करने की प्रक्रिया के हिस्से के रूप में संगठन की परिसंपत्तियों की सुरक्षा करना है। जब कोई कर्मचारी या बाहरी पक्ष किसी परिसंपत्ति तक पहुँच नहीं पाता है, उदाहरण के लिए, रोजगार या समझौते की समाप्ति के कारण, तो उन्हें परिसंपत्ति को संगठन को वापस करना होगा। इसके लिए एक स्पष्ट नीति होनी चाहिए, जिसे सभी संबंधित लोगों को जानना चाहिए। वर्तमान परिचालन के लिए महत्वपूर्ण गैर-मूर्त परिसंपत्तियाँ जैसे कि विशिष्ट ज्ञान जो अभी तक प्रलेखित नहीं है, उन्हें प्रलेखित किया जाना चाहिए और उसी रूप में वापस किया जाना चाहिए।

5.12 सूचना का वर्गीकरण

नियंत्रण
सूचना को गोपनीयता, अखंडता, उपलब्धता और प्रासंगिक हितधारक आवश्यकताओं के आधार पर संगठन की सूचना सुरक्षा आवश्यकताओं के अनुसार वर्गीकृत किया जाना चाहिए।

इस नियंत्रण का उद्देश्य संगठन के लिए इसके महत्व के अनुसार सूचना की सुरक्षा आवश्यकताओं की पहचान और समझ सुनिश्चित करना है। कुछ जानकारी को मौद्रिक या कानूनी मूल्य के कारण संवेदनशील माना जाता है, और उसे गोपनीय रखना होता है जबकि अन्य जानकारी कम महत्वपूर्ण होती है। संगठन के पास वर्गीकृत जानकारी को संभालने के तरीके के बारे में एक नीति होनी चाहिए। सूचना परिसंपत्तियों को वर्गीकृत करने की जवाबदेही उसके मालिक के पास होती है। विभिन्न वर्गीकृत परिसंपत्तियों के महत्व के बीच अंतर करने के लिए, गैर-मौजूद से लेकर संगठन के अस्तित्व को गंभीर रूप से प्रभावित करने वाले गोपनीयता के कई स्तरों को लागू करना उपयोगी हो सकता है।

5.13 सूचना का लेबल लगाना

नियंत्रण:
संगठन द्वारा अपनाई गई सूचना वर्गीकरण योजना के अनुसार सूचना लेबलिंग के लिए प्रक्रियाओं का एक उपयुक्त सेट विकसित और कार्यान्वित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य सूचना के वर्गीकरण के संचार को सुगम बनाना तथा सूचना प्रसंस्करण और प्रबंधन के स्वचालन का समर्थन करना है। सभी सूचनाएँ एक ही श्रेणी में नहीं आती हैं, जैसा कि ऊपर 5.12 में चर्चा की गई है। इसलिए, सभी सूचनाओं को उनके वर्गीकरण के अनुसार लेबल करना महत्वपूर्ण है। जब सूचना को संभाला जाता है, संग्रहीत किया जाता है या आदान-प्रदान किया जाता है, तो वस्तु के वर्गीकरण को जानना महत्वपूर्ण हो सकता है। लेबल आसानी से पहचाने जाने योग्य होने चाहिए। प्रक्रियाओं को इस बात पर मार्गदर्शन देना चाहिए कि भंडारण मीडिया के प्रकारों के आधार पर सूचना तक कैसे पहुँचा जाता है या परिसंपत्तियों को कैसे संभाला जाता है, इस पर विचार करते हुए लेबल कहाँ और कैसे संलग्न किए जाते हैं।

5.14 सूचना हस्तांतरण

नियंत्रण

संगठन के भीतर तथा संगठन और अन्य पक्षों के बीच सभी प्रकार की स्थानांतरण सुविधाओं के लिए सूचना स्थानांतरण नियम, प्रक्रियाएं या समझौते मौजूद होने चाहिए।

इस नियंत्रण का उद्देश्य संगठन के भीतर और किसी भी बाहरी इच्छुक पक्ष के साथ हस्तांतरित सूचना की सुरक्षा बनाए रखना है। संगठन के अंदर और बाहर सूचना साझा की जाती है। डिजिटल दस्तावेज़, भौतिक दस्तावेज़, वीडियो, लेकिन मौखिक रूप से भी सभी प्रकार की सूचना साझा करने के लिए एक प्रोटोकॉल होना चाहिए। सूचना को सुरक्षित रूप से कैसे साझा किया जा सकता है, इस पर स्पष्ट नियम सूचना संदूषण और लीक के जोखिम को कम करने में मदद करते हैं। संगठन और बाहरी पक्षों के बीच साझा की जाने वाली सूचना से पहले सूचना हस्तांतरण समझौता होना चाहिए। इस तरह, सूचना हस्तांतरण का स्रोत, सामग्री, गोपनीयता, हस्तांतरण माध्यम और गंतव्य दोनों पक्षों द्वारा जाना जाता है और उन पर सहमति व्यक्त की जाती है। व्यावसायिक संचार अक्सर इलेक्ट्रॉनिक संदेश के माध्यम से होता है। संगठनों को इलेक्ट्रॉनिक संदेश के स्वीकृत प्रकारों का अवलोकन करने की सलाह दी जाती है और उन्हें यह दस्तावेज करना चाहिए कि ये कैसे सुरक्षित हैं और इनका उपयोग कैसे किया जा सकता है।

5.15 प्रवेश नियंत्रण

नियंत्रण

सूचना और अन्य संबद्ध परिसंपत्तियों तक भौतिक और तार्किक पहुंच को नियंत्रित करने के लिए नियंत्रण नियम स्थापित किए जाने चाहिए और उन्हें व्यवसाय और सूचना सुरक्षा आवश्यकताओं के आधार पर लागू किया जाना चाहिए।

इस नियंत्रण का उद्देश्य अधिकृत पहुँच सुनिश्चित करना और सूचना तथा अन्य संबद्ध परिसंपत्तियों तक अनधिकृत पहुँच को रोकना है। पहुँच को कैसे प्रबंधित किया जाए और किसे क्या एक्सेस करने की अनुमति है, यह परिभाषित करने के लिए एक एक्सेस कंट्रोल पॉलिसी लागू होनी चाहिए। प्रत्येक परिसंपत्ति के नियम परिसंपत्ति स्वामियों के पास होते हैं, जो “अपनी” परिसंपत्ति तक पहुँच के लिए आवश्यकताएँ, प्रतिबंध और अधिकार निर्धारित करते हैं। एक्सेस कंट्रोल पॉलिसी में अक्सर इस्तेमाल किए जाने वाले शब्द हैं जानने की आवश्यकता और उपयोग करने की आवश्यकता, जहाँ पहला एक्सेस अधिकारों को केवल उस जानकारी तक सीमित करता है जिसकी किसी कर्मचारी को अपना कार्य करने के लिए आवश्यकता होती है और दूसरा एक्सेस अधिकारों को केवल उस जानकारी प्रसंस्करण सुविधाओं तक सीमित करता है जिसकी कार्य करने के लिए आवश्यकता होती है।

5.16 पहचान प्रबंधन

नियंत्रण
पहचान के सम्पूर्ण जीवन चक्र का प्रबंधन किया जाना चाहिए।

इस नियंत्रण का उद्देश्य संगठन की जानकारी और अन्य संबद्ध परिसंपत्तियों तक पहुँचने वाले व्यक्तियों और प्रणालियों की विशिष्ट पहचान की अनुमति देना और पहुँच अधिकारों के उचित असाइनमेंट को सक्षम करना है। परिसंपत्तियों और नेटवर्क तक पहुँच अधिकार असाइन करने और वास्तव में कौन पहुँच रहा है, इस पर नज़र रखने के लिए, उपयोगकर्ताओं को एक आईडी के तहत पंजीकृत होना चाहिए। जब कोई कर्मचारी किसी संगठन को छोड़ता है, तो आईडी और उस तक पहुँच हटा दी जानी चाहिए। जब किसी कर्मचारी को केवल पहुँच से वंचित करने की आवश्यकता होती है, तो आईडी की पहुँच सीमित की जा सकती है। भले ही किसी अन्य कर्मचारी की आईडी का उपयोग करके किसी चीज़ तक पहुँचना तेज़ और आसान हो सकता है, लेकिन अधिकांश मामलों में प्रबंधन द्वारा इसकी अनुमति नहीं दी जानी चाहिए। आईडी साझा करने से पहुँच सीमा और कर्मचारी के बीच की कड़ी हट जाती है, और सही व्यक्ति को उनके कार्यों के लिए ज़िम्मेदार ठहराना लगभग असंभव हो जाता है। पहचान असाइन करना, बदलना और अंततः उसे हटाना अक्सर पहचान जीवन चक्र कहलाता है।

5.17 प्रमाणीकरण जानकारी

नियंत्रण

प्रमाणीकरण जानकारी के आवंटन और प्रबंधन को एक प्रबंधन प्रक्रिया द्वारा किया जाना चाहिए, जिसमें प्रमाणीकरण जानकारी के उचित संचालन पर कर्मियों को सलाह देना शामिल है।

इस नियंत्रण का उद्देश्य उचित इकाई प्रमाणीकरण सुनिश्चित करना और प्रमाणीकरण प्रक्रियाओं की विफलताओं को रोकना है। गुप्त प्रमाणीकरण, जैसे पासवर्ड और एक्सेस कार्ड, को औपचारिक प्रक्रिया में प्रबंधित किया जाना चाहिए। नीति में बताई जाने वाली अन्य महत्वपूर्ण गतिविधियाँ हैं, उदाहरण के लिए, उपयोगकर्ताओं को गुप्त प्रमाणीकरण जानकारी साझा करने से मना करना, नए उपयोगकर्ताओं को एक पासवर्ड देना जिसे पहले उपयोग पर बदलना होगा, और सभी सिस्टम को उपयोगकर्ता की गुप्त प्रमाणीकरण जानकारी (पीसी पर पासवर्ड, दरवाजों के लिए एक्सेस कार्ड स्वाइप करना) की आवश्यकता के द्वारा उपयोगकर्ता को प्रमाणित करना।
यदि पासवर्ड प्रबंधन प्रणाली का उपयोग किया जाता है, तो उन्हें अच्छे पासवर्ड प्रदान करने और संगठन की गुप्त प्रमाणीकरण जानकारी नीति का सख्ती से पालन करने की आवश्यकता होती है। पासवर्ड को स्वयं पासवर्ड प्रबंधन प्रणाली द्वारा सुरक्षित रूप से संग्रहीत और प्रेषित किया जाना चाहिए।

5.18 पहुँच अधिकार

नियंत्रण

सूचना और अन्य संबद्ध परिसंपत्तियों तक पहुंच अधिकारों कोसंगठन की विषय-विशिष्ट नीति और पहुंच के नियमों के अनुसार प्रावधानित, समीक्षा, संशोधित और हटाया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि व्यावसायिक आवश्यकताओं के अनुसार सूचना और अन्य संबद्ध परिसंपत्तियों तक पहुँच परिभाषित और अधिकृत हो। प्रबंधन के पास पहुँच अधिकारों के प्रावधान और निरस्तीकरण के लिए एक प्रणाली होनी चाहिए। यह सलाह दी जाती है कि कुछ प्रकार के कर्मचारियों द्वारा की जाने वाली गतिविधियों के आधार पर कुछ भूमिकाएँ बनाई जाएँ और उन्हें समान मूल पहुँच अधिकार दिए जाएँ। एक प्रणाली होने का एक हिस्सा अनधिकृत पहुँच के प्रयास के लिए नतीजे होना है। कर्मचारियों को उन जगहों तक पहुँचने की कोशिश करने की कोई ज़रूरत नहीं है जहाँ उन्हें नहीं पहुँचना चाहिए, क्योंकि पहुँच अधिकारों के लिए परिसंपत्ति के मालिक और/या प्रबंधन से आसानी से अनुरोध किया जा सकता है। संगठन और उनके कर्मचारी स्थिर नहीं हैं। भूमिकाएँ बदलती हैं या कर्मचारी कंपनी छोड़ते हैं, पहुँच की ज़रूरतें लगातार बदलती रहती हैं। परिसंपत्ति मालिकों को नियमित रूप से समीक्षा करनी चाहिए कि उनकी परिसंपत्ति तक कौन पहुँच सकता है, जबकि भूमिका बदलने या छोड़ने पर प्रबंधन द्वारा पहुँच अधिकारों की समीक्षा शुरू होनी चाहिए। चूँकि विशेषाधिकार प्राप्त पहुँच अधिकार अधिक संवेदनशील होते हैं, इसलिए उनकी अधिक बार समीक्षा की जानी चाहिए। एक बार अनुबंध या समझौता समाप्त हो जाने के बाद, प्राप्त करने वाले पक्ष के पहुँच अधिकारों को हटा दिया जाना चाहिए।

5.19 आपूर्तिकर्ता संबंधों में सूचना सुरक्षा

नियंत्रण

आपूर्तिकर्ता के उत्पादों या सेवाओं के उपयोग से जुड़े सूचना सुरक्षा जोखिमों के प्रबंधन के लिए प्रक्रियाओं और कार्यप्रणालियों को परिभाषित और कार्यान्वित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य आपूर्तिकर्ता संबंधों में सूचना सुरक्षा के एक सहमत स्तर को बनाए रखना है। चूंकि आपूर्तिकर्ताओं के पास कुछ परिसंपत्तियों तक पहुंच होती है, इसलिए संगठनों को जोखिम शमन के लिए आवश्यकताओं को बताते हुए एक नीति स्थापित करने की आवश्यकता होती है। इस नीति को आपूर्तिकर्ताओं को सूचित किया जाना चाहिए और उस पर सहमति होनी चाहिए। ऐसी आवश्यकताओं के उदाहरण पूर्व निर्धारित लॉजिस्टिक प्रक्रियाएँ, दोनों पक्षों के लिए एक घटना प्रक्रिया दायित्व, गैर प्रकटीकरण समझौते और आपूर्ति प्रक्रिया का दस्तावेज़ीकरण हैं।

5.20 आपूर्तिकर्ता समझौतों के अंतर्गत सूचना सुरक्षा को संबोधित करना

नियंत्रण
प्रासंगिक सूचना सुरक्षा आवश्यकताओं को स्थापित किया जाना चाहिए और आपूर्तिकर्ता संबंध के प्रकार के आधार पर प्रत्येक आपूर्तिकर्ता के साथ सहमति होनी चाहिए।

इस नियंत्रण का उद्देश्य आपूर्तिकर्ता संबंधों में सूचना सुरक्षा के एक सहमत स्तर को बनाए रखना है। प्रत्येक आपूर्तिकर्ता जो किसी भी तरह से, प्रत्यक्ष या अप्रत्यक्ष रूप से, संगठन की जानकारी के संपर्क में आता है, उसे निर्धारित सूचना सुरक्षा आवश्यकताओं का पालन करना चाहिए और उनसे सहमत होना चाहिए। उदाहरण के लिए सूचना वर्गीकरण, स्वीकार्य उपयोग और ऑडिट के अधिकार की आवश्यकताएँ। समझौते का एक आसानी से भुलाया जाने वाला पहलू यह है कि जब आपूर्तिकर्ता अब आपूर्ति नहीं कर सकता या नहीं करेगा तो क्या करना चाहिए। इसके लिए एक खंड को लागू करना महत्वपूर्ण है।

5.21 आईसीटी आपूर्ति श्रृंखला में सूचना सुरक्षा का प्रबंधन

नियंत्रण

आईसीटी उत्पादों और सेवाओं की आपूर्ति श्रृंखला से जुड़े सूचना सुरक्षा जोखिमों के प्रबंधन के लिए प्रक्रियाओं और कार्यप्रणालियों को परिभाषित और कार्यान्वित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य आपूर्तिकर्ता संबंधों में सूचना सुरक्षा के एक सहमत स्तर को बनाए रखना है। आपूर्तिकर्ताओं के साथ समझौतों में सूचना सुरक्षा आवश्यकताओं और आईसीटी सेवाओं और आपूर्ति श्रृंखला पर समझौतों का भी उल्लेख होना चाहिए। शामिल आवश्यकताओं के उदाहरणों में आपूर्ति श्रृंखला के माध्यम से वस्तुओं का पालन करने में सक्षम होने की आवश्यकता है, और यह कि “श्रृंखला” के प्रत्येक स्तर पर सुरक्षा का एक निश्चित न्यूनतम स्तर बनाए रखा जाता है।

5.22 आपूर्तिकर्ता सेवाओं की निगरानी, समीक्षा और परिवर्तन प्रबंधन

नियंत्रण
संगठन को आपूर्तिकर्ता सूचना सुरक्षा प्रथाओं और सेवा वितरण में परिवर्तन की नियमित रूप से निगरानी, समीक्षा, मूल्यांकन और प्रबंधन करना चाहिए।

इस नियंत्रण का उद्देश्य आपूर्तिकर्ता समझौतों के अनुरूप सूचना सुरक्षा और सेवा वितरण के एक सहमत स्तर को बनाए रखना है। हर कोई गलतियाँ करता है, और आपूर्तिकर्ता भी। चाहे गलती दुर्घटनावश हुई हो या जानबूझकर, परिणाम एक ही होता है: संगठन को ठीक वही नहीं मिलता जिस पर सहमति बनी थी और विश्वास कम हो सकता है। इस कारण से, संगठनों को आपूर्तिकर्ताओं पर नज़र रखनी चाहिए, और जहाँ आवश्यक महसूस हो, उनका ऑडिट करना चाहिए। इस तरह, एक संगठन को पता चल जाता है कि कोई आपूर्तिकर्ता सामान्य से हटकर कुछ करता है। सिस्टम परिवर्तनों की तरह ही, प्रबंधन को आपूर्तिकर्ता सेवाओं में किसी भी परिवर्तन को नियंत्रित करने की आवश्यकता होती है। उन्हें यह सुनिश्चित करने की आवश्यकता है कि सूचना सुरक्षा नीतियाँ अद्यतित हैं और सेवा के प्रावधान में कोई भी परिवर्तन स्वयं प्रबंधित है। प्रदान की गई सेवा में एक छोटा सा बदलाव

5.23 क्लाउड सेवाओं के उपयोग के लिए सूचना सुरक्षा

नियंत्रण

क्लाउड सेवाओं के अधिग्रहण, उपयोग, प्रबंधन और निकास के लिए प्रक्रियाएं संगठन की सूचना सुरक्षा आवश्यकताओं के अनुसार स्थापित की जानी चाहिए।

इस नियंत्रण का उद्देश्य क्लाउड सेवाओं के उपयोग के लिए सूचना सुरक्षा को निर्दिष्ट और प्रबंधित करना है। क्लाउड आपूर्तिकर्ता ऐसी सेवा प्रदान करते हैं, जो उपयोग में होने पर, अक्सर किसी संगठन के बुनियादी ढांचे का एक महत्वपूर्ण हिस्सा होती है। कार्यालय दस्तावेज़ क्लाउड में संग्रहीत किए जाते हैं, लेकिन कई SaaS-प्रदाता अपने उत्पाद को Amazon AWS, Microsoft Azure या Google Cloud जैसे क्लाउड प्रदाता के माध्यम से अपने ग्राहकों को प्रदान करते हैं। संगठन के इस महत्वपूर्ण हिस्से से जुड़े जोखिमों को उचित रूप से कम किया जाना चाहिए। संगठनों के पास उपयोग किए गए क्लाउड का उपयोग करने, प्रबंधित करने और छोड़ने (निकास रणनीति) के लिए प्रक्रियाएँ होनी चाहिए। क्लाउड प्रदाता के साथ संबंध तोड़ने का मतलब अक्सर एक नया क्लाउड प्रदाता क्षितिज पर होता है, इसलिए खरीद को नियंत्रित करना और नए क्लाउड पर बोर्डिंग करना भी नहीं भूलना चाहिए। किसी भी अन्य तृतीय पक्ष सॉफ़्टवेयर की तरह, एक नए क्लाउड वातावरण को आपको अपनी इच्छित स्तर की सूचना सुरक्षा बनाए रखने की अनुमति देनी चाहिए, न कि उससे समझौता करना चाहिए।

5.24 सूचना सुरक्षा घटना प्रबंधन योजना और तैयारी

इस नियंत्रण का उद्देश्य सूचना सुरक्षा घटनाओं पर संचार सहित सूचना सुरक्षा घटनाओं के लिए त्वरित, प्रभावी, सुसंगत और व्यवस्थित प्रतिक्रिया सुनिश्चित करना है। संगठनों को सूचना सुरक्षा घटनाओं के लिए प्रक्रियाओं को बनाने और उनका दस्तावेजीकरण करने की आवश्यकता है, और कौन किसके लिए जिम्मेदार है। इस तरह, यदि कोई सूचना सुरक्षा घटना होती है, तो उसे प्रभावी ढंग से और जल्दी से संभाला जा सकता है। सुरक्षा घटना अप्रत्याशित रूप से होती है और काफी अराजकता पैदा कर सकती है, जिसे जानकार और प्रशिक्षित कर्मचारियों द्वारा पालन किए जाने वाले प्रोटोकॉल के द्वारा कम किया जा सकता है।

5.25 सूचना सुरक्षा घटनाओं पर मूल्यांकन और निर्णय

नियंत्रण
संगठन को सूचना सुरक्षा घटनाओं का मूल्यांकन करना चाहिए और निर्णय लेना चाहिए कि उन्हें सूचना सुरक्षा घटनाओं के रूप में वर्गीकृत किया जाना चाहिए या नहीं।

इस नियंत्रण का उद्देश्य सूचना सुरक्षा घटनाओं का प्रभावी वर्गीकरण और प्राथमिकता सुनिश्चित करना है। संगठनों के पास सुरक्षा घटनाओं के लिए एक अच्छी तरह से दस्तावेज़ मूल्यांकन पद्धति होनी चाहिए। जब कोई संदिग्ध घटना होती है, तो जिम्मेदार व्यक्ति को आवश्यकताओं के विरुद्ध घटना का परीक्षण करना होता है और यह निर्धारित करना होता है कि क्या वास्तव में कोई सूचना सुरक्षा घटना हुई थी। इस मूल्यांकन के परिणामों को दस्तावेजित किया जाना चाहिए, ताकि उन्हें भविष्य के संदर्भ के लिए इस्तेमाल किया जा सके।

5.26 सूचना सुरक्षा घटनाओं पर प्रतिक्रिया

नियंत्रण
सूचना सुरक्षा घटनाओं का प्रत्युत्तर दस्तावेजी प्रक्रियाओं के अनुसार दिया जाना चाहिए ।

इस नियंत्रण का उद्देश्य सूचना सुरक्षा घटनाओं के लिए कुशल और प्रभावी प्रतिक्रिया सुनिश्चित करना है। यह बिंदु सीधा लगता है, लेकिन इसका उल्लेख करना अभी भी महत्वपूर्ण है और कभी-कभी व्यवहार में करना कठिन होता है। एक बार जब कोई सूचना सुरक्षा घटना घटित होती है, तो नियुक्त कर्मचारियों द्वारा निर्धारित प्रक्रियाओं का पालन करते हुए इसका जवाब दिया जाना चाहिए। पूर्व-निर्धारित कार्रवाई की जानी चाहिए, और पूरी प्रक्रिया को सटीक रूप से प्रलेखित किया जाना चाहिए। इससे भविष्य में होने वाली घटनाओं को रोकने और संबंधित सुरक्षा कमजोरियों को दूर करने में मदद मिलती है।

5.27 सूचना सुरक्षा घटनाओं से सीखना

नियंत्रण

सूचना सुरक्षा घटनाओं से प्राप्त ज्ञान का उपयोग सूचना सुरक्षा नियंत्रणों को मजबूत करने और सुधारने के लिए किया जाना चाहिए।

इस नियंत्रण का उद्देश्य भविष्य की घटनाओं की संभावना या परिणामों को कम करना है। भले ही घटनाएँ अवांछित हों, फिर भी उनका बहुत महत्व है। किसी घटना को हल करने से प्राप्त ज्ञान का उपयोग भविष्य में इसी तरह की घटनाओं को रोकने के लिए किया जाना चाहिए, और यह संभावित व्यवस्थित समस्या की पहचान करने में मदद कर सकता है। अतिरिक्त नियंत्रणों के साथ, लागतों पर नज़र रखना महत्वपूर्ण है; एक नए नियंत्रण से संगठन को वार्षिक आधार पर उन घटनाओं की तुलना में अधिक लागत नहीं उठानी चाहिए जिन्हें वह कम करता है।

5.28 साक्ष्य एकत्र करना

नियंत्रण
संगठन को सूचना सुरक्षा घटनाओं से संबंधित साक्ष्य की पहचान, संग्रह, अधिग्रहण और संरक्षण के लिए प्रक्रियाएं स्थापित और कार्यान्वित करनी चाहिए

इस नियंत्रण का उद्देश्य अनुशासनात्मक और कानूनी कार्रवाइयों के उद्देश्य से सूचना सुरक्षा घटनाओं से संबंधित साक्ष्यों का सुसंगत और प्रभावी प्रबंधन सुनिश्चित करना है। एक बार दुर्घटना होने पर, कारण आमतौर पर तुरंत स्पष्ट नहीं होता है। जब कारण कोई व्यक्ति या संगठन होता है, तो उन्हें इरादे और प्रभाव के आधार पर अनुशासित किया जाना चाहिए। किसी घटना को कारण से जोड़ने के लिए, साक्ष्य एकत्र करने की आवश्यकता होती है। दुर्भावनापूर्ण कार्रवाई के मामले में, यह साक्ष्य और इसे प्राप्त करने का तरीका कानूनी कार्यवाही में इस्तेमाल किया जा सकता है। साक्ष्य के आकस्मिक या जानबूझकर विनाश को रोकने के लिए, एक स्पष्ट और सुरक्षित साक्ष्य पहचान प्रक्रिया होनी चाहिए।

5.29 व्यवधान के दौरान सूचना सुरक्षा

नियंत्रण
संगठन को यह योजना बनानी चाहिए कि व्यवधान के दौरान सूचना सुरक्षा को उचित स्तर पर कैसे बनाए रखा जाए

इस नियंत्रण का उद्देश्य व्यवधान के दौरान सूचना और अन्य संबद्ध परिसंपत्तियों की सुरक्षा करना है। संगठनों को संकट की स्थिति में सूचना सुरक्षा निरंतरता के लिए अपनी आवश्यकताओं का निर्धारण करना चाहिए। सबसे आसान विकल्प प्रतिकूल स्थिति में यथासंभव मानक सूचना सुरक्षा गतिविधियों को फिर से शुरू करना है। एक बार प्रबंधन में आवश्यकताओं को निर्धारित और सहमति हो जाने के बाद, प्रक्रिया, योजना और नियंत्रण को संकट की स्थिति में सूचना सुरक्षा के स्वीकार्य स्तर के साथ फिर से शुरू करने के लिए लागू किया जाना चाहिए।
जैसे-जैसे संगठन बदलते हैं, संकट का जवाब देने का सबसे अच्छा तरीका भी बदल जाता है। उदाहरण के लिए, एक संगठन जो एक साल के समय में आकार में दोगुना हो गया है, उसे एक साल पहले की तुलना में एक अलग प्रतिक्रिया से लाभ होने की संभावना है। इस कारण से, सूचना सुरक्षा निरंतरता नियमित आधार पर नियंत्रित होती है।

5.30 व्यवसाय निरंतरता के लिए आईसीटी तत्परता

नियंत्रण
आई.सी.टी. तत्परता की योजना, कार्यान्वयन, रखरखाव और परीक्षण व्यवसाय निरंतरता उद्देश्यों और आई.सी.टी. निरंतरता आवश्यकताओं के आधार पर किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य व्यवधान के दौरान संगठन की जानकारी और अन्य संबद्ध परिसंपत्तियों की उपलब्धता सुनिश्चित करना है। व्यवसाय निरंतरता नियोजन के दौरान, उन परिदृश्यों पर विशेष ध्यान दिया जाना चाहिए जहाँ IT सिस्टम विफल हो जाते हैं। सिस्टम को कैसे बहाल किया जाएगा, यह कौन करेगा और इसमें कितना समय लग सकता है और लगेगा, इस बारे में एक स्पष्ट रणनीति होनी चाहिए। यह भी स्पष्ट होना चाहिए कि किसी विशिष्ट परिदृश्य में “पुनर्स्थापना” का क्या अर्थ है, क्योंकि पूर्ण मेल्टडाउन के बाद पहले सप्ताह के लिए केवल मुख्य सिस्टम को चालू रखना ही पर्याप्त है।

5.31 कानूनी, वैधानिक, नियामक और संविदात्मक आवश्यकताओं की पहचान

नियंत्रित

सूचना सुरक्षा से संबंधित कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं को करें तथा इन आवश्यकताओं को पूरा करने के लिए संगठन के दृष्टिकोण की पहचान की जानी चाहिए, उनका दस्तावेजीकरण किया जाना चाहिए तथा उन्हें अद्यतन रखा जाना चाहिए।

इस नियंत्रण का उद्देश्य सूचना सुरक्षा से संबंधित कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं का अनुपालन सुनिश्चित करना है। आवश्यकताएँ सभी जगहों से आती हैं, और उन्हें पूरा किया जाना चाहिए। इसलिए संगठनों को उन सभी सूचना सुरक्षा संबंधी आवश्यकताओं का अवलोकन होना चाहिए जिनका उन्हें अनुपालन करने की आवश्यकता है, और यह कैसे किया जाता है। चूँकि आवश्यकताएँ बदल सकती हैं या जोड़ी जा सकती हैं, इसलिए आवश्यकता अनुपालन अवलोकन को अद्यतित रखने की आवश्यकता है। बदलती आवश्यकताओं का एक उदाहरण तब होता है जब आपका संगठन किसी दूसरे महाद्वीप पर किसी नए देश में फैलता है। इस देश में गोपनीयता, सूचना भंडारण और क्रिप्टोग्राफी पर अलग-अलग कानून होने की संभावना है।

5.32 बौद्धिक संपदा अधिकार

नियंत्रण
संगठन को बौद्धिक संपदा अधिकारों की रक्षा के लिए उचित प्रक्रियाओं को लागू करना चाहिए ।

इस नियंत्रण का उद्देश्य बौद्धिक संपदा अधिकारों और मालिकाना उत्पादों के उपयोग से संबंधित कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं के अनुपालन को सुनिश्चित करना है। बौद्धिक संपदा (आईपी) अधिकार, कानूनी अनुपालन का एक हिस्सा है, यह एक ऐसा क्षेत्र है जो विशेष ध्यान देने योग्य है। आईपी का बहुत अधिक मूल्य हो सकता है, इसलिए अपनी खुद की बौद्धिक संपदा और दूसरे की बौद्धिक संपदा के उपयोग को अच्छी तरह से प्रलेखित करना महत्वपूर्ण है। दूसरे के आईपी के (गलती से) गलत उपयोग के परिणामस्वरूप बड़े मुकदमे हो सकते हैं, और इसे हर कीमत पर रोका जाना चाहिए।

5.33 अभिलेखों का संरक्षण

नियंत्रण
अभिलेखों को हानि, विनाश, जालसाजी, अनधिकृत पहुंच और अनधिकृत रिलीज से संरक्षित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं के साथ-साथ अभिलेखों की सुरक्षा और उपलब्धता से संबंधित सामुदायिक या सामाजिक अपेक्षाओं का अनुपालन सुनिश्चित करना है। कोई भी रिकॉर्ड, चाहे वह अकाउंटिंग रिकॉर्ड हो या ऑडिट लॉग, सुरक्षित होना चाहिए। रिकॉर्ड के खो जाने, समझौता होने या अनधिकृत रूप से एक्सेस किए जाने का जोखिम रहता है। रिकॉर्ड की सुरक्षा की आवश्यकताएं संगठन से या कानून या बीमा कंपनियों जैसे अन्य स्रोतों से आ सकती हैं। इसके लिए सख्त दिशा-निर्देश बनाए जाने चाहिए और उनका पालन किया जाना चाहिए।

5.34 व्यक्तिगत पहचान योग्य जानकारी (PII) की गोपनीयता और सुरक्षा

नियंत्रण
संगठन को लागू कानूनों और विनियमों और संविदात्मक आवश्यकताओं के अनुसार गोपनीयता के संरक्षण और पीआईआई की सुरक्षा से संबंधित आवश्यकताओं की पहचान करनी चाहिए और उन्हें पूरा करना चाहिए।

इस नियंत्रण का उद्देश्य PII की सुरक्षा के सूचना सुरक्षा पहलुओं से संबंधित कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं का अनुपालन सुनिश्चित करना है। संगठन जिस देश या आर्थिक क्षेत्र में स्थित है, उसके आधार पर व्यक्तिगत डेटा की सुरक्षा पर अलग-अलग कानून लागू हो सकते हैं। कतर में स्थित और/या कतर में व्यक्तिगत डेटा संसाधित करने वाले संगठनों के लिए, कतर ने व्यक्तिगत डेटा सुरक्षा के संबंध में 2016 का कानून संख्या (13) लागू किया है। संगठनों को यह सुनिश्चित करने की आवश्यकता है कि वे ऐसे कानून द्वारा निर्धारित आवश्यकताओं से अवगत हैं, और इसका धार्मिक रूप से पालन करते हैं। उदाहरण के लिए, कानून डेटा प्रोसेसिंग समझौतों का संचालन करना, प्रोसेसिंग गतिविधि का रजिस्टर रखना और डेटा प्रोसेसिंग पारदर्शिता को अनिवार्य करता है।

5.35 सूचना सुरक्षा की स्वतंत्र समीक्षा

नियंत्रण
सूचना सुरक्षा के प्रबंधन और लोगों, प्रक्रियाओं और प्रौद्योगिकियों सहित इसके कार्यान्वयन के लिए संगठन के दृष्टिकोण की योजनाबद्ध अंतराल पर या जब महत्वपूर्ण परिवर्तन होते हैं, स्वतंत्र रूप से समीक्षा की जानी चाहिए।

इस नियंत्रण का उद्देश्य सूचना सुरक्षा के प्रबंधन के लिए संगठन के दृष्टिकोण की निरंतर उपयुक्तता, पर्याप्तता और प्रभावशीलता सुनिश्चित करना है। संगठनों के लिए अपनी सूचना सुरक्षा प्रणाली की निष्पक्ष समीक्षा करना असंभव है। इस कारण से, संगठनों को नियमित आधार पर या जब बड़े बदलाव होते हैं, तो किसी स्वतंत्र पक्ष द्वारा अपनी सूचना सुरक्षा का ऑडिट करवाना चाहिए। इससे संगठन का अपनी सूचना सुरक्षा के बारे में दृष्टिकोण सही और पारदर्शी रहता है। एक स्वतंत्र पक्ष एक पूर्णकालिक आंतरिक लेखा परीक्षक भी हो सकता है, जिसका एकमात्र कार्य आंतरिक ऑडिट करना होता है और उसके पास अन्य परस्पर विरोधी कार्य और जिम्मेदारियाँ नहीं होती हैं।

5.36 सूचना सुरक्षा के लिए नीतियों और मानकों का अनुपालन

नियंत्रण

संगठन की सूचना सुरक्षा नीति, विषय-विशिष्ट नीतियों, नियमों और मानकों के अनुपालन की नियमित समीक्षा की जानी चाहिए ।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सूचना सुरक्षा को संगठन की सूचना सुरक्षा नीति, विषय-विशिष्ट नीतियों, नियमों और मानकों के अनुसार कार्यान्वित और संचालित किया जाए। इन सभी सुरक्षा नीतियों, मानकों और प्रक्रियाओं के साथ, प्रबंधकों के लिए यह नियमित रूप से समीक्षा करना महत्वपूर्ण है कि क्या वे जिन गतिविधियों और/या प्रक्रियाओं के लिए जिम्मेदार हैं, वे पूरी तरह से अनुपालन करती हैं। इसे सही तरीके से करने के लिए, उन्हें पता होना चाहिए कि उन्हें किन नियमों और आवश्यकताओं का अनुपालन करने की आवश्यकता है और इसे मैन्युअल रूप से या स्वचालित रिपोर्टिंग टूल से जाँचना चाहिए। अनुपालन के लिए सूचना प्रणालियों की नियमित रूप से समीक्षा करने की भी आवश्यकता है। ऐसा करने का सबसे आसान और आमतौर पर सबसे किफ़ायती तरीका स्वचालित टूलिंग के माध्यम से है। यह टूलिंग किसी सिस्टम के सभी कोनों और दरारों की तुरंत जाँच कर सकता है और रिपोर्ट कर सकता है कि वास्तव में क्या गलत हुआ/हो सकता है। भेद्यता परीक्षण जैसे कि प्रवेश परीक्षण प्रभावी रूप से किसी भी कमज़ोरी को दिखा सकते हैं, लेकिन सावधानी के बिना किए जाने पर वास्तव में सिस्टम को नुकसान पहुँचा सकते हैं।

5.37 प्रलेखित संचालन प्रक्रियाएँ

नियंत्रण
सूचना प्रसंस्करण सुविधाओं के लिए संचालन प्रक्रियाओं का दस्तावेजीकरण किया जाना चाहिए तथा उन्हें जरूरतमंद कार्मिकों को उपलब्ध कराया जाना चाहिए।

इस नियंत्रण का उद्देश्य सूचना प्रसंस्करण सुविधाओं का सही और सुरक्षित संचालन सुनिश्चित करना है। उपकरणों के संचालन की प्रक्रियाओं को दस्तावेजित किया जाना चाहिए और उपकरण का उपयोग करने वालों को उपलब्ध कराया जाना चाहिए। कंप्यूटर के उपयोग की सरल प्रक्रिया (शुरू से लेकर बंद होने तक) से लेकर अधिक जटिल उपकरणों के उपयोग तक, इसे सुरक्षित और सही तरीके से संचालित करने के तरीके के बारे में मार्गदर्शन होना चाहिए। उनके महत्व के कारण, प्रक्रियाओं को औपचारिक दस्तावेजों के रूप में माना जाना चाहिए, जिसका अर्थ है कि किसी भी बदलाव को प्रबंधन द्वारा अनुमोदित किया जाना चाहिए।

6.0 लोगों पर नियंत्रण

6.1 स्क्रीनिंग

नियंत्रण

कार्मिक बनने के लिए सभी उम्मीदवारों की पृष्ठभूमि सत्यापन जांच संगठन में शामिल होने से पहले और लागू कानूनों, विनियमों और नैतिकता को ध्यान में रखते हुए निरंतर आधार पर की जानी चाहिए और यह व्यावसायिक आवश्यकताओं, प्राप्त की जाने वाली जानकारी के वर्गीकरण और संभावित जोखिमों के अनुपात में होनी चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सभी कर्मी उन भूमिकाओं के लिए पात्र और उपयुक्त हैं जिनके लिए उन्हें विचार किया जाता है और वे अपने रोजगार के दौरान पात्र और उपयुक्त बने रहते हैं। सूचना सुरक्षा प्रबंधन प्रणाली को सलाहकारों और अस्थायी कर्मचारियों सहित सभी नए या पदोन्नत कर्मचारियों की जांच के लिए एक नीति की आवश्यकता होती है। यह सुनिश्चित करने के लिए है कि कर्मचारी सक्षम और भरोसेमंद हैं। नीति को स्थानीय कानून और नियमों और नए कर्मचारी की भूमिका दोनों को ध्यान में रखना चाहिए ताकि यह सुनिश्चित हो सके कि स्क्रीनिंग पर्याप्त है लेकिन असंगत नहीं है। संगठन के भीतर कुछ भूमिकाओं के लिए उच्च स्तर की स्क्रीनिंग की आवश्यकता हो सकती है, उदाहरण के लिए यदि कर्मचारी गोपनीय जानकारी संभालेंगे। विशेष रूप से सूचना सुरक्षा भूमिकाओं के लिए, स्क्रीनिंग में आवश्यक योग्यताएं और विश्वसनीयता भी शामिल होनी चाहिए

6.2 रोजगार की शर्तें और नियम

नियंत्रण
रोजगार संविदात्मक समझौतों में सूचना सुरक्षा के लिए कार्मिक और संगठन की जिम्मेदारियों का उल्लेख होना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि कर्मचारी उन भूमिकाओं के लिए अपनी सूचना सुरक्षा जिम्मेदारियों को समझें जिनके लिए उन्हें माना जाता है। काम शुरू करने से पहले, कर्मचारी को संगठन की सूचना सुरक्षा नीति के बारे में पता होना चाहिए, जिसमें सूचना सुरक्षा भूमिकाएँ और जिम्मेदारियाँ शामिल हैं। इसे हस्ताक्षरित आचार संहिता या इसी तरह की विधि के माध्यम से संप्रेषित किया जा सकता है। कर्मचारियों के अनुबंधों में संगठन की प्रासंगिक सूचना सुरक्षा नीति भी शामिल होनी चाहिए, जिसमें एक गोपनीयता समझौता भी शामिल है यदि कर्मचारी को गोपनीय जानकारी तक पहुँच होगी।

6.3 सूचना सुरक्षा जागरूकता, शिक्षा और प्रशिक्षण

नियंत्रण
संगठन केकार्मिकों और संबंधित इच्छुक पक्षों को उनके कार्य के लिए प्रासंगिक रूप से उचित जानकारी, सुरक्षा जागरूकता, शिक्षा और प्रशिक्षण तथा संगठन की सूचना सुरक्षा नीति, विषय-विशिष्ट नीतियों और प्रक्रियाओं के बारे में नियमित अद्यतन प्राप्त होना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि कर्मचारी और संबंधित इच्छुक पक्ष अपनी सूचना सुरक्षा जिम्मेदारियों के बारे में जागरूक हों और उन्हें पूरा करें। जब कर्मचारी परिवर्तन की भूमिका के संगठन में शामिल होते हैं तो उन्हें सूचना सुरक्षा प्रशिक्षण की आवश्यकता होती है। लंबे समय से सेवारत कर्मचारियों को भी नियमित प्रशिक्षण और संचार के साथ अपनी जागरूकता बनाए रखने की आवश्यकता होती है। प्रशिक्षण भूमिका के लिए प्रासंगिक होना चाहिए। कई कर्मचारियों के लिए, इसमें पासवर्ड सुरक्षा और सामाजिक-इंजीनियरिंग हमलों के बारे में अनुस्मारक जैसी बुनियादी बातें शामिल होंगी। तकनीकी कर्मचारियों या गोपनीय सामग्री को संभालने वालों के लिए उनकी विशिष्ट भूमिका के लिए अधिक गहन शिक्षा की आवश्यकता होगी।

6.4 अनुशासनात्मक प्रक्रिया

नियंत्रण
एक अनुशासनात्मक प्रक्रिया को औपचारिक रूप दिया जाना चाहिए और इसकी सूचना दी जानी चाहिए ताकि सूचना सुरक्षा नीति का उल्लंघन करने वाले कार्मिकों और अन्य संबंधित हितबद्ध पक्षों के विरुद्ध कार्रवाई की जा सके।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि कार्मिक और अन्य संबंधित इच्छुक पक्ष सूचना सुरक्षा नीति उल्लंघन के परिणामों को समझें, ताकि उल्लंघन करने वाले कार्मिक और अन्य संबंधित इच्छुक पक्षों को रोका जा सके और उनके साथ उचित तरीके से निपटा जा सके। सूचना सुरक्षा नीति उल्लंघन की पुष्टि के बाद अनुशासनात्मक प्रक्रिया के लिए एक नीति लागू होनी चाहिए। अनुशासनात्मक प्रक्रिया आनुपातिक और क्रमिक होनी चाहिए, जिसमें कार्रवाई घटना की गंभीरता, इरादे, क्या यह दोहराया गया अपराध था और सबसे महत्वपूर्ण बात यह है कि क्या कर्मचारी पर्याप्त रूप से प्रशिक्षित था, पर निर्भर करती है। कई दर्ज की गई सुरक्षा घटनाएँ नीति उल्लंघन का परिणाम होंगी और अनुशासनात्मक कार्रवाई की ओर ले जाएँगी। यह याद रखना महत्वपूर्ण है क्योंकि कर्मचारियों को अनुशासनात्मक कार्रवाई के डर से सुरक्षा घटनाओं की रिपोर्ट करने से बचना चाहिए।

6.5 नौकरी की समाप्ति या परिवर्तन के बाद जिम्मेदारियाँ

नियंत्रित

सूचना सुरक्षा जिम्मेदारियों और कर्तव्यों को करें जो रोजगार की समाप्ति या परिवर्तन के बाद भी वैध रहते हैं, उन्हें परिभाषित, लागू किया जाना चाहिए और संबंधित कर्मियों और अन्य इच्छुक पक्षों को सूचित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य रोजगार या अनुबंधों को बदलने या समाप्त करने की प्रक्रिया के हिस्से के रूप में संगठन के हितों की रक्षा करना है। रोजगार बदलने या समाप्त होने पर सूचना सुरक्षा की ज़िम्मेदारियाँ समाप्त नहीं होती हैं। कर्मचारी के रोजगार की शर्तों और शर्तों में गोपनीयता समझौते शामिल होने चाहिए, जिसके अनुसार कर्मचारी को संगठन छोड़ने के बाद सूचना की गोपनीयता का सम्मान करना होगा। जब कोई कर्मचारी छोड़ता है, तो वह सूचना सुरक्षा भूमिकाएँ भी खाली छोड़ सकता है। सुरक्षा की निरंतरता बनाए रखने के लिए, प्रबंधन को इन भूमिकाओं की पहचान करनी चाहिए ताकि उन्हें स्थानांतरित किया जा सके।

6.6 गोपनीयता या गैर-प्रकटीकरण समझौते

नियंत्रित

सूचना की सुरक्षा के लिए संगठन की आवश्यकताओं को प्रतिबिंबित करने वाले गोपनीयता या गैर-प्रकटीकरण समझौतों की पहचान की जानी चाहिए, उनका दस्तावेजीकरण किया जाना चाहिए, नियमित रूप से समीक्षा की जानी चाहिए और कर्मियों तथा अन्य संबंधित इच्छुक पक्षों द्वारा उन पर हस्ताक्षर किए जाने चाहिए ।

इस नियंत्रण का उद्देश्य कार्मिकों या बाहरी पक्षों द्वारा सुलभ जानकारी की गोपनीयता बनाए रखना है। यदि जानकारी की गोपनीयता पर्याप्त रूप से उच्च है, तो इसे कानूनी रूप से लागू करने योग्य शर्तों द्वारा संरक्षित करने की आवश्यकता हो सकती है। इस मामले में, गोपनीयता समझौतों का उपयोग किया जा सकता है, जिसमें शामिल जानकारी, सभी पक्षों की ज़िम्मेदारियाँ, समझौते की अवधि और समझौते को तोड़ने पर दंड निर्धारित किया जाता है। ये कर्मचारी द्वारा एक निश्चित समय अवधि के लिए संगठन छोड़ने के बाद जानकारी को प्रकटीकरण से बचाते हैं।

6.7 दूरस्थ कार्य

नियंत्रण

जब कर्मचारी दूर से काम कर रहे हों, तो संगठन के परिसर के बाहर प्राप्त, संसाधित या संग्रहीत जानकारी की सुरक्षा के लिए सुरक्षा उपायों को लागू किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि जब कर्मचारी दूर से काम कर रहे हों तो सूचना की सुरक्षा हो। कई संगठनों में दूर से काम करना मानक बन गया है, जिससे संगठन और कर्मचारी दोनों को अधिक लचीलापन मिलता है। हालाँकि, दूर से काम करने के लिए सूचना सुरक्षा निहितार्थ हैं, जिन पर विचार किया जाना चाहिए और उनका दस्तावेजीकरण किया जाना चाहिए। दूर से काम करने की नीति में यह बताया जाना चाहिए कि कहाँ और कब दूर से काम करने की अनुमति है, डिवाइस और उपकरण का प्रावधान, अधिकृत पहुँच और कौन सी जानकारी दूर से एक्सेस की जा सकती है। विशेष रूप से महत्वपूर्ण हैं अजीब नेटवर्क के उपयोग को नियंत्रित करने वाली नीतियाँ और जोखिम कि मित्र, परिवार या अजनबी गोपनीय जानकारी को सुन या देख सकते हैं।

6.8 सूचना सुरक्षा घटना रिपोर्टिंग

नियंत्रण
संगठन को कार्मिकों के लिए एक तंत्र उपलब्ध कराना चाहिए, ताकि वे उचित माध्यमों से समयबद्ध तरीके से देखी गई या संदिग्ध सूचना सुरक्षा घटनाओं की रिपोर्ट कर सकें।

इस नियंत्रण का उद्देश्य सूचना सुरक्षा घटनाओं की समय पर, सुसंगत और प्रभावी रिपोर्टिंग का समर्थन करना है जिन्हें कर्मियों द्वारा पहचाना जा सकता है। कर्मचारी कभी-कभी अपने दैनिक कार्य के दौरान सूचना सुरक्षा घटनाओं का सामना करते हैं। घटनाओं में मानवीय त्रुटियाँ, गोपनीयता भंग, खराबी, संदिग्ध मैलवेयर संक्रमण और आईएस नीति या कानून का गैर-अनुपालन शामिल हो सकते हैं। घटना की पहचान, उसे ठीक करने और फिर से होने से रोकने का पहला कदम रिपोर्टिंग है। इसलिए कर्मचारियों को एक रिपोर्टिंग चैनल की आवश्यकता होती है और उन्हें इसके अस्तित्व के बारे में पता होना चाहिए।

7.0 भौतिक नियंत्रण

7.1 भौतिक सुरक्षा परिधि

नियंत्रण
सुरक्षा परिधि को परिभाषित किया जाना चाहिए और उनका उपयोग उन क्षेत्रों की सुरक्षा के लिए किया जाना चाहिए जिनमें सूचना और अन्य संबद्ध परिसंपत्तियां हों।

इस नियंत्रण का उद्देश्य संगठन की जानकारी और अन्य संबंधित संपत्तियों तक अनधिकृत भौतिक पहुँच, क्षति और हस्तक्षेप को रोकना है। भौतिक स्थान की सुरक्षा करते समय पहला कदम इसकी परिधि को परिभाषित करना है। परिधि के भीतर संवेदनशील या महत्वपूर्ण क्षेत्रों की पहचान तब की जा सकती है। परिधि को अलार्म और घुसपैठिए का पता लगाने वाली प्रणालियों के साथ सामग्री की सुरक्षा के लिए पर्याप्त रूप से भौतिक रूप से सुरक्षित होना चाहिए। यदि आवश्यक हो तो एक निगरानी रिसेप्शन पहुँच को नियंत्रित कर सकता है। इस लेख के शीर्ष पर दी गई छवि परिधि और सुरक्षित क्षेत्रों को दर्शाने वाली ज़ोन योजना का एक उदाहरण है।

7.2 भौतिक प्रवेश नियंत्रण

नियंत्रण
सुरक्षित क्षेत्रों को उचित प्रवेश नियंत्रण और पहुंच बिंदुओं द्वारा संरक्षित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि संगठन की जानकारी और अन्य संबद्ध परिसंपत्तियों तक केवल अधिकृत भौतिक पहुँच हो। केवल अधिकृत व्यक्ति ही परिसंपत्तियों और सूचनाओं में प्रवेश करने में सक्षम होने चाहिए। प्रतिबंधों का स्तर संगठनात्मक आवश्यकताओं पर निर्भर करता है। विचार करने योग्य बातों में व्यक्तिगत पहचान और लॉगिंग शामिल है जो परिसर में प्रवेश करता है। आगंतुकों को उनकी पहचान स्थापित करने, वे कहाँ जा सकते हैं और क्या उनके साथ कोई होना चाहिए, इसके लिए एक प्रक्रिया होनी चाहिए। डिलीवरी में भी जोखिम होता है, क्योंकि डिलीवरी क्षेत्रों को सुरक्षित करने की आवश्यकता होती है और डिलीवरी कर्मियों को प्रतिबंधित क्षेत्रों में प्रवेश करने से रोकना होता है।

7.3 कार्यालयों, कमरों और सुविधाओं को सुरक्षित करना

नियंत्रण

कार्यालयों, कमरों और सुविधाओं के लिए भौतिक सुरक्षा को डिजाइन और कार्यान्वित किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य कार्यालय, कमरे और सुविधाओं में संगठन की जानकारी और अन्य संबद्ध संपत्तियों तक अनधिकृत भौतिक पहुँच, क्षति और हस्तक्षेप को रोकना है। कार्यालयों को डिजिटल या भौतिक कुंजियों से सुरक्षित किया जाना चाहिए। सामान्य तौर पर, विस्तृत निर्देशिकाएँ और मानचित्र खुले तौर पर सुलभ नहीं होने चाहिए क्योंकि ये संवेदनशील संपत्तियों के स्थान को उजागर कर सकते हैं।

7.4 भौतिक सुरक्षा निगरानी

नियंत्रण
परिसर पर अनाधिकृत भौतिक पहुंच के लिए निरंतर निगरानी रखी जानी चाहिए।

इस नियंत्रण का उद्देश्य अनधिकृत भौतिक पहुँच का पता लगाना और उसे रोकना है। निगरानी से घुसपैठियों को रोका जा सकता है और घुसपैठ का पता लगाया जा सकता है। गार्ड, कैमरे और अलार्म सभी अनधिकृत पहुँच के खिलाफ निगरानी करते हैं। किसी भी निगरानी प्रणाली के डिजाइन को गोपनीय माना जाना चाहिए। यह सुनिश्चित करने के लिए नियमित परीक्षण की आवश्यकता होती है कि सिस्टम काम करता है। कैमरा निगरानी प्रणाली और अन्य निगरानी प्रणाली जो व्यक्तिगत जानकारी एकत्र करती हैं या किसी व्यक्ति को ट्रैक करने के लिए उपयोग की जा सकती हैं, उन्हें डेटा सुरक्षा कानूनों के तहत विशेष विचार की आवश्यकता हो सकती है। उदाहरण के लिए, कैमरा निगरानी के लिए GDPR कानून के तहत डेटा सुरक्षा प्रभाव मूल्यांकन की आवश्यकता हो सकती है।

7.5 भौतिक और पर्यावरणीय खतरों से सुरक्षा

नियंत्रण

प्राकृतिक आपदाओं और बुनियादी ढांचे के लिए अन्य जानबूझकर या अनजाने में उत्पन्न भौतिक खतरों जैसे भौतिक और पर्यावरणीय खतरों के खिलाफ संरक्षण को डिजाइन और कार्यान्वित किया जाना चाहिए।
इस नियंत्रण का उद्देश्य भौतिक और पर्यावरणीय खतरों से उत्पन्न होने वाली घटनाओं के परिणामों को रोकना या कम करना है। प्राकृतिक या मानव निर्मित आपदाएँ और भौतिक हमले सूचना सुरक्षा और व्यवसाय निरंतरता को खतरे में डालते हैं। इन जोखिमों का स्तर स्थान पर अत्यधिक निर्भर है। बाढ़, आग और बड़े तूफान सबसे संभावित जोखिम हैं, लेकिन भूकंप, नागरिक अशांति और आतंकवादी हमलों से होने वाले जोखिम को भी जोखिम आकलन में शामिल किया जा सकता है।

7.6 सुरक्षित क्षेत्रों में कार्य करना

नियंत्रण
सुरक्षित क्षेत्रों में कार्य करने के लिए सुरक्षा उपायों को डिजाइन और कार्यान्वित किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य सुरक्षित क्षेत्रों में सूचना और अन्य संबंधित संपत्तियों को इन क्षेत्रों में काम करने वाले कर्मियों द्वारा नुकसान और अनधिकृत हस्तक्षेप से बचाना है। सुरक्षित वातावरण के अस्तित्व और उद्देश्य को केवल आवश्यकता के आधार पर ही साझा किया जाना चाहिए। उन्हें बंद रखा जाना चाहिए, और अधिकृत व्यक्तियों तक ही पहुँच सीमित होनी चाहिए। आम तौर पर, सुरक्षा और सुरक्षा दोनों उद्देश्यों के लिए अकेले काम करने को हतोत्साहित किया जाना चाहिए।

7.7 साफ़ डेस्क और साफ़ स्क्रीन

नियंत्रण

कागजात और हटाए जाने योग्य भंडारण मीडिया के लिए स्पष्ट डेस्क नियम और सूचना प्रसंस्करण सुविधाओं के लिए स्पष्ट स्क्रीन नियमों को परिभाषित और उचित रूप से लागू किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य सामान्य कार्य घंटों के दौरान और उसके बाहर डेस्क, स्क्रीन और अन्य सुलभ स्थानों पर अनधिकृत पहुँच, हानि और क्षति के जोखिम को कम करना है। डेस्क, स्क्रीन, प्रिंटर और व्हाइटबोर्ड पर छोड़ी गई संवेदनशील जानकारी को कोई भी एक्सेस कर सकता है। एक स्पष्ट डेस्क और स्क्रीन नीति परिभाषित करती है कि जानकारी कैसे और कहाँ एक्सेस की जा सकती है। एक बुनियादी नीति में कोई भी मुद्रित दस्तावेज़ बिना देखरेख के नहीं छोड़ना शामिल है, चाहे वह कार्य स्थल पर हो या प्रिंटर पर (स्पष्ट डेस्क) और लॉक डिवाइस स्क्रीन पर (स्पष्ट स्क्रीन)। संवेदनशील जानकारी के लिए अधिक विस्तृत नीतियों की आवश्यकता हो सकती है, उदाहरण के लिए कि जानकारी को खुले वातावरण में स्क्रीन पर नहीं देखा जा सकता है।

7.8 उपकरण का स्थान निर्धारण और सुरक्षा

नियंत्रण
उपकरण सुरक्षित एवं संरक्षित स्थान पर रखा जाना चाहिए।

इस नियंत्रण का उद्देश्य भौतिक और पर्यावरणीय खतरों, तथा अनधिकृत पहुँच और क्षति से होने वाले जोखिमों को कम करना है। उपकरणों का सावधानीपूर्वक उपयोग कई जोखिमों को कम कर सकता है: न केवल अनधिकृत पहुँच बल्कि पर्यावरणीय कारकों, फैले हुए भोजन और पेय, बर्बरता, तथा प्रकाश या आर्द्रता के कारण होने वाले क्षरण के कारण होने वाले जोखिम भी। आवश्यक सुरक्षा उपकरण की संवेदनशीलता पर निर्भर करेगी।

7.9 परिसर से बाहर परिसंपत्तियों की सुरक्षा

नियंत्रण:
ऑफ-साइट परिसंपत्तियों को संरक्षित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य ऑफ़-साइट डिवाइस के नुकसान, क्षति, चोरी या समझौता को रोकना और संगठन के संचालन में बाधा उत्पन्न करना है। निजी डिवाइस (अपने-अपने-डिवाइस-लाएँ) सहित डिवाइस को परिसर से बाहर निकलते समय भी सुरक्षा की आवश्यकता होती है। बुनियादी बातों में उचित भौतिक सुरक्षा जैसे कवर और डिवाइस को बिना देखरेख के न छोड़कर चोरी की रोकथाम शामिल है। संगठन को इस बात की जानकारी होनी चाहिए कि ऑफ़-साइट डिवाइस का उपयोग किसके द्वारा किया जाता है और ऑफ़-साइट पर कौन सी जानकारी एक्सेस या उपयोग की जा रही है।

7.10 भंडारण मीडिया

नियंत्रण
भंडारण मीडिया को संगठन की वर्गीकरण योजना और हैंडलिंग आवश्यकताओं के अनुसार अधिग्रहण, उपयोग, परिवहन और निपटान के जीवन चक्र के माध्यम से प्रबंधित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य भंडारण मीडिया पर सूचना का केवल अधिकृत प्रकटीकरण, संशोधन, निष्कासन या विनाश सुनिश्चित करना है। किसी भी मीडिया प्रारूप में संग्रहीत सूचना अनधिकृत पहुँच का जोखिम लाती है, और संशोधन या गिरावट, हानि, विनाश या निष्कासन के माध्यम से सूचना अखंडता की हानि होती है। इसलिए मीडिया को सुरक्षित रूप से संग्रहीत किया जाना चाहिए और अंततः सुरक्षित रूप से नष्ट कर दिया जाना चाहिए। हटाने योग्य मीडिया के प्रबंधन को नियंत्रित करने वाली नीतियों में यह शामिल होना चाहिए कि हटाने योग्य मीडिया पर कौन सी जानकारी संग्रहीत की जा सकती है, ऐसे मीडिया का पंजीकरण और ट्रैकिंग, अनधिकृत पहुँच या गिरावट को रोकने के लिए इसे कैसे सुरक्षित रूप से संग्रहीत किया जाना चाहिए, और इसे कैसे ले जाया जाना चाहिए। जब भंडारण की आवश्यकता नहीं रह जाती है, तो सुरक्षित विनाश आवश्यक है। यह किसी बाहरी पक्ष द्वारा किया जा सकता है।

7.11 सहायक उपयोगिताएँ

नियंत्रण
सूचना प्रसंस्करण सुविधाओं को बिजली की विफलताओं और सहायक उपयोगिताओं में विफलताओं के कारण होने वाली अन्य बाधाओं से संरक्षित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य सूचना और अन्य संबंधित परिसंपत्तियों की हानि, क्षति या समझौता को रोकना है, या सहायक उपयोगिताओं की विफलता और व्यवधान के कारण संगठन के संचालन में रुकावट को रोकना है। बिजली की विफलता तुरंत किसी व्यवसाय की गतिविधियों को प्रभावित कर सकती है। कम स्पष्ट रूप से, दूरसंचार और एयर कंडीशनिंग सभी डिजिटल गतिविधियों को बाधित करेंगे, और गैस, सीवेज या पानी की आपूर्ति की विफलता कर्मचारियों को साइट पर काम करने से रोक देगी। निरीक्षण और अलार्म सिस्टम वास्तविक या संभावित विफलताओं की पहचान कर सकते हैं। निरंतरता योजनाओं को सेवा प्रदाताओं के लिए बैक-अप विकल्पों और आपातकालीन संपर्क विवरणों की पहचान करनी चाहिए।

7.12 केबल सुरक्षा

नियंत्रण
बिजली, डेटा या सहायक सूचना सेवाएं ले जाने वाले केबलों को अवरोधन, हस्तक्षेप या क्षति से बचाया जाना चाहिए।

इस नियंत्रण का उद्देश्य सूचना और अन्य संबंधित परिसंपत्तियों की हानि, क्षति, चोरी या समझौता को रोकना और बिजली और संचार केबलिंग से संबंधित संगठन के संचालन में रुकावट को रोकना है। सूचना और डेटा केबल के माध्यम से स्थानांतरित किए जाते हैं, जबकि कंप्यूटर, सुरक्षा प्रणाली और पर्यावरण नियंत्रण सभी को केबलिंग द्वारा आपूर्ति की जाने वाली बिजली की आवश्यकता होती है। पूर्व को बाधित किया जा सकता है और दोनों में से किसी की भी आउटेज सूचना सुरक्षा और व्यवसाय निरंतरता को खतरे में डाल सकती है। आवश्यक सुरक्षा की डिग्री संगठन पर निर्भर करती है, और कई मामलों में भवन सुविधा प्रदाताओं या दूरसंचार और उपयोगिता कंपनियों द्वारा प्रबंधित की जाएगी। बुनियादी सुरक्षा में क्षति को रोकने के लिए केबलिंग कंडिट या केबल फ़्लोर कवर का उपयोग करना और उपयोगिता पहुँच और प्रवेश बिंदुओं तक लॉक की गई पहुँच शामिल है।

7.13 उपकरण रखरखाव

नियंत्रण
सूचना की उपलब्धता, अखंडता और गोपनीयता सुनिश्चित करने के लिए उपकरण का रखरखाव सही ढंग से किया जाना चाहिए।

इस नियंत्रण का उद्देश्य रखरखाव की कमी के कारण सूचना और अन्य संबंधित परिसंपत्तियों की हानि, क्षति, चोरी या समझौता तथा संगठन के संचालन में व्यवधान को रोकना है। उपकरण रखरखाव में दो सूचना सुरक्षा संबंधी विचार शामिल हैं: खराब रखरखाव वाले उपकरण से सूचना के नुकसान का जोखिम होता है; जबकि उपकरण की सर्विसिंग या रखरखाव से सूचना बाहरी या अनधिकृत पक्षों के सामने आ सकती है। नियमित रूप से सर्विस किए गए और अपडेट किए गए उपकरणों को जोखिमपूर्ण मरम्मत की आवश्यकता होने या आउटेज की ओर ले जाने की संभावना कम होती है। जब मरम्मत की आवश्यकता होती है, तो सेवा प्रदाताओं को चुनने और उनके काम की जाँच करने में सावधानी बरतनी चाहिए।

7.14 उपकरणों का सुरक्षित निपटान या पुनः उपयोग

नियंत्रण
भंडारण मीडिया वाले उपकरणों के मदों का सत्यापन किया जाना चाहिए ताकि यह सुनिश्चित किया जा सके कि निपटान या पुनः उपयोग से पहले किसी भी संवेदनशील डेटा और लाइसेंस प्राप्त सॉफ्टवेयर को हटा दिया गया है या सुरक्षित रूप से अधिलेखित कर दिया गया है।

इस नियंत्रण का उद्देश्य निपटान या पुनः उपयोग किए जाने वाले उपकरणों से सूचना के रिसाव को रोकना है। जो उपकरण अब उपयोग में नहीं है, उनमें अभी भी लाइसेंस प्राप्त सॉफ़्टवेयर स्थापित हो सकता है या संवेदनशील डेटा संग्रहीत हो सकता है। यह उन उपकरणों पर भी लागू होता है जिन्हें मरम्मत की आवश्यकता होती है, और बाहरी मरम्मत सेवाओं का उपयोग करने का निर्णय लेते समय इस पर विचार किया जाना चाहिए। संवेदनशील जानकारी को हटाने के लिए मानक डिलीट फ़ंक्शन पर्याप्त नहीं हो सकते हैं। इसके बजाय, विशेषज्ञ विनाश, विलोपन या ओवरराइटिंग विधियाँ स्टोरेज मीडिया पर बची हुई जानकारी के जोखिम को कम करती हैं। भौतिक लेबल या चिह्नों को भी हटाना याद रखें!

8.0 तकनीकी नियंत्रण

8.1 उपयोगकर्ता एंडपॉइंट डिवाइस

नियंत्रण

उपयोगकर्ता एंडपॉइंट डिवाइस पर संग्रहीत, उसके द्वारा संसाधित या उसके माध्यम से पहुंच योग्य जानकारी को संरक्षित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य उपयोगकर्ता एंडपॉइंट डिवाइस का उपयोग करके पेश किए गए जोखिमों के विरुद्ध जानकारी की सुरक्षा करना है। उपयोगकर्ता एंडपॉइंट डिवाइस वे डिवाइस हैं जिनसे जानकारी एक्सेस की जा सकती है, प्रोसेस की जा सकती है या जहाँ जानकारी को सहेजा जा सकता है। इनमें लैपटॉप, स्मार्टफोन और पीसी शामिल हैं। उपयोगकर्ता एंडपॉइंट डिवाइस के लिए एक नीति में पंजीकरण, भौतिक, पासवर्ड और क्रिप्टोग्राफ़िक सुरक्षा और जिम्मेदार उपयोग शामिल होना चाहिए। जिम्मेदार उपयोग में यह नियंत्रित करना शामिल है कि डिवाइस तक किसकी पहुँच है, सॉफ़्टवेयर की स्थापना, ऑपरेटिंग सिस्टम को नियमित रूप से अपडेट करना और डिवाइस का बैकअप लेना। किसी संगठन को विवादों और संबंधित सूचना सुरक्षा जोखिमों को रोकने के लिए अपने-अपने-डिवाइस लाने के लिए एक विशिष्ट नीति की आवश्यकता हो सकती है।

8.2 विशेषाधिकार प्राप्त पहुँच अधिकार

नियंत्रण
विशेषाधिकार प्राप्त पहुँच अधिकारों के आवंटन और उपयोग को प्रतिबंधित और प्रबंधित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि केवल अधिकृत उपयोगकर्ता, सॉफ़्टवेयर घटक और सेवाएँ ही विशेषाधिकार प्राप्त पहुँच अधिकार प्रदान करें। उपयोगकर्ताओं, सॉफ़्टवेयर घटकों और प्रणालियों को विशेषाधिकार प्राप्त या व्यवस्थापक पहुँच अधिकारों का आवंटन केस-दर-केस आधार पर और केवल आवश्यकतानुसार किया जाना चाहिए। इसका मतलब यह है कि पहुँच अधिकार कब दिए जा सकते हैं और कब उन्हें समाप्त या निरस्त किया जाना चाहिए, यह निर्धारित करने के लिए एक नीति होनी चाहिए। जब विशेषाधिकार प्राप्त पहुँच अधिकार दिए जाते हैं, तो उपयोगकर्ता को यह समझना चाहिए कि वे किस लिए हैं और उनका उपयोग कब किया जाना चाहिए। पहला कदम यह है कि विशेषाधिकार प्राप्त उपयोगकर्ताओं को हमेशा पता होना चाहिए कि उनके पास व्यवस्थापक पहुँच अधिकार हैं। इन अधिकारों का उपयोग दिन-प्रतिदिन के कार्यों के लिए नहीं किया जाना चाहिए, जिन्हें हमेशा मानक पहुँच खातों के साथ किया जाना चाहिए। विशेषाधिकार प्राप्त पहुँच का उपयोग केवल तब किया जाना चाहिए जब व्यवस्थापक कार्य किए जा रहे हों।

8.3 सूचना तक पहुंच प्रतिबंध

नियंत्रण

सूचना और अन्य संबद्ध परिसंपत्तियों तक पहुंच पर स्थापित विषय-विशिष्ट नीति के अनुसार प्रतिबंधित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य केवल अधिकृत पहुँच सुनिश्चित करना और सूचना तथा अन्य संबद्ध परिसंपत्तियों तक अनधिकृत पहुँच को रोकना है। सूचना तथा अन्य परिसंपत्तियों तक पहुँच व्यावसायिक आवश्यकता पर आधारित होनी चाहिए, तथा पहुँच विशेष उपयोगकर्ताओं तक सीमित होनी चाहिए। अज्ञात उपयोगकर्ताओं को जानकारी उपलब्ध नहीं होनी चाहिए, ताकि अप्राप्य तथा अनधिकृत पहुँच को रोका जा सके। सूचना की गोपनीयता बनाए रखने, उसके उपयोग की निगरानी करने तथा संशोधन और वितरण को रोकने के लिए यह महत्वपूर्ण है।

8.4 स्रोत कोड तक पहुंच

नियंत्रण
स्रोत कोड, विकास उपकरण और सॉफ्टवेयर लाइब्रेरी तक पढ़ने और लिखने की पहुंच को उचित रूप से प्रबंधित किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य अनधिकृत कार्यक्षमता की शुरूआत को रोकना, अनजाने या दुर्भावनापूर्ण परिवर्तनों से बचना और मूल्यवान बौद्धिक संपदा की गोपनीयता बनाए रखना है। अवांछित परिवर्तनों को रोकने और कोड को गोपनीय रखने के लिए स्रोत कोड को सुरक्षित रखने की आवश्यकता है। कर्मचारियों की भूमिका और व्यावसायिक आवश्यकता यह निर्धारित करती है कि उनके पास पढ़ने और लिखने की पहुँच है या नहीं। अधिकांश कर्मचारियों के लिए केवल पढ़ने तक पहुँच सीमित करने से कोड की अखंडता की रक्षा करने में मदद मिलती है। इसी कारण से, डेवलपर्स को विकास उपकरणों का उपयोग करना चाहिए जो गतिविधियों को नियंत्रित करते हैं, बजाय स्रोत कोड भंडार तक सीधी पहुँच रखने के।

8.5 सुरक्षित प्रमाणीकरण

नियंत्रण
सुरक्षित प्रमाणीकरण प्रौद्योगिकियों और प्रक्रियाओं को सूचना पहुँच प्रतिबंधों और पहुँच नियंत्रण पर विषय-विशिष्ट नीति के आधार पर कार्यान्वित किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सिस्टम, एप्लिकेशन और सेवाओं तक पहुँच प्रदान किए जाने पर उपयोगकर्ता या इकाई सुरक्षित रूप से प्रमाणित हो। सुरक्षित प्रमाणीकरण यह गारंटी देने में मदद करता है कि उपयोगकर्ता वही है जो वह कहता है कि वह है। प्रमाणीकरण की आवश्यक शक्ति सूचना के वर्गीकरण पर निर्भर करती है। उपयोगकर्ता नाम और पासवर्ड प्रमाणीकरण का एक बुनियादी स्तर प्रदान करते हैं, जिसे क्रिप्टोग्राफ़िक या बायोमेट्रिक नियंत्रण, स्मार्ट कार्ड या टोकन या अन्य बहु कारक प्रमाणीकरण का उपयोग करके मजबूत किया जा सकता है। अनधिकृत व्यक्तियों को सहायता प्रदान करने से बचने के लिए लॉगिन स्क्रीन पर यथासंभव न्यूनतम जानकारी दिखाई जानी चाहिए। सभी लॉगिन प्रयासों को लॉग किया जाना चाहिए, चाहे वे सफल हों या नहीं, ताकि हमलों या अनधिकृत उपयोग की पहचान की जा सके।

8.6 क्षमता प्रबंधन

नियंत्रण
संसाधनों के उपयोग की निगरानी की जानी चाहिए तथा वर्तमान एवं अपेक्षित क्षमता आवश्यकताओं के अनुरूप समायोजित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य सूचना प्रसंस्करण सुविधाओं, मानव संसाधन, कार्यालयों और अन्य सुविधाओं की आवश्यक क्षमता सुनिश्चित करना है। क्षमता प्रबंधन में मानव संसाधन, कार्यालय स्थान और अन्य सभी सुविधाएँ शामिल हैं, न कि केवल सूचना प्रसंस्करण और भंडारण। व्यवसाय और सुरक्षा नियोजन में भविष्य की आवश्यकताओं को ध्यान में रखा जाना चाहिए, खासकर अगर परिसंपत्ति अधिग्रहण में लंबा समय लगता है। क्लाउड कंप्यूटिंग अक्सर लचीले क्षमता प्रबंधन की अनुमति देता है। इसके विपरीत, भौतिक सुविधाओं और कर्मियों को अधिक रणनीतिक योजना की आवश्यकता हो सकती है। भौतिक और डिजिटल सूचना भंडारण का अनुकूलन, पुराने डेटा को हटाना, और अनुकूलित बैच प्रसंस्करण और अनुप्रयोगों का मतलब होगा कि मौजूदा क्षमता का अधिक कुशलता से उपयोग किया जाता है।

8.7 मैलवेयर से सुरक्षा

नियंत्रण
मैलवेयर के विरुद्ध सुरक्षा को उचित उपयोगकर्ता जागरूकता द्वारा क्रियान्वित और समर्थित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सूचना और अन्य संबद्ध संपत्तियां मैलवेयर से सुरक्षित रहें। मैलवेयर पहचान सॉफ़्टवेयर (जैसे वायरस स्कैनर) कुछ सुरक्षा प्रदान करता है, लेकिन यह मैलवेयर से सुरक्षा का एकमात्र तरीका नहीं है। सुरक्षा में सूचना सुरक्षा जागरूकता, पहुँच नियंत्रण और परिवर्तन प्रबंधन नियंत्रण भी शामिल हैं ताकि मैलवेयर को इंस्टॉल होने या समस्याएँ पैदा होने से रोका जा सके। रक्षा की पहली पंक्ति के रूप में, मैलवेयर पहचान सॉफ़्टवेयर को नियमित रूप से इंस्टॉल और अपडेट किया जाना चाहिए। हालाँकि, अनधिकृत सॉफ़्टवेयर इंस्टॉलेशन, संदिग्ध वेबसाइटों के उपयोग, दूरस्थ स्रोतों से फ़ाइलों के डाउनलोड और भेद्यता का पता लगाने से रोकने की नीति भी उतनी ही महत्वपूर्ण है। अंत में, मैलवेयर हमले के लिए सक्रिय रूप से योजना बनाकर सुरक्षा जोखिमों को कम किया जा सकता है। नए मैलवेयर से अवगत रहना, महत्वपूर्ण वातावरण को अलग करना, और हमला होने पर व्यवसाय निरंतरता योजनाएँ बनाना, ये सभी हमले की स्थिति में व्यवसाय निरंतरता बनाए रखने में मदद करेंगे।

8.8 तकनीकी कमजोरियों का प्रबंधन

नियंत्रण

उपयोग में आने वाली सूचना प्रणालियों की तकनीकी कमजोरियों के बारे में जानकारी प्राप्त की जानी चाहिए, ऐसी कमजोरियों के प्रति संगठन के जोखिम का मूल्यांकन किया जाना चाहिए और उचित उपाय किए जाने चाहिए।

इस नियंत्रण का उद्देश्य तकनीकी कमज़ोरियों के शोषण को रोकना है। तकनीकी कमज़ोरियों के प्रबंधन को तीन श्रेणियों में विभाजित किया जा सकता है: पहचान, मूल्यांकन और कार्रवाई। कमज़ोरियों की पहचान करने के लिए, आपूर्तिकर्ता, संस्करण, परिनियोजन स्थिति और जिम्मेदार स्वामी के विवरण के साथ परिसंपत्तियों की सूची बनाई जानी चाहिए। विक्रेता कमज़ोरियों के बारे में जानकारी दे सकता है, लेकिन स्वामी को अतिरिक्त संसाधनों की पहचान करनी चाहिए जो कमज़ोरियों के बारे में जानकारी की निगरानी और रिलीज़ करते हैं और कमज़ोरियों की पहचान करने के तरीके, जैसे कि पेन-टेस्टिंग। जब किसी कमज़ोरी की पहचान हो जाती है, तो जोखिम और तात्कालिकता का आकलन करने की आवश्यकता होती है, साथ ही अपडेट या पैच लागू करने के संभावित जोखिमों का भी। अपडेट का उपयोग अक्सर कमज़ोरियों के खिलाफ़ कार्रवाई करने के लिए किया जा सकता है, लेकिन हमेशा समस्या को ठीक नहीं कर सकता है और नई समस्याएँ पेश कर सकता है। यदि कोई अपडेट उपलब्ध नहीं है या अपडेट को अपर्याप्त माना जाता है, तो जोखिम को कम करने के लिए वर्कअराउंड, नेटवर्क से अलगाव और बढ़ी हुई निगरानी जैसे उपाय पर्याप्त हो सकते हैं।

8.9 कॉन्फ़िगरेशन प्रबंधन

नियंत्रण
हार्डवेयर, सॉफ्टवेयर, सेवाओं और नेटवर्कों के सुरक्षा कॉन्फ़िगरेशन सहित कॉन्फ़िगरेशन की स्थापना, दस्तावेज़ीकरण, कार्यान्वयन, निगरानी और समीक्षा की जानी चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि हार्डवेयर, सॉफ़्टवेयर, सेवाएँ और नेटवर्क आवश्यक सुरक्षा सेटिंग्स के साथ सही ढंग से काम करें, और अनधिकृत या गलत परिवर्तनों से कॉन्फ़िगरेशन में कोई बदलाव न हो। सॉफ़्टवेयर, हार्डवेयर, सेवा और नेटवर्क को संगठन की सुरक्षा के लिए आवश्यक मानी जाने वाली सुरक्षा सेटिंग्स के साथ सही ढंग से काम करने के लिए कॉन्फ़िगर किया जाना चाहिए। कॉन्फ़िगरेशन व्यावसायिक ज़रूरतों और ज्ञात खतरों पर आधारित होना चाहिए। सभी सुरक्षित प्रणालियों की तरह, विशेषाधिकार प्राप्त पहुँच सीमित होनी चाहिए और अनावश्यक फ़ंक्शन अक्षम होने चाहिए। कॉन्फ़िगरेशन परिवर्तनों को परिवर्तन प्रबंधन प्रक्रिया का पालन करना चाहिए और पूरी तरह से स्वीकृत और प्रलेखित होना चाहिए।

8.10 सूचना हटाना

नियंत्रण

सूचना प्रणालियों, उपकरणों या किसी अन्य भंडारण मीडिया में संग्रहीत सूचना को तब हटा दिया जाना चाहिए जब उसकी आवश्यकता न रह जाए।
इस नियंत्रण का उद्देश्य संवेदनशील जानकारी के अनावश्यक प्रदर्शन को रोकना और सूचना हटाने के लिए कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं का अनुपालन करना है। सूचना सुरक्षा जोखिम को कम करने, संसाधन उपयोग को आशावादी बनाने और कानूनों का अनुपालन करने के लिए जानकारी को आवश्यकता से अधिक समय तक नहीं रखा जाना चाहिए। स्थायी विलोपन सुनिश्चित करने के लिए स्वीकृत सुरक्षित विलोपन सॉफ़्टवेयर का उपयोग किया जाना चाहिए और भौतिक मीडिया के लिए प्रमाणित निपटान प्रदाताओं का उपयोग किया जाना चाहिए। क्लाउड सेवा प्रदाताओं द्वारा उपयोग की जाने वाली विलोपन विधि को संगठन द्वारा यह सुनिश्चित करने के लिए जाँचा जाना चाहिए कि यह पर्याप्त है। डेटा लीक होने की स्थिति में विलोपन का रिकॉर्ड बनाए रखना उपयोगी होता है।

8.11 डेटा मास्किंग

नियंत्रण
डेटा मास्किंग का उपयोग संगठन की विषय-विशिष्ट नीति, पहुँच नियंत्रण और अन्य संबंधित विषय-विशिष्ट नीतियों, तथा व्यावसायिक आवश्यकताओं के अनुसार किया जाना चाहिए, तथा लागू कानून को ध्यान में रखना चाहिए।

इस नियंत्रण का उद्देश्य PII सहित संवेदनशील डेटा के प्रदर्शन को सीमित करना और कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं का अनुपालन करना है। किसी कार्य के लिए आवश्यक न्यूनतम मात्रा में डेटा ही खोज परिणामों में उपलब्ध होना चाहिए। इसे प्राप्त करने के लिए, विषयों की पहचान छिपाने के लिए व्यक्तिगत डेटा को छिपाया जाना चाहिए (या अनाम या छद्म अनामित किया जाना चाहिए)। यह कानून द्वारा आवश्यक हो सकता है।

8.12 डेटा लीक की रोकथाम

नियंत्रण

डेटा लीक रोकथाम उपायों को उन प्रणालियों , नेटवर्कों और अन्य उपकरणों पर लागू किया जाना चाहिए जो संवेदनशील जानकारी को संसाधित, संग्रहीत या संचारित करते हैं ।

इस नियंत्रण का उद्देश्य व्यक्तियों या प्रणालियों द्वारा सूचना के अनधिकृत प्रकटीकरण और निष्कर्षण का पता लगाना और उसे रोकना है। डेटा को प्रकट करने या निकालने के अनधिकृत प्रयासों की निगरानी और उनका पता लगाना रोकथाम के लिए महत्वपूर्ण है। जब कोई प्रयास पता चलता है, तो ईमेल संगरोध या एक्सेस ब्लॉक जैसे उपाय सक्रिय किए जा सकते हैं। डेटा को अपलोड करने, साझा करने या एक्सेस करने के बारे में नीतियों और प्रशिक्षण जैसे अन्य तरीकों का उपयोग कर्मचारियों द्वारा डेटा लीक करने के जोखिमों को दूर करने के लिए किया जाना चाहिए।

8.13 सूचना बैकअप

नियंत्रण
सूचना, सॉफ्टवेयर और प्रणालियों की बैकअप प्रतियों को बनाए रखा जाना चाहिए और बैकअप पर सहमत विषय-विशिष्ट नीति के अनुसार नियमित रूप से उनका परीक्षण किया जाना चाहिए।

इस नियंत्रण का उद्देश्य डेटा या सिस्टम के नुकसान से रिकवरी को सक्षम करना है। संगठन को बैक-अप पर एक विशिष्ट नीति की आवश्यकता है, जिसमें विधि, आवृत्ति और परीक्षण शामिल हैं। नीति विकसित करते समय, संगठन को बैक-अप और पुनर्स्थापना की पूर्णता सुनिश्चित करने, बैक-अप की व्यावसायिक आवश्यकताओं, उन्हें कहाँ और कैसे संग्रहीत किया जाता है, और बैक-अप सिस्टम का परीक्षण कैसे किया जाता है, जैसे बिंदुओं पर विचार करना चाहिए। बैक-अप सिस्टम को व्यवसाय निरंतरता योजनाओं के हिस्से के रूप में माना जाना चाहिए और निरंतरता आवश्यकताओं को पूरा करने के लिए पर्याप्त होना चाहिए।

8.14 सूचना प्रसंस्करण सुविधाओं की अतिरेकता

नियंत्रण
सूचना प्रसंस्करण सुविधाओं को उपलब्धता आवश्यकताओं को पूरा करने के लिए पर्याप्त अतिरेक के साथ कार्यान्वित किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य सूचना प्रसंस्करण सुविधाओं के निरंतर संचालन को सुनिश्चित करना है। किसी भी संगठन को एक सिस्टम आर्किटेक्चर की आवश्यकता होती है जो व्यवसाय की उपलब्धता आवश्यकताओं को पूरा करने के लिए पर्याप्त हो। रिडंडेंसी सिस्टम विफलता के मामले में अतिरिक्त क्षमता होने से उपलब्धता सुनिश्चित करती है, और अक्सर बिजली आपूर्ति जैसे डुप्लिकेट सिस्टम की आवश्यकता होती है। पर्याप्त रिडंडेंसी जिसे आवश्यकता पड़ने पर बढ़ाया जा सकता है, व्यवसाय निरंतरता योजना का एक महत्वपूर्ण हिस्सा है और इसका नियमित रूप से परीक्षण किया जाना चाहिए।

8.15 लॉगिंग

नियंत्रण
लॉग जो गतिविधियों, अपवादों, दोषों और अन्य प्रासंगिक घटनाओं को रिकॉर्ड करते हैं, उन्हें तैयार, संग्रहीत, संरक्षित और विश्लेषित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य घटनाओं को रिकॉर्ड करना, साक्ष्य उत्पन्न करना, लॉग जानकारी की अखंडता सुनिश्चित करना, अनधिकृत पहुँच को रोकना, सूचना सुरक्षा घटनाओं की पहचान करना है जो सूचना सुरक्षा घटना को जन्म दे सकती हैं और जाँच का समर्थन करती हैं। लॉगिंग घटनाओं को रिकॉर्ड करती है, साक्ष्य उत्पन्न करती है, लॉग जानकारी की अखंडता सुनिश्चित करती है, अनधिकृत पहुँच को रोकने में मदद कर सकती है, सूचना सुरक्षा घटनाओं की पहचान करती है और जाँच का समर्थन करती है। एक लॉगिंग योजना को यह पहचानने की आवश्यकता होती है कि कौन सी जानकारी लॉग की जानी चाहिए (जैसे उपयोगकर्ता आईडी) और अन्य चीजों के अलावा सिस्टम एक्सेस प्रयास, परिवर्तन, लेनदेन या फ़ाइल एक्सेस जैसी घटनाओं को कवर कर सकती है। लॉग को विशेषाधिकार प्राप्त उपयोगकर्ताओं से भी सुरक्षित किया जाना चाहिए ताकि उन्हें हटाया या बदला न जा सके। पैटर्न या घटनाओं का पता लगाने के लिए लॉग की निगरानी और विश्लेषण किया जाना चाहिए जो सूचना सुरक्षा घटनाएँ हो सकती हैं।

8.16 गतिविधियों की निगरानी

नियंत्रण
नेटवर्क, प्रणालियों और अनुप्रयोगों की असामान्य व्यवहार के लिए निगरानी की जानी चाहिए और संभावित सूचना सुरक्षा घटनाओं का मूल्यांकन करने के लिए उचित कार्रवाई की जानी चाहिए।

इस नियंत्रण का उद्देश्य असामान्य व्यवहार और संभावित सूचना सुरक्षा घटनाओं का पता लगाना है। निगरानी का उद्देश्य असामान्य व्यवहार का पता लगाना और संभावित सूचना सुरक्षा घटनाओं की पहचान करना है। निगरानी प्रणाली नेटवर्क ट्रैफ़िक, सिस्टम एक्सेस, लॉग और संसाधनों के उपयोग को कवर कर सकती है। निगरानी सिस्टम विफलताओं या बाधाओं, मैलवेयर से जुड़ी गतिविधि, अनधिकृत पहुँच, असामान्य व्यवहार और सेवा से इनकार करने जैसे हमलों की पहचान करने में मदद कर सकती है।

8.17 घड़ी सिंक्रनाइज़ेशन

नियंत्रण
संगठन द्वारा प्रयुक्त सूचना प्रसंस्करण प्रणालियों की घड़ियों को अनुमोदित समय स्रोतों के साथ समन्वयित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य सुरक्षा-संबंधित घटनाओं और अन्य रिकॉर्ड किए गए डेटा के सहसंबंध और विश्लेषण को सक्षम करना और सूचना सुरक्षा घटनाओं की जांच का समर्थन करना है। यह सुनिश्चित करने के लिए कि सूचना सुरक्षा घटना का समय विश्वसनीय रूप से रिकॉर्ड किया गया है, घड़ी का सिंक्रनाइज़ेशन महत्वपूर्ण है। ऑन-प्रिमाइसेस सिस्टम को सिंक्रनाइज़ेशन सुनिश्चित करने के लिए नेटवर्क टाइम प्रोटोकॉल (NTP) का उपयोग करना चाहिए। क्लाउड सेवा प्रदाता आम तौर पर लॉगिंग के लिए समय संभालते हैं। हालाँकि, ऑन-प्रिमाइसेस घड़ियाँ क्लाउड प्रदाता की घड़ी के साथ पूरी तरह से सिंक्रनाइज़ नहीं हो सकती हैं। इस मामले में, अंतर को रिकॉर्ड किया जाना चाहिए और उसकी निगरानी की जानी चाहिए।

8.18 विशेषाधिकार प्राप्त उपयोगिता कार्यक्रमों का उपयोग

नियंत्रण
उपयोगिता कार्यक्रमों का उपयोग जो सिस्टम और अनुप्रयोग नियंत्रणों को ओवरराइड करने में सक्षम हो सकते हैं, उन्हें प्रतिबंधित और कड़ाई से नियंत्रित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि उपयोगिता कार्यक्रमों का उपयोग सूचना सुरक्षा के लिए सिस्टम और अनुप्रयोग नियंत्रणों को नुकसान न पहुंचाए। एक उपयोगिता कार्यक्रम सिस्टम और अनुप्रयोग नियंत्रणों को ओवरराइड करने में सक्षम हो सकता है। इसलिए उपयोगिता कार्यक्रमों के उपयोग और उन तक पहुंच को सख्ती से प्रतिबंधित किया जाना चाहिए, जिसमें अद्वितीय उपयोगकर्ता पहचान और उपयोग की लॉगिंग शामिल होनी चाहिए।

8.19 परिचालन प्रणालियों पर सॉफ्टवेयर की स्थापना

नियंत्रण
परिचालन प्रणालियों पर सॉफ्टवेयर स्थापना को सुरक्षित रूप से प्रबंधित करने के लिए नियंत्रण प्रक्रियाओं और उपायों को क्रियान्वित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य परिचालन प्रणालियों की अखंडता सुनिश्चित करना और तकनीकी कमजोरियों के दोहन को रोकना है। सॉफ़्टवेयर इंस्टॉलेशन ऑपरेटिंग सिस्टम में कमजोरियाँ ला सकता है। इस जोखिम को कम करने के लिए, सॉफ़्टवेयर को केवल अधिकृत व्यक्तियों द्वारा ही इंस्टॉल किया जाना चाहिए। सॉफ़्टवेयर विश्वसनीय और अनुरक्षित स्रोतों से होना चाहिए या आंतरिक रूप से विकसित होने पर पूरी तरह से परीक्षण किया हुआ होना चाहिए। पिछले संस्करणों को रखा जाना चाहिए और सभी परिवर्तनों को लॉग किया जाना चाहिए ताकि आवश्यकता पड़ने पर रोल-बैक संभव हो सके।

8.20 नेटवर्क सुरक्षा

नियंत्रण
नेटवर्क और नेटवर्क उपकरणों को प्रणालियों और अनुप्रयोगों में सूचना की सुरक्षा के लिए सुरक्षित, प्रबंधित और नियंत्रित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य नेटवर्क में मौजूद सूचना और इसकी सहायक सूचना प्रसंस्करण सुविधाओं को नेटवर्क के माध्यम से समझौता होने से बचाना है। नेटवर्क को अपने ऊपर से गुजरने वाली सूचना की सुरक्षा के लिए पर्याप्त सुरक्षित होना चाहिए। उन्हें सुरक्षित रखने के लिए, उन्हें अद्यतित और निगरानी में रखा जाना चाहिए, जिसमें प्रमाणित डिवाइसों के कनेक्शन और नेटवर्क पर कौन सा ट्रैफ़िक गुजर सकता है, दोनों को सीमित करने का विकल्प हो। नेटवर्क पर हमला होने पर नेटवर्क को अलग करने का एक तरीका उपयोगी हो सकता है।

8.21 नेटवर्क सेवाओं की सुरक्षा

नियंत्रण

नेटवर्क सेवाओं के सुरक्षा तंत्र, सेवा स्तर और सेवा आवश्यकताओं की पहचान, कार्यान्वयन और निगरानी की जानी चाहिए।

इस नियंत्रण का उद्देश्य नेटवर्क सेवाओं के उपयोग में सुरक्षा सुनिश्चित करना है। नेटवर्क सुरक्षा सेवाएँ एक सरल कनेक्शन और बैंडविड्थ के प्रावधान से लेकर फ़ायरवॉल और घुसपैठ का पता लगाने वाली प्रणालियों जैसी जटिल सेवाओं तक सब कुछ कवर करती हैं। आवश्यक सुरक्षा का स्तर व्यवसाय की ज़रूरत पर निर्भर करेगा। जब आवश्यक सुरक्षा की पहचान हो जाती है तो इसे लागू करने और निगरानी करने की आवश्यकता होती है। यह अक्सर तीसरे पक्ष के नेटवर्क सेवा प्रदाताओं द्वारा किया जाता है। नेटवर्क सुरक्षा सेवाओं को स्थापित करते समय एक्सेस प्राधिकरण प्रक्रियाओं और VPN जैसे एक्सेस साधनों पर विचार किया जाना चाहिए।

8.22 नेटवर्क में पृथक्करण

नियंत्रण

संगठन के नेटवर्क में सूचना सेवाओं, उपयोगकर्ताओं और सूचना प्रणालियों के समूहों को अलग किया जाना चाहिए।

इस नियंत्रण का उद्देश्य नेटवर्क को सुरक्षा सीमाओं में विभाजित करना और व्यावसायिक आवश्यकताओं के आधार पर उनके बीच ट्रैफ़िक को नियंत्रित करना है। बड़े नेटवर्क को कई डोमेन में विभाजित किया जा सकता है। इसका मतलब है कि प्रत्येक डोमेन पर अलग-अलग सुरक्षा स्तर लागू किए जा सकते हैं, जिसमें व्यावसायिक नेटवर्क के विभिन्न हिस्सों तक सीमित पहुँच होती है। नेटवर्क को लॉजिक नेटवर्क का उपयोग करके पूरी तरह से भौतिक रूप से अलग या डिजिटल रूप से अलग किया जा सकता है। वायरलेस नेटवर्क में भौतिक सीमाएँ नहीं होती हैं और इसलिए उन्हें बाहरी कनेक्शन के रूप में माना जाना चाहिए जब तक कि संवेदनशील डेटा तक पहुँचने के लिए VPN जैसे गेटवे को पास नहीं किया जाता है।

8.23 वेब फ़िल्टरिंग

नियंत्रण

दुर्भावनापूर्ण सामग्री के जोखिम को कम करने के लिए बाहरी वेबसाइटों तक पहुंच को प्रबंधित किया जाना चाहिए ।

इस नियंत्रण का उद्देश्य सिस्टम को मैलवेयर से समझौता होने से बचाना और अनधिकृत वेब संसाधनों तक पहुँच को रोकना है। इंटरनेट पर हर वेबसाइट निर्दोष नहीं होती। कुछ में अवैध जानकारी होती है और अन्य मैलवेयर वितरित करती हैं। संदिग्ध वेबसाइटों के आईपी पते को ब्लॉक करने से जोखिम कम हो सकता है। हालाँकि, हर दुर्भावनापूर्ण वेबसाइट को ब्लॉक नहीं किया जा सकता है, इसलिए फ़िल्टरिंग के साथ उचित और जिम्मेदार इंटरनेट उपयोग पर नियम और जागरूकता प्रशिक्षण होना चाहिए।

8.24 क्रिप्टोग्राफी का उपयोग

नियंत्रण
क्रिप्टोग्राफ़िक कुंजी प्रबंधन सहित क्रिप्टोग्राफी के प्रभावी उपयोग के लिए नियमों को परिभाषित और कार्यान्वित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य व्यापार और सूचना सुरक्षा आवश्यकताओं के अनुसार सूचना की गोपनीयता, प्रामाणिकता या अखंडता की रक्षा करने के लिए क्रिप्टोग्राफी के उचित और प्रभावी उपयोग को सुनिश्चित करना है, और क्रिप्टोग्राफी से संबंधित कानूनी, वैधानिक, विनियामक और संविदात्मक आवश्यकताओं को ध्यान में रखना है। क्रिप्टोग्राफी के उपयोग को सावधानीपूर्वक प्रबंधित करने की आवश्यकता है, जिसमें सुरक्षा के आवश्यक स्तर, कुंजी प्रबंधन, एंडपॉइंट डिवाइस के एन्क्रिप्शन और क्रिप्टोग्राफी सामग्री निरीक्षण (उदाहरण के लिए मैलवेयर स्कैनिंग) को कैसे प्रभावित कर सकती है, इस पर विचार किया जाना चाहिए। कुंजी प्रबंधन के लिए क्रिप्टोग्राफ़िक कुंजियों को उत्पन्न करने, संग्रहीत करने, संग्रहीत करने, पुनर्प्राप्त करने, वितरित करने, सेवानिवृत्त करने और नष्ट करने की प्रक्रिया की आवश्यकता होती है।

8.25 सुरक्षित विकास जीवन चक्र

नियंत्रण

सॉफ्टवेयर और प्रणालियों के सुरक्षित विकास के लिए नियम स्थापित और लागू किए जाने चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सूचना सुरक्षा को सॉफ्टवेयर और सिस्टम के सुरक्षित विकास जीवन चक्र के भीतर डिज़ाइन और कार्यान्वित किया जाए। सुरक्षित विकास में सेवाओं, वास्तुकला, सॉफ्टवेयर और सिस्टम का निर्माण शामिल है। एक महत्वपूर्ण पहलू स्रोत कोड के लिए सुरक्षित रिपॉजिटरी के साथ विकास, परीक्षण (अनुमोदन) और उत्पादन वातावरण को अलग करना है। सुरक्षा को विनिर्देश और डिजाइन चरण से ही ध्यान में रखना चाहिए, जिसमें परियोजना योजना और नियोजित परीक्षण में निर्मित चेकपॉइंट शामिल होने चाहिए। डेवलपर्स को सुरक्षित कोडिंग दिशा-निर्देशों के बारे में भी पता होना चाहिए और कमजोरियों को रोकने, खोजने और ठीक करने में सक्षम होना चाहिए।

8.26 अनुप्रयोग सुरक्षा आवश्यकताएँ

नियंत्रण

अनुप्रयोगों को विकसित या प्राप्त करते समय सूचना सुरक्षा आवश्यकताओं की पहचान, निर्दिष्ट और अनुमोदन किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि एप्लिकेशन विकसित करते या प्राप्त करते समय सभी सूचना सुरक्षा आवश्यकताओं की पहचान की जाए और उन्हें संबोधित किया जाए। संगठनों को एप्लिकेशन के लिए सुरक्षा आवश्यकताओं की पहचान करने और उन्हें निर्दिष्ट करने की आवश्यकता है, फिर जोखिम मूल्यांकन का उपयोग करके उन्हें निर्धारित करें। आवश्यकताओं को एप्लिकेशन से गुजरने वाली जानकारी के सुरक्षा वर्गीकरण स्तर द्वारा निर्धारित किया जाता है। आवश्यकताओं में एक्सेस नियंत्रण, सुरक्षा स्तर, एन्क्रिप्शन, इनपुट और आउटपुट नियंत्रण, लॉगिंग, त्रुटि संदेश हैंडलिंग, हमले के खिलाफ लचीलापन और कानूनी आवश्यकताएं शामिल हो सकती हैं। यदि एप्लिकेशन सूचना या ऑर्डर और भुगतान का लेनदेन करता है तो सुरक्षा पर विशेष ध्यान देने की आवश्यकता है।

8.27 सुरक्षित प्रणाली वास्तुकला और इंजीनियरिंग सिद्धांत

नियंत्रण
सुरक्षित प्रणालियों के इंजीनियरिंग के लिए सिद्धांतों को स्थापित, दस्तावेजित, अनुरक्षित किया जाना चाहिए तथा किसी भी सूचना प्रणाली विकास गतिविधियों पर लागू किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सूचना प्रणाली विकास जीवन चक्र के भीतर सुरक्षित रूप से डिज़ाइन, कार्यान्वित और संचालित की जाए। वास्तुकला और इंजीनियरिंग सिद्धांत यह सुनिश्चित करते हैं कि सिस्टम अपने विकास जीवन चक्र के दौरान सुरक्षित रूप से डिज़ाइन, कार्यान्वित और संचालित किए जाएँ। सुरक्षित सिस्टम सिद्धांत विश्लेषण करते हैं कि किन सुरक्षा नियंत्रणों की आवश्यकता है और उन्हें कैसे लागू किया जाना चाहिए। अच्छे अभ्यास, लागत और जटिलता के बारे में व्यावहारिक विचार और मौजूदा सिस्टम में नई सुविधाओं को कैसे एकीकृत किया जा सकता है, इस पर भी ध्यान दिया जाना चाहिए।

8.28 सुरक्षित कोडिंग

सुरक्षित
कोडिंग सिद्धांतों को सॉफ्टवेयर विकास में लागू किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि सॉफ़्टवेयर सुरक्षित रूप से लिखा गया है, जिससे सॉफ़्टवेयर में संभावित सूचना सुरक्षा कमज़ोरियों की संख्या कम हो जाती है। सुरक्षित कोडिंग का अभ्यास यह सुनिश्चित करने में मदद करता है कि कोड कमज़ोरियों को कम करने के लिए लिखा गया है। संगठन में सर्वोत्तम अभ्यास को बढ़ावा देने और न्यूनतम मानक निर्धारित करने के लिए सुरक्षित कोडिंग सिद्धांतों का उपयोग किया जा सकता है। इनमें मौजूदा वास्तविक दुनिया के खतरों, विकास के लिए नियंत्रित वातावरण के उपयोग और डेवलपर्स की क्षमता सुनिश्चित करने को ध्यान में रखना चाहिए। सुरक्षित कोडिंग में अपडेट और रखरखाव का प्रबंधन भी शामिल होना चाहिए, विशेष रूप से यह जाँचना कि बाहरी स्रोतों से कोड बनाए रखने के लिए कौन जिम्मेदार है।

8.29 विकास और स्वीकृति में सुरक्षा परीक्षण

नियंत्रण
सुरक्षा परीक्षण प्रक्रियाओं को विकास जीवन चक्र में परिभाषित और कार्यान्वित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य यह सत्यापित करना है कि उत्पादन वातावरण में अनुप्रयोग या कोड तैनात किए जाने पर सूचना सुरक्षा आवश्यकताएँ पूरी होती हैं या नहीं। सुरक्षा परीक्षण विकास परीक्षण का एक अभिन्न अंग होना चाहिए। इसमें ऑपरेटिंग सिस्टम (जैसे फ़ायरवॉल), सुरक्षित कोडिंग और सुरक्षा फ़ंक्शन (जैसे एक्सेस) के सुरक्षित कॉन्फ़िगरेशन का परीक्षण शामिल है। परीक्षणों को शेड्यूल किया जाना चाहिए, उनका दस्तावेज़ीकरण किया जाना चाहिए और स्वीकार्य परिणाम निर्धारित करने के लिए मानदंड होने चाहिए।

8.30 आउटसोर्स विकास

नियंत्रण
संगठन को आउटसोर्स प्रणाली विकास से संबंधित गतिविधियों का निर्देशन, निगरानी और समीक्षा करनी चाहिए।

इस नियंत्रण का उद्देश्य यह सुनिश्चित करना है कि संगठन द्वारा आवश्यक सूचना सुरक्षा उपायों को आउटसोर्स सिस्टम विकास में लागू किया जाए। जब विकास को आउटसोर्स किया जाता है, तो सूचना सुरक्षा आवश्यकताओं को आउटसोर्स डेवलपर को सूचित किया जाना चाहिए और उस पर सहमति होनी चाहिए तथा आउटसोर्सिंग संगठन द्वारा निगरानी की जानी चाहिए। लाइसेंसिंग और बौद्धिक संपदा स्वामित्व, परीक्षण और परीक्षण के साक्ष्य, तथा विकास प्रक्रिया का ऑडिट करने के लिए संविदात्मक अधिकार सुरक्षा संबंधी विचारों के उदाहरण हैं जिन पर पक्षों के बीच सहमति होनी चाहिए।

8.31 विकास, परीक्षण और उत्पादन वातावरण का पृथक्करण

नियंत्रण
विकास, परीक्षण और उत्पादन वातावरण को अलग और सुरक्षित किया जाना चाहिए।

इस नियंत्रण का उद्देश्य विकास और परीक्षण गतिविधियों द्वारा उत्पादन परिवेश और डेटा को जोखिम में पड़ने से बचाना है। परीक्षण और विकास गतिविधियाँ अवांछित परिवर्तन या सिस्टम विफलता का कारण बन सकती हैं, जो उत्पादन परिवेश को जोखिम में डाल सकती हैं यदि इसे पर्याप्त रूप से संरक्षित नहीं किया जाता है। परीक्षण और उत्पादन के बीच अलगाव की डिग्री संगठन पर निर्भर करेगी, लेकिन परिवेशों को अलग-अलग और स्पष्ट रूप से लेबल किए जाने की आवश्यकता है, ताकि परीक्षण या संकलन जैसी क्रियाएँ उत्पादन परिवेश में न हो सकें। परिवर्तनों की निगरानी की जानी चाहिए, इस बात पर सावधानीपूर्वक नियंत्रण होना चाहिए कि प्रत्येक परिवेश तक किसकी पहुँच है। किसी को भी पूर्व समीक्षा और अनुमोदन के बिना परीक्षण और उत्पादन परिवेश दोनों में परिवर्तन करने की क्षमता नहीं होनी चाहिए।

8.32 परिवर्तन प्रबंधन

नियंत्रण
सूचना प्रसंस्करण सुविधाओं और सूचना प्रणालियों में परिवर्तन परिवर्तन प्रबंधन प्रक्रियाओं के अधीन होना चाहिए।

इस नियंत्रण का उद्देश्य परिवर्तनों को क्रियान्वित करते समय सूचना सुरक्षा को बनाए रखना है। बुनियादी ढांचे या सॉफ़्टवेयर को पेश करते समय या मौजूदा सॉफ़्टवेयर में बड़े बदलाव करते समय सूचना की गोपनीयता, उपलब्धता और अखंडता सभी से समझौता किया जा सकता है। दस्तावेज़ीकरण, परीक्षण, गुणवत्ता नियंत्रण और कार्यान्वयन की एक औपचारिक प्रक्रिया जोखिमों को कम कर सकती है। कार्यान्वयन की तैयारी में परीक्षण और आकस्मिक योजना का दस्तावेज़ीकरण महत्वपूर्ण है, विशेष रूप से यह सुनिश्चित करने के लिए कि नया सॉफ़्टवेयर उत्पादन वातावरण पर नकारात्मक प्रभाव न डाले। परिवर्तन किए जाने के बाद संचालन मार्गदर्शिकाओं और प्रक्रियाओं को बदलने की आवश्यकता हो सकती है।

8.33 परीक्षण जानकारी

नियंत्रण
परीक्षण जानकारी का उचित रूप से चयन, संरक्षण और प्रबंधन किया जाना चाहिए।

इस नियंत्रण का उद्देश्य परीक्षण की प्रासंगिकता सुनिश्चित करना और परीक्षण के लिए उपयोग की जाने वाली परिचालन जानकारी की सुरक्षा सुनिश्चित करना है। परीक्षण जानकारी के लिए दो मुख्य विचार हैं: यह परिचालन जानकारी के काफी करीब होनी चाहिए ताकि यह सुनिश्चित हो सके कि परीक्षण के परिणाम विश्वसनीय हैं, लेकिन इसमें कोई गोपनीय परिचालन जानकारी नहीं होनी चाहिए। यदि परीक्षण के लिए संवेदनशील जानकारी का उपयोग किया जाना आवश्यक है, तो इसका उपयोग करने से पहले इसे संरक्षित, संशोधित या अनाम किया जाना चाहिए, और परीक्षण के तुरंत बाद इसे हटा दिया जाना चाहिए।

8.34 लेखापरीक्षा और परीक्षण के दौरान सूचना प्रणालियों की सुरक्षा

नियंत्रण
परिचालन प्रणालियों के मूल्यांकन से संबंधित लेखापरीक्षा परीक्षण और अन्य आश्वासन गतिविधियों की योजना बनाई जानी चाहिए और परीक्षक और उपयुक्त प्रबंधन के बीच सहमति होनी चाहिए।

इस नियंत्रण का उद्देश्य परिचालन प्रणालियों और व्यावसायिक प्रक्रियाओं पर लेखापरीक्षा और अन्य आश्वासन गतिविधियों के प्रभाव को कम करना है। परिचालन प्रणालियों को लेखापरीक्षा या तकनीकी समीक्षाओं से अनुचित रूप से प्रभावित नहीं होना चाहिए। अत्यधिक व्यवधान को रोकने के लिए, लेखापरीक्षा को सहमत समय और दायरे के साथ योजनाबद्ध किया जाना चाहिए। केवल पढ़ने की पहुँच लेखापरीक्षा के दौरान सिस्टम में आकस्मिक परिवर्तनों को रोक देगी, और सभी पहुँच की निगरानी की जानी चाहिए।

आईएसओ ३१०००:२०१८ जोखिम प्रबंधन दिशानिर्देश

अंतर्राष्ट्रीय जोखिम प्रबंधन मानक, आईएसओ ३१०००:२०१८ जोखिम प्रबंधन – दिशानिर्देश, जोखिम प्रबंधन पर दिशानिर्देश प्रदान करता है।आईएसओ ३१०००:२०१८ एक सामान्य मानक है। आईएसओ ३१०००:२०१८ का उपयोग कोई भी व्यक्ति कर सकता है – व्यक्ति, लोगों के समूह, परिवार, टीम, संगठन और सरकारें। आईएसओ ३१०००:२०१८ दिशानिर्देशों का एक सेट परिभाषित करता है। इन दिशानिर्देशों को किसी भी स्थिति के लिए अनुकूलित किया जा सकता है और निर्णय लेने सहित किसी भी गतिविधि पर लागू किया जा सकता है। इन्हें दिशानिर्देश इसलिए कहा जाता है क्योंकि ये स्वैच्छिक होते हैं। ये सिफारिशें हैं न कि आवश्यकताएँ। जब इन दिशानिर्देशों को सही तरीके से लागू किया जाता है तो ये संगठन की मदद करेंगे:

लक्ष्य निर्धारित करना और इन लक्ष्यों की प्राप्ति की संभावना बढ़ाना।
जोखिमों का प्रबंधन करके मूल्य का सृजन और संरक्षण करें
निर्णय लेना.
खतरों और अवसरों की पहचान करने की अपनी क्षमता में सुधार करें।
प्रदर्शन सुधारना।
संगठन की समग्र लचीलापन में सुधार
परिचालन दक्षता और प्रभावशीलता में सुधार।
कानूनी और नियामक आवश्यकताओं का अनुपालन करें
जोखिम की पहचान करने और उसका समाधान करने के लिए कार्मिकों को प्रोत्साहित करें।
अपने जोखिम प्रबंधन नियंत्रण में सुधार करें.
कानूनी एवं विनियामक आवश्यकताओं का अनुपालन करें।
अपनी शासन गतिविधियों की प्रभावशीलता में सुधार करें।
योजना बनाने और निर्णय लेने के लिए एक ठोस आधार स्थापित करें।
हानि निवारण और घटना प्रबंधन गतिविधियों में सुधार करें।
निरंतर संगठनात्मक सीखने को प्रोत्साहित और समर्थन करें।
अपने हितधारकों का विश्वास और आत्मविश्वास बढ़ाएं।
अनिवार्य और स्वैच्छिक दोनों प्रकार की रिपोर्टिंग को बढ़ावा दें।
अंतर्राष्ट्रीय मानदंडों और मानकों का अनुपालन करना।

जोखिम को समझना

चूँकि यह मानक जोखिम प्रबंधन के बारे में है, इसलिए हमें जोखिम शब्द को परिभाषित करने की आवश्यकता है। आईएसओ ३१०००:२०१८, खंड 3.1 के अनुसार, जोखिम ” उद्देश्यों पर अनिश्चितता का प्रभाव ” है, और प्रभाव अपेक्षित से सकारात्मक या नकारात्मक विचलन है। इसलिए, जोखिम वह संभावना है कि जिस उद्देश्य को हम प्राप्त करने की उम्मीद करते हैं, उससे सकारात्मक या नकारात्मक विचलन होगा। ISO की परिभाषा यह मानती है कि हम सभी अनिश्चित दुनिया में काम करते हैं। जब भी हम कोई उद्देश्य प्राप्त करने की कोशिश करते हैं, तो हमेशा संभावना होती है कि चीजें योजना के अनुसार नहीं होंगी। हर कदम में जोखिम का एक तत्व होता है जिसे प्रबंधित करने की आवश्यकता होती है और हर परिणाम अनिश्चित होता है। जब भी हम कोई उद्देश्य प्राप्त करने की कोशिश करते हैं, तो हमें हमेशा अपेक्षित परिणाम नहीं मिलते हैं। कभी-कभी हमें सकारात्मक परिणाम मिलते हैं और कभी-कभी हमें नकारात्मक परिणाम मिलते हैं और कभी-कभी हमें दोनों ही परिणाम मिलते हैं। इस वजह से, हमें जितना संभव हो सके अनिश्चितता को कम करने की आवश्यकता है। आईएसओ ३१०००:२०१८ के अनुसार, आप जोखिम प्रबंधन के लिए एक व्यवस्थित दृष्टिकोण का उपयोग करके अपनी अनिश्चितता को कम कर सकते हैं और अपने जोखिम को प्रबंधित कर सकते हैं।
जोखिम प्रबंधन के पारंपरिक दृष्टिकोण में तीन तत्व शामिल हैं: यह संभावित घटना से शुरू होता है और फिर इसकी संभावना को इसकी संभावित गंभीरता के साथ जोड़ता है। एक उच्च जोखिम वाली घटना के घटित होने की उच्च संभावना होती है और यदि यह वास्तव में घटित होती है तो इसका गंभीर प्रभाव होता है। जबकि आईएसओ ३१०००:२०१८ जोखिम को एक नए और असामान्य तरीके से परिभाषित करता है, पुरानी और नई परिभाषाएँ काफी हद तक संगत हैं। दोनों परिभाषाएँ एक ही घटना के बारे में बात करती हैं लेकिन दो अलग-अलग दृष्टिकोणों से। ISO जोखिम को लक्ष्य-उन्मुख शब्दों में सोचता है। जबकि पारंपरिक परिभाषा जोखिम को घटना-उन्मुख शब्दों में सोचती है। ये दोनों परिभाषाएँ सह-अस्तित्व में हो सकती हैं और होती भी हैं। वे एक ही घटना के बारे में बात करने के दो अलग-अलग तरीके हैं।

जोखिम की अवधारणा अनिश्चितता से बहुत करीब से जुड़ी हुई है। जोखिम को केवल उद्देश्यों के संबंध में ही सार्थक रूप से परिभाषित किया जा सकता है क्योंकि यह उन उद्देश्यों पर अनिश्चितता के प्रभाव से संबंधित है जिनका आपकी सफलता पर संभावित परिणाम – अच्छा या बुरा – हो सकता है। यह शून्य में मौजूद नहीं हो सकता। यह आपके उद्देश्यों की प्राप्ति के संबंध में मौजूद होना चाहिए। जोखिम की सबसे सरल परिभाषा है “अनिश्चितता जो मायने रखती है”। जोखिम आपके एक या अधिक उद्देश्यों को प्रभावित कर सकता है, या जो हो सकता है उसे प्रभावित कर सकता है। व्यावहारिक सीमा तक, आपके उद्देश्य होने चाहिए:

विशिष्ट;
गुणात्मक या मात्रात्मक रूप से मापने योग्य;
संदर्भ द्वारा लगाए गए प्रतिबंधों के भीतर प्राप्त करने योग्य;
बड़े लक्ष्यों या संदर्भ के लिए प्रासंगिक; और
निर्धारित समय सीमा के भीतर प्राप्त किया जा सकेगा।

सभी प्रकार और आकार के संगठन बाहरी और आंतरिक कारकों और प्रभावों का सामना करते हैं जो यह अनिश्चित बनाते हैं कि वे अपने उद्देश्यों को प्राप्त करेंगे या नहीं। जोखिम का प्रबंधन पुनरावृत्तीय है। यह संगठनों को रणनीति निर्धारित करने, उद्देश्यों को प्राप्त करने और सूचित निर्णय लेने में सहायता करता है। यह शासन और नेतृत्व का हिस्सा है और यह इस बात के लिए मौलिक है कि किसी संगठन को सभी स्तरों पर कैसे प्रबंधित किया जाता है। जोखिम का प्रबंधन आपको सक्षम बनाता है, उदाहरण के लिए:

उद्देश्यों को प्राप्त करने की संभावना में वृद्धि;
सक्रिय प्रबंधन को प्रोत्साहित करना;
पूरे संगठन में जोखिम की पहचान करने और उसका समाधान करने की आवश्यकता के प्रति जागरूक रहना;
अवसरों और खतरों की पहचान में सुधार करना;
प्रासंगिक कानूनी और नियामक आवश्यकताओं और अंतर्राष्ट्रीय मानदंडों का अनुपालन करना;
अनिवार्य और स्वैच्छिक रिपोर्टिंग में सुधार करना;
शासन में सुधार;
हितधारकों का विश्वास और भरोसा बढ़ाना;
निर्णय लेने और योजना बनाने के लिए एक विश्वसनीय आधार स्थापित करना;
नियंत्रण में सुधार;
जोखिम उपचार के लिए संसाधनों का प्रभावी ढंग से आवंटन और उपयोग करना;
परिचालन प्रभावशीलता और दक्षता में सुधार;
स्वास्थ्य और सुरक्षा प्रदर्शन को बढ़ाना, साथ ही पर्यावरण संरक्षण;
हानि की रोकथाम और घटना प्रबंधन में सुधार;
हानि को न्यूनतम करना;
संगठनात्मक शिक्षा में सुधार; और
संगठनात्मक लचीलापन में सुधार.

1. आईएसओ आईएसओ ३१०००:२०१८ का दायरा

आईएसओ आईएसओ ३१०००:२०१८ का दायरा:

किसी भी संगठन के लिए अनुकूलित जोखिम प्रबंधन में दिशानिर्देश प्रदान करता है
एक सामान्य दृष्टिकोण का अनुसरण करता है
संगठनात्मक जोखिम प्रबंधन के संपूर्ण जीवनचक्र को कवर करता है
सभी स्तरों और कार्यों पर लागू
निर्णय लेना

ISO 31000:2018 का उपयोग किसी भी संगठन द्वारा किया जा सकता है, चाहे उसका आकार कुछ भी हो या वह कुछ भी करता हो। इसका उपयोग सार्वजनिक और निजी दोनों संगठनों और सभी प्रकार के समूहों, संघों और उद्यमों द्वारा किया जा सकता है। यह किसी क्षेत्र या उद्योग के लिए विशिष्ट नहीं है और इसे किसी भी प्रकार के जोखिम पर लागू किया जा सकता है। आईएसओ ३१०००:२०१८ को सभी स्तरों और सभी क्षेत्रों में किसी भी प्रकार के उद्देश्यों की प्राप्ति के लिए लागू किया जा सकता है। इसका उपयोग रणनीतिक स्तर पर निर्णय लेने में मदद करने के लिए किया जा सकता है और इसे सभी प्रकार की गतिविधियों पर लागू किया जा सकता है। इसका उपयोग सभी प्रकार की प्रक्रियाओं, संचालन, कार्यों, परियोजनाओं, कार्यक्रमों, उत्पादों, सेवाओं और परिसंपत्तियों के प्रबंधन और नियंत्रण में मदद के लिए भी किया जा सकता है। हालाँकि, आप आईएसओ ३१०००:२०१८ को कैसे लागू करते हैं यह आप पर निर्भर करता है और यह आपके संगठन की ज़रूरतों, उद्देश्यों और चुनौतियों पर निर्भर करेगा, और यह दर्शाता है कि यह क्या करता है और कैसे संचालित होता है।

2 मानक संदर्भ

इस दस्तावेज़ में कोई मानक संदर्भ नहीं हैं।

3 शब्द और परिभाषाएँ

3.1 जोखिम: उद्देश्यों पर अनिश्चितता का प्रभाव
3.2 जोखिम प्रबंधन: जोखिम के बारे में किसी संगठन को निर्देशित और नियंत्रित करने के लिए समन्वित गतिविधियाँ
3.3 हितधारक: वह व्यक्ति या संगठन जो किसी निर्णय या गतिविधि को प्रभावित कर सकता है, उससे प्रभावित हो सकता है, या खुद को उससे प्रभावित होने का अनुभव करता है
3.4 जोखिम स्रोत: ऐसा तत्व जो अकेले या संयोजन में जोखिम को जन्म देने की क्षमता रखता है।
3.5 घटना: किसी विशेष परिस्थिति का घटित होना या उसमें परिवर्तन होना
3.6 परिणाम: किसी घटना का परिणाम जो उद्देश्यों को प्रभावित करता है
3.7 संभावना: किसी चीज़ के घटित होने की संभावना
3.8 नियंत्रण: एक उपाय जो जोखिम को बनाए रखता है और/या संशोधित करता है

4. सिद्धांत

आईएसओ ३१०००:२०१८ के अनुसार, सिद्धांत हैं:
क) एकीकृत
जोखिम प्रबंधन सभी संगठनात्मक गतिविधियों का एक अभिन्न अंग है।
ख) संरचित और व्यापक
जोखिम प्रबंधन के लिए एक संरचित और व्यापक दृष्टिकोण सुसंगत और तुलनीय परिणामों में योगदान देता है।
ग) अनुकूलित
जोखिम प्रबंधन ढांचा और प्रक्रिया संगठन के उद्देश्यों से संबंधित बाहरी और आंतरिक संदर्भ के लिए अनुकूलित और आनुपातिक हैं।
घ) समावेशी
हितधारकों की उचित और समय पर भागीदारी उनके ज्ञान, विचारों और
धारणाओं पर विचार करने में सक्षम बनाती है। इसके परिणामस्वरूप बेहतर जागरूकता और सूचित जोखिम
प्रबंधन होता है।
इ) गतिशील
जोखिम संगठन के बाहरी और आंतरिक संदर्भ में परिवर्तन के रूप में उभर सकते हैं, बदल सकते हैं या गायब हो सकते हैं । जोखिम प्रबंधन एक उचित और समय पर तरीके से
उन परिवर्तनों और घटनाओं का अनुमान लगाता है, पता लगाता है, स्वीकार करता है और प्रतिक्रिया देता है । च) सर्वोत्तम उपलब्ध जानकारी जोखिम प्रबंधन के इनपुट ऐतिहासिक और वर्तमान जानकारी के साथ-साथ भविष्य की अपेक्षाओं पर आधारित होते हैं। जोखिम प्रबंधन स्पष्ट रूप से ऐसी जानकारी और अपेक्षाओं से जुड़ी किसी भी सीमा और अनिश्चितताओं को ध्यान में रखता है। जानकारी समय पर, स्पष्ट और संबंधित हितधारकों के लिए उपलब्ध होनी चाहिए। छ) मानवीय और सांस्कृतिक कारक मानवीय व्यवहार और संस्कृति प्रत्येक स्तर और चरण पर जोखिम प्रबंधन के सभी पहलुओं को महत्वपूर्ण रूप से प्रभावित करते हैं । ज) निरंतर सुधार जोखिम प्रबंधन में सीखने और अनुभव के माध्यम से निरंतर सुधार होता रहता है।

इसे आगे विस्तारपूर्वक बताते हुए:

1. एकीकृत

किसी संगठन को अपने जोखिम प्रबंधन प्रयासों को संगठन के सभी भागों और गतिविधियों में एकीकृत करना चाहिए।
जोखिम प्रबंधन संगठन की मुख्य गतिविधियों और प्रक्रियाओं से अलग नहीं है क्योंकि यह प्रत्येक विभाग में निर्णय लेने का एक हिस्सा है।
जोखिम प्रबंधन संगठन की प्रक्रियाओं में अंतर्निहित है और प्रबंधन की जिम्मेदारियों का एक हिस्सा है

2. संरचित और व्यापक

एक व्यापक, संरचित जोखिम प्रबंधन दृष्टिकोण का निर्माण और उसका पालन करने से सर्वाधिक सुसंगत, वांछनीय जोखिम प्रबंधन परिणाम प्राप्त होते हैं।
व्यवस्थित तरीके से जोखिम प्रबंधन करने से संगठन के भीतर कार्यकुशलता और सुसंगत परिणाम प्राप्त होते हैं, साथ ही इसमें शामिल सभी लोगों की समझ भी बढ़ती है।
उत्पादकता और प्रभावकारिता बनाए रखने के लिए जोखिम प्रबंधन को दिशानिर्देशों और प्रक्रियाओं के साथ संरचित किया जाता है

3. अनुकूलित

किसी संगठन के जोखिम प्रबंधन दृष्टिकोण को उसकी अपनी आवश्यकताओं के अनुरूप अनुकूलित किया जाना चाहिए, जिसमें संगठन के उद्देश्य और संगठन का संचालन करने वाला बाह्य एवं आंतरिक संदर्भ शामिल होना चाहिए।
जोखिम प्रबंधन प्रक्रियाएं सभी के लिए एक समान नहीं होतीं तथा उद्देश्यों तक पहुंचने के लिए उन्हें संगठन के बाह्य और आंतरिक संदर्भ के अनुरूप बनाया जाना चाहिए।
जब आंतरिक और बाह्य दोनों वातावरणों में संदर्भ स्थापित हो जाता है, तो उद्देश्यों को प्राप्त किया जा सकता है और जोखिम प्रबंधन को विशिष्ट संगठन के लिए अनुकूलित किया जा सकता है

4. समावेशी

सबसे प्रभावी होने के लिए, जोखिम प्रबंधन में सभी हितधारकों को उचित और समयबद्ध तरीके से शामिल किया जाना चाहिए। इससे सभी हितधारकों के अलग-अलग ज्ञान सेट, विचारों और धारणाओं पर विचार किया जा सकता है और जोखिम प्रबंधन प्रयासों में उन्हें लागू किया जा सकता है।
हितधारकों की भागीदारी से उनके ज्ञान और विचारों पर विचार किया जा सकता है, जिससे यह गारंटी मिलती है कि जोखिम प्रबंधन प्रासंगिक और अद्यतन है
जोखिम प्रबंधन पारदर्शी है; इसे समझना आसान है और इसमें भ्रामक शब्दावली शामिल नहीं है, जिससे हितधारकों को ढांचे में शामिल किया जा सकता है

5. गतिशील

जैसे-जैसे संगठन बदलता है, जिसमें उसका बाहरी और आंतरिक संदर्भ भी शामिल है, संगठन के जोखिम प्रबंधन कार्यक्रम और प्रयासों में भी बदलाव होना चाहिए। परिवर्तन अपरिहार्य है और सफल संगठन जानते हैं कि परिवर्तन के साथ कैसे काम करना है। जोखिम प्रबंधन कार्यक्रम को संगठन को उचित और समय पर तरीके से परिवर्तनों का अनुमान लगाने, पहचानने, स्वीकार करने और उनका जवाब देने में मदद करनी चाहिए।
किसी संगठन के भीतर संदर्भ और ज्ञान लगातार बदलते रहते हैं और उन्हें स्वीकार किया जाना चाहिए
जोखिम प्रबंधन को दक्षता और परिणाम बनाए रखने के लिए लगातार और तुरंत परिवर्तन का जवाब देना चाहिए
आंतरिक और बाह्य घटनाओं के घटित होने पर जोखिम उभरते हैं, बदलते हैं और गायब हो जाते हैं, इसलिए जोखिम प्रबंधन पूर्वानुमानित होना चाहिए

6. सर्वोत्तम उपलब्ध जानकारी

किसी संगठन के पास कभी भी सभी आवश्यक जानकारी नहीं होगी, लेकिन जब संगठन के पास सर्वोत्तम उपलब्ध डेटा हो, तो कार्रवाई अवश्य की जानी चाहिए
ऐतिहासिक और वर्तमान जानकारी के साथ-साथ इनकी सीमाओं को भी ध्यान में रखा जाना चाहिए
सभी ज्ञात जानकारी हितधारकों के लिए उपलब्ध होनी चाहिए
प्रभावी जोखिम प्रबंधन अतीत और वर्तमान की जानकारी पर विचार करने के साथ-साथ भविष्य का अनुमान लगाकर किया जाता है। इसलिए, अतीत और वर्तमान की जानकारी यथासंभव विश्वसनीय होनी चाहिए, और जोखिम प्रबंधकों को उस अतीत और वर्तमान की जानकारी की सीमाओं और अनिश्चितताओं पर विचार करना चाहिए। सभी संबंधित हितधारकों को समय पर और स्पष्ट तरीके से आवश्यक जानकारी मिलनी चाहिए।

7. मानवीय और सांस्कृतिक कारक

जोखिम प्रबंधन मानव व्यवहार और संस्कृति से काफी प्रभावित होता है
व्यवसाय के लक्ष्यों को प्राप्त करने या बाधित करने के लिए संगठन की क्षमताओं के साथ-साथ उसके भीतर और आसपास के लोगों के लक्ष्यों को भी जोखिम प्रबंधन द्वारा मान्यता दी जानी चाहिए।
जोखिम प्रबंधन एक मानवीय गतिविधि है और यह एक या अधिक संस्कृतियों (संगठनात्मक संस्कृति, आदि) के भीतर होती है। जोखिम प्रबंधकों को उन मानवीय और सांस्कृतिक कारकों के बारे में पता होना चाहिए जिनमें जोखिम प्रबंधन प्रयास होता है और उन्हें यह भी पता होना चाहिए कि मानवीय और सांस्कृतिक कारक जोखिम प्रबंधन प्रयास पर क्या प्रभाव डालेंगे।

8. निरंतर सुधार

अनुभव के माध्यम से निरंतर सुधार करने से संगठन की लचीलापन सुनिश्चित होता है
पीडीसीए एक जोखिम प्रबंधन प्रक्रिया है: योजना बनाएं, करें, जाँचें, समायोजित करें। यह एक ऐसा चक्र है जो संगठन को लगातार बेहतर बनाता रहता है जबकि समय के साथ कारक बदलते रहते हैं
जोखिम प्रबंधन में परिणामों को उचित रूप से अनुकूलित करने से संगठन को हर पहलू में तेजी से बढ़ने और ऐसा करना जारी रखने में मदद मिलती है।
अनुभव और सीख के माध्यम से, जोखिम प्रबंधकों को संगठन के जोखिम प्रबंधन प्रयासों में निरंतर सुधार करने का प्रयास करना चाहिए।

5.0 फ्रेमवर्क

5.1 सामान्य

जोखिम प्रबंधन ढांचे का उद्देश्य संगठन को महत्वपूर्ण गतिविधियों और कार्यों में जोखिम प्रबंधन को एकीकृत करने में सहायता करना है। जोखिम प्रबंधन की प्रभावशीलता संगठन के शासन में इसके एकीकरण पर निर्भर करेगी, जिसमें निर्णय लेना भी शामिल है। इसके लिए हितधारकों, विशेष रूप से शीर्ष प्रबंधन से समर्थन की आवश्यकता होती है। ढांचे के विकास में संगठन भर में जोखिम प्रबंधन को एकीकृत करना, डिजाइन करना, लागू करना, मूल्यांकन करना और सुधारना शामिल है। संगठन को अपने मौजूदा जोखिम प्रबंधन प्रथाओं और प्रक्रियाओं का मूल्यांकन करना चाहिए, किसी भी अंतराल का मूल्यांकन करना चाहिए और ढांचे के भीतर उन्हें संबोधित करना चाहिए। ढांचे के घटकों को संगठन की जरूरतों के अनुसार अनुकूलित किया जाना चाहिए

5.2 नेतृत्व और प्रतिबद्धता

शीर्ष प्रबंधन और निरीक्षण निकायों को, जहां लागू हो, यह सुनिश्चित करना चाहिए कि जोखिम प्रबंधन को सभी संगठनात्मक गतिविधियों में एकीकृत किया जाए और निम्नलिखित के माध्यम से नेतृत्व और प्रतिबद्धता का प्रदर्शन करना चाहिए:

फ्रेमवर्क के सभी घटकों को अनुकूलित और कार्यान्वित करना;
एक बयान या नीति जारी करना जो जोखिम प्रबंधन दृष्टिकोण, योजना या कार्यवाही का तरीका स्थापित करता है;
यह सुनिश्चित करना कि जोखिम प्रबंधन के लिए आवश्यक संसाधन आवंटित किए जाएं;
संगठन के भीतर उचित स्तर पर अधिकार, जिम्मेदारी और जवाबदेही सौंपना।

इससे संगठन को निम्नलिखित में मदद मिलेगी:

जोखिम प्रबंधन को उसके उद्देश्यों, रणनीति और संस्कृति के साथ संरेखित करना;
सभी दायित्वों के साथ-साथ अपनी स्वैच्छिक प्रतिबद्धताओं को पहचानना और उनका समाधान करना;
जोखिम के विकास को निर्देशित करने के लिए जोखिम की मात्रा और प्रकार निर्धारित करें जो लिया जा सकता है या नहीं लिया जा सकता है
मानदंड, यह सुनिश्चित करना कि उन्हें संगठन और उसके हितधारकों को सूचित किया जाए;
संगठन और उसके हितधारकों को जोखिम प्रबंधन के मूल्य से अवगत कराना;
जोखिमों की व्यवस्थित निगरानी को बढ़ावा देना;
यह सुनिश्चित करना कि जोखिम प्रबंधन ढांचा संगठन के संदर्भ के लिए उपयुक्त बना रहे।

शीर्ष प्रबंधन जोखिम प्रबंधन के लिए उत्तरदायी है जबकि निरीक्षण निकाय जोखिम प्रबंधन की देखरेख के लिए उत्तरदायी हैं। निरीक्षण निकायों से अक्सर यह अपेक्षा या अपेक्षा की जाती है कि वे:

यह सुनिश्चित करना कि संगठन के उद्देश्यों को निर्धारित करते समय जोखिमों पर पर्याप्त रूप से विचार किया जाए;
अपने उद्देश्यों की प्राप्ति में संगठन के सामने आने वाले जोखिमों को समझना;
यह सुनिश्चित करना कि ऐसे जोखिमों को प्रबंधित करने के लिए प्रणालियाँ कार्यान्वित हों और प्रभावी ढंग से काम कर रही हों;
यह सुनिश्चित करना कि ऐसे जोखिम संगठन के उद्देश्यों के संदर्भ में उपयुक्त हैं;

5.3 एकीकरण

जोखिम प्रबंधन को एकीकृत करना संगठनात्मक संरचनाओं और संदर्भ की समझ पर निर्भर करता है। संगठन के उद्देश्य, लक्ष्यों और जटिलता के आधार पर संरचनाएं अलग-अलग होती हैं। संगठन की संरचना के हर हिस्से में जोखिम का प्रबंधन किया जाता है। संगठन में हर किसी की जोखिम प्रबंधन की जिम्मेदारी होती है। शासन संगठन के पाठ्यक्रम, उसके बाहरी और आंतरिक संबंधों और उसके उद्देश्य को प्राप्त करने के लिए आवश्यक नियमों, प्रक्रियाओं और प्रथाओं का मार्गदर्शन करता है। प्रबंधन संरचनाएं शासन दिशा को रणनीति और संबंधित उद्देश्यों में बदल देती हैं जो स्थायी प्रदर्शन और दीर्घकालिक व्यवहार्यता के वांछित स्तरों को प्राप्त करने के लिए आवश्यक हैं।
संगठन के भीतर जोखिम प्रबंधन जवाबदेही और निरीक्षण भूमिकाओं का निर्धारण संगठन के शासन का अभिन्न अंग हैं। संगठन में जोखिम प्रबंधन को एकीकृत करना एक गतिशील और पुनरावृत्त प्रक्रिया है, और इसे संगठन की जरूरतों और संस्कृति के अनुसार अनुकूलित किया जाना चाहिए। जोखिम प्रबंधन संगठनात्मक उद्देश्य, शासन, नेतृत्व और प्रतिबद्धता, रणनीति उद्देश्यों और संचालन का एक हिस्सा होना चाहिए, न कि उनसे अलग होना चाहिए।

5.4 डिज़ाइन

5.4.1 संगठन और उसके संदर्भ को समझना

जोखिम को डिजाइन करते समय, संगठन को अपने बाहरी और आंतरिक संदर्भ की उचित समझ होनी चाहिए। संगठन के बाहरी संदर्भ को ध्यान में रखना चाहिए:

सामाजिक, सांस्कृतिक, राजनीतिक, कानूनी, नियामक, वित्तीय, तकनीकी, आर्थिक और पर्यावरणीय कारक, चाहे वे अंतर्राष्ट्रीय, राष्ट्रीय, क्षेत्रीय या स्थानीय हों;
संगठन के उद्देश्यों को प्रभावित करने वाले प्रमुख चालक और रुझान;
बाहरी हितधारकों के संबंध, धारणाएं, मूल्य, आवश्यकताएं और अपेक्षाएं;
संविदात्मक संबंध और प्रतिबद्धताएं;
नेटवर्क और निर्भरता की जटिलता.

संगठन के आंतरिक संदर्भ की जांच में निम्नलिखित शामिल हो सकते हैं, लेकिन यह इन्हीं तक सीमित नहीं है:

दृष्टि, मिशन और मूल्य;
शासन, संगठनात्मक संरचना, भूमिकाएं और जवाबदेही;
रणनीति, उद्देश्य और नीतियां;
संगठन की संस्कृति;
संगठन द्वारा अपनाए गए मानक, दिशानिर्देश और मॉडल;
क्षमताएं, संसाधनों और ज्ञान के संदर्भ में समझी जाती हैं (जैसे पूंजी, समय, लोग, बौद्धिक संपदा, प्रक्रियाएं, प्रणालियां और प्रौद्योगिकियां);
डेटा, सूचना प्रणाली और सूचना प्रवाह;
आंतरिक हितधारकों के साथ संबंध, उनकी धारणाओं और मूल्यों को ध्यान में रखते हुए;
संविदात्मक संबंध और प्रतिबद्धताएं;

5.4.2 जोखिम प्रबंधन प्रतिबद्धता को स्पष्ट करना

संगठन के शीर्ष प्रबंधन और निरीक्षण निकायों को एक नीति बनाकर जोखिम प्रबंधन के प्रति अपनी प्रतिबद्धता दिखानी चाहिए, जो संगठन के उद्देश्यों और जोखिम प्रबंधन के प्रति प्रतिबद्धता को व्यक्त करती है। प्रतिबद्धता में कम से कम ये शामिल होना चाहिए:

जोखिम प्रबंधन का इसका उद्देश्य और यह इसके उद्देश्यों और अन्य नीतियों से कैसे जुड़ता है;
संगठन की संस्कृति में जोखिम प्रबंधन को एकीकृत करना;
मुख्य व्यावसायिक गतिविधियों और निर्णय लेने में जोखिम प्रबंधन को एकीकृत करना;
प्राधिकार, जिम्मेदारियां और जवाबदेही;
आवश्यक संसाधन;
जिस तरह से परस्पर विरोधी उद्देश्यों से निपटा जाता है;
संगठन के प्रदर्शन संकेतकों के भीतर माप और रिपोर्टिंग;
समीक्षा और सुधार.

जोखिम प्रबंधन प्रतिबद्धता को संगठन के भीतर और उपयुक्त हितधारकों तक संप्रेषित किया जाना चाहिए।

5.4.3 संगठनात्मक भूमिकाएं, प्राधिकार, जिम्मेदारियां और जवाबदेही सौंपना

शीर्ष प्रबंधन और निरीक्षण निकायों को यह सुनिश्चित करना चाहिए कि जोखिम प्रबंधन से संबंधित भूमिकाएं, अधिकार, जिम्मेदारियां और जवाबदेही सौंपी गई हैं। यह संगठन के सभी स्तरों पर संप्रेषित किया जाना चाहिए। इसमें इस बात पर जोर दिया जाना चाहिए कि जोखिम प्रबंधन एक मुख्य जिम्मेदारी है और जोखिम के स्वामी की पहचान की जानी चाहिए।

5.4.4 संसाधनों का आवंटन

मौजूदा संसाधनों की क्षमताओं और बाधाओं को ध्यान में रखते हुए, शीर्ष प्रबंधन और निरीक्षण निकायों को जोखिम प्रबंधन के लिए उपयुक्त संसाधनों का आवंटन करना चाहिए, जो हो सकते हैं:

लोग, कौशल, अनुभव और क्षमता;
जोखिम प्रबंधन के लिए उपयोग की जाने वाली संगठन की प्रक्रियाएं, विधियां और उपकरण;
प्रलेखित प्रक्रियाएं और कार्यविधि;
सूचना और ज्ञान प्रबंधन प्रणाली;
व्यावसायिक विकास और प्रशिक्षण की आवश्यकताएँ।

5.4.5 संचार और परामर्श स्थापित करना

यह सुनिश्चित करने के लिए कि जोखिम प्रबंधन पूरे संगठन में प्रभावी रूप से लागू हो, संचार और परामर्श के लिए एक स्वीकृत दृष्टिकोण स्थापित किया जाना चाहिए ताकि ढांचे का समर्थन किया जा सके। संचार का मतलब है कि संगठन लक्षित दर्शकों के साथ जानकारी साझा कर रहा है। परामर्श का मतलब है कि संगठन प्रतिभागियों से फीडबैक ले रहा है ताकि संगठन उचित निर्णय लेने या अन्य गतिविधियों में सुधार करने में सक्षम हो सके। जहां उपयुक्त हो, उसे हितधारकों की अपेक्षाओं को प्रतिबिंबित करना चाहिए। संचार और परामर्श समय पर होना चाहिए और यह सुनिश्चित करना चाहिए कि प्रासंगिक जानकारी एकत्र, संकलित, संश्लेषित और साझा की जाए और फीडबैक प्रदान किया जाए और सुधार किए जाएं।

5.5 कार्यान्वयन

जोखिम प्रबंधन ढांचे को लागू करने के लिए, संगठन को यह करना होगा:

एक उचित योजना स्थापित करें जिसमें समय और संसाधन भी शामिल हों;
पूरे संगठन में इस बात की पूरी स्पष्टता होनी चाहिए कि कोई निर्णय कब लिया जाना है, कैसे लिया जाना है, कहाँ लिया जाना है और किसके द्वारा लिया जाना है। यह सभी अलग-अलग तरह के निर्णयों पर लागू होता है।
यदि आवश्यक हो तो संगठन लागू निर्णय लेने की प्रक्रिया को संशोधित कर सकता है।
जोखिम प्रबंधन की प्रक्रियाओं को संगठन के भीतर स्पष्ट रूप से समझा जाना चाहिए तथा पूरे संगठन में उनका पालन किया जाना चाहिए।

हितधारकों की सहभागिता और जागरूकता की आवश्यकता है ताकि निर्णय लेने में अनिश्चितता को स्पष्ट रूप से संबोधित किया जा सके और यह भी सुनिश्चित किया जा सके कि यदि कोई नई या बाद की अनिश्चितता उत्पन्न होती है तो उसे ध्यान में रखा जा सके।
निर्णय लेने की प्रक्रिया को उचित रूप से डिजाइन और कार्यान्वित करने से यह सुनिश्चित होगा कि बाहरी और आंतरिक संदर्भों में परिवर्तन पर्याप्त रूप से कैप्चर किए गए हैं।

5.6 मूल्यांकन

जोखिम प्रबंधन ढांचे की प्रभावशीलता का मूल्यांकन करने के लिए, संगठन को समय-समय पर इसके उद्देश्य, कार्यान्वयन योजनाओं, संकेतकों और अपेक्षित व्यवहार के आधार पर जोखिम प्रबंधन ढांचे के प्रदर्शन को मापना चाहिए और फिर यह सुनिश्चित करना चाहिए कि यह संगठन के उद्देश्यों को प्राप्त करने में सहायता करने के लिए उपयुक्त बना रहे।

5.7 सुधार

5.7.1 अनुकूलन

इसके मूल्य में सुधार करने तथा बाह्य और आंतरिक परिवर्तनों को संबोधित करने के लिए संगठन को हमेशा जोखिम प्रबंधन ढांचे की निगरानी करनी चाहिए तथा उसे अनुकूलित करना चाहिए।

5.7.2 निरंतर सुधार

एक बार जोखिम प्रबंधन ढांचा स्थापित हो जाने के बाद संगठन को हमेशा इसकी उपयुक्तता, पर्याप्तता और प्रभावशीलता में सुधार करने पर ध्यान देना चाहिए और यह भी देखना चाहिए कि जोखिम प्रबंधन प्रक्रिया को कैसे एकीकृत किया जाए। यदि कोई अंतराल या सुधार के अवसर पहचाने जाते हैं, तो संगठन को योजनाएँ और कार्य विकसित करने चाहिए और इसे उन लोगों को सौंपा जाना चाहिए जो इसे लागू करने के लिए उत्तरदायी हैं। एक बार लागू होने के बाद, ये सुधार जोखिम प्रबंधन को बढ़ाने में योगदान करने में सक्षम होंगे।

6.0 जोखिम प्रबंधन प्रक्रिया

6.1 सामान्य

जोखिम प्रबंधन प्रक्रिया में संचार और परामर्श, संदर्भ स्थापित करने और जोखिम का आकलन, उपचार, निगरानी, समीक्षा, रिकॉर्डिंग और रिपोर्टिंग की गतिविधियों के लिए नीतियों, प्रक्रियाओं और प्रथाओं का व्यवस्थित अनुप्रयोग शामिल है। इसमें नीचे दिखाए गए आरेख में वर्णित गतिविधियाँ शामिल हैं।

उचित रूप से डिज़ाइन और कार्यान्वित किया गया आपका जोखिम प्रबंधन ढांचा यह सुनिश्चित करेगा कि जोखिम प्रबंधन प्रक्रिया पूरे संगठन में सभी गतिविधियों का एक हिस्सा है, जिसमें निर्णय लेना भी शामिल है, और बाहरी और आंतरिक संदर्भों में होने वाले परिवर्तनों को पर्याप्त रूप से कैप्चर किया जाएगा। जोखिम प्रबंधन ढांचा घटकों का एक सेट है जो पूरे संगठन में जोखिम प्रबंधन को डिज़ाइन करने, लागू करने, निगरानी करने, समीक्षा करने और लगातार सुधारने के लिए नींव और संगठनात्मक व्यवस्था प्रदान करता है। आपकी जोखिम प्रबंधन गतिविधियाँ प्रबंधन और निर्णय लेने का एक अभिन्न अंग होनी चाहिए और किसी संगठन की संरचना, संचालन और प्रक्रियाओं में एकीकृत होनी चाहिए। इसे रणनीतिक, परिचालन, कार्यक्रम या परियोजना स्तरों पर लागू किया जा सकता है। जोखिम प्रबंधन प्रक्रिया के कई अनुप्रयोग हो सकते हैं। लेकिन इसे उद्देश्यों को प्राप्त करने और बाहरी और आंतरिक संदर्भ के अनुरूप अनुकूलित किया जाना चाहिए जिसमें इसे लागू किया जाता है। मानव व्यवहार और संस्कृति की गतिशील और परिवर्तनशील प्रकृति को आपकी जोखिम प्रबंधन प्रक्रिया के दौरान ध्यान में रखा जाना चाहिए। हालाँकि जोखिम प्रबंधन प्रक्रिया को अक्सर अनुक्रमिक चरणों के रूप में प्रस्तुत किया जाता है, व्यवहार में, वे पुनरावृत्त गतिविधियाँ हैं। जोखिम प्रबंधन प्रक्रिया के लिए प्रमुख गतिविधियों का सारांश नीचे दी गई तालिका में दिखाया गया है।

6.2 संचार और परामर्श

प्रभावी संचार और परामर्श यह सुनिश्चित करने के लिए आवश्यक है कि जोखिमों की पहचान करने और उन्हें प्रबंधित करने के लिए जिम्मेदार लोग और निहित स्वार्थ वाले लोग यह समझें कि जोखिम-सूचित निर्णय किस आधार पर लिए जाते हैं और विशेष क्रियाएँ और उपचार क्यों चुने जाते हैं। संचार और परामर्श का उद्देश्य संबंधित हितधारकों को जोखिम को समझने, निर्णय लेने के आधार और विशेष क्रियाओं की आवश्यकता क्यों होती है, यह समझने में सहायता करना है। यह जानकारी प्रदान करने, साझा करने या प्राप्त करने और जोखिम के प्रबंधन के बारे में हितधारकों के साथ संवाद करने की एक सतत और पुनरावृत्त प्रक्रिया है। एक हितधारक एक व्यक्ति या संगठन है जो किसी निर्णय या गतिविधि को प्रभावित कर सकता है, उससे प्रभावित हो सकता है या खुद को प्रभावित होने का अनुभव कर सकता है। संचार जोखिम के बारे में जागरूकता और समझ को बढ़ावा देने का प्रयास करता है, जबकि परामर्श में निर्णय लेने में सहायता के लिए प्रतिक्रिया और जानकारी प्राप्त करना शामिल है। परामर्श किसी व्यक्ति या संगठन और उसके हितधारकों के बीच किसी मुद्दे पर निर्णय लेने या उस मुद्दे पर दिशा निर्धारित करने से पहले सूचित संचार की एक दो-तरफ़ा प्रक्रिया है। यह एक ऐसी प्रक्रिया है जो शक्ति के बजाय प्रभाव के माध्यम से निर्णय को प्रभावित करती है और निर्णय लेने में इनपुट करती है, संयुक्त निर्णय लेने के बजाय।
दो हितधारकों के बीच घनिष्ठ समन्वय से तथ्यात्मक, समय पर, प्रासंगिक, सटीक और समझने योग्य सूचनाओं का आदान-प्रदान सुगम होना चाहिए, जिसमें सूचना की गोपनीयता और अखंडता के साथ-साथ व्यक्तियों के निजता अधिकारों पर भी विचार किया जाना चाहिए। सूचना जोखिम प्रबंधन के अस्तित्व, प्रकृति, रूप, संभावना, महत्व, मूल्यांकन, स्वीकार्यता और उपचार से संबंधित हो सकती है। जोखिम प्रबंधन प्रक्रिया की सभी गतिविधियों के भीतर और उसके दौरान उपयुक्त बाहरी और आंतरिक हितधारकों के साथ संचार और परामर्श होना चाहिए। प्रभावी संचार और परामर्श के माध्यम से जोखिम प्रबंधन को बढ़ाया जाता है जब सभी पक्ष और हितधारक एक-दूसरे के दृष्टिकोण को समझते हैं और, जहां उपयुक्त हो, निर्णय लेने की प्रक्रिया में सक्रिय रूप से शामिल होते हैं। एक सहयोगी और परामर्शी दृष्टिकोण से अधिक संभावना है:

संदर्भ को उचित रूप से स्थापित करने में सहायता करें तथा यह सुनिश्चित करें कि सभी हितधारकों के हितों को समझा जाए तथा उन पर विचार किया जाए।
सुनिश्चित करें कि अनिश्चितताओं, जोखिमों, मुद्दों और अवसरों की पर्याप्त रूप से पहचान की जाए और उनका प्रबंधन किया जाए।
जोखिमों का आकलन या विश्लेषण करते समय विशेषज्ञता के विभिन्न क्षेत्रों को एक साथ लाएं, ताकि यह सुनिश्चित किया जा सके कि जोखिम मानदंडों को परिभाषित करते समय और जोखिमों का आकलन करते समय भिन्न और कभी-कभी विरोधी विचारों पर उचित रूप से विचार किया जाए।
उपचार योजना के लिए अनुमोदन, समर्थन और प्रतिबद्धता प्राप्त करने में सहायता करें।
जोखिम-सूचित निर्णय लेने से संबंधित किसी भी परिवर्तन प्रबंधन प्रक्रिया को उन्नत करना।
संचार और परामर्श के तरीकों में बैठकें, रिपोर्ट, ऑनलाइन संचार प्रणालियां और शिक्षण पैकेज, समाचार पत्र और प्रवाह चार्ट शामिल हो सकते हैं।

6.3 दायरा, संदर्भ और मानदंड

6.3.1 अवलोकन

कार्यक्षेत्र, संदर्भ और मानदंड स्थापित करने का उद्देश्य जोखिम प्रबंधन प्रक्रिया को अनुकूलित करना तथा प्रभावी जोखिम मूल्यांकन और उचित जोखिम उपचार को सक्षम बनाना है।

आपको अपनी जोखिम प्रबंधन गतिविधियों का दायरा परिभाषित करना चाहिए। चूँकि आपकी जोखिम प्रबंधन गतिविधियाँ विभिन्न स्तरों (जैसे रणनीतिक, परिचालन, कार्यक्रम, परियोजना या अन्य गतिविधियाँ) पर लागू की जा सकती हैं, इसलिए विचाराधीन दायरे, विचार किए जाने वाले प्रासंगिक उद्देश्यों और आपके उद्देश्यों के साथ उनके संरेखण के बारे में स्पष्ट होना महत्वपूर्ण है। दृष्टिकोण की योजना बनाते समय, विचार में ये शामिल हैं:

6.3.2 कार्यक्षेत्र को परिभाषित करना

उद्देश्य और निर्णय जिन्हें लेने की आवश्यकता है।
गतिविधियों से अपेक्षित परिणाम.
समय, स्थान, विशिष्ट समावेशन और बहिष्करण।
उपयुक्त जोखिम मूल्यांकन उपकरण और तकनीकें।
आवश्यक संसाधन, जिम्मेदारियाँ और रखे जाने वाले रिकार्ड।
अन्य परियोजनाओं, प्रक्रियाओं और गतिविधियों के साथ संबंध।

6.3.3 बाह्य एवं आंतरिक संदर्भ

आपका बाहरी और आंतरिक संदर्भ वह वातावरण है जिसमें आप अपने उद्देश्यों को परिभाषित और प्राप्त करना चाहते हैं। आपके जोखिम प्रबंधन गतिविधियों का संदर्भ उस बाहरी और आंतरिक वातावरण की समझ से स्थापित होना चाहिए जिसमें आप काम करते हैं। इसमें उस विशिष्ट वातावरण को प्रतिबिंबित करना चाहिए जिस पर जोखिम प्रबंधन गतिविधियों को लागू किया जाना है। संदर्भ स्थापित करने से संरचना और आधार तैयार होता है जिसके भीतर जोखिम मूल्यांकन किया जाना चाहिए। यह सुनिश्चित करता है कि जोखिम मूल्यांकन करने के कारण स्पष्ट हैं। यह उन परिस्थितियों की पृष्ठभूमि भी प्रदान करता है जिनके विरुद्ध जोखिमों की पहचान और मूल्यांकन किया जा सकता है। संदर्भ को समझना महत्वपूर्ण है क्योंकि:

जोखिम प्रबंधन आपके उद्देश्यों और गतिविधियों के संदर्भ में होता है।
आपके व्यक्तिगत, टीम या संगठनात्मक कारक अनिश्चितता, जोखिम और अवसर का स्रोत हो सकते हैं।
जोखिम प्रबंधन प्रक्रिया का उद्देश्य और दायरा आपके उद्देश्यों से संबंधित हो सकता है।

6.3.4 जोखिम मानदंड परिभाषित करना

आपको अपने उद्देश्यों के सापेक्ष जोखिम की मात्रा और प्रकार को निर्दिष्ट करना चाहिए जिसे आप ले सकते हैं या नहीं ले सकते हैं। जोखिम मानदंड संदर्भ की शर्तें हैं जिनके आधार पर जोखिम का महत्व निर्धारित किया जाता है। यह निम्नलिखित के लिए मानदंड निर्धारित करता है:

यह निर्णय लेना कि आपके उद्देश्यों की प्राप्ति के लिए जोखिम या अवसर स्वीकार किया जा सकता है।
कभी-कभी इसे जोखिम भूख के रूप में संदर्भित किया जाता है, यह जोखिम की मात्रा या जोखिम से संबंधित पैरामीटर को निर्धारित करने के लिए एक तकनीक को निर्दिष्ट करता है, साथ ही एक सीमा भी बताता है जिसके आगे जोखिम अस्वीकार्य हो जाता है।
जोखिम की स्वीकार्यता को उद्देश्यों से जुड़े विशिष्ट प्रदर्शन मापों में स्वीकार्य भिन्नता को निर्दिष्ट करके भी परिभाषित किया जा सकता है।
परिणाम के प्रकार के अनुसार अलग-अलग मानदंड निर्दिष्ट किए जा सकते हैं। उदाहरण के लिए, वित्तीय जोखिम को स्वीकार करने के मानदंड मानव जीवन के जोखिम के लिए परिभाषित मानदंडों से भिन्न हो सकते हैं।

जोखिम के महत्व का मूल्यांकन।
अन्य जोखिमों की तुलना में जोखिम के महत्व का मूल्यांकन अक्सर उन मानदंडों की तुलना में जोखिम की मात्रा के अनुमान पर आधारित होता है जो सीधे आपके उद्देश्यों के आसपास निर्धारित सीमाओं से संबंधित होते हैं। इन मानदंडों के साथ तुलना आपको यह बता सकती है कि उद्देश्यों के आसपास निर्धारित सीमाओं से बाहर परिणामों को संचालित करने की उनकी क्षमता के आधार पर उपचार के लिए किन जोखिमों पर ध्यान केंद्रित किया जाना चाहिए। जोखिम की मात्रा शायद ही कभी जोखिम के महत्व के बारे में निर्णय लेने के लिए प्रासंगिक एकमात्र मानदंड होती है। अन्य प्रासंगिक कारकों में स्थिरता (जैसे ट्रिपल बॉटम लाइन) और लचीलापन, नैतिक और कानूनी मानदंड, नियंत्रणों की प्रभावशीलता, नियंत्रण मौजूद न होने या विफल होने पर अधिकतम प्रभाव, परिणामों का समय, नियंत्रणों की लागत और हितधारकों के विचार शामिल हो सकते हैं।

विकल्पों के बीच निर्णय लेना।
एक संगठन को कई निर्णयों का सामना करना पड़ेगा, जहाँ कई, अक्सर प्रतिस्पर्धा करने वाले, उद्देश्य संभावित रूप से प्रभावित होते हैं, और विचार करने के लिए संभावित प्रतिकूल परिणाम और संभावित लाभ दोनों होते हैं। ऐसे निर्णयों के लिए, कई मानदंडों को पूरा करने की आवश्यकता हो सकती है और प्रतिस्पर्धी उद्देश्यों के बीच व्यापार-नापसंद की आवश्यकता हो सकती है। निर्णय के लिए प्रासंगिक मानदंडों की पहचान की जानी चाहिए। मानदंडों को कैसे भारित किया जाए या व्यापार-नापसंद कैसे किया जाए, यह तय किया जाना चाहिए और उसका हिसाब लगाया जाना चाहिए। मानदंड निर्धारित करते समय, इस संभावना पर विचार किया जाना चाहिए कि विभिन्न हितधारकों के लिए लागत और लाभ अलग-अलग हो सकते हैं। अनिश्चितता के विभिन्न रूपों को किस तरह ध्यान में रखा जाए, यह तय किया जाना चाहिए। यहीं पर आपका रवैया, इच्छा और जोखिम के प्रति सहनशीलता आती है।

जोखिम रवैया
यह जोखिम का आकलन करने और अंततः उसे जारी रखने, बनाए रखने, लेने या उससे दूर जाने का आपका दृष्टिकोण है।

जोखिम उठाने की क्षमता
यह जोखिम की वह मात्रा और प्रकार है जिसे आप हमारे उद्देश्यों और परिणामों को प्राप्त करने के लिए उठाने या बरकरार रखने के लिए तैयार हैं।

जोखिम सहनशीलता
यह आपके उद्देश्यों और परिणामों को प्राप्त करने के लिए जोखिम उपचार लागू होने के बाद जोखिम को सहन करने की आपकी तत्परता है। जबकि मानदंड जोखिम मूल्यांकन प्रक्रिया की शुरुआत में स्थापित किए जाने चाहिए, वे गतिशील हैं और यदि आवश्यक हो तो उनकी लगातार समीक्षा और संशोधन किया जाना चाहिए। जोखिम के महत्व का मूल्यांकन करने और निर्णय लेने की प्रक्रियाओं का समर्थन करने के लिए मानदंड निर्धारित करने के लिए, निम्नलिखित पर विचार किया जाना चाहिए:

अनिश्चितताओं, जोखिमों और अवसरों की प्रकृति और प्रकार जो परिणामों और उद्देश्यों (मूर्त और अमूर्त दोनों) को प्रभावित कर सकते हैं।
परिणाम – सकारात्मक और नकारात्मक दोनों – और संभावना को कैसे परिभाषित और मापा जाएगा।
समय-सम्बन्धित कारक.
माप के उपयोग में स्थिरता।
जोखिम का स्तर कैसे निर्धारित किया जाएगा।
विभिन्न जोखिमों के संयोजन और अनुक्रम को किस प्रकार ध्यान में रखा जाएगा।
जोखिमों का प्रबंधन करने की क्षमता.

6.4 जोखिम मूल्यांकन

6.4.1 सामान्य

जोखिम मूल्यांकन निम्नलिखित की समग्र प्रक्रिया है:
जोखिम की पहचान
जोखिमों को खोजने, पहचानने और उनका वर्णन करने की प्रक्रिया।
जोखिम विश्लेषण
जोखिम की प्रकृति को समझने और जोखिम के स्तर को निर्धारित करने की प्रक्रिया।
जोखिम मूल्यांकन
जोखिम विश्लेषण के परिणामों की तुलना जोखिम मानदंडों से करने की प्रक्रिया है ताकि यह निर्धारित किया जा सके कि जोखिम और/या उसका परिमाण स्वीकार्य या सहनीय है या नहीं।

जोखिम मूल्यांकन व्यवस्थित, पुनरावृत्त और सहयोगात्मक रूप से किया जाना चाहिए। यह गतिविधि हितधारकों के ज्ञान और विचारों पर आधारित है। इसमें सर्वोत्तम उपलब्ध जानकारी का उपयोग किया जाना चाहिए, और आवश्यकतानुसार आगे की जांच भी की जानी चाहिए। सफल जोखिम मूल्यांकन आंतरिक और बाहरी हितधारकों के साथ प्रभावी संचार और परामर्श पर निर्भर करता है। जोखिम मूल्यांकन गतिविधि के दौरान हितधारकों को शामिल करने से निम्नलिखित में सहायता मिलेगी:

यह सुनिश्चित करना कि हितधारकों के हितों को अच्छी तरह समझा जाए और उन पर विचार किया जाए।
जोखिम की पहचान और विश्लेषण के लिए विशेषज्ञता के विभिन्न क्षेत्रों को एक साथ लाना।
यह सुनिश्चित करना कि जोखिमों का मूल्यांकन करते समय विभिन्न दृष्टिकोणों और चिंताओं पर उचित रूप से विचार किया जाए।
यह सुनिश्चित करना कि जोखिम, मुद्दे और अवसरों की पर्याप्त रूप से पहचान की जाए।

जोखिम मूल्यांकन गतिविधि निर्णयकर्ताओं और हितधारकों को अनिश्चितताओं, जोखिमों और अवसरों की समझ प्रदान करती है जो आपके उद्देश्यों की प्राप्ति और पहले से मौजूद नियंत्रणों की पर्याप्तता और प्रभावशीलता को प्रभावित कर सकते हैं। जोखिम मूल्यांकन गतिविधि से प्राप्त आउटपुट निर्णय लेने की प्रक्रियाओं के लिए इनपुट होते हैं और जोखिमों से निपटने या अवसर का लाभ उठाने के लिए उपयोग किए जाने वाले सबसे उपयुक्त दृष्टिकोण के बारे में निर्णय लेने का आधार प्रदान करते हैं।

आईएसओ ३१०००:२०१८ जोखिम प्रबंधन – जोखिम मूल्यांकन तकनीक , एक अंतरराष्ट्रीय जोखिम मूल्यांकन मानक, विभिन्न तकनीकों के चयन और अनुप्रयोग पर आगे मार्गदर्शन प्रदान करता है जिनका उपयोग अनिश्चितता को ध्यान में रखने के तरीके को बेहतर बनाने और अनिश्चितताओं, जोखिमों और अवसरों को समझने में आपकी मदद करने के लिए किया जा सकता है। मानक में वर्णित तकनीकें अनिश्चितता और आपके निर्णयों और कार्यों के लिए इसके निहितार्थों की समझ को बेहतर बनाने का एक साधन प्रदान करती हैं। यह आपको ऐसे निर्णय लेने में सहायता कर सकता है जहाँ अनिश्चितता हो, विशेष जोखिमों के बारे में जानकारी प्रदान करने के लिए और जोखिम प्रबंधन की प्रक्रिया के हिस्से के रूप में। आईएसओ ३१०००:२०१८ जोखिम का आकलन करने में उनके प्राथमिक अनुप्रयोग के अनुसार तकनीकों को वर्गीकृत करता है, अर्थात्:

हितधारकों और विशेषज्ञों से विचार प्राप्त करना,
जोखिम की पहचान करना;
स्रोतों और कारणों (या जोखिम के चालकों) का निर्धारण;
मौजूदा नियंत्रणों का विश्लेषण करना;
परिणामों और संभावनाओं को समझना;
निर्भरता और अंतःक्रियाओं का विश्लेषण करना;
जोखिम के उपाय प्रदान करना;
जोखिम के महत्व का मूल्यांकन करना;
विकल्पों के बीच चयन करना
रिकॉर्डिंग और रिपोर्टिंग।

ख) जोखिम की पहचान

जोखिम पहचान का उद्देश्य उन जोखिमों को खोजना, पहचानना और उनका वर्णन करना है जो आपके उद्देश्यों को प्राप्त करने में आपकी मदद कर सकते हैं या आपको रोक सकते हैं। जोखिम की पहचान करने से अनिश्चितता को स्पष्ट रूप से ध्यान में रखा जा सकता है। मूल्यांकन के संदर्भ और दायरे के आधार पर अनिश्चितता के सभी स्रोत और लाभकारी और हानिकारक दोनों प्रभाव प्रासंगिक हो सकते हैं। जोखिम पहचान में जोखिम स्रोतों, घटनाओं, उनके कारणों (जोखिम के चालक) और उनके संभावित परिणामों की पहचान शामिल है। जोखिम स्रोत एक ऐसा तत्व है जो अकेले या संयोजन में जोखिम को जन्म देने की अंतर्निहित क्षमता रखता है। एक घटना (या दुर्घटना या दुर्घटना) परिस्थितियों के एक विशेष सेट की घटना या परिवर्तन है। यह एक या अधिक घटनाएं हो सकती हैं और इसके कई कारण हो सकते हैं। पहचानें कि क्या हो सकता है (ज्ञात अनिश्चितताएं) या कौन सी परिस्थितियाँ मौजूद हैं जो उद्देश्यों और परिणामों की उपलब्धि को प्रभावित कर सकती हैं। इसमें उन जोखिमों की पहचान करना शामिल है जो किसी अवसर का पीछा न करने से जुड़े हैं। यह कुछ न करने और प्रदर्शन को बेहतर बनाने के अवसर को संभावित रूप से खोने का जोखिम है। जोखिम की पहचान करते समय, निम्नलिखित पर विचार करें:

क्या हो सकता है – क्या गलत हो सकता है? क्या लक्ष्य प्राप्ति में बाधा बन सकता है? कौन से जोखिम आपके इच्छित परिणामों को खतरे में डाल सकते हैं?
यह कैसे हो सकता है – क्या जोखिम की संभावना है या फिर से होने की संभावना है? यदि ऐसा है, तो जोखिम की घटना होने का क्या कारण हो सकता है?
यह कहाँ हो सकता है – क्या जोखिम कहीं भी, किसी भी वातावरण या स्थान पर होने की संभावना है? या क्या यह जोखिम आपके स्थान, भौतिक क्षेत्र या गतिविधि पर निर्भर है?
ऐसा क्यों हो सकता है – जोखिम वाली घटना के दोबारा होने के लिए किन कारकों की आवश्यकता होगी? समझें कि जोखिम वाली घटना क्यों हो सकती है या क्यों दोहराई जा सकती है।
इसका परिणाम क्या हो सकता है – यदि जोखिम वाली घटना घटित होती है, तो इसका उद्देश्य और परिणाम पर क्या परिणाम होगा या हो सकता है? क्या इसका परिणाम स्थानीय स्तर पर महसूस किया जाएगा, या इसका प्रभाव पूरे संगठन पर पड़ेगा?
परिणाम को कौन प्रभावित करता है या कर सकता है – आपके नियंत्रण या प्रभाव में कितना है? सुनिश्चित करें कि प्रतिनिधिमंडल, नियंत्रण, प्रभाव, संसाधन और बजट वाले लोगों को सूचित किया जाए। जोखिम के उपचारों पर विचार करते समय यह अधिक महत्वपूर्ण हो जाता है।
जोखिम स्वामी कौन है – जोखिम स्वामी वह व्यक्ति या संस्था है जिसके पास जोखिम का प्रबंधन करने और नियंत्रण एवं उपचार स्वामियों के साथ गतिविधियों का समन्वय करने की जवाबदेही और अधिकार होता है।

जोखिमों की पहचान करने में प्रासंगिक, उचित और अद्यतन जानकारी महत्वपूर्ण है। जोखिम पहचान गतिविधि के दौरान निम्नलिखित कारकों और इन कारकों के बीच संबंधों पर विचार किया जाना चाहिए:

जोखिम के मूर्त और अमूर्त स्रोत;
कारण (जोखिम चालक) और घटनाएँ;
खतरे और अवसर;
कमजोरियां और क्षमताएं;
बाह्य एवं आंतरिक संदर्भ में परिवर्तन;
उभरती अनिश्चितताओं और जोखिमों के संकेतक;
परिसंपत्तियों और संसाधनों की प्रकृति और मूल्य;
परिणाम और उद्देश्यों पर उनका प्रभाव;
ज्ञान की सीमाएं और सूचना की विश्वसनीयता;
समय-संबंधी कारक; और
इसमें शामिल लोगों के पूर्वाग्रह, धारणाएं और विश्वास।

इस बात पर विचार किया जाना चाहिए कि एक से अधिक प्रकार के परिणाम हो सकते हैं, जिसके परिणामस्वरूप विभिन्न प्रकार के मूर्त या अमूर्त परिणाम हो सकते हैं। एक बार जोखिम की पहचान हो जाने पर, डिज़ाइन सुविधाएँ, लोग, प्रक्रियाएँ और सिस्टम जैसे किसी भी मौजूदा नियंत्रण की पहचान करें।

6.4.3 जोखिम विश्लेषण

जोखिम विश्लेषण का उद्देश्य पहचाने गए जोखिम की प्रकृति और इसकी विशेषताओं को समझना है, जिसमें उचित होने पर जोखिम का स्तर भी शामिल है। जोखिम का स्तर या जोखिम रेटिंग, जोखिम या जोखिमों के संयोजन की मात्रा है, जिसे परिणामों और उनकी संभावना के संयोजन के रूप में व्यक्त किया जाता है। जोखिम विश्लेषण गतिविधि में अनिश्चितताओं, स्रोतों, कारणों (जोखिम के चालक), परिणामों, संभावना, घटनाओं, परिदृश्यों, नियंत्रणों और उनकी प्रभावशीलता पर विस्तृत विचार करना शामिल है। एक घटना के कई कारण और परिणाम हो सकते हैं और कई उद्देश्यों को प्रभावित कर सकते हैं। विश्लेषण के उद्देश्य, जानकारी की उपलब्धता और विश्वसनीयता और उपलब्ध संसाधनों के आधार पर जोखिम विश्लेषण को अलग-अलग डिग्री के विवरण और जटिलता के साथ किया जा सकता है। परिस्थितियों और इच्छित उपयोग के आधार पर आपकी विश्लेषण तकनीक गुणात्मक, मात्रात्मक या इनका संयोजन हो सकती है। जोखिम विश्लेषण में निम्नलिखित कारकों पर विचार किया जाना चाहिए:

घटनाओं और परिणामों की संभावना;
परिणामों की प्रकृति और परिमाण;
जटिलता और कनेक्टिविटी;
समय से संबंधित कारक और अस्थिरता;
मौजूदा नियंत्रणों की प्रभावशीलता; और
संवेदनशीलता और आत्मविश्वास का स्तर.

जोखिम कई अलग-अलग प्रकार के परिणामों से जुड़ा हो सकता है, जो अलग-अलग उद्देश्यों को प्रभावित करते हैं। परिणाम समय के साथ बदल भी सकते हैं। उदाहरण के लिए, किसी दोष के प्रतिकूल प्रभाव उतने ही गंभीर हो सकते हैं, जितने लंबे समय तक दोष मौजूद रहता है। कभी-कभी परिणाम जोखिम के कई स्रोतों के संपर्क में आने से उत्पन्न होते हैं।
संभावना किसी घटना की संभावना या किसी निर्दिष्ट परिणाम की संभावना को संदर्भित कर सकती है। जिस पैरामीटर पर संभावना मान लागू होता है, उसे स्पष्ट रूप से बताया जाना चाहिए। जिस घटना या परिणाम की संभावना बताई जा रही है, उसे स्पष्ट रूप से और सटीक रूप से परिभाषित किया जाना चाहिए।
अनिश्चितताओं, जोखिमों और अवसरों के बीच आमतौर पर कई अंतःक्रियाएं और निर्भरताएं होती हैं। उदाहरण के लिए, एक ही कारण से कई परिणाम उत्पन्न हो सकते हैं या किसी विशेष परिणाम के कई कारण हो सकते हैं। इस जोखिम विश्लेषण गतिविधि के दौरान मौजूदा नियंत्रणों और उनकी प्रभावशीलता को ध्यान में रखा जाना चाहिए क्योंकि जोखिम का स्तर उनकी पर्याप्तता और प्रभावशीलता पर निर्भर करेगा। नियंत्रण एक ऐसी चीज है जो वर्तमान में मौजूद है जो जोखिम को कम कर रही है। इसे अक्सर पिछली स्थिति या घटना के परिणामस्वरूप लाया जाता है। नियंत्रण की तीन श्रेणियां हैं:

निवारक – नीतियों और प्रक्रियाओं, अनुमोदनों, प्राधिकरणों, पुलिस जांच और प्रशिक्षण सहित किसी स्थिति के घटित होने की संभावना को कम करना। ये नियंत्रण आम तौर पर जोखिम वाली घटना के कारणों या चालकों को लक्षित करते हैं।
जासूसी – प्रदर्शन समीक्षा, सुलह, लेखा परीक्षा और जांच सहित वर्तमान नियंत्रण वातावरण में विफलताओं की पहचान करना।
सुधारात्मक – संकट प्रबंधन और व्यवसाय निरंतरता योजनाओं, बीमा और आपदा पुनर्प्राप्ति योजनाओं सहित विफलता का पता लगने के बाद उसके परिणाम को कम करना और सुधारना। ये नियंत्रण आम तौर पर जोखिम घटना के संभावित परिणामों को लक्षित करते हैं।

जोखिम किसी भी नियंत्रण की समग्र प्रभावशीलता से प्रभावित होता है। नियंत्रण के निम्नलिखित पहलुओं पर विचार किया जाना चाहिए:

वह तंत्र जिसके द्वारा नियंत्रण का उद्देश्य जोखिम को संशोधित करना है;
क्या नियंत्रण मौजूद हैं, क्या वे अपेक्षित रूप से कार्य करने में सक्षम हैं, और क्या अपेक्षित परिणाम प्राप्त कर रहे हैं;
क्या नियंत्रणों के डिजाइन या उनके लागू करने के तरीके में कमियां हैं;
क्या नियंत्रण में अंतराल हैं;
क्या नियंत्रण स्वतंत्र रूप से कार्य करते हैं, या उन्हें प्रभावी होने के लिए सामूहिक रूप से कार्य करने की आवश्यकता है;
क्या ऐसे कारक, स्थितियाँ, कमज़ोरियाँ या परिस्थितियाँ हैं जो सामान्य कारण विफलताओं सहित नियंत्रण प्रभावशीलता को कम या समाप्त कर सकती हैं; और
क्या नियंत्रण स्वयं अतिरिक्त जोखिम उत्पन्न करते हैं।

जोखिम विश्लेषण के दौरान नियंत्रणों के वास्तविक प्रभाव और विश्वसनीयता के बारे में की गई किसी भी धारणा को यथासंभव मान्य किया जाना चाहिए, जिसमें व्यक्तिगत या नियंत्रणों के संयोजन पर जोर दिया जाना चाहिए, जिनके बारे में माना जाता है कि उनका पर्याप्त संशोधित प्रभाव है। इसमें नियमित निगरानी और नियंत्रणों की समीक्षा के माध्यम से प्राप्त जानकारी पर विचार किया जाना चाहिए। कई मामलों में ये स्थितियाँ या घटनाएँ नियंत्रणों की कमी के कारण नहीं, बल्कि मौजूदा नियंत्रणों की विफलता के कारण उत्पन्न होती हैं। जोखिमों को प्रभावी ढंग से प्रबंधित करने की असली कुंजी यह सुनिश्चित करना है कि आपके मौजूदा नियंत्रण निम्नलिखित पर विचार करके प्रभावी हैं:

किसी विशेष जोखिम घटना के लिए मौजूदा नियंत्रण क्या हैं?
क्या ये नियंत्रण जोखिम की घटना को पर्याप्त रूप से प्रबंधित करने या उसका उपचार करने में सक्षम हैं, ताकि इसे सहनीय या स्वीकार्य स्तर तक नियंत्रित किया जा सके?

आपकी जोखिम विश्लेषण गतिविधि राय, पूर्वाग्रह, जोखिम की धारणा और निर्णयों के किसी भी विचलन से प्रभावित हो सकती है। अतिरिक्त प्रभाव उपयोग की गई जानकारी की गुणवत्ता, की गई धारणाएँ और बहिष्करण, तकनीकों की कोई सीमाएँ और उन्हें कैसे निष्पादित किया जाता है, हैं। इन प्रभावों पर विचार किया जाना चाहिए, उनका दस्तावेजीकरण किया जाना चाहिए और निर्णयकर्ताओं को सूचित किया जाना चाहिए।
जोखिम विश्लेषण गतिविधि जोखिम मूल्यांकन, जोखिम का इलाज करने की आवश्यकता है या नहीं और कैसे, और सबसे उपयुक्त जोखिम उपचार रणनीति और विधियों पर निर्णय लेने के लिए एक इनपुट प्रदान करती है। परिणाम निर्णयों के लिए अंतर्दृष्टि प्रदान करते हैं, जहाँ विकल्प बनाए जा रहे हैं, और विकल्पों में जोखिम के विभिन्न प्रकार और स्तर शामिल हैं।

6.4.4 जोखिम मूल्यांकन

जोखिम मूल्यांकन का उद्देश्य निर्णयों का समर्थन करना है। जोखिम मूल्यांकन में जोखिम विश्लेषण के परिणामों की स्थापित जोखिम मानदंडों के साथ तुलना करना शामिल है ताकि यह निर्धारित किया जा सके कि अतिरिक्त कार्रवाई की आवश्यकता कहां है। यह गतिविधि संभावित भविष्य की कार्रवाइयों के बारे में जोखिम-सूचित निर्णय लेने के लिए जोखिम विश्लेषण के दौरान प्राप्त जोखिम की समझ का उपयोग करती है। जोखिम की धारणाओं सहित नैतिक, कानूनी, वित्तीय और अन्य विचार भी निर्णय लेने की प्रक्रिया में इनपुट हैं। इससे निम्न निर्णय हो सकते हैं:

आगे कुछ न करें;
जोखिम उपचार विकल्पों पर विचार करें;
जोखिम को बेहतर ढंग से समझने के लिए आगे का विश्लेषण करना;
मौजूदा नियंत्रण बनाए रखें; या
उद्देश्यों पर पुनर्विचार करें.

जोखिम की पहचान और विश्लेषण से प्राप्त जानकारी का उपयोग यह निष्कर्ष निकालने के लिए किया जा सकता है कि जोखिम को स्वीकार किया जाना चाहिए या नहीं और उद्देश्यों और प्रदर्शन सीमाओं के सापेक्ष जोखिम का तुलनात्मक महत्व क्या है। यह इस बारे में निर्णय लेने में इनपुट प्रदान करता है कि क्या जोखिम स्वीकार्य है या उपचार की आवश्यकता है और उपचार के लिए कोई प्राथमिकता है। निर्णयों को व्यापक संदर्भ और बाहरी और आंतरिक हितधारकों के लिए वास्तविक और कथित परिणामों को ध्यान में रखना चाहिए। निम्नलिखित परिस्थितियों में जोखिम स्वीकार्य या सहनीय हो सकता है:

कोई उपचार उपलब्ध नहीं है;
उपचार की लागत निषेधात्मक या अलाभकारी है;
जोखिम का स्तर कम है और जोखिम से निपटने के लिए संसाधनों का उपयोग करने की आवश्यकता नहीं है;
इसमें शामिल अवसर खतरों से कहीं अधिक हैं; या
इसका इलाज न करने का सचेत निर्णय लिया गया है।

जोखिम की मात्रा के अलावा अन्य कारक जिन्हें प्राथमिकताएं तय करते समय ध्यान में रखा जा सकता है, उनमें शामिल हैं:

जोखिम से जुड़े अन्य उपाय जैसे कि अधिकतम या अपेक्षित परिणाम या नियंत्रण की प्रभावशीलता;
घटनाओं या उनके संभावित परिणामों की गुणात्मक विशेषताएं;
हितधारकों के विचार और धारणाएं;
प्राप्त सुधार की तुलना में आगे के उपचार की लागत और व्यावहारिकता; या
अन्य जोखिमों पर उपचार के प्रभाव सहित जोखिमों के बीच अंतःक्रिया।

जोखिम मूल्यांकन के परिणाम को रिकॉर्ड किया जाना चाहिए, संप्रेषित किया जाना चाहिए और फिर संगठन के उचित स्तरों पर मान्य किया जाना चाहिए। एक बार जोखिमों का मूल्यांकन हो जाने और उपचार तय हो जाने के बाद, जोखिम मूल्यांकन गतिविधि को यह जाँचने के लिए दोहराया जा सकता है कि प्रस्तावित उपचारों ने अतिरिक्त प्रतिकूल जोखिम पैदा नहीं किए हैं और उपचार के बाद बचा हुआ जोखिम आपकी जोखिम क्षमता के भीतर है।

6.5 जोखिम उपचार

6.5.1 अवलोकन

जोखिम उपचार का उद्देश्य जोखिम से निपटने के लिए विकल्पों का चयन और क्रियान्वयन करना है। जोखिम मूल्यांकन पूरा करने के बाद, जोखिम का उपचार करने में एक या अधिक उपचार विकल्पों का चयन और क्रियान्वयन शामिल होता है जो जोखिम की संभावना, जोखिम के परिणाम या दोनों को बदल देगा। जोखिम उपचार में निम्नलिखित की एक पुनरावृत्त प्रक्रिया शामिल है:

जोखिम उपचार विकल्पों का निर्माण और चयन;
जोखिम उपचार की योजना बनाना और उसका क्रियान्वयन करना;
उस उपचार की प्रभावशीलता का आकलन करना;
यह निर्णय लेना कि क्या शेष जोखिम स्वीकार्य है; तथा
यदि स्वीकार्य न हो तो आगे उपचार लिया जाएगा।

6.5.2 जोखिम उपचार विकल्प का चयन

सबसे उपयुक्त जोखिम उपचार विकल्प का चयन करने में लागत, प्रयास या कार्यान्वयन के नुकसान के विरुद्ध उद्देश्यों की प्राप्ति के संबंध में प्राप्त संभावित लाभों को संतुलित करना शामिल है। जोखिम उपचार विकल्प सभी परिस्थितियों में आवश्यक रूप से परस्पर अनन्य या उपयुक्त नहीं होते हैं। जोखिम के उपचार के विकल्पों में निम्नलिखित में से एक या अधिक शामिल हो सकते हैं:

जोखिम को जन्म देने वाली गतिविधि को शुरू न करने या जारी न रखने का निर्णय लेकर जोखिम से बचना;
किसी अवसर का लाभ उठाने के लिए जोखिम उठाना या बढ़ाना;
जोखिम के स्रोत को हटाना;
संभावना बदलना;
परिणाम बदलना;
जोखिम साझा करना (जैसे अनुबंधों के माध्यम से, बीमा खरीदकर); या
सूचित निर्णय द्वारा जोखिम को बरकरार रखना।

यदि लक्ष्य जोखिम की संभावना को कम करना है, तो आपको अपने दृष्टिकोण को समायोजित करने की आवश्यकता हो सकती है। दृष्टिकोण को सफलतापूर्वक बदलना जोखिम के कारणों और जोखिम और उसके परिणामों के बीच कारण संबंधों की पहचान करने पर निर्भर करेगा, दोनों को जोखिम मूल्यांकन गतिविधि में पहचाना जाना चाहिए था।
यदि लक्ष्य जोखिम के परिणाम को कम करना है, तो जोखिम का जवाब देने के लिए एक आकस्मिक योजना की आवश्यकता हो सकती है। यह योजना अन्य नियंत्रणों के संयोजन में बनाई जा सकती है। यानी, भले ही जोखिम की संभावना को कम करने के लिए कदम उठाए गए हों, फिर भी जोखिम के परिणाम को कम करने के लिए एक योजना बनाना सार्थक हो सकता है। यदि लक्ष्य जोखिम को साझा करना है, तो बीमाकर्ता या ठेकेदार जैसे किसी अन्य पक्ष को शामिल करने से मदद मिल सकती है। जोखिम को अनुबंध के आधार पर, आपसी सहमति से और विभिन्न तरीकों से साझा किया जा सकता है जो सभी पक्षों की जरूरतों और आवश्यकताओं को पूरा करते हैं। ऐसी व्यवस्थाओं को औपचारिक रूप से दर्ज किया जाना चाहिए – चाहे अनुबंध, समझौते या औपचारिक पत्र के माध्यम से। जोखिम साझा करने से जोखिम के प्रबंधन के लिए दायित्व और जवाबदेही खत्म नहीं होती है। जोखिम को किसी अन्य पक्ष को हस्तांतरित नहीं किया जा सकता है। यदि जोखिम इतना महत्वपूर्ण है कि लक्ष्य इसे पूरी तरह से समाप्त करना या टालना है, तो उपचार विकल्प परियोजना के दायरे या डिजाइन को बदलना है। जोखिम उपचार के लिए औचित्य केवल आर्थिक विचारों से कहीं अधिक व्यापक है। इसमें सभी दायित्वों, स्वैच्छिक प्रतिबद्धताओं और हितधारकों के विचारों को ध्यान में रखना चाहिए। जोखिम उपचार विकल्पों का चयन आपके उद्देश्यों, जोखिम मानदंडों और उपलब्ध संसाधनों के अनुसार किया जाना चाहिए। जोखिम उपचार
विकल्पों का चयन करते समय, हितधारकों के मूल्यों, धारणाओं और संभावित भागीदारी और उनके साथ संवाद करने और परामर्श करने के सबसे उपयुक्त तरीकों पर विचार करें। हालांकि समान रूप से प्रभावी, कुछ जोखिम उपचार कुछ हितधारकों को दूसरों की तुलना में अधिक स्वीकार्य हो सकते हैं। जोखिम उपचार, भले ही सावधानीपूर्वक डिज़ाइन और कार्यान्वित किए गए हों, अपेक्षित परिणाम नहीं दे सकते हैं और अनपेक्षित परिणाम उत्पन्न कर सकते हैं। यह आश्वासन देने के लिए कि उपचार के विभिन्न रूप प्रभावी बनेंगे और बने रहेंगे, निगरानी और समीक्षा जोखिम उपचार कार्यान्वयन का एक अभिन्न अंग होना चाहिए। जोखिम उपचार नए जोखिम भी पेश कर सकता है जिन्हें प्रबंधित करने की आवश्यकता है। यदि कोई उपचार विकल्प उपलब्ध नहीं हैं या यदि उपचार विकल्प जोखिम को पर्याप्त रूप से संशोधित नहीं करते हैं, तो जोखिम को रिकॉर्ड किया जाना चाहिए और निरंतर समीक्षा के तहत रखा जाना चाहिए। निर्णय लेने वालों और अन्य हितधारकों को जोखिम उपचार के बाद शेष जोखिम की प्रकृति और सीमा के बारे में पता होना चाहिए। शेष जोखिम का दस्तावेजीकरण किया जाना चाहिए तथा निगरानी, समीक्षा और, जहां उपयुक्त हो, आगे के उपचार का प्रावधान किया जाना चाहिए।

6.5.3 जोखिम उपचार योजनाएँ तैयार करना और उनका क्रियान्वयन करना

एक बार जब उपचार विकल्पों की पहचान हो जाती है और उपचार स्वामियों द्वारा कार्यान्वयन के लिए उपयुक्त उपचारों का चयन कर लिया जाता है, तो कार्यान्वयन की प्रगति की निगरानी के लिए उपचार योजनाएँ तैयार की जा सकती हैं। जोखिम उपचार योजनाओं का उद्देश्य यह निर्दिष्ट करना है कि चुने गए उपचार विकल्पों को कैसे लागू किया जाएगा। यहीं पर व्यवस्थाओं को शामिल लोगों द्वारा समझा जाता है और योजना के अनुसार प्रगति की निगरानी की जा सकती है। उपचार योजना को उस क्रम की पहचान करनी चाहिए जिसमें जोखिम उपचार को लागू किया जाना चाहिए। योजनाओं को उचित हितधारकों के परामर्श से प्रबंधन योजनाओं और प्रक्रियाओं में एकीकृत किया जाना चाहिए। उपचार योजना में दी गई जानकारी में शामिल होना चाहिए:

उपचार विकल्पों के चयन का औचित्य, जिसमें अपेक्षित लाभ भी शामिल हैं;
जो लोग योजना को मंजूरी देने और लागू करने के लिए जवाबदेह और जिम्मेदार हैं;
प्रस्तावित कार्यवाहियाँ;
आकस्मिकताओं सहित आवश्यक संसाधन;
प्रदर्शन माप;
बाधाएं और धारणाएं;
रिपोर्टिंग और निगरानी व्यवस्था; और
जब कार्य शुरू किए जाने और पूरे किए जाने की अपेक्षा की जाती है।

उपचारों को क्रियान्वित करते समय निम्नलिखित प्रश्नों पर विचार करें:

क्या उपचारों से वांछित प्रभाव दिखाई देता है? क्या वे उस चीज़ को रोकेंगे या कम करेंगे जिसे रोकने या कम करने के लिए उनका उद्देश्य है?
क्या नियंत्रण से कोई अन्य जोखिम उत्पन्न होगा? उदाहरण के लिए, आग से निपटने के लिए स्प्रिंकलर सिस्टम से पानी की क्षति हो सकती है, जो एक अलग जोखिम प्रस्तुत करता है जिसके लिए विचार या प्रबंधन (अनपेक्षित परिणाम) की आवश्यकता होती है।
क्या उपचार लाभदायक या लागत-कुशल हैं? क्या उपचार को लागू करने की लागत नियंत्रण के बिना होने वाले जोखिम के लिए जिम्मेदार लागत से अधिक है? कुल मिलाकर, क्या इस जोखिम के लिए उपचार को लागू करने की लागत उचित है?

भले ही मौजूदा नियंत्रणों को ‘प्रभावी’ के रूप में रेट किया गया हो, आप उनकी प्रभावशीलता को और मजबूत करने के लिए आगे के उपचारों को लागू करने पर विचार कर सकते हैं। एक बार उपचार लागू हो जाने के बाद, अवशिष्ट जोखिम रेटिंग आम तौर पर मूल जोखिम रेटिंग से कम होनी चाहिए। अवशिष्ट जोखिम का स्तर जोखिम के उपचार के बाद होने वाले जोखिम की संभावना और परिणाम को संदर्भित करता है।
अवशिष्ट जोखिमों का दस्तावेजीकरण, निगरानी और समीक्षा की जानी चाहिए। जहाँ उचित हो, आगे के उपचार विवेकपूर्ण हो सकते हैं। हालाँकि, जब जोखिम का उपचार किया जाता है और नियंत्रण लागू होते हैं, तब भी जोखिम समाप्त नहीं हो सकता है या उच्च बना रह सकता है।

6.6 निगरानी और समीक्षा

निगरानी और समीक्षा का उद्देश्य प्रक्रिया डिजाइन, कार्यान्वयन और परिणामों की गुणवत्ता और प्रभावशीलता को सुनिश्चित करना और सुधारना है। दो प्रमुख कार्यवाहियाँ:

अपेक्षित या अपेक्षित प्रदर्शन स्तर पर परिवर्तन की निगरानी करना और उसकी पहचान करना।
स्थापित उद्देश्यों को प्राप्त करने के लिए जोखिम प्रबंधन प्रक्रिया, जोखिम, नियंत्रण और उपचार की उपयुक्तता, पर्याप्तता और प्रभावशीलता की समीक्षा करना। इसमें यह निर्धारित करना शामिल है कि क्या परिचालन वातावरण बदल गया है और क्या नए जोखिम सामने आए हैं।

जोखिम प्रबंधन प्रक्रिया और उसके परिणामों की निरंतर निगरानी और आवधिक समीक्षा आपकी जोखिम प्रबंधन गतिविधियों का एक नियोजित हिस्सा होना चाहिए, जिसमें जिम्मेदारियाँ स्पष्ट रूप से परिभाषित हों। जोखिम प्रबंधन प्रक्रिया के हिस्से के रूप में, जोखिमों, नियंत्रणों और उपचारों की नियमित रूप से निगरानी और समीक्षा की जानी चाहिए ताकि यह सत्यापित किया जा सके कि:

अनिश्चितताओं, जोखिमों और अवसरों के बारे में धारणाएं वैध बनी हुई हैं।
अपेक्षित परिणाम और प्रदर्शन प्राप्त हो रहे हैं।
जोखिम आकलन के परिणाम अनुभव या अपेक्षाओं के अनुरूप होते हैं।
जोखिम मूल्यांकन तकनीकें उचित रूप से लागू की गई हैं और प्रभावी रूप से काम कर रही हैं।
जोखिम उपचार प्रभावी हैं।

निगरानी और समीक्षा आपके जोखिम प्रबंधन गतिविधियों के माध्यम से होनी चाहिए। इसमें योजना बनाना, जानकारी एकत्र करना और उसका विश्लेषण करना, परिणाम रिकॉर्ड करना और फीडबैक प्रदान करना शामिल है। निगरानी और समीक्षा के परिणामों को आपके प्रदर्शन प्रबंधन, मापन और रिपोर्टिंग गतिविधियों में शामिल किया जाना चाहिए।

6.7 रिकॉर्डिंग और रिपोर्टिंग

जोखिम प्रबंधन गतिविधियों और उसके परिणामों को उचित तंत्र के माध्यम से दस्तावेजित और रिपोर्ट किया जाना चाहिए। रिकॉर्डिंग और रिपोर्टिंग का उद्देश्य है:

पूरे संगठन में जोखिम प्रबंधन गतिविधियों और परिणामों का संचार करना;
निर्णय लेने के लिए जानकारी प्रदान करना;
जोखिम प्रबंधन गतिविधियों में सुधार लाना; और
जोखिम प्रबंधन गतिविधियों के लिए जिम्मेदारी और जवाबदेही वाले लोगों सहित हितधारकों के साथ बातचीत में सहायता करना।

प्रलेखित जानकारी के निर्माण, प्रतिधारण और प्रबंधन से संबंधित निर्णयों में उनके उपयोग, सूचना संवेदनशीलता और बाहरी और आंतरिक संदर्भ पर विचार किया जाना चाहिए, लेकिन यह इन्हीं तक सीमित नहीं होना चाहिए। रिपोर्टिंग किसी संगठन के शासन का एक अभिन्न अंग है। इसे हितधारकों के साथ संवाद की गुणवत्ता को बढ़ाना चाहिए और शीर्ष प्रबंधन और निरीक्षण निकायों को उनकी ज़िम्मेदारियों को पूरा करने में सहायता करनी चाहिए। रिपोर्टिंग के लिए विचार करने वाले कारकों में शामिल हैं, लेकिन इन तक सीमित नहीं हैं:
अलग-अलग हितधारक और उनकी विशिष्ट सूचना ज़रूरतें और आवश्यकताएँ;

रिपोर्टिंग की लागत, आवृत्ति और समयबद्धता;
रिपोर्टिंग की विधि; और
उद्देश्यों और निर्णय लेने के लिए जानकारी की प्रासंगिकता।

अभिलेखों का उद्देश्य है:

निर्णयकर्ताओं और नियामकों सहित अन्य हितधारकों को जोखिम के बारे में जानकारी संप्रेषित करना।
लिए गए निर्णयों के औचित्य का रिकार्ड एवं औचित्य प्रदान करें।
मूल्यांकन के परिणामों को भविष्य में उपयोग एवं संदर्भ के लिए सुरक्षित रखें।
प्रदर्शन और प्रवृत्तियों पर नज़र रखें.
यह विश्वास दिलाएं कि अनिश्चितताओं, जोखिमों और अवसरों को समझा गया है तथा उनका उचित प्रबंधन किया जा रहा है।
मूल्यांकन का सत्यापन सक्षम करें.
ऑडिट ट्रेल प्रदान करें.

आईएसओ १९०११:२०१८ प्रबंधन प्रणालियों के ऑडिट के लिए दिशानिर्देश

परिचय

आईएसओ ने कई प्रबंधन प्रणाली मानक प्रकाशित किए हैं जिनमें एक समान संरचना, समान मूल आवश्यकताएँ और समान शब्द और मूल परिभाषाएँ हैं। परिणामस्वरूप, प्रबंधन प्रणाली ऑडिटिंग के लिए एक व्यापक दृष्टिकोण पर विचार करने की आवश्यकता है, साथ ही अधिक सामान्य मार्गदर्शन प्रदान करना भी आवश्यक है। ऑडिट परिणाम व्यवसाय नियोजन के विश्लेषण पहलू को इनपुट प्रदान कर सकते हैं, और सुधार आवश्यकताओं और गतिविधियों की पहचान में योगदान दे सकते हैं। यहाँ कुछ मुख्य बिंदु दिए गए हैं:

सामान्य संरचना और मुख्य आवश्यकताएँ: अंतर्राष्ट्रीय मानकीकरण संगठन (ISO) एक सामान्य संरचना के साथ प्रबंधन प्रणाली मानक विकसित करता है। उच्च-स्तरीय संरचना (HLS) के रूप में संदर्भित यह सामान्य संरचना विभिन्न प्रबंधन प्रणाली मानकों में एक सुसंगत रूपरेखा प्रदान करती है। समान मूल आवश्यकताएँ संगठनों को विभिन्न प्रबंधन प्रणालियों को सहजता से एकीकृत करने में मदद करती हैं। यह विशेष रूप से तब उपयोगी होता है जब संगठन एक साथ कई प्रबंधन प्रणालियों को लागू करते हैं, जैसे गुणवत्ता प्रबंधन (ISO 9001), पर्यावरण प्रबंधन (ISO 14001), और सूचना सुरक्षा प्रबंधन (ISO 27001)।
ऑडिटिंग के लिए सामान्य मार्गदर्शन: सामान्य संरचना और मुख्य आवश्यकताएं ऑडिटर्स को प्रबंधन प्रणाली ऑडिटिंग के लिए अधिक सामान्य दृष्टिकोण लागू करने की अनुमति देती हैं। ऑडिटर मानदंडों और प्रक्रियाओं के एक मानकीकृत सेट का उपयोग कर सकते हैं, जिससे ऑडिटिंग प्रक्रिया अधिक कुशल हो जाती है और अतिरेक कम हो जाता है। सामान्य मार्गदर्शन सुनिश्चित करता है कि ऑडिटर प्रत्येक मानक के लिए महत्वपूर्ण पुनर्प्रशिक्षण की आवश्यकता के बिना विभिन्न प्रबंधन प्रणालियों का आकलन करने के लिए सुसज्जित हैं। यह दृष्टिकोण ऑडिटर्स के लचीलेपन को बढ़ाता है और उन्हें विभिन्न संगठनात्मक संदर्भों के लिए अधिक अनुकूल बनाता है।
व्यवसाय नियोजन में योगदान: ऑडिट परिणाम मूल्यवान अंतर्दृष्टि प्रदान करते हैं जिनका उपयोग व्यवसाय नियोजन के विश्लेषण पहलू में किया जा सकता है। इसमें प्रबंधन प्रणालियों के भीतर अनुपालन, प्रभावशीलता और संभावित जोखिमों के क्षेत्रों की पहचान करना शामिल है। ऑडिट के दौरान एकत्र की गई जानकारी रणनीतिक निर्णय लेने और संसाधन आवंटन में योगदान दे सकती है, क्योंकि संगठन ऑडिट निष्कर्षों के आधार पर सुधार क्षेत्रों को प्राथमिकता दे सकते हैं।
निरंतर सुधार: सुधार की ज़रूरतों और गतिविधियों की पहचान प्रबंधन प्रणाली ऑडिट का एक मूलभूत परिणाम है। संगठन निरंतर सुधार पहलों को आगे बढ़ाने के लिए ऑडिट परिणामों का उपयोग कर सकते हैं, यह सुनिश्चित करते हुए कि उनकी प्रबंधन प्रणाली बदलती परिस्थितियों और उद्देश्यों को पूरा करने के लिए विकसित होती है।
समग्र प्रबंधन प्रणालियों के साथ एकीकरण: लेखापरीक्षा के लिए एक एकीकृत दृष्टिकोण प्रबंधन प्रणालियों को अलग-अलग करने के बजाय सामूहिक रूप से विचार करने के विचार के साथ संरेखित होता है। यह एकीकृत दृष्टिकोण किसी संगठन के संचालन और प्रदर्शन का अधिक समग्र दृष्टिकोण प्रदान कर सकता है। प्रबंधन प्रणाली मानकों में एक सामान्य संरचना और मुख्य आवश्यकताओं को अपनाना, लेखापरीक्षा के लिए एक सामान्य दृष्टिकोण के साथ, विभिन्न संगठनात्मक प्रक्रियाओं में दक्षता, संगतता और निरंतर सुधार के व्यापक लक्ष्यों का समर्थन करता है। लेखापरीक्षा के परिणाम न केवल अनुपालन में बल्कि रणनीतिक निर्णय लेने और प्रबंधन प्रणालियों की समग्र प्रभावशीलता में भी योगदान करते हैं।

लेखापरीक्षा कई प्रकार के लेखापरीक्षा मानदंडों के आधार पर, अलग-अलग या संयोजन में की जा सकती है, जिनमें निम्नलिखित शामिल हैं, परंतु इन्हीं तक सीमित नहीं हैं:

एक या अधिक प्रबंधन प्रणाली मानकों में परिभाषित आवश्यकताएँ;
प्रासंगिक इच्छुक पक्षों द्वारा निर्दिष्ट नीतियां और आवश्यकताएं;
वैधानिक और नियामक आवश्यकताएँ;
संगठन या अन्य पक्षों द्वारा परिभाषित एक या अधिक प्रबंधन प्रणाली प्रक्रियाएँ;
प्रबंधन प्रणाली के विशिष्ट आउटपुट (जैसे गुणवत्ता योजना, परियोजना योजना) के प्रावधान से संबंधित प्रबंधन प्रणाली योजना(एँ)।

कई मानदंडों के आधार पर अलग-अलग या संयोजन में ऑडिट करने की सुविधा संगठनों को अपनी ऑडिट प्रक्रियाओं को अपनी विशिष्ट परिस्थितियों और उद्देश्यों के अनुसार अनुकूलित करने की अनुमति देती है। यह दृष्टिकोण मानता है कि किसी संगठन के संचालन के विभिन्न पहलुओं का मूल्यांकन विभिन्न मानदंडों का उपयोग करके किया जा सकता है, और यह समग्र प्रदर्शन के मूल्यांकन का एक व्यापक साधन प्रदान करता है। उदाहरण के लिए, कोई संगठन केवल विनियामक आवश्यकताओं के अनुपालन पर केंद्रित ऑडिट करने का विकल्प चुन सकता है। वैकल्पिक रूप से, यह एक एकीकृत ऑडिट कर सकता है जो विनियामक आवश्यकताओं और आंतरिक प्रबंधन प्रणाली प्रक्रियाओं दोनों के अनुपालन का एक साथ मूल्यांकन करता है। ऑडिट में मानदंडों को संयोजित करने की क्षमता किसी संगठन के प्रदर्शन की अधिक समग्र जांच करने की अनुमति देती है। यह लचीलापन विशेष रूप से प्रबंधन प्रणालियों के संदर्भ में मूल्यवान है जहां कई मानक लागू हो सकते हैं (जैसे, गुणवत्ता प्रबंधन, पर्यावरण प्रबंधन, व्यावसायिक स्वास्थ्य और सुरक्षा)। यह किसी संगठन की समग्र प्रभावशीलता का मूल्यांकन करने में हितधारक अपेक्षाओं और विशिष्ट योजनाओं जैसे विभिन्न कारकों पर विचार करने के महत्व को भी स्वीकार करता है।

प्रबंधन प्रणाली मानकों में परिभाषित आवश्यकताएँ: संगठन अक्सर विशिष्ट प्रबंधन प्रणाली मानकों का पालन करते हैं, जैसे कि आईएसओ 9001 (गुणवत्ता प्रबंधन), आईएसओ 14001 (पर्यावरण प्रबंधन), आईएसओ 45001 (व्यावसायिक स्वास्थ्य और सुरक्षा), आदि। इन मानकों में निर्दिष्ट आवश्यकताओं के अनुपालन को सुनिश्चित करने के लिए ऑडिट आयोजित किया जा सकता है।
प्रासंगिक इच्छुक पक्षों द्वारा निर्दिष्ट नीतियाँ और आवश्यकताएँ: इच्छुक पक्षों में ग्राहक, आपूर्तिकर्ता, कर्मचारी, विनियामक निकाय और अन्य हितधारक शामिल हो सकते हैं। इन पक्षों द्वारा निर्धारित नीतियों और आवश्यकताओं के विरुद्ध ऑडिटिंग यह सुनिश्चित करती है कि संगठन बाहरी अपेक्षाओं और प्रतिबद्धताओं को पूरा कर रहा है।
वैधानिक और विनियामक आवश्यकताएँ: संगठन के उद्योग या स्थान पर लागू कानूनों और विनियमों का अनुपालन महत्वपूर्ण है। ऑडिट से यह सत्यापित किया जा सकता है कि संगठन सभी कानूनी दायित्वों को पूरा कर रहा है।
संगठन या अन्य पक्षों द्वारा परिभाषित प्रबंधन प्रणाली प्रक्रियाएँ: संगठनों में अक्सर विशिष्ट प्रक्रियाएँ होती हैं जो उनके संचालन के लिए महत्वपूर्ण होती हैं। यह सुनिश्चित करने के लिए ऑडिट किए जा सकते हैं कि ये प्रक्रियाएँ अच्छी तरह से परिभाषित, प्रलेखित और प्रभावी रूप से कार्यान्वित की गई हैं।
विशिष्ट आउटपुट से संबंधित प्रबंधन प्रणाली योजनाएँ: यह प्रबंधन प्रणाली के विशिष्ट आउटपुट या डिलीवरेबल्स के प्रावधान से संबंधित योजनाओं को संदर्भित करता है। उदाहरण के लिए, एक गुणवत्ता योजना या एक परियोजना योजना यह रेखांकित कर सकती है कि विशिष्ट लक्ष्य या आउटपुट कैसे प्राप्त किए जाएँगे। ऑडिट इन योजनाओं के अनुपालन का आकलन कर सकते हैं।

यह मानक सभी आकार और प्रकार के संगठनों और अलग-अलग दायरे और पैमाने के ऑडिट के लिए मार्गदर्शन प्रदान करता है, जिसमें बड़े ऑडिट टीमों द्वारा किए जाने वाले ऑडिट शामिल हैं, आमतौर पर बड़े संगठनों के, और एकल ऑडिटर द्वारा किए जाने वाले ऑडिट, चाहे वे बड़े या छोटे संगठन हों। इस मार्गदर्शन को ऑडिट कार्यक्रम के दायरे, जटिलता और पैमाने के अनुसार उपयुक्त रूप से अनुकूलित किया जाना चाहिए। यह आंतरिक ऑडिट (प्रथम पक्ष) और संगठनों द्वारा
उनके बाहरी प्रदाताओं और अन्य बाहरी इच्छुक पक्षों (द्वितीय पक्ष) पर किए जाने वाले ऑडिट पर ध्यान केंद्रित करता है। यह तीसरे पक्ष के प्रबंधन प्रणाली प्रमाणन के अलावा अन्य उद्देश्यों के लिए किए जाने वाले बाहरी ऑडिट के लिए भी उपयोगी हो सकता है। ISO/IEC 17021-1 तीसरे पक्ष के प्रमाणन के लिए प्रबंधन प्रणालियों के ऑडिट के लिए आवश्यकताएँ प्रदान करता है। यह मानक उपयोगी अतिरिक्त मार्गदर्शन प्रदान कर सकता है।

प्रथम पक्ष ऑडिट	द्वितीय पक्ष ऑडिट	तृतीय पक्ष ऑडिट
आंतरिक लेखा परीक्षा	बाहरी प्रदाता ऑडिट	प्रमाणन और/या मान्यता लेखा परीक्षा
	अन्य बाह्य इच्छुक पक्ष लेखापरीक्षा	वैधानिक, विनियामक और समान लेखापरीक्षा

विभिन्न प्रकार के ऑडिट

इस मानक का उद्देश्य संभावित उपयोगकर्ताओं की एक विस्तृत श्रृंखला पर लागू होना है, जिसमें लेखा परीक्षक, प्रबंधन प्रणाली लागू करने वाले संगठन और संविदात्मक या विनियामक कारणों से प्रबंधन प्रणाली ऑडिट करने की आवश्यकता वाले संगठन शामिल हैं। हालाँकि, इस दस्तावेज़ के उपयोगकर्ता अपनी स्वयं की ऑडिट-संबंधी आवश्यकताओं को विकसित करने में इस मार्गदर्शन को लागू कर सकते हैं। इस दस्तावेज़ में दिए गए मार्गदर्शन का उपयोग स्व-घोषणा के उद्देश्य से भी किया जा सकता है और यह ऑडिटर प्रशिक्षण या कार्मिक प्रमाणन में शामिल संगठनों के लिए उपयोगी हो सकता है। इसका उद्देश्य लचीला होना है। इस मार्गदर्शन का उपयोग संगठन की प्रबंधन प्रणाली के आकार और परिपक्वता के स्तर, ऑडिट किए जाने वाले संगठन की प्रकृति और जटिलता, साथ ही साथ किए जाने वाले ऑडिट के उद्देश्यों और दायरे के आधार पर भिन्न हो सकता है। यह मानक संयुक्त ऑडिट दृष्टिकोण को अपनाता है जब विभिन्न विषयों की दो या अधिक प्रबंधन प्रणालियों का एक साथ ऑडिट किया जाता है। जहाँ इन प्रणालियों को एक एकल प्रबंधन प्रणाली में एकीकृत किया जाता है, वहाँ ऑडिटिंग के सिद्धांत और प्रक्रियाएँ एक संयुक्त ऑडिट (कभी-कभी एकीकृत ऑडिट के रूप में जाना जाता है) के समान होती हैं। यह लेखापरीक्षा कार्यक्रम के प्रबंधन, प्रबंधन प्रणाली लेखापरीक्षा की योजना और संचालन, साथ ही लेखापरीक्षक और लेखापरीक्षा टीम की क्षमता और मूल्यांकन पर मार्गदर्शन प्रदान करता है।

शर्तें और परिभाषाएँ

1 ऑडिट

वस्तुनिष्ठ साक्ष्य प्राप्त करने और उसका निष्पक्ष मूल्यांकन करने के लिए व्यवस्थित, स्वतंत्र और प्रलेखित प्रक्रिया, ताकि यह निर्धारित किया जा सके कि ऑडिट मानदंड किस हद तक पूरे हुए हैं।
नोट 1: आंतरिक ऑडिट, जिन्हें कभी-कभी प्रथम पक्ष ऑडिट भी कहा जाता है, संगठन द्वारा या संगठन की ओर से ही किए जाते हैं।
नोट 2: बाहरी ऑडिट में वे शामिल होते हैं जिन्हें आम तौर पर द्वितीय और तृतीय पक्ष ऑडिट कहा जाता है। द्वितीय पक्ष ऑडिट संगठन में रुचि रखने वाले पक्षों, जैसे कि ग्राहक, या उनकी ओर से अन्य व्यक्तियों द्वारा किए जाते हैं। तृतीय पक्ष ऑडिट स्वतंत्र ऑडिटिंग संगठनों द्वारा किए जाते हैं, जैसे कि अनुरूपता का प्रमाणन/पंजीकरण प्रदान करने वाले या सरकारी एजेंसियां।

ऑडिट प्रक्रियाओं, प्रणालियों या संगठनों की एक व्यवस्थित और निष्पक्ष जांच है, ताकि स्थापित मानदंडों के साथ उनके अनुपालन का निर्धारण किया जा सके। यह ऑडिट किए जा रहे विषय की प्रभावशीलता, दक्षता और विश्वसनीयता के बारे में मूल्यवान जानकारी प्रदान करता है। ऑडिट आमतौर पर वित्त, गुणवत्ता प्रबंधन, सूचना सुरक्षा और विनियामक अनुपालन सहित विभिन्न क्षेत्रों में किए जाते हैं।

व्यवस्थित: ऑडिट योजनाबद्ध और संगठित तरीके से किए जाते हैं। जानकारी इकट्ठा करने और प्रक्रियाओं या प्रणालियों का आकलन करने के लिए एक संरचित दृष्टिकोण होता है।
स्वतंत्र: ऑडिट प्रक्रिया आम तौर पर ऐसे व्यक्तियों या टीमों द्वारा की जाती है जो ऑडिट किए जा रहे क्षेत्र से स्वतंत्र होते हैं। यह स्वतंत्रता निष्पक्षता सुनिश्चित करने में मदद करती है और पक्षपात की संभावना को कम करती है।
दस्तावेजीकरण: ऑडिट में दस्तावेजीकरण का निर्माण शामिल होता है जो ऑडिट योजना, प्रक्रियाओं, निष्कर्षों और निष्कर्षों को रेखांकित करता है। यह दस्तावेजीकरण पारदर्शिता, जवाबदेही और भविष्य की कार्रवाइयों के लिए संदर्भ के रूप में महत्वपूर्ण है।
वस्तुनिष्ठ साक्ष्य: ऑडिटर अपने निष्कर्षों का समर्थन करने के लिए वस्तुनिष्ठ साक्ष्य पर भरोसा करते हैं। यह साक्ष्य विभिन्न रूपों में हो सकता है, जैसे कि दस्तावेज़, रिकॉर्ड, अवलोकन या साक्षात्कार।
मूल्यांकन: एकत्रित साक्ष्य का मूल्यांकन पूर्व निर्धारित मानदंडों के आधार पर किया जाता है। ये मानदंड आंतरिक नीतियाँ, उद्योग मानक, कानूनी आवश्यकताएँ या अन्य मानक हो सकते हैं।
वस्तुनिष्ठ मूल्यांकन: मूल्यांकन प्रक्रिया का उद्देश्य वस्तुनिष्ठ और निष्पक्ष होना है। इसका लक्ष्य एकत्रित साक्ष्य के आधार पर यह निर्धारित करना है कि ऑडिट मानदंड किस हद तक पूरे हुए हैं।
मानदंड किस सीमा तक पूरे किए गए हैं: यह उस सीमा को संदर्भित करता है जिस तक ऑडिट का विषय स्थापित मानदंडों को पूरा करता है। निष्कर्ष मानदंडों के पूर्ण अनुपालन, आंशिक अनुपालन या गैर-अनुपालन का संकेत दे सकते हैं।

प्रत्येक प्रकार का ऑडिट अलग-अलग उद्देश्यों को पूरा करता है और इसके अलग-अलग हितधारक होते हैं। आंतरिक ऑडिट संगठनों को अपनी प्रक्रियाओं की निगरानी और सुधार करने में मदद करते हैं, जबकि दूसरे पक्ष और तीसरे पक्ष के ऑडिट बाहरी दृष्टिकोण और सत्यापन प्रदान करते हैं। तीसरे पक्ष के ऑडिट, विशेष रूप से, अक्सर प्रमाणन उद्देश्यों के लिए या उद्योग मानकों और विनियमों के अनुपालन को प्रदर्शित करने के लिए मांगे जाते हैं

आंतरिक लेखापरीक्षा (प्रथम पक्ष लेखापरीक्षा):
- संगठन द्वारा या संगठन के भीतर के व्यक्तियों द्वारा संचालित ।
- उद्देश्य: आंतरिक प्रक्रियाओं, प्रणालियों और आंतरिक नीतियों और मानकों के अनुपालन का आकलन और सुधार करना।
- कार्यक्षेत्र: आंतरिक नियंत्रण, जोखिम प्रबंधन और समग्र संगठनात्मक प्रदर्शन पर ध्यान केंद्रित किया गया है।
- स्वतंत्रता: आंतरिक लेखा परीक्षकों को स्वतंत्र और वस्तुनिष्ठ होना चाहिए, भले ही वे संगठन के भीतर काम करते हों।
द्वितीय-पक्ष ऑडिट:
- द्वारा संचालित: संगठन से बाहर के लेकिन विशिष्ट हित वाले पक्ष, जैसे ग्राहक या अन्य बाहरी संस्थाएं।
- उद्देश्य: आमतौर पर बाहरी पक्ष (जैसे, ग्राहक के गुणवत्ता मानकों) द्वारा निर्धारित विशिष्ट आवश्यकताओं को पूरा करने के लिए संगठन की क्षमता का मूल्यांकन करने पर केंद्रित होता है।
- कार्यक्षेत्र: इसमें बाहरी पक्ष के हितों या संविदात्मक दायित्वों से सीधे संबंधित क्षेत्र शामिल हो सकते हैं।
- स्वतंत्रता: लेखा परीक्षकों की संगठन के निष्पादन में हिस्सेदारी हो सकती है, लेकिन उनसे निष्पक्ष रूप से लेखापरीक्षा करने की अपेक्षा की जाती है।
तृतीय-पक्ष ऑडिट:
- स्वतंत्र लेखा परीक्षा संगठनों या सरकारी एजेंसियों द्वारा संचालित ।
- उद्देश्य: किसी संगठन के बाह्य मानकों, विनियमों या प्रमाणन आवश्यकताओं के अनुपालन का निष्पक्ष मूल्यांकन प्रदान करना।
- दायरा: व्यापक, लेखापरीक्षा के उद्देश्य (जैसे, आईएसओ मानक, कानूनी अनुपालन) के आधार पर मानदंडों की एक श्रृंखला को कवर करना।
- स्वतंत्रता: महत्वपूर्ण पहलू, क्योंकि तीसरे पक्ष के लेखा परीक्षकों को लेखापरीक्षित संगठन के साथ किसी भी प्रकार के हितों के टकराव से मुक्त होना चाहिए।

2 संयुक्त लेखापरीक्षा

दो या अधिक प्रबंधन प्रणालियों पर एक ही लेखापरीक्षिती द्वारा एक साथ किया गया लेखापरीक्षा
नोट: जब दो या अधिक अनुशासन-विशिष्ट प्रबंधन प्रणालियों को एक एकल प्रबंधन प्रणाली में एकीकृत किया जाता है, तो इसे एकीकृत प्रबंधन प्रणाली के रूप में जाना जाता है।

संयुक्त ऑडिट से तात्पर्य एक ऑडिट आयोजित करने की प्रक्रिया से है जिसमें एक ही ऑडिटी (संगठन) के भीतर कई प्रबंधन प्रणालियाँ शामिल होती हैं। इस दृष्टिकोण को अक्सर ऑडिट प्रक्रिया को कारगर बनाने और एक साथ कई मानकों के साथ संगठन के अनुपालन का आकलन करने के लिए अपनाया जाता है। प्रबंधन प्रणालियों के संदर्भ में, संगठन गुणवत्ता प्रबंधन के लिए ISO 9001, पर्यावरण प्रबंधन के लिए ISO 14001 और व्यावसायिक स्वास्थ्य और सुरक्षा प्रबंधन के लिए ISO 45001 जैसे विभिन्न मानकों को लागू कर सकते हैं। प्रत्येक प्रणाली के लिए अलग-अलग ऑडिट आयोजित करने के बजाय, एक संयुक्त ऑडिट ऑडिटर को एकीकृत प्रबंधन प्रणाली का समग्र रूप से आकलन करने की अनुमति देता है। संयुक्त ऑडिट के बारे में मुख्य बिंदु:

एकल लेखापरीक्षिती: लेखापरीक्षा एक एकल संगठन में आयोजित की जाती है जिसने एकाधिक प्रबंधन प्रणालियां क्रियान्वित की हैं।
मल्टीपल मैनेजमेंट सिस्टम: ऑडिट में दो या उससे ज़्यादा मैनेजमेंट सिस्टम शामिल होते हैं। ये सिस्टम गुणवत्ता, पर्यावरण प्रबंधन, व्यावसायिक स्वास्थ्य और सुरक्षा, सूचना सुरक्षा आदि से संबंधित हो सकते हैं।
दक्षता और एकीकरण: इसका लक्ष्य ऑडिट प्रक्रिया को एकीकृत करके दक्षता हासिल करना है। इससे संगठन के भीतर विभिन्न प्रबंधन प्रणालियाँ किस तरह परस्पर क्रिया करती हैं, इसकी अधिक समग्र समझ विकसित हो सकती है।
सुव्यवस्थित प्रक्रियाएं: लेखापरीक्षाओं के संयोजन से सुव्यवस्थित प्रक्रियाएं प्राप्त हो सकती हैं, लेखापरीक्षिती के लिए लेखापरीक्षा थकान कम हो सकती है, तथा लेखापरीक्षा लागत में संभावित रूप से कमी आ सकती है।
व्यापक मूल्यांकन: लेखापरीक्षक विचाराधीन प्रत्येक प्रबंधन प्रणाली की आवश्यकताओं के साथ संगठन के अनुपालन का मूल्यांकन करते हैं।
दस्तावेज़ीकरण और रिपोर्टिंग: लेखापरीक्षा दस्तावेज़ीकरण और रिपोर्टिंग प्रत्येक प्रबंधन प्रणाली से संबंधित निष्कर्षों और निष्कर्षों को प्रतिबिंबित करेगी।

संयुक्त ऑडिट उन संगठनों के लिए विशेष रूप से फायदेमंद होते हैं जिन्होंने अपने प्रबंधन प्रणालियों को समग्र प्रदर्शन को बढ़ाने और अपने संचालन के विभिन्न पहलुओं में स्थिरता सुनिश्चित करने के लिए एकीकृत किया है। यह ध्यान रखना महत्वपूर्ण है कि संयुक्त ऑडिट आयोजित करने के लिए विशिष्ट आवश्यकताएं और दिशानिर्देश शामिल मानकों और ऑडिट प्रक्रिया की देखरेख करने वाले मान्यता प्राप्त निकायों या प्रमाणन निकायों के आधार पर भिन्न हो सकते हैं।

एकीकृत प्रबंधन प्रणाली से तात्पर्य किसी संगठन के भीतर दो या अधिक अनुशासन-विशिष्ट प्रबंधन प्रणालियों को एक एकल, एकीकृत ढांचे में समेकित और एकीकृत करने से है।

उदाहरण के लिए, कोई संगठन विभिन्न प्रबंधन प्रणालियों को एकीकृत करने का निर्णय ले सकता है, जैसे:

गुणवत्ता प्रबंधन प्रणाली (क्यूएमएस): अक्सर आईएसओ 9001 मानकों पर आधारित, गुणवत्ता प्रक्रियाओं और ग्राहक संतुष्टि पर ध्यान केंद्रित करती है।
पर्यावरण प्रबंधन प्रणाली (ईएमएस): आमतौर पर आईएसओ 14001 मानकों पर आधारित, पर्यावरणीय पहलुओं और प्रभावों को संबोधित करती है।
व्यावसायिक स्वास्थ्य और सुरक्षा प्रबंधन प्रणाली (OHSMS): ISO 45001 मानकों पर आधारित, सुरक्षित और स्वस्थ कार्य वातावरण सुनिश्चित करने पर केंद्रित।

जब इन प्रणालियों को एक एकीकृत ढांचे में जोड़ा जाता है, तो यह एक एकीकृत प्रबंधन प्रणाली बनाता है जो गुणवत्ता, पर्यावरण और व्यावसायिक स्वास्थ्य और सुरक्षा पहलुओं को एक साथ संबोधित करता है। यह एकीकृत दृष्टिकोण तालमेल हासिल करने, प्रयासों के दोहराव को कम करने और समग्र संगठनात्मक दक्षता को बढ़ाने के लिए डिज़ाइन किया गया है। एकीकृत प्रबंधन प्रणाली के लाभों में शामिल हैं:

सुव्यवस्थित प्रक्रियाएं: अनावश्यकता को समाप्त करती है और प्रक्रियाओं को सुव्यवस्थित करती है, जटिलता को कम करती है और दक्षता में सुधार करती है।
सुसंगत दस्तावेज़ीकरण: दस्तावेज़ीकरण और रिकॉर्ड रखने के लिए एक सामान्य मंच प्रदान करता है, जिससे स्थिरता और स्पष्टता को बढ़ावा मिलता है।
समग्र परिप्रेक्ष्य: विभिन्न पहलुओं पर एक साथ विचार करके संगठनात्मक प्रदर्शन का समग्र दृष्टिकोण सक्षम करता है।
संसाधन अनुकूलन: समय, कार्मिक और दस्तावेज़ीकरण सहित संसाधनों के उपयोग को अनुकूलित करता है।
बेहतर निर्णय-निर्माण: विभिन्न प्रबंधन पहलुओं के बीच अंतर्संबंधों पर विचार करके सूचित निर्णय-निर्माण को सुगम बनाता है।
आसान अनुपालन प्रबंधन: विभिन्न मानकों और नियामक आवश्यकताओं के अनुपालन को पूरा करने और बनाए रखने की प्रक्रिया को सरल बनाता है।

एकीकृत प्रबंधन प्रणालियों को अपनाने वाले संगठन अक्सर अपनी प्रबंधन प्रक्रियाओं को संरेखित करने, एकाधिक प्रणालियों से जुड़े प्रशासनिक बोझ को कम करने, तथा विभिन्न विषयों में रणनीतिक उद्देश्यों को प्राप्त करने की अपनी क्षमता को बढ़ाने के लिए ऐसा करते हैं।

3 संयुक्त लेखा परीक्षा

दो या अधिक लेखापरीक्षा संगठनों द्वारा एक ही लेखापरीक्षिती के यहां किया गया लेखापरीक्षा

ऑडिटिंग के संदर्भ में संयुक्त ऑडिट से तात्पर्य ऐसे ऑडिट से है जो दो या अधिक ऑडिटिंग संगठनों द्वारा एक ही ऑडिटी (संगठन) में किया जाता है। इस सहयोगात्मक दृष्टिकोण में कई ऑडिट फर्म या ऑडिटर एक साथ मिलकर काम करते हैं ताकि ऑडिटी के वित्तीय विवरणों, आंतरिक नियंत्रणों या अन्य प्रासंगिक पहलुओं का आकलन और मूल्यांकन किया जा सके। संयुक्त ऑडिट के बारे में मुख्य बिंदु:

सहयोगात्मक प्रयास: एक ही लेखापरीक्षिती के यहां लेखापरीक्षा करने के लिए अनेक लेखापरीक्षा संगठन या लेखापरीक्षा फर्म एक साथ मिलकर काम करते हैं।
साझा जिम्मेदारियाँ: लेखापरीक्षा की योजना बनाने, क्रियान्वयन करने और रिपोर्टिंग की जिम्मेदारियाँ भाग लेने वाली लेखापरीक्षा संस्थाओं के बीच वितरित की जा सकती हैं।
समन्वय: यह सुनिश्चित करने के लिए कि लेखापरीक्षा प्रक्रिया सुसंगत हो और आवश्यक मानकों को पूरा करे, प्रभावी संचार और समन्वय आवश्यक है।
कार्य का दायरा: संयुक्त लेखापरीक्षा में विभिन्न पहलुओं को शामिल किया जा सकता है, जैसे वित्तीय रिपोर्टिंग, आंतरिक नियंत्रण, या विशिष्ट मानकों या विनियमों का अनुपालन।
बढ़ी हुई वस्तुनिष्ठता: एकाधिक लेखापरीक्षा संस्थाओं की भागीदारी लेखापरीक्षा प्रक्रिया में बढ़ी हुई वस्तुनिष्ठता और व्यापक परिप्रेक्ष्य में योगदान दे सकती है।
विशेषज्ञता का उपयोग: जब विशिष्ट विशेषज्ञता की आवश्यकता हो तो संयुक्त लेखापरीक्षा का उपयोग किया जा सकता है, तथा अनेक लेखापरीक्षा फर्म इस कार्य में पूरक कौशल ला सकती हैं।

संयुक्त ऑडिट कुछ उद्योगों में या कई अधिकार क्षेत्रों में काम करने वाले जटिल संगठनों से निपटने के दौरान अपेक्षाकृत आम हैं। वे आश्वासन और जवाबदेही की एक अतिरिक्त परत प्रदान कर सकते हैं, खासकर उन स्थितियों में जहां हितधारकों को एक से अधिक स्वतंत्र ऑडिट इकाई की भागीदारी से लाभ हो सकता है। संयुक्त ऑडिट के लिए विशिष्ट व्यवस्था, जिसमें कार्यों और जिम्मेदारियों का विभाजन शामिल है, आमतौर पर भाग लेने वाले ऑडिट संगठनों के बीच औपचारिक समझौतों या अनुबंधों के माध्यम से सहमत होते हैं।

4 लेखापरीक्षा कार्यक्रम

एक विशिष्ट समय सीमा के लिए नियोजित एक या अधिक लेखापरीक्षाओं के सेट की व्यवस्था और एक विशिष्ट उद्देश्य की ओर निर्देशित

लेखापरीक्षा कार्यक्रम वस्तुतः एक या एक से अधिक लेखापरीक्षाओं के समूह की संरचित व्यवस्था है, जो एक विशिष्ट समय-सीमा के लिए योजनाबद्ध होती है तथा एक विशिष्ट उद्देश्य की ओर निर्देशित होती है।

संरचित व्यवस्था: एक ऑडिट कार्यक्रम संगठित होता है और एक व्यवस्थित योजना का पालन करता है। यह ऑडिट के लिए समग्र दृष्टिकोण, उद्देश्यों और प्रक्रियाओं की रूपरेखा तैयार करता है।
ऑडिट का सेट: कार्यक्रम में एक या एक से अधिक व्यक्तिगत ऑडिट शामिल हैं। ये ऑडिट उनके उद्देश्यों, दायरे या जांचे जा रहे क्षेत्रों के संदर्भ में एक दूसरे से संबंधित हो सकते हैं।
एक विशिष्ट समय सीमा के लिए नियोजित: कार्यक्रम के भीतर ऑडिट एक निर्धारित अवधि के दौरान होने के लिए निर्धारित हैं। यह समय सीमा आम तौर पर ऑडिट की प्रकृति और संगठनात्मक प्राथमिकताओं जैसे कारकों के आधार पर निर्धारित की जाती है।
किसी खास उद्देश्य की ओर निर्देशित: ऑडिट कार्यक्रम को एक स्पष्ट उद्देश्य या लक्ष्य को ध्यान में रखकर डिज़ाइन किया गया है। इसमें विशिष्ट मानकों के अनुपालन का आकलन करना, आंतरिक नियंत्रणों की प्रभावशीलता का मूल्यांकन करना या अन्य उद्देश्यों के अलावा वित्तीय विवरणों की समीक्षा करना शामिल हो सकता है।
समन्वय और निर्देशन: यह कार्यक्रम ऑडिट में शामिल ऑडिट टीम या टीमों के प्रयासों के समन्वय और निर्देशन के लिए एक रूपरेखा प्रदान करता है। यह सुनिश्चित करता है कि ऑडिट संगठन के समग्र लक्ष्यों के साथ संरेखित हों।
लचीलापन: यद्यपि कार्यक्रम की योजना बनाई गई है, लेकिन इसमें परिस्थितियों में परिवर्तन या उभरते मुद्दों को समायोजित करने के लिए कुछ हद तक लचीलापन भी शामिल किया जा सकता है।

ऑडिट प्रोग्राम यह सुनिश्चित करने के लिए आवश्यक उपकरण हैं कि ऑडिट व्यवस्थित और संगठित तरीके से किए जाएं। वे ऑडिटर और ऑडिट टीमों को उनके काम की योजना बनाने, संसाधनों को प्रभावी ढंग से आवंटित करने और ऑडिट के इच्छित उद्देश्यों को प्राप्त करने में मदद करते हैं। इसके अतिरिक्त, ऑडिट प्रोग्राम का उपयोग अक्सर संबंधित हितधारकों को ऑडिट योजना को संप्रेषित करने और ऑडिट प्रगति और परिणामों पर निगरानी और रिपोर्टिंग के लिए आधार प्रदान करने के लिए किया जाता है।

5 लेखापरीक्षा का दायरा

लेखापरीक्षा की सीमाएँ और विस्तार

नोट 1: ऑडिट के दायरे में आम तौर पर भौतिक और आभासी-स्थानों, कार्यों, संगठनात्मक इकाइयों, गतिविधियों और प्रक्रियाओं का विवरण शामिल होता है, साथ ही इसमें शामिल समय अवधि भी शामिल होती है।
नोट 2: आभासी स्थान वह होता है जहाँ कोई संगठन ऑनलाइन वातावरण का उपयोग करके काम करता है या सेवा प्रदान करता है, जिससे व्यक्तियों को भौतिक स्थानों की परवाह किए बिना प्रक्रियाओं को निष्पादित करने की अनुमति मिलती है।

ऑडिट स्कोप ऑडिट की सीमा और सीमाओं को संदर्भित करता है, यह परिभाषित करता है कि ऑडिट में क्या शामिल होगा और क्या शामिल नहीं होगा। यह उन गतिविधियों, प्रक्रियाओं, प्रणालियों या क्षेत्रों की सीमा को रेखांकित करता है जो ऑडिट के दौरान जांच के अधीन होंगे। ऑडिट के फोकस और उद्देश्यों को स्पष्ट करने में स्कोप एक महत्वपूर्ण तत्व है। ऑडिट की सफलता के लिए एक अच्छी तरह से परिभाषित ऑडिट स्कोप महत्वपूर्ण है, जो ऑडिटर और हितधारकों को परीक्षा के फोकस और सीमाओं को समझने में मदद करता है। यह ऑडिट की योजना बनाने और संचालन के लिए एक मार्गदर्शक के रूप में कार्य करता है और ऑडिट निष्कर्षों और निष्कर्षों की विश्वसनीयता और विश्वसनीयता में योगदान देता है। ऑडिट स्कोप से संबंधित कुछ मुख्य बिंदु यहां दिए गए हैं:

कवरेज की सीमा: दायरा लेखापरीक्षा की गहराई और चौड़ाई को निर्दिष्ट करता है, तथा उन गतिविधियों या तत्वों की सीमा को इंगित करता है जिन्हें परीक्षा में शामिल किया जाएगा।
सीमाएँ: यह यह भी परिभाषित करता है कि ऑडिट से क्या बाहर रखा गया है। इससे अपेक्षाओं को प्रबंधित करने में मदद मिलती है और उन क्षेत्रों के बारे में गलतफहमी से बचा जा सकता है जिनका मूल्यांकन नहीं किया जाएगा।
उद्देश्य संरेखण: इसका दायरा ऑडिट के उद्देश्यों के साथ संरेखित होता है। यह सुनिश्चित करता है कि ऑडिट विशिष्ट लक्ष्यों या परिणामों को प्राप्त करने की दिशा में लक्षित है।
प्रासंगिकता: लेखापरीक्षा के समग्र उद्देश्यों के लिए लेखापरीक्षित क्षेत्रों की प्रासंगिकता और महत्व के आधार पर इसका दायरा निर्धारित किया जाता है।
हितधारकों की अपेक्षाएं: इसका दायरा अक्सर हितधारकों को बता दिया जाता है, जिससे लेखापरीक्षा में क्या शामिल होगा, इस बारे में पारदर्शिता मिलती है और उनकी अपेक्षाओं को प्रबंधित करने में मदद मिलती है।
संसाधन आवंटन: इसका दायरा समय, कार्मिक और अन्य आवश्यक परिसंपत्तियों सहित संसाधनों के आवंटन को प्रभावित करता है, ताकि यह सुनिश्चित किया जा सके कि लेखापरीक्षा को निर्धारित सीमाओं के भीतर प्रभावी ढंग से संचालित किया जा सके।
लचीलापन: यद्यपि इसका दायरा सामान्यतः लेखापरीक्षा के प्रारम्भ में ही परिभाषित कर दिया जाता है, किन्तु यदि आवश्यक हो तो परिस्थितियों में परिवर्तन होने पर या लेखापरीक्षा प्रक्रिया के दौरान अप्रत्याशित मुद्दों के सामने आने पर इसे समायोजित किया जा सकता है।

यह विस्तृत दायरा परिभाषा ऑडिटर और हितधारकों दोनों को ऑडिट की सीमाओं और फोकस के बारे में स्पष्टता प्रदान करने के लिए आवश्यक है। यह प्रभावी ऑडिट योजना, संसाधन आवंटन में मदद करता है, और यह सुनिश्चित करता है कि ऑडिट संगठन के विशिष्ट उद्देश्यों और आवश्यकताओं को संबोधित करता है। इसके अतिरिक्त, वर्चुअल स्थानों को शामिल करने से डिजिटल स्थानों में आयोजित गतिविधियों का आकलन करने के महत्व को पहचाना जाता है, खासकर ऐसी दुनिया में जहां दूरस्थ कार्य और ऑनलाइन सेवाएं प्रचलित हैं।

भौतिक और आभासी स्थान: ऑडिट का दायरा भौतिक स्थानों को निर्दिष्ट करता है, जैसे कि कार्यालय, संयंत्र या सुविधाएँ, जिन्हें ऑडिट में शामिल किया जाएगा। इसके अतिरिक्त, यह आभासी स्थानों पर विचार करता है, जिसमें ऑनलाइन वातावरण शामिल होता है जहाँ काम किया जाता है या सेवाएँ प्रदान की जाती हैं। यह डिजिटल स्थानों में काम करने वाले संगठनों की आधुनिक वास्तविकता को पहचानता है।
कार्य और संगठनात्मक इकाइयाँ: कार्यक्षेत्र में ऑडिट की गई इकाई के भीतर कार्य और संगठनात्मक इकाइयों की रूपरेखा दी गई है जिनकी जाँच की जाएगी। इसमें विशिष्ट विभाग, टीम या व्यावसायिक इकाइयाँ शामिल हो सकती हैं।
गतिविधियाँ और प्रक्रियाएँ: यह उन गतिविधियों और प्रक्रियाओं को परिभाषित करता है जो ऑडिट जांच के अधीन होंगी। इसमें ऑडिट उद्देश्यों से संबंधित प्रमुख परिचालन और व्यावसायिक प्रक्रियाएँ शामिल हैं।
कवर की गई समय अवधि: दायरा उस समय अवधि को निर्दिष्ट करता है जिसके दौरान ऑडिट आयोजित किया जाएगा। यह एक विशिष्ट वित्तीय वर्ष, एक रिपोर्टिंग अवधि या ऑडिट उद्देश्यों के लिए प्रासंगिक कोई अन्य समय सीमा हो सकती है।
वर्चुअल लोकेशन के लिए ऑनलाइन वातावरण: आपकी परिभाषा इस बात पर ज़ोर देती है कि वर्चुअल लोकेशन में एक ऑनलाइन वातावरण शामिल होता है जहाँ काम किया जाता है। यह आज के डिजिटल परिदृश्य में महत्वपूर्ण है जहाँ संगठन अपने संचालन के लिए ऑनलाइन प्लेटफ़ॉर्म और तकनीकों का तेज़ी से लाभ उठा रहे हैं।

6 लेखापरीक्षा योजना

लेखापरीक्षा के लिए गतिविधियों और व्यवस्थाओं का विवरण

ऑडिट योजना एक महत्वपूर्ण दस्तावेज के रूप में कार्य करती है जो ऑडिट टीम को ऑडिट को प्रभावी ढंग से और कुशलता से निष्पादित करने में मार्गदर्शन करती है। यह सुनिश्चित करने में मदद करता है कि ऑडिट व्यवस्थित और संगठित तरीके से किया जाता है, जो संगठन और अन्य हितधारकों के लक्ष्यों और अपेक्षाओं के अनुरूप होता है। ऑडिट योजना वास्तव में ऑडिट के लिए गतिविधियों और व्यवस्थाओं का विवरण है। आइए आपकी परिभाषा के प्रमुख घटकों को तोड़ते हैं:

विवरण: ऑडिट योजना ऑडिट में शामिल विभिन्न तत्वों का विस्तृत विवरण या अवलोकन प्रदान करती है। इस विवरण में यह शामिल है कि ऑडिट में क्या शामिल होगा, इसका उद्देश्य क्या हासिल करना है, और कौन सी विधियाँ अपनाई जाएँगी।
गतिविधियाँ: यह उन विशिष्ट कार्यों, प्रक्रियाओं और चरणों की रूपरेखा प्रस्तुत करता है जो ऑडिट के दौरान किए जाएँगे। इसमें डेटा संग्रह, दस्तावेज़ समीक्षा, साक्षात्कार और अन्य ऑडिट प्रक्रियाएँ जैसी गतिविधियाँ शामिल हैं।
व्यवस्थाएँ: ऑडिट योजना में लॉजिस्टिक्स, संसाधन और शेड्यूलिंग से संबंधित व्यवस्थाएँ शामिल हैं। इसमें कर्मियों के आवंटन, विभिन्न ऑडिट चरणों के लिए समय-सीमा और किसी भी आवश्यक समायोजन के बारे में विवरण शामिल हैं।
उद्देश्य और दायरा: योजना आम तौर पर लेखापरीक्षा के समग्र उद्देश्यों और दायरे को स्पष्ट करती है, तथा यह रेखांकित करती है कि क्या हासिल किया जाना है और लेखापरीक्षा कवरेज की सीमाएं क्या हैं।
पद्धतियां और दृष्टिकोण: इसमें उन पद्धतियों और दृष्टिकोणों का विवरण हो सकता है जिनका उपयोग साक्ष्य एकत्र करने, नियंत्रणों का आकलन करने और लेखापरीक्षा प्रक्रिया के दौरान निष्कर्ष पर पहुंचने के लिए किया जाएगा।
जोखिम संबंधी विचार: योजना में यह बताया जा सकता है कि ऑडिट के दौरान संभावित जोखिमों की पहचान, मूल्यांकन और प्रबंधन कैसे किया जाएगा। इसमें मूल और नियंत्रण जोखिम दोनों के लिए विचार शामिल हैं।
संचार: योजना में अक्सर ऑडिट टीम के भीतर और हितधारकों के साथ संचार के प्रावधान शामिल होते हैं। इससे यह सुनिश्चित होता है कि ऑडिट में शामिल या प्रभावित होने वाले सभी लोगों को ऑडिट योजना के प्रमुख पहलुओं के बारे में जानकारी दी जाती है।
गुणवत्ता आश्वासन: कुछ लेखापरीक्षा योजनाओं में गुणवत्ता आश्वासन के प्रावधान शामिल होते हैं, जिनमें यह बताया जाता है कि लेखापरीक्षा प्रक्रिया और निष्कर्षों की गुणवत्ता और विश्वसनीयता की निगरानी कैसे की जाएगी और उसे कैसे सुनिश्चित किया जाएगा।

7 लेखापरीक्षा मानदंड

आवश्यकताओं का सेट जिसे संदर्भ के रूप में उपयोग किया जाता है जिसके विरुद्ध वस्तुनिष्ठ साक्ष्य की तुलना की जाती है।
नोट 1: यदि लेखापरीक्षा मानदंड कानूनी (वैधानिक या नियामक सहित) आवश्यकताएं हैं, तो “अनुपालन” या “गैर-अनुपालन” शब्दों का उपयोग अक्सर लेखापरीक्षा निष्कर्ष में किया जाता है।
नोट 2: आवश्यकताओं में नीतियां, प्रक्रियाएं, कार्य निर्देश, कानूनी आवश्यकताएं, संविदात्मक दायित्व आदि शामिल हो सकते हैं।

ऑडिट मानदंड वास्तव में आवश्यकताओं का एक सेट है जिसका उपयोग संदर्भ के रूप में किया जाता है जिसके विरुद्ध ऑडिट के दौरान वस्तुनिष्ठ साक्ष्य की तुलना की जाती है। ऑडिट मानदंड का उपयोग ऑडिट प्रक्रिया के लिए मौलिक है, क्योंकि यह मूल्यांकन के लिए एक स्पष्ट रूपरेखा प्रदान करता है। ये मानदंड विभिन्न स्रोतों से प्राप्त किए जा सकते हैं, जिनमें उद्योग मानक, नियामक आवश्यकताएं, संगठनात्मक नीतियां और सर्वोत्तम अभ्यास शामिल हैं। मानदंड ऑडिट की गई इकाई की प्रभावशीलता, दक्षता और अनुपालन के बारे में सूचित निर्णय लेने के लिए आधार के रूप में कार्य करते हैं। वे ऑडिट प्रक्रिया में निष्पक्षता और स्थिरता सुनिश्चित करने में महत्वपूर्ण भूमिका निभाते हैं

आवश्यकताओं का सेट: लेखापरीक्षा मानदंड में मानकों, विनिर्देशों, विनियमों या अन्य आवश्यकताओं का एक पूर्वनिर्धारित और स्थापित सेट शामिल होता है। ये मानदंड बेंचमार्क के रूप में कार्य करते हैं जिनके आधार पर लेखापरीक्षित इकाई का मूल्यांकन किया जाता है।
संदर्भ बिंदु: मानदंड एक संदर्भ बिंदु या मानक प्रदान करते हैं जिसका उपयोग ऑडिट किए जा रहे संगठन के प्रदर्शन, प्रक्रियाओं, प्रणालियों या गतिविधियों का मूल्यांकन करने के लिए किया जाता है।
वस्तुनिष्ठ साक्ष्य: ऑडिट के दौरान, यह निर्धारित करने के लिए वस्तुनिष्ठ साक्ष्य एकत्र किए जाते हैं कि ऑडिट की गई इकाई किस हद तक निर्दिष्ट मानदंडों के अनुरूप है। इस साक्ष्य में दस्तावेज़, रिकॉर्ड, अवलोकन, साक्षात्कार और अन्य प्रासंगिक जानकारी शामिल हो सकती है।
तुलना: लेखापरीक्षा की मुख्य गतिविधि में एकत्रित वस्तुनिष्ठ साक्ष्य की स्थापित लेखापरीक्षा मानदंडों के साथ तुलना करना शामिल है। यह तुलना लेखापरीक्षकों को यह आकलन करने में मदद करती है कि लेखापरीक्षित इकाई आवश्यक मानकों को पूरा करती है या नहीं।

लेखापरीक्षा के संदर्भ में, लेखापरीक्षा मानदंड के रूप में कार्य करने वाली आवश्यकताएं वास्तव में विभिन्न तत्वों को शामिल कर सकती हैं, जिनमें शामिल हैं:

नीतियाँ: किसी संगठन द्वारा अपने कार्यों और निर्णयों को निर्देशित करने के लिए निर्धारित सिद्धांत या दिशानिर्देश।
प्रक्रियाएँ: विस्तृत चरण या प्रक्रियाएँ जिनका पालन व्यक्ति या विभाग किसी विशेष कार्य या उद्देश्य को प्राप्त करने के लिए करते हैं।
कार्य निर्देश: विशिष्ट निर्देश या दिशानिर्देश जो विस्तृत स्तर पर बताते हैं कि कार्यों को कैसे निष्पादित किया जाना है।
कानूनी आवश्यकताएँ: वैधानिक या नियामक दायित्व जिनका किसी संगठन को कानून या विनियमनों के अनुसार पालन करना होता है।
संविदात्मक दायित्व: बाहरी पक्षों, जैसे ग्राहकों, आपूर्तिकर्ताओं या भागीदारों के साथ अनुबंधों में किए गए समझौते या प्रतिबद्धताएं।

जब कानूनी आवश्यकताएं ऑडिट मानदंडों का हिस्सा होती हैं, तो ऑडिट निष्कर्षों में आमतौर पर “अनुपालन” और “गैर-अनुपालन” शब्दों का इस्तेमाल किया जाता है। इन शब्दों को आम तौर पर इस तरह से लागू किया जाता है:

अनुपालन: यदि लेखापरीक्षित इकाई निर्दिष्ट कानूनी या विनियामक आवश्यकताओं को पूरा करती है, तो लेखापरीक्षा निष्कर्ष “अनुपालन” का संकेत दे सकता है। इसका मतलब है कि संगठन प्रासंगिक कानूनों और विनियमों का पालन कर रहा है।
गैर-अनुपालन: यदि ऑडिट की गई इकाई निर्दिष्ट कानूनी या विनियामक आवश्यकताओं को पूरा नहीं करती है, तो ऑडिट निष्कर्ष “गैर-अनुपालन” का संकेत दे सकता है। यह संकेत देता है कि संगठन कुछ अनिवार्य मानकों या विनियमों के अनुरूप नहीं है।

इन शब्दों का उपयोग ऑडिट की गई इकाई की प्रथाओं और स्थापित मानदंडों के बीच संरेखण के स्तर को संप्रेषित करने में मदद करता है, खासकर जब वे मानदंड कानूनी प्रकृति के हों। यह यह बताने का एक स्पष्ट और संक्षिप्त तरीका प्रदान करता है कि क्या संगठन कानून की सीमाओं के भीतर काम कर रहा है या पहचाने गए गैर-अनुपालन मुद्दों को संबोधित करने के लिए सुधारात्मक कार्रवाई की आवश्यकता है।

8 वस्तुनिष्ठ साक्ष्य

किसी चीज़ के अस्तित्व या सत्यता का समर्थन करने वाला डेटा

नोट 1: वस्तुनिष्ठ साक्ष्य अवलोकन, माप, परीक्षण या अन्य तरीकों से प्राप्त किया जा सकता है।
नोट 2: लेखापरीक्षा के उद्देश्य के लिए वस्तुनिष्ठ साक्ष्य में आम तौर पर रिकॉर्ड, तथ्य के कथन या अन्य जानकारी शामिल होती है जो लेखापरीक्षा मानदंडों के लिए प्रासंगिक और सत्यापन योग्य होती है।

लेखापरीक्षा के संदर्भ में, वस्तुनिष्ठ साक्ष्य को तथ्यात्मक जानकारी या डेटा के रूप में परिभाषित किया जा सकता है जो किसी विशेष कथन या दावे के अस्तित्व या सत्य का समर्थन करता है। इस साक्ष्य का उपयोग लेखापरीक्षकों द्वारा लेखापरीक्षित की जा रही जानकारी की सटीकता, पूर्णता और विश्वसनीयता का आकलन और सत्यापन करने के लिए किया जाता है। यह लेखापरीक्षा प्रक्रिया के दौरान निष्कर्ष और राय बनाने के लिए एक आधार प्रदान करता है। वस्तुनिष्ठ साक्ष्य पर भरोसा करके, लेखापरीक्षक अपने निष्कर्षों और निष्कर्षों के लिए एक निष्पक्ष और तथ्यात्मक आधार प्रदान करने का लक्ष्य रखते हैं, जो लेखापरीक्षा प्रक्रिया की समग्र विश्वसनीयता और विश्वसनीयता में योगदान देता है। लेखापरीक्षा में वस्तुनिष्ठ साक्ष्य से तात्पर्य है:

तथ्यात्मक जानकारी: यह ऐसी जानकारी है जो सत्यापन योग्य है और राय या व्याख्याओं के बजाय ठोस तथ्यों पर आधारित है।
अस्तित्व या सत्य का समर्थन: साक्ष्य का उपयोग लेखापरीक्षा के दौरान जांचे जा रहे किसी कथन, कथन या दावे के अस्तित्व या सत्य का समर्थन करने के लिए किया जाता है।
लेखापरीक्षा उद्देश्यों से प्रासंगिकता: साक्ष्य सीधे लेखापरीक्षा उद्देश्यों, मानदंडों या मानकों से संबंधित है और यह निर्धारित करने में महत्वपूर्ण है कि लेखापरीक्षित इकाई उन आवश्यकताओं के अनुपालन में है या नहीं।
विश्वसनीयता और भरोसेमंदता: वस्तुनिष्ठ साक्ष्य विश्वसनीय और भरोसेमंद होने चाहिए, जिससे यह सुनिश्चित हो सके कि एकत्रित जानकारी सटीक है और सूचित लेखापरीक्षा निष्कर्ष निकालने के लिए उस पर भरोसा किया जा सकता है।
विभिन्न रूप: वस्तुनिष्ठ साक्ष्य विभिन्न रूप ले सकते हैं, जिनमें दस्तावेज, अभिलेख, भौतिक अवलोकन, साक्षात्कार, मापन और डेटा के अन्य रूप शामिल हैं, जिनकी जांच और मूल्यांकन किया जा सकता है।

वस्तुनिष्ठ साक्ष्य प्राप्त करके, ऑडिटर यह सुनिश्चित करते हैं कि उनके निष्कर्ष विश्वसनीय और तथ्यात्मक जानकारी पर आधारित हैं। यह ऑडिट प्रक्रिया की विश्वसनीयता और ऑडिट की गई इकाई के प्रदर्शन, अनुपालन या अन्य प्रासंगिक पहलुओं के बारे में निकाले गए निष्कर्षों की सटीकता में योगदान देता है।

अभिलेख, तथ्य कथन या अन्य जानकारी: वस्तुनिष्ठ साक्ष्य में अभिलेख, तथ्य कथन और अन्य प्रासंगिक जानकारी सहित कई स्रोत शामिल होते हैं। ये ऑडिट के लिए आधार के रूप में काम करते हैं और ऑडिट मानदंडों के साथ ऑडिट की गई इकाई के अनुपालन का आकलन करने के लिए उपयोग किए जाते हैं।
ऑडिट मानदंडों से प्रासंगिकता: वस्तुनिष्ठ साक्ष्य सीधे ऑडिट मानदंडों से जुड़े होते हैं। यह उन मानकों, विनियमों, नीतियों या अन्य मानदंडों से संबंधित होना चाहिए जिनके आधार पर ऑडिट की गई इकाई का मूल्यांकन किया जा रहा है।
सत्यापन योग्यता: वस्तुनिष्ठ साक्ष्य सत्यापन योग्य होना चाहिए, जिसका अर्थ है कि इसकी जांच और क्रॉस-रेफ़रेंसिंग के माध्यम से पुष्टि या सिद्ध किया जा सकता है। यह साक्ष्य की विश्वसनीयता में योगदान देता है।
अवलोकन, माप, परीक्षण या अन्य साधनों के माध्यम से प्राप्त: वस्तुनिष्ठ साक्ष्य विभिन्न तरीकों से एकत्र किए जा सकते हैं, जैसे प्रक्रियाओं का प्रत्यक्ष अवलोकन, प्रदर्शन मीट्रिक का मापन, नियंत्रणों का परीक्षण या डेटा संग्रह के अन्य साधन। तरीकों का चुनाव ऑडिट की प्रकृति और निर्धारित उद्देश्यों पर निर्भर करता है।
अवलोकन: इसमें साक्ष्य एकत्र करने के लिए प्रक्रियाओं, गतिविधियों या स्थितियों का दृश्य निरीक्षण करना शामिल है।
मापन: इसमें वस्तुनिष्ठ डेटा प्राप्त करने के लिए कुछ मापदंडों का परिमाणीकरण या मूल्यांकन करना शामिल है।
परीक्षण: इसमें कुछ प्रक्रियाओं या नियंत्रणों की प्रभावशीलता या अनुपालन को सत्यापित करने के लिए परीक्षण, परीक्षा या मूल्यांकन आयोजित करना शामिल है।

9 लेखापरीक्षा साक्ष्य

अभिलेख, तथ्य कथन या अन्य जानकारी, जो लेखापरीक्षा मानदंड (3.7) के लिए प्रासंगिक हैं और
सत्यापन योग्य हैं

लेखापरीक्षा के संदर्भ में, लेखापरीक्षा साक्ष्य को वास्तव में अभिलेखों, तथ्यों के कथनों या अन्य सूचनाओं के रूप में परिभाषित किया जा सकता है जो लेखापरीक्षा मानदंडों के लिए प्रासंगिक और सत्यापन योग्य हैं। यह परिभाषा लेखापरीक्षा के मूल सिद्धांतों के साथ संरेखित होती है, जहाँ लेखापरीक्षा निष्कर्ष और राय बनाने के लिए प्रासंगिक और विश्वसनीय साक्ष्य एकत्र करना आवश्यक है। लेखापरीक्षित इकाई के भीतर प्रक्रियाओं, नियंत्रणों और गतिविधियों के अनुपालन, प्रभावशीलता और दक्षता का आकलन करने के लिए लेखापरीक्षक लेखापरीक्षा साक्ष्य पर भरोसा करते हैं। लेखापरीक्षा साक्ष्य की गुणवत्ता और उपयुक्तता लेखापरीक्षा निष्कर्षों की समग्र विश्वसनीयता में महत्वपूर्ण भूमिका निभाती है। यह परिभाषा लेखापरीक्षा साक्ष्य की प्रमुख विशेषताओं पर जोर देती है:

अभिलेख, तथ्य कथन या अन्य जानकारी: लेखापरीक्षा साक्ष्य विभिन्न रूप ले सकते हैं, जिनमें दस्तावेज, अभिलेख, तथ्यात्मक कथन या कोई भी जानकारी शामिल है जो लेखापरीक्षा प्रक्रिया के लिए समर्थन प्रदान करती है।
लेखापरीक्षा मानदंडों से प्रासंगिकता: साक्ष्य सीधे लेखापरीक्षा मानदंडों से संबंधित होना चाहिए, जो मानक, विनियम, नीतियां या बेंचमार्क हैं जिनके आधार पर लेखापरीक्षित इकाई का मूल्यांकन किया जा रहा है।
सत्यापन योग्यता: ऑडिट साक्ष्य सत्यापन योग्य होना चाहिए, जिसका अर्थ है कि इसकी जांच और सत्यापन के माध्यम से पुष्टि या सिद्ध किया जा सकता है। इससे साक्ष्य की विश्वसनीयता और विश्वसनीयता सुनिश्चित होती है।

10 लेखापरीक्षा निष्कर्ष

लेखापरीक्षा मानदंडों के विरुद्ध एकत्रित लेखापरीक्षा साक्ष्य के मूल्यांकन के परिणाम

नोट 1: लेखापरीक्षा निष्कर्ष अनुरूपता या गैर-अनुरूपता का संकेत देते हैं।
नोट 2: लेखापरीक्षा निष्कर्षों से जोखिमों, सुधार के अवसरों या अच्छे व्यवहारों को दर्ज करने की पहचान हो सकती है।
नोट 3: अंग्रेजी में यदि लेखापरीक्षा मानदंड वैधानिक आवश्यकताओं या नियामक आवश्यकताओं से चुने जाते हैं
, तो लेखापरीक्षा निष्कर्ष को अनुपालन या गैर-अनुपालन कहा जाता है।

ऑडिट निष्कर्षों को ऑडिट मानदंडों के विरुद्ध एकत्रित ऑडिट साक्ष्य के मूल्यांकन के परिणामों के रूप में परिभाषित किया जा सकता है। ऑडिट निष्कर्ष ऑडिट प्रक्रिया में एक महत्वपूर्ण भूमिका निभाते हैं क्योंकि वे इस बात की जानकारी देते हैं कि ऑडिट की गई इकाई किस हद तक परिभाषित मानदंडों के साथ संरेखित है। निष्कर्ष अनुपालन, गैर-अनुपालन या सुधार के क्षेत्रों का संकेत दे सकते हैं। वे ऑडिट के समग्र उद्देश्य में योगदान करते हैं, जो कि हितधारकों को ऑडिट की गई इकाई के प्रदर्शन और प्रासंगिक मानकों के पालन का एक विश्वसनीय मूल्यांकन प्रदान करना है।

मूल्यांकन के परिणाम: लेखापरीक्षा निष्कर्ष लेखापरीक्षा के दौरान एकत्रित साक्ष्य के आकलन के आधार पर लेखापरीक्षकों द्वारा निकाले गए परिणाम या निष्कर्ष हैं।
एकत्रित ऑडिट साक्ष्य: ऑडिट निष्कर्षों का आधार वह वस्तुनिष्ठ साक्ष्य है जिसे ऑडिटर ऑडिट प्रक्रिया के दौरान एकत्रित करते हैं। इस साक्ष्य में रिकॉर्ड, तथ्य के कथन या अन्य प्रासंगिक जानकारी शामिल हो सकती है।
ऑडिट मानदंड के आधार पर: मूल्यांकन स्थापित ऑडिट मानदंडों की तुलना में किया जाता है। ये मानदंड संदर्भ बिंदु हैं, जैसे मानक, विनियम, नीतियां या बेंचमार्क, जिनके आधार पर ऑडिट की गई इकाई के प्रदर्शन या अनुपालन को मापा जाता है।

ऑडिट निष्कर्षों में सटीक शब्दावली का उपयोग स्पष्टता सुनिश्चित करता है और हितधारकों के साथ प्रभावी संचार की सुविधा प्रदान करता है। चाहे वह ताकत के क्षेत्रों की पहचान करना हो, अनुपालन को इंगित करना हो, या गैर-अनुपालन को उजागर करना हो, ऑडिट निष्कर्ष संगठनात्मक सीखने और सुधार में योगदान करते हैं।

अनुरूपता या असंगतता: लेखापरीक्षा निष्कर्षों को अक्सर अनुरूपता (अनुपालन) या असंगतता (गैर-अनुपालन) के रूप में वर्गीकृत किया जाता है।
- अनुरूपता: यह दर्शाता है कि लेखापरीक्षित इकाई निर्दिष्ट मानदंडों, मानकों या विनियमों को पूरा करती है। संगठन आवश्यकताओं के अनुरूप है।
- गैर-अनुरूपता: यह दर्शाता है कि ऑडिट की गई इकाई निर्दिष्ट मानदंडों, मानकों या विनियमों को पूरा नहीं करती है। संगठन अनुपालन में नहीं है, और इसमें विचलन या कमियाँ हो सकती हैं।
जोखिमों की पहचान: ऑडिट के दौरान पहचानी गई गैर-अनुरूपताएँ संभावित जोखिमों या उन क्षेत्रों को उजागर कर सकती हैं जहाँ संगठन अपेक्षित मानकों को पूरा नहीं कर रहा है। यह जानकारी जोखिम प्रबंधन के लिए मूल्यवान है।
सुधार के अवसर: ऑडिट निष्कर्ष, चाहे अनुरूपता या गैर-अनुरूपता से संबंधित हों, सुधार के अवसरों की पहचान करने में सहायक हो सकते हैं। इससे संगठन को अपनी प्रक्रियाओं और प्रथाओं को बेहतर बनाने में मदद मिलती है।
अच्छे व्यवहारों को दर्ज करना: सुधार के क्षेत्रों की पहचान करने के अलावा, ऑडिट निष्कर्षों में ऑडिट की गई इकाई के भीतर अच्छे व्यवहारों की पहचान भी शामिल हो सकती है। यह सकारात्मक पहलू प्रभावी और सफल व्यवहारों को मान्यता देता है।
अनुपालन या गैर-अनुपालन: यदि लेखापरीक्षा मानदंड वैधानिक आवश्यकताओं या विनियामक आवश्यकताओं से प्राप्त होते हैं, तो लेखापरीक्षा निष्कर्षों के लिए इस्तेमाल की जाने वाली शब्दावली अक्सर “अनुपालन” या “गैर-अनुपालन” होती है। यह कानूनी या विनियामक मानकों के अनुपालन या विचलन पर जोर देता है।

11 लेखापरीक्षा निष्कर्ष

लेखापरीक्षा के उद्देश्यों और सभी लेखापरीक्षा निष्कर्षों पर विचार करने के बाद लेखापरीक्षा का परिणाम

ऑडिट निष्कर्ष को ऑडिट के परिणाम के रूप में परिभाषित किया जा सकता है, जिसे ऑडिट उद्देश्यों और सभी ऑडिट निष्कर्षों पर विचार करने के बाद निर्धारित किया जाता है। ऑडिट निष्कर्ष हितधारकों को ऑडिट के परिणामों को संप्रेषित करने में एक महत्वपूर्ण तत्व है। यह ऑडिट उद्देश्यों और मानदंडों के संबंध में संगठन के प्रदर्शन का एक व्यापक अवलोकन प्रदान करता है। निष्कर्ष प्रक्रियाओं की समग्र प्रभावशीलता, मानकों के अनुपालन, सुधार क्षेत्रों की पहचान और संभावित जोखिमों के बारे में जानकारी प्रदान कर सकता है। ऑडिट निष्कर्ष प्रस्तुत करने में स्पष्टता और सटीकता सूचित निर्णय लेने और संगठनात्मक सुधार को सुविधाजनक बनाने के लिए आवश्यक है।

ऑडिट का परिणाम: ऑडिट निष्कर्ष ऑडिट प्रक्रिया के समग्र परिणाम या सारांश को दर्शाता है। यह ऑडिट के दौरान किए गए निष्कर्षों, आकलनों और मूल्यांकनों को दर्शाता है।
लेखापरीक्षा उद्देश्यों पर विचार: लेखापरीक्षा निष्कर्ष प्रारंभिक लेखापरीक्षा उद्देश्यों को ध्यान में रखकर निकाला जाता है। ये उद्देश्य लेखापरीक्षा के लक्ष्यों को प्राप्त करने और उनका आकलन करने के लिए रूपरेखा निर्धारित करते हैं।
ऑडिट निष्कर्षों पर विचार: निष्कर्ष सभी ऑडिट निष्कर्षों पर गहन विचार करके तैयार किया जाता है। ये निष्कर्ष, जिनमें अनुरूपता, असंगतता, जोखिम, सुधार के अवसर और अच्छे अभ्यास के क्षेत्र शामिल हो सकते हैं, सामूहिक रूप से निष्कर्ष में योगदान करते हैं।

12 ऑडिट क्लाइंट

ऑडिट का अनुरोध करने वाला संगठन या व्यक्ति
नोट: आंतरिक ऑडिट के मामले में, ऑडिट क्लाइंट ऑडिटी या ऑडिट प्रोग्राम को प्रबंधित करने वाला व्यक्ति भी हो सकता है। बाहरी ऑडिट के लिए अनुरोध विनियामकों, अनुबंध करने वाले पक्षों या संभावित या मौजूदा ग्राहकों जैसे स्रोतों से आ सकते हैं।

ऑडिट क्लाइंट एक संगठन, इकाई या व्यक्ति होता है जो ऑडिट का विषय होता है, चाहे ऑडिट आंतरिक रूप से किया गया हो या बाहरी रूप से। ऑडिट क्लाइंट वह इकाई हो सकती है जिसने ऑडिट का अनुरोध किया हो या जिसका विनियामक, संविदात्मक या आंतरिक आवश्यकताओं के कारण ऑडिट किया जा रहा हो। ऑडिट क्लाइंट की बहुमुखी प्रकृति को समझना महत्वपूर्ण है, खासकर क्योंकि यह ऑडिट के प्रकार और उद्देश्य के आधार पर भिन्न होता है। “ऑडिट क्लाइंट” शब्द आंतरिक और बाहरी ऑडिट परिदृश्यों में विभिन्न भूमिकाओं और दृष्टिकोणों को शामिल कर सकता है।

आंतरिक लेखा परीक्षा:
- ऑडिट क्लाइंट: आंतरिक ऑडिट के संदर्भ में, “ऑडिट क्लाइंट” शब्द वास्तव में ऑडिट का अनुरोध करने वाले संगठन या व्यक्ति को संदर्भित कर सकता है। यह संगठन के भीतर एक विभाग हो सकता है जो विशिष्ट प्रक्रियाओं या कार्यों के लिए आंतरिक ऑडिट की मांग कर रहा हो।
- ऑडिटी या ऑडिट प्रोग्राम मैनेजर: इसके अतिरिक्त, आंतरिक ऑडिट के मामले में, ऑडिट क्लाइंट ऑडिटी भी हो सकता है – संगठन के भीतर वह विभाग या व्यक्ति जिसका ऑडिट किया जा रहा है। इसके अलावा, संगठन के भीतर समग्र ऑडिट कार्यक्रम का प्रबंधन करने वाले व्यक्ति (व्यक्तियों) को भी आंतरिक ऑडिट संदर्भ में ऑडिट क्लाइंट माना जा सकता है।
बाह्य लेखापरीक्षा:
- अनुरोधों के स्रोत: बाहरी ऑडिट के लिए, ऑडिट का अनुरोध विभिन्न बाहरी स्रोतों से आ सकता है, जैसे कि विनियामक, अनुबंध करने वाले पक्ष या संभावित/मौजूदा ग्राहक। ये बाहरी संस्थाएँ ऑडिट किए गए संगठन के वित्तीय विवरणों, नियंत्रणों या संचालनों की सटीकता, अनुपालन या अन्य पहलुओं के बारे में आश्वासन चाहती हैं।

13 लेखापरीक्षिती

संपूर्ण संगठन या उसके कुछ भागों का लेखा-परीक्षण किया जा रहा है

ऑडिटी को वास्तव में संगठन के रूप में परिभाषित किया जा सकता है, जो संपूर्ण रूप से या उसके कुछ हिस्सों में ऑडिट का विषय है। “ऑडिटी” शब्द का इस्तेमाल आमतौर पर आंतरिक और बाहरी दोनों ऑडिट के संदर्भ में किया जाता है। आंतरिक ऑडिट में अक्सर उसी संगठन के ऑडिटी शामिल होते हैं, जबकि बाहरी ऑडिट में क्लाइंट, सप्लायर या नियामक निकायों जैसे अन्य संगठनों के ऑडिटी शामिल हो सकते हैं। ऑडिटी सूचना तक पहुँच प्रदान करने, ऑडिट प्रक्रिया को सुविधाजनक बनाने और ऑडिट निष्कर्षों पर प्रतिक्रिया देने में केंद्रीय भूमिका निभाता है।

संपूर्ण संगठन या उसके भाग:
- व्यापक दायरा: लेखापरीक्षित व्यक्ति पूरे संगठन को संदर्भित कर सकता है, जिसमें उसके सभी विभाग, कार्य और गतिविधियाँ शामिल हैं। व्यापक ऑडिट में अक्सर ऐसा होता है जो संगठन के समग्र प्रदर्शन का आकलन करता है।
- आंशिक दायरा: वैकल्पिक रूप से, ऑडिटी संगठन के विशिष्ट भागों या घटकों को संदर्भित कर सकता है। इसमें ऑडिट के उद्देश्यों के आधार पर विशेष विभागों, प्रक्रियाओं या कार्यों का ऑडिट करना शामिल हो सकता है।
लेखापरीक्षित किया जा रहा है:
- ऑडिट का विषय: ऑडिटी वह इकाई या इकाइयाँ हैं जो ऑडिट के दौरान जांच और मूल्यांकन से गुज़रती हैं। इसमें प्रक्रियाओं, नियंत्रणों, मानकों के अनुपालन और अन्य प्रासंगिक मानदंडों की जांच शामिल है।

14 ऑडिट टीम

एक या एक से अधिक व्यक्ति ऑडिट करते हैं, जिन्हें ज़रूरत पड़ने पर तकनीकी विशेषज्ञों द्वारा सहायता प्रदान की जाती है।
नोट 1: ऑडिट टीम के एक ऑडिटर को ऑडिट टीम लीडर के रूप में नियुक्त किया जाता है।
नोट 2: ऑडिट टीम में प्रशिक्षण प्राप्त ऑडिटर शामिल हो सकते हैं।

यह परिभाषा मानक लेखापरीक्षा प्रथाओं के साथ अच्छी तरह से मेल खाती है और लेखापरीक्षा संदर्भ में टीमवर्क, नेतृत्व और कौशल विकास की क्षमता के महत्व पर जोर देती है। एक लेखापरीक्षा टीम की सहयोगी प्रकृति लेखापरीक्षित इकाई का एक व्यापक और वस्तुनिष्ठ मूल्यांकन सुनिश्चित करती है। टीम लीडर टीम का मार्गदर्शन करने, संचार को सुविधाजनक बनाने और लेखापरीक्षा योजना के प्रभावी निष्पादन को सुनिश्चित करने में महत्वपूर्ण भूमिका निभाता है। प्रशिक्षण में लेखापरीक्षकों को शामिल करने से नए लेखापरीक्षा पेशेवरों के विकास में योगदान मिलता है और लेखापरीक्षा टीम की समग्र क्षमता में वृद्धि होती है।

लेखापरीक्षा टीम:
- संरचना: ऑडिट टीम का गठन एक या एक से अधिक व्यक्तियों द्वारा किया जाता है जो ऑडिट करने के लिए जिम्मेदार होते हैं। टीम के सदस्य ऑडिट के विषय का आकलन और मूल्यांकन करने के लिए सहयोग करते हैं।
- तकनीकी विशेषज्ञों से सहायता: लेखापरीक्षा की जटिलता और दायरे के आधार पर, टीम को लेखापरीक्षा विषय से संबंधित विशेष ज्ञान वाले तकनीकी विशेषज्ञों द्वारा सहायता प्रदान की जा सकती है।
ऑडिट टीम लीडर:
- नियुक्ति: ऑडिट टीम के भीतर, एक ऑडिटर को ऑडिट टीम लीडर के रूप में नियुक्त किया जाता है। यह व्यक्ति नेतृत्व की भूमिका निभाता है और टीम की गतिविधियों के समन्वय, ऑडिट योजना का पालन सुनिश्चित करने और समग्र ऑडिट प्रक्रिया की देखरेख के लिए जिम्मेदार होता है।

15 लेखा परीक्षक

वह व्यक्ति जो लेखा-परीक्षण करता है

ऑडिटर वास्तव में एक ऐसा व्यक्ति है जो ऑडिट करता है। ऑडिटर विभिन्न सेटिंग्स में काम कर सकते हैं, जिसमें किसी संगठन के भीतर आंतरिक ऑडिट या स्वतंत्र ऑडिट फर्मों द्वारा किए गए बाहरी ऑडिट शामिल हैं। वे प्रक्रियाओं, प्रणालियों या वित्तीय जानकारी के अनुपालन, प्रभावशीलता और दक्षता का आकलन करने में महत्वपूर्ण भूमिका निभाते हैं, जो ऑडिट की गई इकाई के संचालन के समग्र आश्वासन और विश्वसनीयता में योगदान करते हैं।

व्यक्ति:
- व्यक्तिगत भूमिका: लेखा परीक्षक वह व्यक्ति होता है जो लेखा परीक्षा से संबंधित गतिविधियों को करने के लिए योग्य और नियुक्त होता है।
लेखापरीक्षा आयोजित करता है:
- जिम्मेदारियाँ: ऑडिटर की प्राथमिक जिम्मेदारी ऑडिट प्रक्रिया में शामिल आवश्यक कार्यों को पूरा करना है। इसमें योजना बनाना, साक्ष्य एकत्र करना और उनका मूल्यांकन करना, तथा ऑडिट उद्देश्यों और मानदंडों के आधार पर निष्कर्ष निकालना शामिल है।

16 तकनीकी विशेषज्ञ

वह व्यक्ति जो ऑडिट टीम को विशिष्ट ज्ञान या विशेषज्ञता प्रदान करता है।
नोट 1: विशिष्ट ज्ञान या विशेषज्ञता संगठन, गतिविधि, प्रक्रिया, उत्पाद, सेवा, ऑडिट किए जाने वाले अनुशासन या भाषा या संस्कृति से संबंधित है।
नोट 2: ऑडिट टीम का कोई तकनीकी विशेषज्ञ ऑडिटर के रूप में कार्य नहीं करता है।

आईएसओ ऑडिट के संदर्भ में, तकनीकी विशेषज्ञ वह व्यक्ति होता है जो ऑडिट टीम को विशिष्ट ज्ञान या विशेषज्ञता प्रदान करता है।

ISO (अंतरराष्ट्रीय मानकीकरण संगठन) ऑडिट में, तकनीकी विशेषज्ञों को विशिष्ट तकनीकी आवश्यकताओं या उद्योग-विशिष्ट मानकों को संबोधित करने के लिए लाया जा सकता है। तकनीकी विशेषज्ञ एक ऐसा व्यक्ति होता है जिसके पास ऑडिट से संबंधित किसी विशेष क्षेत्र में विशिष्ट ज्ञान और विशेषज्ञता होती है। तकनीकी विशेषज्ञ की भूमिका ऑडिट टीम को अपना विशेष ज्ञान प्रदान करना है, जिससे ऑडिटी की प्रणालियों, प्रक्रियाओं या प्रथाओं के विशिष्ट पहलुओं का आकलन करने की टीम की क्षमता में वृद्धि करने वाली अंतर्दृष्टि का योगदान मिलता है। ये विशेषज्ञ यह सुनिश्चित करने में एक महत्वपूर्ण भूमिका निभाते हैं कि ऑडिट टीम के पास ISO मानकों के संबंध में ऑडिटी के अनुपालन और प्रदर्शन का पूरी तरह से मूल्यांकन करने के लिए आवश्यक गहन ज्ञान तक पहुँच हो। तकनीकी विशेषज्ञ मार्गदर्शन प्रदान करके, तकनीकी प्रश्नों का उत्तर देकर और अपनी विशेषज्ञता के आधार पर सिफारिशें देकर ऑडिट प्रक्रिया में योगदान दे सकते हैं। उनकी भागीदारी ऑडिट के दौरान एक व्यापक और सटीक मूल्यांकन सुनिश्चित करने में मदद करती है।

तकनीकी विशेषज्ञ, लेखा परीक्षा टीम को विशिष्ट ज्ञान या विशेषज्ञता प्रदान करते हुए, पारंपरिक अर्थों में लेखा परीक्षक के रूप में कार्य नहीं करता है। उनकी भूमिका विशिष्ट है और डोमेन-विशिष्ट अंतर्दृष्टि का योगदान करने पर केंद्रित है। एक लेखा परीक्षक और एक तकनीकी विशेषज्ञ के बीच अंतर महत्वपूर्ण है, क्योंकि यह लेखा परीक्षा टीम की सहयोगी प्रकृति को उजागर करता है। जबकि लेखा परीक्षक योजना, साक्ष्य संग्रह और रिपोर्टिंग सहित समग्र लेखा परीक्षा प्रक्रिया पर ध्यान केंद्रित करते हैं, तकनीकी विशेषज्ञ विशेष अंतर्दृष्टि का योगदान करते हैं जो उनकी विशेषज्ञता के क्षेत्र में विशिष्ट पहलुओं की टीम की समझ को बढ़ाते हैं। यह सहयोग अधिक व्यापक और सूचित ऑडिट सुनिश्चित करता है, खासकर जब जटिल या उद्योग-विशिष्ट मानकों, प्रथाओं या प्रौद्योगिकियों से निपटना हो। तकनीकी विशेषज्ञ की भूमिका ऑडिट की गई इकाई की प्रणालियों या प्रक्रियाओं के आकलन में गहराई और सटीकता प्रदान करने में मूल्यवान है।

विशिष्ट भूमिका: एक तकनीकी विशेषज्ञ, ऑडिट टीम को विशिष्ट ज्ञान या विशेषज्ञता प्रदान करते हुए, पारंपरिक अर्थों में ऑडिटर के रूप में कार्य नहीं करता है। उनकी भूमिका विशिष्ट होती है और डोमेन-विशिष्ट अंतर्दृष्टि प्रदान करने पर केंद्रित होती है।
लेखापरीक्षित क्षेत्र से प्रासंगिकता: एक तकनीकी विशेषज्ञ द्वारा लाया गया विशिष्ट ज्ञान या विशेषज्ञता सीधे संगठन, गतिविधि, प्रक्रिया, उत्पाद, सेवा, लेखापरीक्षित किए जाने वाले अनुशासन या अन्य प्रासंगिक कारकों से संबंधित होता है।
संगठन, गतिविधि, प्रक्रिया, उत्पाद, सेवा, अनुशासन, भाषा या संस्कृति: तकनीकी विशेषज्ञ द्वारा प्रदान की गई विशेषज्ञता ऑडिट की गई इकाई के विशिष्ट पहलुओं के अनुरूप होती है। इसमें तकनीकी प्रक्रियाओं, उद्योग-विशिष्ट प्रथाओं या सांस्कृतिक बारीकियों सहित विभिन्न आयाम शामिल हो सकते हैं।

17 पर्यवेक्षक

वह व्यक्ति जो लेखापरीक्षा दल के साथ होता है, लेकिन लेखापरीक्षक के रूप में कार्य नहीं करता

ISO ऑडिट में, पर्यवेक्षक वह व्यक्ति होता है जो ऑडिट टीम के साथ होता है लेकिन ऑडिटर की भूमिका नहीं निभाता है। इस शब्द का इस्तेमाल अक्सर किसी ऐसे व्यक्ति का वर्णन करने के लिए किया जाता है जो ऑडिट प्रक्रिया के दौरान मौजूद रहता है लेकिन ऑडिट करने में सक्रिय रूप से भाग नहीं लेता है। ISO ऑडिट में पर्यवेक्षक के बारे में मुख्य बिंदु:

लेखापरीक्षा टीम के साथ: लेखापरीक्षा गतिविधियों के दौरान लेखापरीक्षा टीम के साथ एक पर्यवेक्षक मौजूद रहता है।
ऑडिटर के रूप में कार्य नहीं करता: ऑडिट टीम के सदस्यों के विपरीत, पर्यवेक्षक ऑडिट के संचालन में सक्रिय रूप से शामिल नहीं होता है। वे योजना बनाने, साक्ष्य एकत्र करने या आकलन करने के लिए जिम्मेदार नहीं होते हैं।

पर्यवेक्षकों की उपस्थिति विभिन्न उद्देश्यों की पूर्ति कर सकती है, जैसे कि ऑडिट प्रक्रिया के बारे में सीखने वाले व्यक्तियों को प्रशिक्षण प्रदान करना, ज्ञान हस्तांतरण की सुविधा प्रदान करना, या हितधारकों को ऑडिट गतिविधियों में अंतर्दृष्टि प्राप्त करने की अनुमति देना। पर्यवेक्षक संगठन के भीतर या बाहरी पक्षों के व्यक्ति हो सकते हैं, जिनकी ऑडिट प्रक्रिया में सीधे भाग लिए बिना उसे समझने में रुचि या आवश्यकता होती है।

18 प्रबंधन प्रणाली

नोट 1: एक प्रबंधन प्रणाली एक एकल अनुशासन या कई विषयों को संबोधित कर सकती है, जैसे गुणवत्ता प्रबंधन, वित्तीय प्रबंधन या पर्यावरण प्रबंधन। नोट 2: प्रबंधन प्रणाली तत्व उन उद्देश्यों को प्राप्त करने के लिए संगठन की संरचना
, भूमिका और जिम्मेदारियां, योजना, संचालन, नीतियां, प्रथाएं, नियम, विश्वास, उद्देश्य और प्रक्रियाएं स्थापित करते हैं। नोट 3:
एक प्रबंधन प्रणाली के दायरे में पूरा संगठन, संगठन के विशिष्ट और पहचाने गए कार्य, संगठन के विशिष्ट और पहचाने गए खंड, या संगठनों के समूह में एक या अधिक कार्य शामिल हो सकते हैं।

प्रबंधन प्रणाली को वास्तव में संगठन के भीतर परस्पर संबंधित या परस्पर क्रिया करने वाले तत्वों के समूह के रूप में परिभाषित किया जा सकता है। प्रबंधन प्रणाली का प्राथमिक उद्देश्य नीतियों और उद्देश्यों के साथ-साथ उन उद्देश्यों को प्राप्त करने के लिए प्रक्रियाओं को स्थापित करना है। ये मानक संगठनों को अपने प्रबंधन प्रणालियों को स्थापित करने, लागू करने, बनाए रखने और लगातार सुधारने के लिए एक संरचित दृष्टिकोण प्रदान करते हैं, यह सुनिश्चित करते हुए कि वे संगठन के समग्र लक्ष्यों के साथ संरेखित हैं और प्रासंगिक आवश्यकताओं को पूरा करते हैं।

परस्पर संबंधित या परस्पर क्रियाशील तत्वों का समूह: एक प्रबंधन प्रणाली में संगठन के भीतर विभिन्न घटक, तत्व या भाग शामिल होते हैं। ये तत्व सामान्य लक्ष्यों को प्राप्त करने के लिए एक साथ काम करते हैं या एक दूसरे को प्रभावित करते हैं।
संगठन: प्रबंधन प्रणाली संगठनात्मक संरचना का एक अभिन्न अंग है, जो संगठन के प्रबंधन और संचालन का मार्गदर्शन करती है।
नीतियां और उद्देश्य स्थापित करना: प्रबंधन प्रणाली का एक प्रमुख कार्य ऐसी नीतियां निर्धारित करना है जो संगठन के सिद्धांतों और उद्देश्यों को परिभाषित करती हैं तथा यह स्पष्ट करती हैं कि संगठन क्या हासिल करना चाहता है।
प्रक्रियाएँ: प्रबंधन प्रणाली में प्रक्रियाएँ शामिल होती हैं, जो परिभाषित उद्देश्यों को प्राप्त करने के लिए डिज़ाइन की गई गतिविधियाँ या संचालन हैं। ये प्रक्रियाएँ आमतौर पर दक्षता और प्रभावशीलता सुनिश्चित करने के लिए संरचित और प्रबंधित होती हैं।
उद्देश्यों को प्राप्त करना: प्रबंधन प्रणाली का अंतिम उद्देश्य संगठन को उसके घोषित उद्देश्यों को प्राप्त करने में सहायता करना है। इसमें प्रदर्शन को लगातार बढ़ाने के लिए प्रक्रियाओं की योजना बनाना, उन्हें लागू करना, उनकी निगरानी करना और उनमें सुधार करना शामिल है।

एक प्रबंधन प्रणाली वास्तव में एक संगठन के भीतर एक या कई विषयों को संबोधित कर सकती है। प्रबंधन प्रणालियों की लचीलापन संगठनों को अपनी अनूठी चुनौतियों और लक्ष्यों को पूरा करने के लिए एक संरचित दृष्टिकोण अपनाने की अनुमति देता है, चाहे वे किसी एक विषय पर ध्यान केंद्रित करना चाहें या समग्र दक्षता और प्रभावशीलता को बढ़ाने के लिए कई विषयों को एकीकृत करना चाहें। यहाँ ज़ोर देने के लिए मुख्य बिंदु दिए गए हैं:

एकल या एकाधिक अनुशासन: एक प्रबंधन प्रणाली को एक ही अनुशासन की विशिष्ट आवश्यकताओं और अपेक्षाओं को संबोधित करने के लिए तैयार किया जा सकता है। उदाहरण के लिए, एक संगठन गुणवत्ता-संबंधी प्रक्रियाओं और उद्देश्यों पर ध्यान केंद्रित करने के लिए गुणवत्ता प्रबंधन प्रणाली (QMS) को लागू कर सकता है। वैकल्पिक रूप से, एक संगठन एक एकीकृत प्रबंधन प्रणाली को लागू करना चुन सकता है जो एक साथ कई विषयों को संबोधित करती है। उदाहरण के लिए, एक एकीकृत प्रबंधन प्रणाली (IMS) गुणवत्ता प्रबंधन, वित्तीय प्रबंधन, पर्यावरण प्रबंधन और अन्य प्रासंगिक विषयों को कवर कर सकती है।
अनुशासन के उदाहरण:
- गुणवत्ता प्रबंधन: यह सुनिश्चित करने पर ध्यान केंद्रित करता है कि उत्पाद या सेवाएं स्थापित गुणवत्ता मानकों और ग्राहक अपेक्षाओं (जैसे, आईएसओ 9001) को पूरा करती हैं।
- वित्तीय प्रबंधन: इसमें संगठन के वित्तीय संसाधनों, लेखांकन प्रक्रियाओं और राजकोषीय जिम्मेदारियों का प्रभावी प्रबंधन शामिल है।
- पर्यावरण प्रबंधन: किसी संगठन के पर्यावरणीय प्रभाव और स्थिरता प्रथाओं (जैसे, आईएसओ 14001) को संबोधित करता है।
संगठनात्मक आवश्यकताओं के अनुरूप: संगठन अपनी विशिष्ट आवश्यकताओं, उद्योग आवश्यकताओं और संगठनात्मक उद्देश्यों के आधार पर प्रबंधन प्रणाली को डिजाइन और कार्यान्वित कर सकते हैं।
विषयों का एकीकरण: एकीकरण प्रबंधन के लिए एक समग्र दृष्टिकोण की अनुमति देता है। संगठन प्रक्रियाओं को सुव्यवस्थित कर सकते हैं, प्रयासों के दोहराव को कम कर सकते हैं, और विभिन्न प्रबंधन विषयों को एक एकीकृत प्रणाली में एकीकृत करके तालमेल बना सकते हैं।

प्रबंधन प्रणाली के भीतर इन तत्वों का एकीकरण संगठन के लिए एक संरचित और सुसंगत ढांचा प्रदान करता है। यह ढांचा न केवल विशिष्ट लक्ष्यों को प्राप्त करने में मदद करता है बल्कि बदलती परिस्थितियों के लिए निरंतर सुधार और अनुकूलन की सुविधा भी देता है। प्रबंधन प्रणाली संगठन के विभिन्न पहलुओं को संरेखित करने और यह सुनिश्चित करने के लिए एक उपकरण के रूप में कार्य करती है कि वे सामान्य उद्देश्यों के लिए सामंजस्य में काम करें।

संगठन की संरचना स्थापित करना: प्रबंधन प्रणाली तत्व संगठन की संरचना को परिभाषित करने और व्यवस्थित करने में योगदान देते हैं। इसमें शामिल है कि विभिन्न इकाइयों या विभागों को कैसे व्यवस्थित किया जाता है, रिपोर्टिंग संबंध और समग्र संगठनात्मक पदानुक्रम।
भूमिकाएँ और जिम्मेदारियाँ: स्पष्ट रूप से परिभाषित भूमिकाएँ और जिम्मेदारियाँ प्रबंधन प्रणाली का एक महत्वपूर्ण पहलू हैं। यह सुनिश्चित करता है कि संगठन के भीतर व्यक्ति अपने कार्यों को समझें और समग्र उद्देश्यों में प्रभावी रूप से योगदान दें।
नियोजन: प्रबंधन प्रणालियों में नियोजन प्रक्रियाएं शामिल होती हैं, जो संगठन को उद्देश्य निर्धारित करने, जोखिमों और अवसरों की पहचान करने तथा अपने लक्ष्यों को प्राप्त करने के लिए रणनीति विकसित करने में मदद करती हैं।
संचालन: प्रबंधन प्रणाली के परिचालन पहलू दिन-प्रतिदिन की गतिविधियों और प्रक्रियाओं को कवर करते हैं जो संगठन के उद्देश्यों को प्राप्त करने के लिए आवश्यक हैं। इसमें योजनाओं का कार्यान्वयन और निष्पादन शामिल है।
नीतियाँ, अभ्यास, नियम और मान्यताएँ: प्रबंधन प्रणाली तत्वों में नीतियों, अभ्यासों, नियमों और साझा मान्यताओं की स्थापना शामिल है जो संगठन के भीतर व्यवहार और निर्णय लेने का मार्गदर्शन करती हैं। यह संगठनात्मक संस्कृति और मूल्यों में योगदान देता है।
उद्देश्य और प्रक्रियाएँ: स्पष्ट रूप से परिभाषित उद्देश्य प्रबंधन प्रणाली का एक मूलभूत हिस्सा हैं। इन उद्देश्यों को कुशलतापूर्वक और प्रभावी ढंग से प्राप्त करने के लिए प्रक्रियाओं को डिज़ाइन और कार्यान्वित किया जाता है।

प्रबंधन प्रणाली के दायरे को विभिन्न तरीकों से परिभाषित करने की क्षमता प्रबंधन मानकों और रूपरेखाओं की अनुकूलनशीलता को दर्शाती है, जैसे कि अंतर्राष्ट्रीय संगठन मानकीकरण (आईएसओ) द्वारा उल्लिखित। उदाहरण के लिए, आईएसओ 9001 (गुणवत्ता प्रबंधन) और आईएसओ 14001 (पर्यावरण प्रबंधन) मानक संगठनों को उनकी विशिष्ट परिस्थितियों और उद्देश्यों के आधार पर दायरा निर्धारित करने की लचीलापन प्रदान करते हैं। संगठन की ज़रूरतों के हिसाब से दायरे को ढालकर, प्रबंधन प्रणाली लक्ष्यों को प्राप्त करने, प्रदर्शन में सुधार करने और प्रासंगिक मानकों और आवश्यकताओं के साथ संरेखण सुनिश्चित करने के लिए एक अधिक प्रभावी उपकरण बन जाती है।

संपूर्ण संगठन: प्रबंधन प्रणाली संगठन की संपूर्णता को समाहित कर सकती है, तथा एक व्यापक ढांचा प्रदान कर सकती है जो सभी कार्यों, प्रक्रियाओं और गतिविधियों को संबोधित करता है।
विशिष्ट और पहचाने गए कार्य: वैकल्पिक रूप से, संगठन के भीतर विशिष्ट और पहचाने गए कार्यों पर कार्यक्षेत्र को केंद्रित किया जा सकता है। यह एक लक्षित दृष्टिकोण की अनुमति देता है, जो चिंता या प्राथमिकता के विशेष क्षेत्रों को संबोधित करने के लिए प्रबंधन प्रणाली को तैयार करता है।
विशिष्ट और पहचाने गए अनुभाग: संगठन के भीतर विशिष्ट और पहचाने गए अनुभागों या विभागों तक दायरे को सीमित किया जा सकता है। यह अक्सर तब व्यावहारिक होता है जब कुछ क्षेत्रों की अलग-अलग ज़रूरतें या आवश्यकताएं होती हैं।
संगठनों के समूह में एक या अधिक कार्य: कुछ मामलों में, इसका दायरा एक संगठन से आगे बढ़कर संगठनों के समूह में एक या अधिक कार्यों को कवर करने तक हो सकता है। यह सहयोगात्मक रूप से या साझा ढांचे के भीतर काम करने वाले संगठनों के लिए प्रासंगिक हो सकता है।

19 जोखिम

अनिश्चितता का प्रभाव
नोट 1: प्रभाव अपेक्षित से विचलन है – सकारात्मक या नकारात्मक।
नोट 2: अनिश्चितता एक स्थिति है, यहां तक कि आंशिक रूप से, किसी घटना, उसके परिणाम और संभावना से संबंधित जानकारी, समझ या ज्ञान की कमी।
नोट 3: जोखिम को अक्सर संभावित घटनाओं और परिणामों या इनके संयोजन के संदर्भ में परिभाषित किया जाता है।
नोट 4: जोखिम को अक्सर किसी घटना के परिणामों (परिस्थितियों में परिवर्तन सहित) और घटना की संबंधित संभावना के संयोजन के रूप में व्यक्त किया जाता है।

जोखिम परिभाषा:
- अनिश्चितता का प्रभाव: जोखिम को अनिश्चितता के प्रभाव के रूप में परिभाषित किया जाता है। यह इस विचार को समाहित करता है कि जोखिम घटनाओं, गतिविधियों या प्रक्रियाओं के विभिन्न पहलुओं में अनिश्चितताओं के कारण उत्पन्न होते हैं।
प्रभाव – अपेक्षित से विचलन:
- सकारात्मक या नकारात्मक: जोखिम का प्रभाव सकारात्मक या नकारात्मक हो सकता है। सकारात्मक प्रभावों को अक्सर अवसर के रूप में संदर्भित किया जाता है, जबकि नकारात्मक प्रभावों को खतरे या अनिश्चितता माना जाता है जो अवांछित परिणामों को जन्म दे सकते हैं।
अनिश्चितता परिभाषा:
- सूचना की कमी की स्थिति: अनिश्चितता को सूचना की कमी की स्थिति के रूप में वर्णित किया जाता है, भले ही आंशिक रूप से। यह इस बात पर प्रकाश डालता है कि जोखिम तब उत्पन्न होता है जब किसी घटना, उसके परिणामों और घटित होने की संभावना के बारे में पूरी जानकारी या समझ का अभाव होता है।
घटना, परिणाम और संभावना से संबंधित:
- घटना: वह विशिष्ट घटना या घटना जो विचाराधीन है।
- परिणाम: घटना से होने वाला प्रभाव या परिणाम।
- संभावना: घटना घटित होने की संभावना या मौका।

संयोजन दृष्टिकोण जोखिम की अधिक सूक्ष्म और समग्र समझ प्रदान करता है। परिणामों की संभावित गंभीरता और घटना की संभावना दोनों पर विचार करके, संगठन उनके महत्व और उनके प्रभाव की संभावना के आधार पर जोखिमों को प्राथमिकता दे सकते हैं और उनका समाधान कर सकते हैं। जोखिम प्रबंधन में, यह अक्सर जोखिम मैट्रिक्स या जोखिम हीट मैप्स के निर्माण की ओर ले जाता है, जहां अक्ष परिणाम की गंभीरता और संभावना का प्रतिनिधित्व करते हैं, जो जोखिमों को दृष्टिगत रूप से वर्गीकृत और प्राथमिकता देने में मदद करते हैं। यह दृष्टिकोण संगठनों को विभिन्न प्रकार के जोखिमों को प्रबंधित करने और कम करने के तरीके के बारे में सूचित निर्णय लेने में सहायता करता है।

संभावित घटनाओं और परिणामों के आधार पर लक्षण-वर्णन:
- जोखिम को अक्सर संभावित घटनाओं और उनके परिणामों के संदर्भ में परिभाषित किया जाता है। इसमें उन घटनाओं की पहचान करना शामिल है जो संगठन को प्रभावित कर सकती हैं और उन घटनाओं से जुड़े संभावित परिणामों या प्रभावों को समझना शामिल है।
परिणाम और संभावना का संयोजन:
- जोखिम को अक्सर परिणामों के संयोजन और घटना की संबंधित संभावना के संदर्भ में व्यक्त किया जाता है। जोखिम मूल्यांकन में यह एक मौलिक अवधारणा है। समग्र जोखिम स्तर का आकलन करने के लिए परिणामों की गंभीरता और किसी घटना के घटित होने की संभावना को एक साथ माना जाता है।
- परिणाम: किसी घटना के परिणामस्वरूप होने वाले संभावित परिणामों या प्रभावों की श्रेणी, जिसमें परिस्थितियों में परिवर्तन भी शामिल है।
- संभावना: घटना घटित होने की संभावना या मौका।

20 अनुरूपता

किसी आवश्यकता की पूर्ति

आईएसओ ऑडिट के संदर्भ में अनुरूपता का तात्पर्य उस सीमा से है जिस तक ऑडिट की गई इकाई निर्दिष्ट आवश्यकताओं को पूरा करती है या उनका अनुपालन करती है। ये आवश्यकताएं मानक, विनियम, नीतियां या ऑडिट के लिए स्थापित कोई भी मानदंड हो सकती हैं। आईएसओ ऑडिट में अनुरूपता मूल्यांकन में यह मूल्यांकन करना शामिल है कि ऑडिट किए गए संगठन की प्रक्रियाएं, उत्पाद या सेवाएं परिभाषित मानदंडों के अनुरूप हैं या नहीं। लक्ष्य यह निर्धारित करना है कि स्थापित मानकों और आवश्यकताओं का अनुपालन है या नहीं, यह सुनिश्चित करना कि संगठन निर्दिष्ट दिशानिर्देशों के अनुसार काम कर रहा है।

21 गैरअनुरूपता

किसी आवश्यकता की पूर्ति न होना

आईएसओ ऑडिट के संदर्भ में गैर-अनुरूपता ऐसी स्थिति को इंगित करती है, जहां ऑडिट की गई इकाई निर्दिष्ट आवश्यकताओं को पूरा नहीं करती या उनका अनुपालन नहीं करती। इसमें मानकों, विनियमों, नीतियों या ऑडिट के लिए निर्धारित किसी भी मानदंड से विचलन शामिल हो सकता है। जब ऑडिटर ऑडिट के दौरान गैर-अनुरूपताओं की पहचान करते हैं, तो इसका मतलब है कि ऑडिट किए गए संगठन के भीतर कुछ प्रक्रियाएं, उत्पाद या सेवाएं स्थापित मानदंडों के अनुरूप नहीं हैं। गैर-अनुरूपताओं को आम तौर पर दस्तावेजित किया जाता है और ऑडिट की गई इकाई को सूचित किया जाता है, और इन विचलनों को संबोधित करने और सुधारने के लिए अक्सर सुधारात्मक कार्रवाई की आवश्यकता होती है। लक्ष्य संगठन को लागू मानकों या आवश्यकताओं के अनुपालन में लाना है।

22 योग्यता

इच्छित परिणाम प्राप्त करने के लिए ज्ञान और कौशल को लागू करने की क्षमता

सक्षमता को वस्तुतः इच्छित परिणाम प्राप्त करने के लिए ज्ञान और कौशल को लागू करने की क्षमता के रूप में परिभाषित किया जा सकता है।

योग्यता: सक्षमता में किसी विशिष्ट संदर्भ में प्रभावी ढंग से कार्य करने की क्षमता या सामर्थ्य होना शामिल है।
ज्ञान और कौशल का अनुप्रयोग: सक्षमता का तात्पर्य केवल ज्ञान और कौशल रखने से नहीं है, बल्कि व्यावहारिक स्थितियों में उस ज्ञान और कौशल के प्रभावी अनुप्रयोग से भी है।
इच्छित परिणाम प्राप्त करना: योग्यता का अंतिम उद्देश्य वांछित या इच्छित परिणाम प्राप्त करना है। सक्षम व्यक्ति अपने ज्ञान और कौशल का उपयोग कार्यों या लक्ष्यों को सफलतापूर्वक पूरा करने के लिए कर सकते हैं।

यह परिभाषा योग्यता की व्यावहारिक और परिणामोन्मुखी प्रकृति पर जोर देती है। विभिन्न व्यावसायिक और संगठनात्मक संदर्भों में, योग्यता एक महत्वपूर्ण विशेषता है जो यह सुनिश्चित करती है कि व्यक्ति या संस्थाएँ अपनी भूमिकाएँ प्रभावी ढंग से निभा सकें और अपने प्रयासों की समग्र सफलता में योगदान दे सकें। योग्यता अक्सर विभिन्न क्षेत्रों में गुणवत्ता, दक्षता और उत्कृष्टता प्राप्त करने में एक महत्वपूर्ण कारक होती है।

23 आवश्यकता

आवश्यकता या अपेक्षा जो बताई गई हो, आम तौर पर निहित हो या अनिवार्य हो
नोट 1: “आम तौर पर निहित” का अर्थ है कि यह संगठन और
इच्छुक पक्षों के लिए प्रथा या सामान्य अभ्यास है कि विचाराधीन आवश्यकता या अपेक्षा निहित है।
नोट 2: निर्दिष्ट आवश्यकता वह है जो बताई गई हो, उदाहरण के लिए प्रलेखित जानकारी में।

आवश्यकता को वस्तुतः एक ऐसी आवश्यकता या अपेक्षा के रूप में परिभाषित किया जा सकता है जो बताई गई हो, सामान्यतः निहित हो, या अनिवार्य हो।

आवश्यकता या अपेक्षा: आवश्यकता किसी ऐसी चीज़ को दर्शाती है जिसकी आवश्यकता या अपेक्षा की जाती है। यह कोई विशिष्ट स्थिति, क्षमता, विशेषता या परिणाम हो सकता है जो किसी विशेष उद्देश्य के लिए आवश्यक हो।
घोषित, सामान्यतः निहित, या अनिवार्य: आवश्यकताओं को दस्तावेजों, विनिर्देशों या समझौतों में स्पष्ट रूप से बताया जा सकता है। वे उद्योग मानकों, सर्वोत्तम प्रथाओं या सामान्य अपेक्षाओं के आधार पर सामान्यतः निहित भी हो सकते हैं। इसके अतिरिक्त, कुछ आवश्यकताएँ अनिवार्य हैं, जिसका अर्थ है कि वे अनिवार्य हैं और उन्हें पूरा किया जाना चाहिए।

परियोजना प्रबंधन, उत्पाद विकास या गुणवत्ता प्रबंधन प्रणालियों जैसे विभिन्न संदर्भों में, सफलता और हितधारक संतुष्टि प्राप्त करने के लिए आवश्यकताओं को समझना और पूरा करना महत्वपूर्ण है। स्पष्ट और अच्छी तरह से परिभाषित आवश्यकताएँ उत्पादों, सेवाओं या परियोजनाओं की योजना बनाने, डिजाइन करने और वितरित करने के आधार के रूप में काम करती हैं।

सामान्यतः निहित:
- प्रथा या सामान्य अभ्यास: जब कोई आवश्यकता “सामान्य रूप से निहित” होती है, तो इसका मतलब है कि संगठन के भीतर और इच्छुक पक्षों के बीच किसी विशेष आवश्यकता या अपेक्षा को स्पष्ट रूप से बताए बिना उसे समझने और स्वीकार करने की प्रथा या सामान्य अभ्यास है। यह मान्यता स्थापित मानदंडों, उद्योग प्रथाओं या साझा समझ पर आधारित है।
निर्दिष्ट आवश्यकता:
- प्रलेखित जानकारी में कहा गया: दूसरी ओर, एक “निर्दिष्ट आवश्यकता” वह होती है जिसे स्पष्ट रूप से कहा जाता है, अक्सर प्रलेखित जानकारी में। इसमें औपचारिक दस्तावेज़, अनुबंध, मानक या अन्य लिखित स्रोत शामिल हो सकते हैं जो स्पष्ट रूप से उन विशिष्ट आवश्यकताओं को स्पष्ट करते हैं जिन्हें पूरा किया जाना चाहिए।

विभिन्न प्रबंधन प्रणालियों और गुणवत्ता आश्वासन प्रथाओं में आम तौर पर निहित आवश्यकताओं और निर्दिष्ट आवश्यकताओं के बीच अंतर को समझना महत्वपूर्ण है। जबकि निर्दिष्ट आवश्यकताएँ स्पष्ट, प्रलेखित मानदंड प्रदान करती हैं, आम तौर पर निहित आवश्यकताएँ संगठन और उसके हितधारकों के भीतर साझा समझ और सामान्य प्रथाओं पर निर्भर करती हैं। दोनों प्रकार इच्छुक पक्षों की जरूरतों और अपेक्षाओं को पूरा करने के लिए समग्र ढांचे में योगदान करते हैं।

24 प्रक्रिया

परस्पर संबंधित या परस्पर क्रियाशील गतिविधियों का समूह जो इच्छित परिणाम देने के लिए इनपुट का उपयोग करता है

एक प्रक्रिया को वस्तुतः परस्पर संबंधित या परस्पर क्रियाशील गतिविधियों के एक समूह के रूप में परिभाषित किया जा सकता है जो इच्छित परिणाम देने के लिए इनपुट का उपयोग करती है।

परस्पर संबंधित या अंतःक्रियात्मक गतिविधियों का समूह: एक प्रक्रिया में जुड़ी हुई या अंतःसंबंधित गतिविधियों की एक श्रृंखला शामिल होती है। ये गतिविधियाँ एक विशिष्ट परिणाम प्राप्त करने के लिए समन्वित तरीके से की जाती हैं।
इनपुट का उपयोग करें: प्रक्रियाओं को इनपुट की आवश्यकता होती है, जो प्रक्रिया के भीतर गतिविधियों को पूरा करने के लिए आवश्यक संसाधन, सूचना या सामग्री हैं।
इच्छित परिणाम प्रदान करना: किसी प्रक्रिया का अंतिम उद्देश्य वांछित या इच्छित परिणाम प्रदान करना है। यह परिणाम कोई उत्पाद, सेवा या विशिष्ट परिणाम हो सकता है जो पूर्वनिर्धारित मानदंडों को पूरा करता हो।

प्रक्रियाएँ संगठनात्मक प्रबंधन, गुणवत्ता आश्वासन और परिचालन दक्षता के विभिन्न पहलुओं के लिए मौलिक हैं। वे लक्ष्यों को प्राप्त करने, स्थिरता सुनिश्चित करने और निरंतर सुधार की सुविधा के लिए एक संरचित और व्यवस्थित दृष्टिकोण प्रदान करते हैं। प्रक्रियाओं की अवधारणा का व्यापक रूप से व्यवसाय, विनिर्माण, सेवा उद्योग और गुणवत्ता प्रबंधन प्रणालियों जैसे क्षेत्रों में उपयोग किया जाता है।

25 प्रदर्शन

मापनीय परिणाम
नोट 1: प्रदर्शन मात्रात्मक या गुणात्मक निष्कर्षों से संबंधित हो सकता है।
नोट 2: प्रदर्शन गतिविधियों, प्रक्रियाओं, उत्पादों, सेवाओं, प्रणालियों या संगठनों के प्रबंधन से संबंधित हो सकता है।

प्रदर्शन को वास्तव में एक मापने योग्य परिणाम के रूप में परिभाषित किया जा सकता है। यह परिभाषा प्रदर्शन के मूल्यांकनात्मक पहलू पर जोर देती है, जहां विशिष्ट, मापने योग्य परिणामों की उपलब्धि प्रभावशीलता के एक प्रमुख संकेतक के रूप में कार्य करती है। संगठनात्मक प्रबंधन, परियोजना निष्पादन या व्यक्तिगत मूल्यांकन जैसे विभिन्न संदर्भों में, प्रदर्शन को मापने से वस्तुनिष्ठ मूल्यांकन की अनुमति मिलती है और प्रक्रियाओं, कार्यों या संस्थाओं की सफलता या दक्षता में अंतर्दृष्टि मिलती है।

इस बात पर बल देते हुए कि प्रदर्शन मात्रात्मक या गुणात्मक निष्कर्षों से संबंधित हो सकता है, प्रदर्शन का आकलन करने और समझने में लचीलेपन को रेखांकित किया गया है।

मात्रात्मक निष्कर्ष: प्रदर्शन को संख्यात्मक डेटा और मात्रात्मक मीट्रिक का उपयोग करके मापा जा सकता है। इसमें विशिष्ट आंकड़े, सांख्यिकी या अन्य मात्रात्मक संकेतक शामिल हो सकते हैं जो प्राप्त परिणामों का संख्यात्मक प्रतिनिधित्व प्रदान करते हैं।
गुणात्मक निष्कर्ष: वैकल्पिक रूप से, प्रदर्शन मूल्यांकन में गुणात्मक निष्कर्ष शामिल हो सकते हैं, जो अक्सर अधिक व्यक्तिपरक और वर्णनात्मक होते हैं। इसमें काम की गुणवत्ता, उपयोगकर्ता की संतुष्टि या संचार की प्रभावशीलता जैसे कारक शामिल हो सकते हैं।

प्रदर्शन मूल्यांकन में मात्रात्मक और गुणात्मक दोनों पहलुओं की यह मान्यता प्रदर्शन की बहुआयामी प्रकृति को दर्शाती है। संदर्भ और उद्देश्यों के आधार पर, संगठन और व्यक्ति अपने प्रदर्शन की व्यापक समझ हासिल करने के लिए मात्रात्मक और गुणात्मक उपायों के संयोजन पर विचार कर सकते हैं। यह लचीलापन सफलता और सुधार के अवसरों के अधिक सूक्ष्म और समग्र मूल्यांकन की अनुमति देता है।

26 प्रभावशीलता

नियोजित गतिविधियाँ किस सीमा तक साकार होती हैं और नियोजित परिणाम प्राप्त होते हैं

प्रभावशीलता को वास्तव में इस रूप में परिभाषित किया जा सकता है कि किस सीमा तक नियोजित गतिविधियां कार्यान्वित की जाती हैं तथा नियोजित परिणाम प्राप्त किए जाते हैं।

नियोजित गतिविधियाँ: प्रभावशीलता को अक्सर नियोजित गतिविधियों के संबंध में मापा जाता है, जो किसी योजना या रणनीति में उल्लिखित क्रियाएं या चरण होते हैं।
साकार: “साकार” शब्द का तात्पर्य नियोजित गतिविधियों के वास्तविक निष्पादन या कार्यान्वयन से है। प्रभावशीलता इस बात से संबंधित है कि इन गतिविधियों को कितनी अच्छी तरह से व्यवहार में लाया जाता है।
नियोजित परिणाम: इच्छित परिणाम या परिणाम जो नियोजन चरण में निर्दिष्ट किए गए थे। ये परिणाम प्रभावशीलता को मापने के लिए बेंचमार्क के रूप में काम करते हैं।
प्राप्त: नियोजित परिणामों की प्राप्ति की डिग्री। प्रभावशीलता का अर्थ है इच्छित परिणामों की सफल उपलब्धि।

संगठनात्मक प्रबंधन और विभिन्न क्षेत्रों में, रणनीतियों, परियोजनाओं या प्रक्रियाओं की सफलता का मूल्यांकन करने के लिए प्रभावशीलता का आकलन करना महत्वपूर्ण है। यह नियोजित कार्यों और वास्तविक परिणामों के बीच संरेखण में अंतर्दृष्टि प्रदान करता है, जिससे निरंतर सुधार और सूचित निर्णय लेने में सुविधा होती है।

आईएसओ 19011:2018 दिशानिर्देशों की संरचना इस प्रकार है:

ओलिवर ट्विस्ट अध्याय 53

और अंत में

इस कहानी में जिन लोगों ने अपनी भूमिका निभाई है, उनकी किस्मत लगभग पूरी हो चुकी है। उनके इतिहासकार को जो थोड़ा सा बाकी है बताने के लिए, वह कुछ सरल और छोटे शब्दों में बताया जा सकता है।

तीन महीने भी नहीं बीते थे कि रोज़ फ्लेमिंग और हैरी मेल्ली का विवाह उस गांव के चर्च में हुआ, जो अब से युवा पादरी की सेवाओं का केंद्र बनने वाला था; उसी दिन वे अपने नए और खुशहाल घर में प्रवेश कर गए।

मिसेज़ मेल्ली ने अपने बेटे और बहू के साथ रहने का निर्णय लिया, ताकि अपने जीवन के शांत और शेष दिनों में, वह उस सबसे बड़ी खुशी का आनंद उठा सके, जो उम्र और सद्गुण जान सकते हैं—उन लोगों की खुशी को देखना, जिन पर एक भली-भांति व्यतीत जीवन की सबसे गर्म भावनाएं और कोमल देखभालें लगातार लुटाई गई हैं।

पूरी और सावधानीपूर्वक जांच से पता चला कि मॉन्क्स की देखरेख में बचे हुए संपत्ति के टुकड़े (जो न तो उसके हाथों में और न ही उसकी मां के हाथों में कभी सफल रहे) को अगर समान रूप से मॉन्क्स और ओलिवर के बीच बांटा जाए, तो प्रत्येक को केवल तीन हजार पाउंड से थोड़ा अधिक ही मिल पाएगा। अपने पिता की वसीयत के अनुसार, ओलिवर को पूरी संपत्ति मिलनी चाहिए थी; लेकिन मिस्टर ब्राउनलो, जो बड़े बेटे को अपने पुराने बुरे आचरण से उबरने और एक ईमानदार जीवन जीने का अवसर देना चाहते थे, ने यह विभाजन का तरीका प्रस्तावित किया, जिसे ओलिवर ने खुशी-खुशी स्वीकार कर लिया।

मॉन्क्स, जो अभी भी अपने नकली नाम से पहचाना जाता था, अपने हिस्से के साथ नये विश्व के एक दूरस्थ हिस्से में चला गया; जहां उसने जल्द ही अपने हिस्से को बर्बाद कर दिया, और एक बार फिर से अपने पुराने अपराधी जीवन में लौट आया। कुछ नए धोखाधड़ी के काम के लिए उसे लंबे समय तक जेल में रखा गया, और अंततः अपनी पुरानी बीमारी के हमले से ग्रस्त होकर जेल में ही मर गया। उसके दोस्त फेगिन के गिरोह के शेष मुख्य सदस्य भी घर से दूर मारे गए। मिस्टर ब्राउनलो ने ओलिवर को अपना बेटा बना लिया। वह ओलिवर और पुरानी हाउसकीपर के साथ पादरी के घर से एक मील की दूरी पर बस गए, जहां उनके प्रिय मित्र रहते थे। उन्होंने ओलिवर के गर्म और उत्साही दिल की एकमात्र शेष इच्छा पूरी की, और इस प्रकार एक छोटे से समाज को एक साथ बांध दिया, जिसका जीवन इस बदलती दुनिया में लगभग परिपूर्ण खुशी की स्थिति में पहुंच गया था।

युवा जोड़े के विवाह के कुछ समय बाद, उस नेक डॉक्टर ने चर्टसी लौटने का निर्णय लिया। अपने पुराने दोस्तों की अनुपस्थिति में वह बेचैन हो जाता, अगर उसका स्वभाव उसे ऐसा महसूस करने देता; और वह चिड़चिड़ा हो जाता, अगर उसे पता चलता कि वह ऐसा क्यों महसूस कर रहा था। दो या तीन महीनों तक उसने यह कहकर खुद को संतुष्ट किया कि उसे लगता है कि अब इस जगह की हवा उसके अनुकूल नहीं है; फिर, जब उसे महसूस हुआ कि यह जगह अब उसके लिए वैसी नहीं रही जैसी पहले थी, उसने अपना कारोबार अपने सहायक को सौंप दिया, गांव के बाहर एक बैचलर का घर लिया, और तुरंत ठीक हो गया। यहां उसने बागवानी, मछली पकड़ने, बढ़ईगिरी, और अन्य कई ऐसे ही कामों में हाथ आजमाया: और इनमें से हर काम में वह अपनी विशिष्ट जोश के साथ जुटा रहा। इन सभी कामों में वह जल्द ही आसपास के क्षेत्र में एक गहरे विशेषज्ञ के रूप में प्रसिद्ध हो गया।

अपने स्थानांतरण से पहले, उसने मिस्टर ग्रिमविग के साथ गहरी दोस्ती कर ली थी, जिसे वह विचित्र सज्जन पूरी तरह से समझते थे। साल में कई बार मिस्टर ग्रिमविग उनसे मिलने आते हैं। ऐसे सभी अवसरों पर मिस्टर ग्रिमविग बागवानी, मछली पकड़ने, और बढ़ईगिरी के काम बड़े जोश के साथ करते हैं; सब कुछ एक बहुत ही अनोखे और अभूतपूर्व तरीके से करते हैं, लेकिन हमेशा यह दावा करते हैं कि उनका तरीका ही सही है। रविवार को, वह युवा पादरी के सामने उपदेश की आलोचना करने से कभी नहीं चूकते: हमेशा बाद में मिस्टर लॉसबर्न को गोपनीयता में बताते हैं कि उन्हें यह एक उत्कृष्ट प्रस्तुति लगती है, लेकिन वे इसे कहने की जरूरत नहीं समझते। यह एक स्थायी और बहुत पसंदीदा मजाक है, जिसके तहत मिस्टर ब्राउनलो उन्हें ओलिवर के बारे में उनकी पुरानी भविष्यवाणी को लेकर चिढ़ाते हैं, और उन्हें उस रात की याद दिलाते हैं जब वे दोनों घड़ी के साथ बैठे थे, उसके लौटने का इंतजार करते हुए; लेकिन मिस्टर ग्रिमविग का मानना है कि वह मुख्य रूप से सही थे, और इसका प्रमाण यह देते हैं कि ओलिवर आखिरकार वापस नहीं आया था; जो हमेशा उनके पक्ष में हंसी लाता है और उनके अच्छे मूड को बढ़ाता है।

श्री नूह क्लेपोल: फेगिन के खिलाफ गवाही देकर, क्राउन से माफी प्राप्त करने के बाद, और अपनी पुरानी पेशे को उतना सुरक्षित न मानते हुए जितना वे चाहते थे, कुछ समय तक वे जीवनयापन के साधन खोजने में असफल रहे, और बहुत ज्यादा काम से परेशान नहीं थे। कुछ विचार करने के बाद, उन्होंने मुखबिरी का धंधा शुरू किया, जिसमें वे एक सज्जन जीवन व्यतीत करने लगे। उनकी योजना थी कि सप्ताह में एक बार चर्च के समय बाहर निकलते, और शार्लोट उनके साथ सम्मानजनक पोशाक में होती। महिला दानशील शराबखानों के दरवाजों पर बेहोश हो जाती, और सज्जन को तीन पेंस की ब्रांडी दी जाती उसे ठीक करने के लिए। अगले दिन, वे शिकायत दर्ज कराते और जुर्माने का आधा हिस्सा पा जाते। कभी-कभी श्री क्लेपोल खुद भी बेहोश हो जाते, लेकिन परिणाम वही रहता।

श्री और श्रीमती बम्बल, अपनी नौकरियों से वंचित होकर, धीरे-धीरे भारी गरीबी और दुःख में पड़ गए, और अंततः उसी वर्कहाउस में भिखारी बन गए, जिसमें वे पहले दूसरों पर हुकूमत करते थे। श्री बम्बल को यह कहते हुए सुना गया है कि इस अपमानजनक स्थिति में, उनके पास इतना भी साहस नहीं बचा कि वे अपनी पत्नी से अलग होने के लिए धन्यवाद कर सकें।

श्री गाइल्स और ब्रिट्ल्स अब भी अपने पुराने पदों पर बने हुए हैं, हालांकि गाइल्स गंजे हो चुके हैं और ब्रिट्ल्स के बाल पूरी तरह से सफेद हो गए हैं। वे पादरी के घर में सोते हैं, लेकिन अपने ध्यान को इतनी समान रूप से घर के सदस्यों, ओलिवर, मिस्टर ब्राउनलो, और मिस्टर लॉसबर्न के बीच बांटते हैं कि गांव के लोग आज तक यह पता नहीं लगा पाए हैं कि वे किस घर के कर्मचारी हैं।

मास्टर चार्ल्स बेट्स, साइक के अपराध से डरकर, इस पर विचार करने लगे कि क्या ईमानदार जीवन ही वास्तव में सबसे अच्छा नहीं है। इस निष्कर्ष पर पहुंचे कि वास्तव में ऐसा ही है, उन्होंने अपने पुराने जीवन से मुंह मोड़ लिया, और नई दिशा में सुधार करने का निश्चय किया। कुछ समय तक उन्होंने कड़ी मेहनत की और काफी कष्ट झेले; लेकिन संतोषी स्वभाव और अच्छे उद्देश्य के कारण, अंततः सफल हुए। और अब, किसान के नौकर और सामान ढोने वाले लड़के से लेकर, वह नॉर्थहैम्पटनशायर में सबसे खुशहाल युवा पशुपालक बन गए हैं।

अब, इस कहानी को लिखने वाला हाथ कांप रहा है, क्योंकि यह अपने कार्य के अंत तक पहुंच रहा है। मैं चाहता हूं कि मैं थोड़ी देर और इन लोगों के साथ रहूं, जिनके बीच मैंने इतना समय बिताया है, और उनकी खुशियों को चित्रित करने की कोशिश करूं। मैं रोज़ मेल्ली को उसकी युवा उम्र की सुंदरता और गरिमा में दिखाऊंगा, जो अपने जीवन की पथरीली यात्रा पर उन सभी के लिए सौम्य और कोमल रोशनी बिखेर रही है, जो उसके साथ चलते हैं और जिनके दिलों में वह रोशनी बसती है। मैं उसे घर के चूल्हे के पास खुशियों का केंद्र दिखाऊंगा, और गर्मी के दिनों में खुले खेतों में उसके साथ चलूंगा, और चांदनी रात की सैर में उसकी मधुर आवाज़ सुनूंगा। मैं उसकी अच्छाई और परोपकार के कामों को देखूंगा, और उसे घर की घरेलू जिम्मेदारियों को हंसते हुए निभाते हुए दिखाऊंगा।

कैसे श्री ब्राउनलो दिन-प्रतिदिन अपने दत्तक पुत्र को ज्ञान से भरते हैं, और जैसे-जैसे उसका स्वभाव विकसित होता है, वे उससे और भी अधिक जुड़ते जाते हैं—यह सब बातें बताने की आवश्यकता नहीं है। मैंने कहा है कि वे सचमुच खुश थे; और जब तक दिल में सच्चा प्रेम और मानवता न हो, और उस ईश्वर के प्रति कृतज्ञता न हो जिसका कोड दया है, और जिसकी महान विशेषता सभी जीवों के प्रति परोपकार है, तब तक खुशी कभी प्राप्त नहीं हो सकती।

पुराने गांव के चर्च के भीतर एक सफेद संगमरमर की पट्टी है, जिस पर अभी तक केवल एक शब्द लिखा है: “एग्नेस।” उस मकबरे में कोई ताबूत नहीं है; और शायद कई, कई साल तक कोई और नाम वहां न जोड़ा जाए! लेकिन, अगर मृतकों की आत्माएं कभी धरती पर लौटती हैं, उन स्थानों का दौरा करने के लिए जो उन लोगों के प्रेम से पवित्र हुए हैं—जो उन्हें जीवन में जानते थे—तो मुझे विश्वास है कि एग्नेस की आत्मा कभी-कभी उस पवित्र कोने में मंडराती है। मुझे इस पर विश्वास इस वजह से भी है कि वह कोना चर्च में है, और वह कमजोर और गलतियां करने वाली इंसान थी।

Oliver Twist Chapter 53

AND LAST

The fortunes of those who have figured in this tale are nearly closed. The little that remains to their historian to relate, is told in few and simple words.

Before three months had passed, Rose Fleming and Harry Maylie were married in the village church which was henceforth to be the scene of the young clergyman’s labours; on the same day they entered into possession of their new and happy home.

Mrs. Maylie took up her abode with her son and daughter-in-law, to enjoy, during the tranquil remainder of her days, the greatest felicity that age and worth can know—the contemplation of the happiness of those on whom the warmest affections and tenderest cares of a well-spent life, have been unceasingly bestowed.

It appeared, on full and careful investigation, that if the wreck of property remaining in the custody of Monks (which had never prospered either in his hands or in those of his mother) were equally divided between himself and Oliver, it would yield, to each, little more than three thousand pounds. By the provisions of his father’s will, Oliver would have been entitled to the whole; but Mr. Brownlow, unwilling to deprive the elder son of the opportunity of retrieving his former vices and pursuing an honest career, proposed this mode of distribution, to which his young charge joyfully acceded.

Monks, still bearing that assumed name, retired with his portion to a distant part of the New World; where, having quickly squandered it, he once more fell into his old courses, and, after undergoing a long confinement for some fresh act of fraud and knavery, at length sunk under an attack of his old disorder, and died in prison. As far from home, died the chief remaining members of his friend Fagin’s gang.

Mr. Brownlow adopted Oliver as his son. Removing with him and the old housekeeper to within a mile of the parsonage-house, where his dear friends resided, he gratified the only remaining wish of Oliver’s warm and earnest heart, and thus linked together a little society, whose condition approached as nearly to one of perfect happiness as can ever be known in this changing world.

Soon after the marriage of the young people, the worthy doctor returned to Chertsey, where, bereft of the presence of his old friends, he would have been discontented if his temperament had admitted of such a feeling; and would have turned quite peevish if he had known how. For two or three months, he contented himself with hinting that he feared the air began to disagree with him; then, finding that the place really no longer was, to him, what it had been, he settled his business on his assistant, took a bachelor’s cottage outside the village of which his young friend was pastor, and instantaneously recovered. Here he took to gardening, planting, fishing, carpentering, and various other pursuits of a similar kind: all undertaken with his characteristic impetuosity. In each and all he has since become famous throughout the neighbourhood, as a most profound authority.

Before his removal, he had managed to contract a strong friendship for Mr. Grimwig, which that eccentric gentleman cordially reciprocated. He is accordingly visited by Mr. Grimwig a great many times in the course of the year. On all such occasions, Mr. Grimwig plants, fishes, and carpenters, with great ardour; doing everything in a very singular and unprecedented manner, but always maintaining with his favourite asseveration, that his mode is the right one. On Sundays, he never fails to criticise the sermon to the young clergyman’s face: always informing Mr. Losberne, in strict confidence afterwards, that he considers it an excellent performance, but deems it as well not to say so. It is a standing and very favourite joke, for Mr. Brownlow to rally him on his old prophecy concerning Oliver, and to remind him of the night on which they sat with the watch between them, waiting his return; but Mr. Grimwig contends that he was right in the main, and, in proof thereof, remarks that Oliver did not come back after all; which always calls forth a laugh on his side, and increases his good humour.

Mr. Noah Claypole: receiving a free pardon from the Crown in consequence of being admitted approver against Fagin: and considering his profession not altogether as safe a one as he could wish: was, for some little time, at a loss for the means of a livelihood, not burdened with too much work. After some consideration, he went into business as an informer, in which calling he realises a genteel subsistence. His plan is, to walk out once a week during church time attended by Charlotte in respectable attire. The lady faints away at the doors of charitable publicans, and the gentleman being accommodated with three-penny worth of brandy to restore her, lays an information next day, and pockets half the penalty. Sometimes Mr. Claypole faints himself, but the result is the same.

Mr. and Mrs. Bumble, deprived of their situations, were gradually reduced to great indigence and misery, and finally became paupers in that very same workhouse in which they had once lorded it over others. Mr. Bumble has been heard to say, that in this reverse and degradation, he has not even spirits to be thankful for being separated from his wife.

As to Mr. Giles and Brittles, they still remain in their old posts, although the former is bald, and the last-named boy quite grey. They sleep at the parsonage, but divide their attentions so equally among its inmates, and Oliver and Mr. Brownlow, and Mr. Losberne, that to this day the villagers have never been able to discover to which establishment they properly belong.

Master Charles Bates, appalled by Sikes’s crime, fell into a train of reflection whether an honest life was not, after all, the best. Arriving at the conclusion that it certainly was, he turned his back upon the scenes of the past, resolved to amend it in some new sphere of action. He struggled hard, and suffered much, for some time; but, having a contented disposition, and a good purpose, succeeded in the end; and, from being a farmer’s drudge, and a carrier’s lad, he is now the merriest young grazier in all Northamptonshire.

And now, the hand that traces these words, falters, as it approaches the conclusion of its task; and would weave, for a little longer space, the thread of these adventures.

I would fain linger yet with a few of those among whom I have so long moved, and share their happiness by endeavouring to depict it. I would show Rose Maylie in all the bloom and grace of early womanhood, shedding on her secluded path in life soft and gentle light, that fell on all who trod it with her, and shone into their hearts. I would paint her the life and joy of the fire-side circle and the lively summer group; I would follow her through the sultry fields at noon, and hear the low tones of her sweet voice in the moonlit evening walk; I would watch her in all her goodness and charity abroad, and the smiling untiring discharge of domestic duties at home; I would paint her and her dead sister’s child happy in their love for one another, and passing whole hours together in picturing the friends whom they had so sadly lost; I would summon before me, once again, those joyous little faces that clustered round her knee, and listen to their merry prattle; I would recall the tones of that clear laugh, and conjure up the sympathising tear that glistened in the soft blue eye. These, and a thousand looks and smiles, and turns of thought and speech—I would fain recall them every one.

How Mr. Brownlow went on, from day to day, filling the mind of his adopted child with stores of knowledge, and becoming attached to him, more and more, as his nature developed itself, and showed the thriving seeds of all he wished him to become—how he traced in him new traits of his early friend, that awakened in his own bosom old remembrances, melancholy and yet sweet and soothing—how the two orphans, tried by adversity, remembered its lessons in mercy to others, and mutual love, and fervent thanks to Him who had protected and preserved them—these are all matters which need not to be told. I have said that they were truly happy; and without strong affection and humanity of heart, and gratitude to that Being whose code is Mercy, and whose great attribute is Benevolence to all things that breathe, happiness can never be attained.

Within the altar of the old village church there stands a white marble tablet, which bears as yet but one word: “AGNES.” There is no coffin in that tomb; and may it be many, many years, before another name is placed above it! But, if the spirits of the Dead ever come back to earth, to visit spots hallowed by the love—the love beyond the grave—of those whom they knew in life, I believe that the shade of Agnes sometimes hovers round that solemn nook. I believe it none the less because that nook is in a Church, and she was weak and erring

ओलिवर ट्विस्ट अध्याय 52

फैगिन की अंतिम रात जीवित

कोर्ट में चारों ओर इंसानी चेहरों की भीड़ थी। हर जगह जिज्ञासु और आतुर आँखें थीं। डोक के सामने से लेकर सबसे छोटे कोने तक, सबकी नजरें एक ही आदमी—फैगिन—पर टिकी थीं। उसके चारों ओर, ऊपर, नीचे, दाएँ और बाएँ: वह ऐसा लग रहा था जैसे चमकती आँखों से भरे आसमान में खड़ा हो।

वह वहाँ, इस जीवित रोशनी के बीच, एक हाथ लकड़ी की मेज पर रखा हुआ और दूसरा कान पर लगाए हुए था। उसका सिर आगे की ओर झुका हुआ था ताकि वह न्यायाधीश के हर शब्द को अच्छी तरह सुन सके। कभी-कभी, वह जूरीमेन की ओर तेज नजर दौड़ाता, यह देखने के लिए कि उसके पक्ष में कोई भी हल्का इशारा हो रहा है या नहीं; और जब उसके खिलाफ बातें साफ-साफ कही जातीं, तो वह अपने वकील की ओर देखता, जैसे कि वह मूक अपील कर रहा हो कि वह उसके लिए कुछ कहे। इसके अलावा, वह न तो हाथ हिलाता और न ही पाँव। वह trial शुरू होने के बाद से शायद ही हिला; और अब जब न्यायाधीश ने बोलना बंद किया, वह उसी खींची हुई स्थिति में रहा, उसकी नजरें उस पर टिकी रहीं।

कोर्ट में हलचल ने उसे खुद को याद दिलाया। चारों ओर देखा, तो देखा कि जूरीमेन ने अपना फैसला सुनाने के लिए एक साथ मुड़कर विचार करना शुरू कर दिया था। उसकी नजरें गैलरी में गईं, जहाँ लोग एक-दूसरे के ऊपर उठकर उसका चेहरा देखने की कोशिश कर रहे थे: कुछ जल्दी-जल्दी अपनी आँखों पर चश्मा लगा रहे थे: और अन्य अपने पड़ोसियों से नफरत भरी नज़रों से फुसफुसा रहे थे। कुछ लोग ऐसे थे, जो उसकी ओर ध्यान नहीं दे रहे थे, और केवल जूरीमेन को देख रहे थे, बेसब्री से यह सोचते हुए कि वे किस तरह देर कर रहे हैं। लेकिन किसी भी चेहरे पर—यहाँ तक कि महिलाओं में भी, जो वहाँ बहुत थीं—उसे अपने प्रति एक भी सहानुभूति या कोई भावना नहीं दिखी, केवल यही कि उसे सजा दी जानी चाहिए।

जब उसने यह सब एक क्षण में देखा, तो फिर से गहरी चुप्पी छा गई, और पीछे मुड़कर देखा कि जूरीमेन न्यायाधीश की ओर मुड़ गए हैं। शांति!

वे केवल वापस जाने की अनुमति मांग रहे थे।

वह उनकी चेहरों में उत्साह से देखा, एक-एक कर जब वे बाहर निकल रहे थे, जैसे यह देखने के लिए कि अधिकतर किस ओर झुके हैं; लेकिन यह बेकार था। जेलर ने उसे कंधे पर छुआ। वह स्वचालित रूप से डोक के अंत तक गया, और एक कुर्सी पर बैठ गया। आदमी ने उसे कुर्सी की ओर इशारा किया, वरना वह उसे नहीं देख पाता।

वह फिर से गैलरी की ओर देखा। कुछ लोग खा रहे थे, और कुछ रुमाल से खुद को हवा दे रहे थे; क्योंकि भीड़भाड़ वाले स्थान पर बहुत गर्मी थी। एक युवा आदमी उसके चेहरे का स्केच बना रहा था। उसे यह जानने में दिलचस्पी थी कि क्या यह सही है, और उसने देखा जब कलाकार ने अपनी पेंसिल का सिरा तोड़ा और उसे चाकू से नया बनाया, जैसे कोई साधारण दर्शक करता।

इसी तरह, जब उसने न्यायाधीश की ओर देखा, तो उसका मन उसकी ड्रेस के तरीके, उसकी कीमत और उसे पहनने के बारे में सोचने लगा। वहाँ एक मोटा सज्जन भी था, जो आधे घंटे पहले बाहर गया था, और अब वापस आया। उसने अपने आप से सोचा कि क्या यह आदमी खाना खाने गया था, उसने क्या खाया, और कहाँ खाया; और इस बिना सोच के सिलसिले को तब तक जारी रखा जब तक कोई नया दृश्य उसकी नजर में न आ गया।

हालाँकि, इस समय, उसका मन किसी एक गंभीर एहसास से मुक्त नहीं था, जो उसके पैरों के नीचे खुली हुई कब्र की तरह था; यह हमेशा उसके सामने था, लेकिन एक अस्पष्ट और सामान्य तरीके से, और वह इस पर ध्यान केंद्रित नहीं कर पा रहा था। इस तरह, जबकि वह कांप रहा था, और जल्द मौत के विचार से गर्म हो रहा था, उसने अपने सामने लोहे की कीलें गिनने में लग गया, और सोचा कि एक कील का सिरा कैसे टूटा, और क्या वे इसे ठीक करेंगे या ऐसे ही छोड़ देंगे। फिर, उसने फाँसी और स्कैफोल्ड की सारी डरावनी बातें सोचने लगा—और एक आदमी को फर्श पर पानी छिड़कते देखता रहा—और फिर फिर से सोचने लगा।

आखिरकार, एक चुप्पी का आह्वान हुआ, और सबकी नजरें दरवाजे की ओर गईं। जूरी वापस आई, और उसे पास से गुजरी। वह उनके चेहरों से कुछ नहीं समझ सका; वे पत्थर के जैसे लग रहे थे। पूर्ण चुप्पी छा गई—न कोई सरसराहट—न कोई सांस—गिल्टी।

भवन में एक भयानक चीत्कार गूंज उठी, और फिर एक और, और फिर एक और, और फिर यह जोरदार कराहों में गूंजने लगा, जो गुस्से वाले गरज के जैसे बढ़ता गया। यह बाहर के लोगों की खुशी की एक गूंज थी, जो यह सुनकर खुश हो गए कि वह सोमवार को मरेगा।

शोर थम गया, और उससे पूछा गया कि क्या उसके पास कुछ कहना है कि उसकी सजा-ए-मौत क्यों न दी जाए। उसने फिर से सुनने की स्थिति अपनाई, और प्रश्नकर्ता की ओर ध्यान से देखा; लेकिन यह सवाल दो बार दोहराने के बाद ही उसने सुना, और फिर बस इतना ही बुदबुदाया कि वह एक बूढ़ा आदमी है—एक बूढ़ा आदमी—और फिर, धीरे से बोलते हुए, फिर चुप हो गया।

न्यायाधीश ने काली टोपी पहन ली, और कैदी वही स्थिति और भाव में खड़ा रहा। गैलरी में एक महिला ने इस भयानक गंभीरता के कारण कोई पुकार की; उसने जल्दी से ऊपर देखा, जैसे वह बाधा पर नाराज़ हो गया हो, और फिर से और अधिक ध्यान से झुक गया। यह संबोधन गंभीर और प्रभावी था; सजा सुनना डरावना था। लेकिन वह बिना हिले-डुले, एक संगमरमर की मूर्ति की तरह खड़ा रहा। उसका थका हुआ चेहरा आगे की ओर झुका हुआ था, उसकी जठर ने लटक रखा था, और उसकी आँखें उसके सामने खाली थीं, जब जेलर ने उसके हाथ पर हाथ रखा, और उसे बाहर जाने का इशारा किया। उसने एक पल के लिए बेवकूफी से चारों ओर देखा, और आज्ञा मानी।

उसे कोर्ट के नीचे एक पक्की जगह से होते हुए ले जाया गया, जहाँ कुछ कैदी अपने बारी का इंतजार कर रहे थे, और कुछ अपने दोस्तों से बात कर रहे थे, जो एक ग्रिल के चारों ओर इकट्ठा थे, जो खुली यार्ड में खुलती थी। वहाँ कोई भी उससे बात करने के लिए नहीं था; लेकिन जैसे ही वह गुजरा, कैदियों ने उसे देखने के लिए पीछे हट गए ताकि वह ग्रिल के पास खड़े लोगों को अधिक दिखाई दे; और उन्होंने उसे अपमानजनक नामों से पुकारा, और चिल्लाए और फुंफुनाए। उसने अपना मुंह चिढ़ाया, और उन पर थूकने की इच्छा की; लेकिन उसके गाइड उसे जल्दी-जल्दी एक अंधेरी गली में ले गए, जहाँ थोड़े से मंद लैंप जल रहे थे, जेल के अंदर।

यहाँ, उसकी तलाशी ली गई, ताकि उसके पास कानून से बचने के लिए कुछ न हो; यह प्रक्रिया पूरी होने के बाद, उन्हें एक मृत्युदंड सेल में ले जाया गया, और वहाँ छोड़ दिया गया—अकेला।

वह दरवाजे के सामने एक पत्थर की बेंच पर बैठ गया, जो बैठने और सोने दोनों का काम करती थी; और अपनी रक्त-रंजित आँखों को जमीन पर डालकर, उसने अपने विचारों को एकत्र करने की कोशिश की। कुछ समय बाद, उसने न्यायाधीश के कहे हुए कुछ टुकड़े याद करना शुरू किया: हालांकि उस समय उसे एक शब्द भी सुनाई नहीं दिया था। ये धीरे-धीरे अपनी जगह पर आ गए, और क्रमशः और अधिक बातें सुझाने लगे: कि अंततः उसे फाँसी दी जाएगी—गले में फाँसी, जब तक वह मर न जाए—यही अंत था।

जैसे ही रात घेरने लगी, उसने उन सभी पुरुषों के बारे में सोचना शुरू किया जिन्हें उसने देखा था जो फाँसी पर मरे थे; उनमें से कुछ उसके कारण। वे इतनी तेजी से उभरे कि वह उन्हें गिन भी नहीं सका। उसने उनमें से कुछ को मरते देखा है—और चुटकुले भी बनाये, क्योंकि वे प्रार्थनाओं के साथ मर रहे थे। कैसे गिरने की आवाज़ आई; और कैसे अचानक वे मजबूत और सजीव पुरुषों से लटके हुए कपड़ों के ढेर में बदल गए!

कुछ उनमें से इसी सेल में रह चुके होंगे—उसी स्थान पर बैठे होंगे। बहुत अंधेरा था; क्यों नहीं कोई रोशनी लाते? यह सेल कई सालों से बनी हुई थी। दर्जनों पुरुषों ने वहाँ अपने अंतिम घंटे बिताए होंगे। यह जैसे एक कब्र में बैठने जैसा था, जिसमें मृत शरीर बिखरे पड़े थे—टोपी, फंदा, बंधी हुई बाहें, वह चेहरा जो वह जानता था, उस घिनौने परदे के नीचे भी।—रोशनी, रोशनी!

आखिरकार, जब उसके हाथ भारी दरवाजे और दीवारों पर पीटने से कच्चे हो गए, दो आदमी आए: एक ने एक मोमबत्ती उठाई, जिसे उसने दीवार पर लगे लोहे के स्टैंड में रखा; दूसरा एक गद्दा खींचकर लाया ताकि वह रात बिताए; क्योंकि कैदी को अब अकेला नहीं छोड़ा जाना था।

फिर आई रात—अंधेरी, उदास, शांत रात। अन्य प्रहरी इस चर्च की घड़ी की घंटी सुनकर खुश होते हैं, क्योंकि यह जीवन और आने वाले दिन की खबर लाती है। लेकिन उसके लिए, यह निराशा लेकर आई। हर लोहे की घंटी की आवाज़ एक गहरी, खोखली ध्वनि के साथ आई—मृत्यु। वहाँ भी सुबह की हलचल और शोर उसके लिए क्या महत्व रखते थे? यह एक और प्रकार का शोक था, जिसमें चेतावनी के साथ मजाक किया गया था।

दिन बीत गया। दिन? कोई दिन नहीं था; वह आया और तुरंत चला गया—और रात फिर से आई; रात इतनी लंबी, और फिर भी इतनी छोटी; अपने भयानक सन्नाटे में लंबी, और अपनी क्षणिक घंटों में छोटी। एक समय वह बड़बड़ाता और अपशब्द कहता रहा; और दूसरे समय वह चिल्लाता और अपने बाल खींचता रहा। उसके अपने धर्म के बुजुर्ग लोग उसके पास प्रार्थना करने आए, लेकिन उसने उन्हें शाप देकर भगा दिया। उन्होंने अपनी परोपकारी कोशिशें फिर से कीं, और उसने उन्हें धकेल दिया।

शनिवार की रात। उसके पास जीने के लिए केवल एक रात बची थी। और जब उसने इस बारे में सोचा, दिन की रोशनी आई—रविवार।

यह तब तक नहीं था, जब तक इस आखिरी भयानक दिन की रात नहीं आई, कि उसकी नष्ट हो चुकी आत्मा पर उसकी लाचारी और निराशाजनक स्थिति का भयानक एहसास पूरी तीव्रता से छा गया; ऐसा नहीं था कि उसने कभी दया की कोई निश्चित या सकारात्मक उम्मीद की थी, बल्कि वह कभी भी इतनी जल्दी मरने की धुंधली संभावना से अधिक कुछ नहीं सोच पाया था। उसने उन दो लोगों में से किसी से भी बहुत कम बात की थी, जो उसकी निगरानी के लिए बारी-बारी से आते थे; और उन्होंने भी उसकी ध्यान आकर्षित करने की कोई कोशिश नहीं की। वह वहीं बैठा रहा, जागते हुए, लेकिन जैसे सपनों में खोया हुआ। अब, वह हर पल उठ खड़ा होता, और हाँफती हुई साँसों और जलती हुई त्वचा के साथ, डर और गुस्से के ऐसे दौरे में इधर-उधर भागता कि यहां तक कि वे लोग—जो ऐसी चीज़ें देखने के आदी थे—भी उससे डरकर पीछे हट गए। आखिरकार वह इतना भयानक हो गया कि उसकी बुरी आत्मा की यातनाएँ असहनीय हो गईं, और एक आदमी अकेले उसकी ओर देखते हुए वहाँ बैठ नहीं सका; इसलिए दोनों साथ में पहरा देते रहे।

वह अपने पत्थर के बिस्तर पर दुबक गया, और बीते समय के बारे में सोचने लगा। उसकी गिरफ्तारी के दिन उसे भीड़ द्वारा फेंकी गई चीजों से चोट लगी थी, और उसके सिर पर पट्टी बंधी हुई थी। उसके लाल बाल उसके बिना खून के चेहरे पर लटके हुए थे; उसकी दाढ़ी फटी हुई और गांठों में उलझी हुई थी; उसकी आँखें भयानक रोशनी से चमक रही थीं; उसका गंदा शरीर उस बुखार से जल रहा था जो उसे अंदर से खा रहा था। आठ—नौ—फिर। अगर यह उसे डराने के लिए कोई चाल नहीं थी, और वे असली घंटे थे जो एक-दूसरे के पीछे चल रहे थे, तो जब वे फिर से आएंगे तो वह कहाँ होगा! ग्यारह! एक और घंटे की घंटी बज गई, इससे पहले कि पिछले घंटे की आवाज़ समाप्त भी हुई हो। आठ बजे, वह अपनी अंतिम यात्रा में अकेला शोक मनाने वाला होगा; ग्यारह बजे—

न्यूगेट की ये भयानक दीवारें, जिसने इतनी ज्यादा पीड़ा और अवर्णनीय दुख को न केवल लोगों की नजरों से, बल्कि अक्सर और बहुत लंबे समय तक उनके विचारों से छिपा रखा था, ने कभी इतनी भयावह तस्वीर नहीं देखी थी। जो कुछ लोग वहाँ से गुजरे और सोचा कि वह आदमी क्या कर रहा था जिसे कल फाँसी दी जानी थी, वे शायद उस रात ठीक से सो नहीं पाते, अगर उन्होंने उसे देख लिया होता।

शाम से लेकर लगभग आधी रात तक, दो-तीन लोगों के छोटे-छोटे समूह गेट पर आते रहे, और चिंता भरे चेहरों के साथ पूछते रहे कि क्या कोई माफी का आदेश आया है। इन सवालों के जवाब “ना” में मिलने पर, वे सड़कों पर जमा लोगों को यह खुशखबरी देते, जो एक-दूसरे को वह दरवाजा दिखाते जहाँ से उसे बाहर लाया जाना था, और जहाँ फांसी का तख़्ता बनाया जाएगा। अनिच्छा से चलते हुए, वे दृश्य की कल्पना करने के लिए पीछे मुड़ जाते। धीरे-धीरे, वे एक-एक करके चले गए; और रात के एक घंटे के लिए, सड़क अकेली और अंधेरे में डूबी रही।

जेल के सामने का क्षेत्र खाली कर दिया गया था, और कुछ मजबूत अवरोधक, जो काले रंग से रंगे हुए थे, सड़क पर उस भीड़ के दबाव को रोकने के लिए पहले ही डाल दिए गए थे जो आने की उम्मीद थी, जब मिस्टर ब्राउनलो और ओलिवर एक आदेश दिखाते हुए वहाँ पहुँचे, जिसे एक शेरिफ़ ने हस्ताक्षर किया था। उन्हें तुरंत ही प्रवेश मिल गया।

“क्या यह छोटा लड़का भी अंदर आएगा, सर?” उस आदमी ने पूछा, जिसका काम उन्हें ले जाना था। “यह बच्चों के लिए देखने लायक दृश्य नहीं है, सर।”

“सचमुच, यह ऐसा नहीं है, मेरे दोस्त,” मिस्टर ब्राउनलो ने जवाब दिया; “लेकिन मेरा इस आदमी के साथ जो काम है, वह इस लड़के से गहराई से जुड़ा हुआ है; और चूंकि इस बच्चे ने उसे उसकी सफलता और दुष्टता की चरम सीमा पर देखा है, मुझे लगता है कि—भले ही इससे कुछ दर्द और डर हो—उसे अब उसे देखना चाहिए।”

ये कुछ शब्द अलग से कहे गए थे, ताकि ओलिवर इन्हें न सुन सके। आदमी ने अपनी टोपी को छुआ; और ओलिवर की ओर कुछ उत्सुकता से देखते हुए, एक और गेट खोला, जो उनके प्रवेश वाले गेट के विपरीत था, और उन्हें अंधेरी और घुमावदार रास्तों से होकर कोठरियों की ओर ले गया।

“यह,” आदमी ने एक अंधेरी गली में रुकते हुए कहा, जहाँ कुछ मजदूर गहरे सन्नाटे में कुछ तैयारी कर रहे थे—”यह वह जगह है जहाँ से वह गुजरेगा। अगर आप इधर चलें, तो आप वह दरवाजा देख सकते हैं जहाँ से वह बाहर जाएगा।”

वह उन्हें एक पत्थर की रसोई में ले गया, जो जेल का खाना पकाने के लिए बनाई गई थी, और एक दरवाजे की ओर इशारा किया। दरवाजे के ऊपर एक खुली जाली थी, जिससे पुरुषों की आवाजें आ रही थीं, और साथ ही हथौड़े की आवाज़ और लकड़ियों को गिराने की आवाज़ भी सुनाई दे रही थी। वे फांसी का तख़्ता बना रहे थे।

इस जगह से, वे कई मजबूत दरवाज़ों से गुज़रे, जिन्हें अंदर से दूसरे पहरेदारों ने खोला; और एक खुला आँगन पार करके, संकरी सीढ़ियों की एक उड़ान चढ़े, और एक गलियारे में पहुँचे जहाँ बाईं ओर मजबूत दरवाजों की एक पंक्ति थी। पहरेदार ने उन्हें वहीं रुकने का इशारा किया, और अपने चाबी के गुच्छे से इनमें से एक दरवाज़े पर दस्तक दी। थोड़ी फुसफुसाहट के बाद, दो सहायक बाहर आए, राहत महसूस करते हुए अपनी मांसपेशियों को खींचने लगे, और आगंतुकों को जेलर के साथ सेल में जाने का इशारा किया। उन्होंने ऐसा ही किया।

वह अपराधी अपने बिस्तर पर बैठा हुआ था, अपने शरीर को इधर-उधर झुलाते हुए, उसकी शक्ल किसी फँसे हुए जानवर जैसी थी, एक आदमी की तरह नहीं। उसका दिमाग़ उसके पुराने जीवन में खोया हुआ था, क्योंकि वह बिना उनकी मौजूदगी को महसूस किए, बड़बड़ाता जा रहा था, जैसे वे भी उसकी कल्पना का हिस्सा हों।

“अच्छा लड़का, चार्ली—शाबाश—” वह बड़बड़ाया। “ओलिवर भी, हा! हा! हा! ओलिवर भी—अब तो एक सज्जन है—पूरी तरह से—उस लड़के को बिस्तर पर ले जाओ!”

जेलर ने ओलिवर का हाथ पकड़ लिया और धीरे से उसे घबराने से मना करते हुए चुपचाप देखता रहा।

“उसे बिस्तर पर ले जाओ!” फ़ैगिन चिल्लाया। “क्या तुम लोग मुझे सुन रहे हो? उसने ही—किसी तरह से—इस सबका कारण बना है। उसे इसमें शामिल करने के लिए पैसे खर्च करना सही था—बोल्टर का गला, बिल; लड़की की चिंता मत करो—बोल्टर का गला जितना हो सके काट दो। उसका सिर काट डालो!”

“फ़ैगिन,” जेलर ने कहा।

“यह मैं हूँ!” यहूदी ने तुरंत चिल्लाया, अपने उस सुनने वाले रुख में लौटते हुए जैसा उसने अपने मुकदमे में अपनाया था। “एक बूढ़ा आदमी, मेरे भगवान; एक बहुत बूढ़ा, बूढ़ा आदमी!”

“यहाँ,” पहरेदार ने उसे नीचे रखने के लिए उसके सीने पर हाथ रखते हुए कहा। “यहाँ कोई तुमसे मिलने आया है, शायद कुछ सवाल पूछने के लिए। फ़ैगिन, फ़ैगिन! क्या तुम आदमी हो?”

“मैं ज़्यादा दिन आदमी नहीं रहूँगा,” उसने गुस्से और डर के अलावा कोई मानव भाव नहीं दिखाते हुए कहा। “सबको मार डालो! उन्हें क्या हक है मुझे कत्ल करने का?”

जैसे ही उसने यह कहा, उसकी नज़र ओलिवर और मिस्टर ब्राउनलो पर पड़ी। वह सीट के सबसे दूर कोने में सिकुड़ गया, और पूछा कि वे वहाँ क्या चाहते थे।

“ध्यान से,” पहरेदार ने उसे नीचे दबाए रखते हुए कहा। “अब, सर, उसे बताइए कि आप क्या चाहते हैं। जल्दी करें, क्योंकि समय के साथ उसकी हालत और खराब हो रही है।”

“तुम्हारे पास कुछ दस्तावेज़ हैं,” मिस्टर ब्राउनलो आगे बढ़ते हुए बोले, “जो एक आदमी जिसे मोनक्स कहा जाता था, ने सुरक्षा के लिए तुम्हें दिए थे।”

“यह सब झूठ है,” फ़ैगिन ने जवाब दिया। “मेरे पास एक भी नहीं है—एक भी नहीं।”

“भगवान के लिए,” मिस्टर ब्राउनलो ने गंभीर स्वर में कहा, “अब, मौत के इतने करीब आने पर ऐसा मत कहो; लेकिन मुझे बताओ कि वे कहाँ हैं। तुम्हें पता है कि साइकस मर चुका है; कि मोनक्स ने सब कबूल कर लिया है; कि अब और कोई फायदा नहीं है। वे दस्तावेज़ कहाँ हैं?”

“ओलिवर,” फ़ैगिन ने उसे इशारा करते हुए पुकारा। “यहाँ आओ, यहाँ! मुझे तुमसे कुछ कानों में कहना है।”

“मुझे डर नहीं है,” ओलिवर ने धीमी आवाज़ में कहा, और मिस्टर ब्राउनलो का हाथ छोड़ दिया।

“दस्तावेज़,” फ़ैगिन ने ओलिवर को अपनी ओर खींचते हुए कहा, “एक कैनवस के बैग में हैं, चिमनी के ऊपर वाले सामने के कमरे में, थोड़ा ऊपर एक छेद में। मुझे तुमसे बात करनी है, मेरे प्यारे। मुझे तुमसे बात करनी है।”

“हाँ, हाँ,” ओलिवर ने जवाब दिया। “मुझे एक प्रार्थना करने दो। कृपया! मुझे बस एक प्रार्थना करने दो। मेरे साथ घुटनों पर बैठकर बस एक प्रार्थना करो, और फिर हम सुबह तक बात करेंगे।”

“बाहर, बाहर,” फ़ैगिन ने लड़के को दरवाज़े की ओर धकेलते हुए और उसके सिर के ऊपर खाली-खाली देखते हुए कहा। “कह देना कि मैं सो गया हूँ—वे तुम्हारी बात मान लेंगे। तुम मुझे निकाल सकते हो, अगर तुम मुझे ऐसे ले जाओ। अब चलो, अब चलो!”

“हे भगवान, इस दुखी आदमी को माफ़ कर!” लड़के ने आंसुओं के साथ पुकारा।

“सही है, सही है,” फ़ैगिन ने कहा। “यह हमें मदद करेगा। पहले यह दरवाज़ा खोलो। अगर मैं फांसी के तख्ते के पास से गुजरते हुए कांपने लगूँ, तो ध्यान मत देना, बस जल्दी चलना। अब, अब, अब!”

“क्या आपको इनसे और कुछ पूछना है, सर?” पहरेदार ने पूछा।

“और कोई सवाल नहीं,” मिस्टर ब्राउनलो ने उत्तर दिया। “अगर मुझे उम्मीद होती कि हम इसे इसकी स्थिति का एहसास करा सकते—”

“कुछ भी नहीं कर सकता, सर,” आदमी ने सिर हिलाते हुए कहा। “आप इसे छोड़ ही दें।”

सेल का दरवाज़ा खुला, और सहायक लौट आए।

“जल्दी करो, जल्दी करो,” फ़ैगिन चिल्लाया। “धीरे से, लेकिन इतना धीमा नहीं। तेज़, तेज़!”

आदमियों ने उसे पकड़ लिया और ओलिवर को उसकी पकड़ से छुड़ाकर पीछे खींच लिया। उसने पूरी ताकत से एक पल के लिए संघर्ष किया; फिर चीख-चीख कर रोने लगा, उसकी आवाज़ें उन भारी दीवारों के पार भी गूँजने लगीं और सबके कानों में तब तक गूंजती रहीं जब तक वे खुली आँगन में नहीं पहुँच गए।

जेल छोड़ने में उन्हें कुछ समय लगा। इस भयावह दृश्य के बाद, ओलिवर लगभग बेहोश हो गया था और इतना कमजोर था कि एक घंटे से अधिक समय तक चलने की शक्ति भी नहीं थी।

जब वे बाहर निकले, तब सुबह हो चुकी थी। एक बड़ा जनसमूह पहले ही इकट्ठा हो चुका था; खिड़कियाँ लोगों से भरी हुई थीं, जो समय बिताने के लिए धूम्रपान कर रहे थे और ताश खेल रहे थे; भीड़ धक्का-मुक्की कर रही थी, झगड़ रही थी, मज़ाक कर रही थी। हर तरफ जीवन और हलचल का माहौल था, सिवाय बीच में स्थित एक अंधेरी जगह के—काला मंच, क्रॉस-बीम, रस्सी, और मौत के सारे भयावह उपकरण।

Oliver Twist Chapter 52

FAGIN’S LAST NIGHT ALIVE

The court was paved, from floor to roof, with human faces. Inquisitive and eager eyes peered from every inch of space. From the rail before the dock, away into the sharpest angle of the smallest corner in the galleries, all looks were fixed upon one man—Fagin. Before him and behind: above, below, on the right and on the left: he seemed to stand surrounded by a firmament, all bright with gleaming eyes.

He stood there, in all this glare of living light, with one hand resting on the wooden slab before him, the other held to his ear, and his head thrust forward to enable him to catch with greater distinctness every word that fell from the presiding judge, who was delivering his charge to the jury. At times, he turned his eyes sharply upon them to observe the effect of the slightest featherweight in his favour; and when the points against him were stated with terrible distinctness, looked towards his counsel, in mute appeal that he would, even then, urge something in his behalf. Beyond these manifestations of anxiety, he stirred not hand or foot. He had scarcely moved since the trial began; and now that the judge ceased to speak, he still remained in the same strained attitude of close attention, with his gaze bent on him, as though he listened still.

A slight bustle in the court, recalled him to himself. Looking round, he saw that the jurymen had turned together, to consider their verdict. As his eyes wandered to the gallery, he could see the people rising above each other to see his face: some hastily applying their glasses to their eyes: and others whispering their neighbours with looks expressive of abhorrence. A few there were, who seemed unmindful of him, and looked only to the jury, in impatient wonder how they could delay. But in no one face—not even among the women, of whom there were many there—could he read the faintest sympathy with himself, or any feeling but one of all-absorbing interest that he should be condemned.

As he saw all this in one bewildered glance, the deathlike stillness came again, and looking back he saw that the jurymen had turned towards the judge. Hush!

They only sought permission to retire.

He looked, wistfully, into their faces, one by one when they passed out, as though to see which way the greater number leant; but that was fruitless. The jailer touched him on the shoulder. He followed mechanically to the end of the dock, and sat down on a chair. The man pointed it out, or he would not have seen it.

He looked up into the gallery again. Some of the people were eating, and some fanning themselves with handkerchiefs; for the crowded place was very hot. There was one young man sketching his face in a little note-book. He wondered whether it was like, and looked on when the artist broke his pencil-point, and made another with his knife, as any idle spectator might have done.

In the same way, when he turned his eyes towards the judge, his mind began to busy itself with the fashion of his dress, and what it cost, and how he put it on. There was an old fat gentleman on the bench, too, who had gone out, some half an hour before, and now come back. He wondered within himself whether this man had been to get his dinner, what he had had, and where he had had it; and pursued this train of careless thought until some new object caught his eye and roused another.

Not that, all this time, his mind was, for an instant, free from one oppressive overwhelming sense of the grave that opened at his feet; it was ever present to him, but in a vague and general way, and he could not fix his thoughts upon it. Thus, even while he trembled, and turned burning hot at the idea of speedy death, he fell to counting the iron spikes before him, and wondering how the head of one had been broken off, and whether they would mend it, or leave it as it was. Then, he thought of all the horrors of the gallows and the scaffold—and stopped to watch a man sprinkling the floor to cool it—and then went on to think again.

At length there was a cry of silence, and a breathless look from all towards the door. The jury returned, and passed him close. He could glean nothing from their faces; they might as well have been of stone. Perfect stillness ensued—not a rustle—not a breath—Guilty.

The building rang with a tremendous shout, and another, and another, and then it echoed loud groans, that gathered strength as they swelled out, like angry thunder. It was a peal of joy from the populace outside, greeting the news that he would die on Monday.

The noise subsided, and he was asked if he had anything to say why sentence of death should not be passed upon him. He had resumed his listening attitude, and looked intently at his questioner while the demand was made; but it was twice repeated before he seemed to hear it, and then he only muttered that he was an old man—an old man—and so, dropping into a whisper, was silent again.

The judge assumed the black cap, and the prisoner still stood with the same air and gesture. A woman in the gallery, uttered some exclamation, called forth by this dread solemnity; he looked hastily up as if angry at the interruption, and bent forward yet more attentively. The address was solemn and impressive; the sentence fearful to hear. But he stood, like a marble figure, without the motion of a nerve. His haggard face was still thrust forward, his under-jaw hanging down, and his eyes staring out before him, when the jailer put his hand upon his arm, and beckoned him away. He gazed stupidly about him for an instant, and obeyed.

They led him through a paved room under the court, where some prisoners were waiting till their turns came, and others were talking to their friends, who crowded round a grate which looked into the open yard. There was nobody there to speak to him; but, as he passed, the prisoners fell back to render him more visible to the people who were clinging to the bars: and they assailed him with opprobrious names, and screeched and hissed. He shook his fist, and would have spat upon them; but his conductors hurried him on, through a gloomy passage lighted by a few dim lamps, into the interior of the prison.

Here, he was searched, that he might not have about him the means of anticipating the law; this ceremony performed, they led him to one of the condemned cells, and left him there—alone.

He sat down on a stone bench opposite the door, which served for seat and bedstead; and casting his blood-shot eyes upon the ground, tried to collect his thoughts. After awhile, he began to remember a few disjointed fragments of what the judge had said: though it had seemed to him, at the time, that he could not hear a word. These gradually fell into their proper places, and by degrees suggested more: so that in a little time he had the whole, almost as it was delivered. To be hanged by the neck, till he was dead—that was the end. To be hanged by the neck till he was dead.

As it came on very dark, he began to think of all the men he had known who had died upon the scaffold; some of them through his means. They rose up, in such quick succession, that he could hardly count them. He had seen some of them die,—and had joked too, because they died with prayers upon their lips. With what a rattling noise the drop went down; and how suddenly they changed, from strong and vigorous men to dangling heaps of clothes!

Some of them might have inhabited that very cell—sat upon that very spot. It was very dark; why didn’t they bring a light? The cell had been built for many years. Scores of men must have passed their last hours there. It was like sitting in a vault strewn with dead bodies—the cap, the noose, the pinioned arms, the faces that he knew, even beneath that hideous veil.—Light, light!

At length, when his hands were raw with beating against the heavy door and walls, two men appeared: one bearing a candle, which he thrust into an iron candlestick fixed against the wall: the other dragging in a mattress on which to pass the night; for the prisoner was to be left alone no more.

Then came the night—dark, dismal, silent night. Other watchers are glad to hear this church-clock strike, for they tell of life and coming day. To him they brought despair. The boom of every iron bell came laden with the one, deep, hollow sound—Death. What availed the noise and bustle of cheerful morning, which penetrated even there, to him? It was another form of knell, with mockery added to the warning.

The day passed off. Day? There was no day; it was gone as soon as come—and night came on again; night so long, and yet so short; long in its dreadful silence, and short in its fleeting hours. At one time he raved and blasphemed; and at another howled and tore his hair. Venerable men of his own persuasion had come to pray beside him, but he had driven them away with curses. They renewed their charitable efforts, and he beat them off.

Saturday night. He had only one night more to live. And as he thought of this, the day broke—Sunday.

It was not until the night of this last awful day, that a withering sense of his helpless, desperate state came in its full intensity upon his blighted soul; not that he had ever held any defined or positive hope of mercy, but that he had never been able to consider more than the dim probability of dying so soon. He had spoken little to either of the two men, who relieved each other in their attendance upon him; and they, for their parts, made no effort to rouse his attention. He had sat there, awake, but dreaming. Now, he started up, every minute, and with gasping mouth and burning skin, hurried to and fro, in such a paroxysm of fear and wrath that even they—used to such sights—recoiled from him with horror. He grew so terrible, at last, in all the tortures of his evil conscience, that one man could not bear to sit there, eyeing him alone; and so the two kept watch together.

He cowered down upon his stone bed, and thought of the past. He had been wounded with some missiles from the crowd on the day of his capture, and his head was bandaged with a linen cloth. His red hair hung down upon his bloodless face; his beard was torn, and twisted into knots; his eyes shone with a terrible light; his unwashed flesh crackled with the fever that burnt him up. Eight—nine—then. If it was not a trick to frighten him, and those were the real hours treading on each other’s heels, where would he be, when they came round again! Eleven! Another struck, before the voice of the previous hour had ceased to vibrate. At eight, he would be the only mourner in his own funeral train; at eleven—

Those dreadful walls of Newgate, which have hidden so much misery and such unspeakable anguish, not only from the eyes, but, too often, and too long, from the thoughts, of men, never held so dread a spectacle as that. The few who lingered as they passed, and wondered what the man was doing who was to be hanged tomorrow, would have slept but ill that night, if they could have seen him.

From early in the evening until nearly midnight, little groups of two and three presented themselves at the lodge-gate, and inquired, with anxious faces, whether any reprieve had been received. These being answered in the negative, communicated the welcome intelligence to clusters in the street, who pointed out to one another the door from which he must come out, and showed where the scaffold would be built, and, walking with unwilling steps away, turned back to conjure up the scene. By degrees they fell off, one by one; and, for an hour, in the dead of night, the street was left to solitude and darkness.

The space before the prison was cleared, and a few strong barriers, painted black, had been already thrown across the road to break the pressure of the expected crowd, when Mr. Brownlow and Oliver appeared at the wicket, and presented an order of admission to the prisoner, signed by one of the sheriffs. They were immediately admitted into the lodge.

“Is the young gentleman to come too, sir?” said the man whose duty it was to conduct them. “It’s not a sight for children, sir.”

“It is not indeed, my friend,” rejoined Mr. Brownlow; “but my business with this man is intimately connected with him; and as this child has seen him in the full career of his success and villainy, I think it as well—even at the cost of some pain and fear—that he should see him now.”

These few words had been said apart, so as to be inaudible to Oliver. The man touched his hat; and glancing at Oliver with some curiousity, opened another gate, opposite to that by which they had entered, and led them on, through dark and winding ways, towards the cells.

“This,” said the man, stopping in a gloomy passage where a couple of workmen were making some preparations in profound silence—“this is the place he passes through. If you step this way, you can see the door he goes out at.”

He led them into a stone kitchen, fitted with coppers for dressing the prison food, and pointed to a door. There was an open grating above it, through which came the sound of men’s voices, mingled with the noise of hammering, and the throwing down of boards. They were putting up the scaffold.

From this place, they passed through several strong gates, opened by other turnkeys from the inner side; and, having entered an open yard, ascended a flight of narrow steps, and came into a passage with a row of strong doors on the left hand. Motioning them to remain where they were, the turnkey knocked at one of these with his bunch of keys. The two attendants, after a little whispering, came out into the passage, stretching themselves as if glad of the temporary relief, and motioned the visitors to follow the jailer into the cell. They did so.

The condemned criminal was seated on his bed, rocking himself from side to side, with a countenance more like that of a snared beast than the face of a man. His mind was evidently wandering to his old life, for he continued to mutter, without appearing conscious of their presence otherwise than as a part of his vision.

“Good boy, Charley—well done—” he mumbled. “Oliver, too, ha! ha! ha! Oliver too—quite the gentleman now—quite the—take that boy away to bed!”

The jailer took the disengaged hand of Oliver; and, whispering him not to be alarmed, looked on without speaking.

“Take him away to bed!” cried Fagin. “Do you hear me, some of you? He has been the—the—somehow the cause of all this. It’s worth the money to bring him up to it—Bolter’s throat, Bill; never mind the girl—Bolter’s throat as deep as you can cut. Saw his head off!”

“Fagin,” said the jailer.

“That’s me!” cried the Jew, falling instantly, into the attitude of listening he had assumed upon his trial. “An old man, my Lord; a very old, old man!”

“Here,” said the turnkey, laying his hand upon his breast to keep him down. “Here’s somebody wants to see you, to ask you some questions, I suppose. Fagin, Fagin! Are you a man?”

“I shan’t be one long,” he replied, looking up with a face retaining no human expression but rage and terror. “Strike them all dead! What right have they to butcher me?”

As he spoke he caught sight of Oliver and Mr. Brownlow. Shrinking to the furthest corner of the seat, he demanded to know what they wanted there.

“Steady,” said the turnkey, still holding him down. “Now, sir, tell him what you want. Quick, if you please, for he grows worse as the time gets on.”

“You have some papers,” said Mr. Brownlow advancing, “which were placed in your hands, for better security, by a man called Monks.”

“It’s all a lie together,” replied Fagin. “I haven’t one—not one.”

“For the love of God,” said Mr. Brownlow solemnly, “do not say that now, upon the very verge of death; but tell me where they are. You know that Sikes is dead; that Monks has confessed; that there is no hope of any further gain. Where are those papers?”

“Oliver,” cried Fagin, beckoning to him. “Here, here! Let me whisper to you.”

“I am not afraid,” said Oliver in a low voice, as he relinquished Mr. Brownlow’s hand.

“The papers,” said Fagin, drawing Oliver towards him, “are in a canvas bag, in a hole a little way up the chimney in the top front-room. I want to talk to you, my dear. I want to talk to you.”

“Yes, yes,” returned Oliver. “Let me say a prayer. Do! Let me say one prayer. Say only one, upon your knees, with me, and we will talk till morning.”

“Outside, outside,” replied Fagin, pushing the boy before him towards the door, and looking vacantly over his head. “Say I’ve gone to sleep—they’ll believe you. You can get me out, if you take me so. Now then, now then!”

“Oh! God forgive this wretched man!” cried the boy with a burst of tears.

“That’s right, that’s right,” said Fagin. “That’ll help us on. This door first. If I shake and tremble, as we pass the gallows, don’t you mind, but hurry on. Now, now, now!”

“Have you nothing else to ask him, sir?” inquired the turnkey.

“No other question,” replied Mr. Brownlow. “If I hoped we could recall him to a sense of his position—”

“Nothing will do that, sir,” replied the man, shaking his head. “You had better leave him.”

The door of the cell opened, and the attendants returned.

“Press on, press on,” cried Fagin. “Softly, but not so slow. Faster, faster!”

The men laid hands upon him, and disengaging Oliver from his grasp, held him back. He struggled with the power of desperation, for an instant; and then sent up cry upon cry that penetrated even those massive walls, and rang in their ears until they reached the open yard.

It was some time before they left the prison. Oliver nearly swooned after this frightful scene, and was so weak that for an hour or more, he had not the strength to walk.

Day was dawning when they again emerged. A great multitude had already assembled; the windows were filled with people, smoking and playing cards to beguile the time; the crowd were pushing, quarrelling, joking. Everything told of life and animation, but one dark cluster of objects in the centre of all—the black stage, the cross-beam, the rope, and all the hideous apparatus of death.

ओलिवर ट्विस्ट अध्याय 51

एक प्रस्ताव का स्पष्टीकरण, जिसमें कई रहस्यों का समावेश है और बिना किसी समझौते या पैसे के विवाह का प्रस्ताव

पिछले अध्याय में वर्णित घटनाएँ अभी सिर्फ दो दिन पुरानी थीं, जब ओलिवर ने खुद को दोपहर के तीन बजे, एक यात्रा गाड़ी में, अपने जन्मस्थान की ओर तेजी से बढ़ते हुए पाया। उसके साथ मिसेज मेली, रोज़, मिसेज बेडविन, और अच्छे डॉक्टर थे; और मिस्टर ब्राउनलो एक घोड़े वाली गाड़ी में पीछे चल रहे थे, उनके साथ एक और व्यक्ति था जिसका नाम नहीं बताया गया था।

उन्होंने रास्ते में ज्यादा बातचीत नहीं की; क्योंकि ओलिवर बेचैनी और अनिश्चितता में था, जिसने उसे सोचने और बोलने की शक्ति से वंचित कर दिया, और उसके साथियों पर भी इसका काफी असर था। मिस्टर ब्राउनलो ने ओलिवर और दोनों महिलाओं को यह समझाया था कि मंक से क्या खुलासे हुए हैं; और हालांकि उन्हें पता था कि उनकी यात्रा का उद्देश्य उस काम को पूरा करना है जो इतनी अच्छी तरह से शुरू हुआ था, फिर भी पूरी बात में इतना संदेह और रहस्य था कि वे बहुत उत्तेजित थे।

मिस्टर ब्राउनलो ने, मिस्टर लॉसबर्न की मदद से, सभी संचार के रास्ते बंद कर दिए थे ताकि वे हाल की भयानक घटनाओं के बारे में जानकारी न पा सकें। “यह सच है,” उन्होंने कहा, “कि उन्हें जल्दी ही पता चलेगा, लेकिन यह किसी बेहतर समय पर हो सकता है, और इससे बुरा समय नहीं हो सकता।” इसलिए, वे चुपचाप यात्रा करते रहे: हर कोई उस उद्देश्य में खोया था जिसने उन्हें एक साथ लाया था, और कोई भी अपने विचारों को व्यक्त करने का इच्छुक नहीं था।

लेकिन अगर ओलिवर ने इन प्रभावों के तहत चुप्पी बनाए रखी, तो जैसे ही वे उस रास्ते पर चले जिसे उसने पहले कभी नहीं देखा, उसकी यादें पुरानी समय में लौटने लगीं, और उसके दिल में भावनाओं का एक ताजा समुद्र जाग उठा, जब वे उस रास्ते में मुड़े जिस पर वह एक गरीब बेघर, भटकते बच्चे की तरह चला था, बिना किसी दोस्त के या सिर छिपाने के लिए छत के।

“देखो, देखो!” ओलिवर ने उत्सुकता से रोज़ का हाथ पकड़ा और गाड़ी की खिड़की से इशारा किया; “यह वही रास्ता है जिससे मैं आया था; वहाँ वे झाड़ियाँ हैं जिनके पीछे मैं छिपा था, ताकि कोई मुझे पकड़ न ले और वापस न भेज दे! वहाँ खेतों के पार वह रास्ता है, जो उस पुराने घर की ओर जाता है जहाँ मैं बच्चा था! ओह डिक, डिक, मेरे प्यारे पुराने दोस्त, काश मैं तुम्हें अब देख पाता!”

“तुम उसे जल्दी ही देखोगे,” रोज़ ने कहा, धीरे से उसके हाथों को अपने हाथों में लेते हुए। “तुम उसे बताओगे कि तुम कितने खुश हो, और कितने समृद्ध हो गए हो, और तुम अपनी सारी खुशियों में सबसे बड़ी खुशी यह बताओगे कि तुम उसे खुश करने के लिए वापस आए हो।”

“हाँ, हाँ,” ओलिवर ने कहा, “और हम—हम उसे यहाँ से ले जाएंगे, और उसे कपड़े पहनाएंगे और पढ़ाएंगे, और उसे किसी शांत गांव में भेजेंगे जहाँ वह मजबूत और स्वस्थ हो सके—क्या ऐसा नहीं होगा?”

रोज़ ने “हाँ” कहा, क्योंकि लड़के के चेहरे पर इतनी खुशी के आँसू थे कि वह बोल नहीं सकी।

“तुम उसके प्रति दयालु और अच्छे रहोगे, क्योंकि तुम हर किसी के प्रति हो,” ओलिवर ने कहा। “यह तुम्हें रुलाएगा, मुझे पता है, जो वह कह सकता है सुनकर; लेकिन चिंता मत करो, चिंता मत करो, सब कुछ ठीक हो जाएगा, और तुम फिर से मुस्कुराओगी—मुझे यह भी पता है—यह सोचकर कि वह कितना बदल गया है; तुमने मेरे साथ भी ऐसा ही किया था। उसने जब मैं भागा था तब ‘भगवान तुम्हारा भला करे’ कहा था,” लड़के ने स्नेहपूर्वक भावनाओं के साथ कहा; “और मैं अब ‘भगवान तुम्हारा भला करे’ कहूँगा, और उसे दिखाऊँगा कि मैं उससे कितना प्यार करता हूँ!”

जैसे ही वे शहर के करीब पहुंचे, और अंततः उसके संकीर्ण रास्तों से गुजरने लगे, लड़के को उचित सीमाओं के भीतर रखना बहुत कठिन हो गया। वहाँ सॉवर्बरी का, वो अंतिम क्रियाकर्ता, वही था, बस छोटा और कम प्रभावशाली दिख रहा था जैसा कि उसे याद था—वहाँ सभी प्रसिद्ध दुकानें और घर थे, जिनमें से लगभग हर एक से उसका कोई न कोई छोटा सा किस्सा जुड़ा था—वहाँ गैमफील्ड की गाड़ी थी, वही गाड़ी जो उसने पहले रखी थी, पुरानी सार्वजनिक घर के दरवाजे पर खड़ी थी—वहाँ काम का घर था, उसके युवा दिनों की दुखद जेल, जिसकी उदास खिड़कियाँ सड़क पर झाँकती थीं—वहाँ वही दुबला डाकिया था जो गेट पर खड़ा था, जिसे देखकर ओलिवर अनायास पीछे हट गया, और फिर खुद पर हंसने लगा कि वह इतना बेवकूफ क्यों था, फिर रोने लगा, फिर फिर से हंसने लगा—वहाँ दरवाजों और खिड़कियों पर कई चेहरे थे जिन्हें वह अच्छे से जानता था—वहाँ लगभग सब कुछ ऐसा था जैसे उसने उसे कल ही छोड़ा था, और उसका पूरा हाल का जीवन बस एक सुखद सपना था।

लेकिन यह पूरी तरह से वास्तविकता थी, जो सच्ची, गंभीर और खुशी से भरी थी।

वे सीधे मुख्य होटल के दरवाजे पर पहुंचे (जिसे ओलिवर आश्चर्य से देखा करता था और उसे एक बड़ा महल समझता था, लेकिन जो अब थोड़ा छोटा और कम प्रभावशाली हो गया था); और वहाँ मिस्टर ग्रिमविग उन्हें स्वागत करने के लिए तैयार थे, युवा महिला और वृद्ध महिला दोनों को गाड़ी से उतरते ही चूमते हुए, जैसे वे पूरी पार्टी के दादा हों, सभी मुस्कान और दयालुता के साथ, और उनका सिर खाने का कोई इरादा नहीं था—नहीं, एक बार भी नहीं; यहाँ तक कि जब उन्होंने एक बहुत पुराने डाकिया से लंदन जाने के सबसे नज़दीकी रास्ते पर असहमत होते हुए कहा कि वे उसे सबसे अच्छा जानते हैं, जबकि उन्होंने सिर्फ एक बार वहाँ से सफर किया था, और उस समय गहरी नींद में थे। खाने की तैयारी थी, और बेडरूम तैयार थे, और सब कुछ जैसे जादू से व्यवस्थित था।

इन सबके बावजूद, जब पहले आधे घंटे की हलचल समाप्त हुई, तब वही चुप्पी और संकोच वापस आ गया जो उनके सफर के दौरान था। मिस्टर ब्राउनलो खाने पर उनके साथ नहीं आए, बल्कि एक अलग कमरे में रहे। अन्य दो gentlemen चिंतित चेहरों के साथ आ-जा रहे थे, और जब भी वे उपस्थित होते, तो अलग से बातें करते। एक बार, मिसेज मेली को बुलाया गया, और लगभग एक घंटे बाद, वह आँसुओं से भरी आँखों के साथ लौटीं। इन सब चीज़ों ने रोज़ और ओलिवर को, जो किसी नए रहस्यों में नहीं थे, नर्वस और असहज बना दिया। वे चुपचाप सोचते रहे; या, अगर उन्होंने कुछ शब्दों का आदान-प्रदान किया, तो फुसफुसाते हुए, जैसे उन्हें अपनी ही आवाज़ सुनने का डर था।

आखिरकार, जब नौ बजे थे, और उन्होंने सोचना शुरू किया कि वे उस रात कुछ और नहीं सुनेंगे, तो मिस्टर लॉसबर्न और मिस्टर ग्रिमविग कमरे में आए, उसके पीछे मिस्टर ब्राउनलो और एक ऐसा आदमी था जिसे देखकर ओलिवर चौंक गया; क्योंकि उन्हें बताया गया था कि यह उसका भाई है, और यह वही आदमी है जिसे उसने बाजार के शहर में देखा था, और फेगिन के साथ उसकी छोटी सी कमरे की खिड़की में झांकते हुए देखा था। मंक्स ने आश्चर्यचकित लड़के पर घृणा की एक नज़र डाली, जिसे वह छिपा नहीं सका, और दरवाजे के पास बैठ गया। मिस्टर ब्राउनलो, जिनके हाथ में कागज थे, उस मेज़ के पास गए जहाँ रोज़ और ओलिवर बैठे थे।

“यह एक दुखद कार्य है,” उन्होंने कहा, “लेकिन ये घोषणाएँ, जो लंदन में कई सज्जनों के सामने हस्ताक्षरित की गई हैं, यहाँ भी दोहराई जानी चाहिए। मैं तुम्हें इस अपमान से बचाना चाहता था, लेकिन हमें यह तुम्हारी अपनी जुबान से सुनना होगा, इससे पहले कि हम जुदा हों, और तुम जानते हो क्यों।”

“जारी रखो,” संबोधित व्यक्ति ने कहा, अपना चेहरा मोड़ते हुए। “जल्दी करो। मुझे लगता है, मैंने लगभग पर्याप्त किया है। मुझे यहाँ मत रोकना।”

“यह बच्चा,” मिस्टर ब्राउनलो ने कहा, ओलिवर को अपने पास खींचते हुए और उसके सिर पर हाथ रखते हुए, “तुम्हारा सगा भाई है; तुम्हारे पिता, मेरे प्यारे दोस्त एडविन लीफोर्ड का अवैध पुत्र, गरीब युवा एग्नेस फ्लेमिंग से, जो उसे जन्म देते समय मर गई।”

“हाँ,” मंक्स ने कहा, कांपते लड़के पर घूरते हुए: जिसके दिल की धड़कन वह सुन सकता था। “यह वही बास्टर्ड बच्चा है।”

“तुम्हारा इस्तेमाल किया गया शब्द,” मिस्टर ब्राउनलो ने सख्ती से कहा, “वे लोगों के लिए अपमान है जो बहुत पहले इस दुनिया की कमजोर आलोचना से आगे बढ़ चुके हैं। यह किसी भी जीवित व्यक्ति पर कलंक नहीं लगाता, सिवाय तुम्हारे जो इसे इस्तेमाल करते हो। इसे छोड़ो। वह इस शहर में जन्मा था।”

“इस शहर के काम के घर में,” मंक्स ने बेरुखी से उत्तर दिया। “तुम्हारे पास वहाँ कहानी है।” उन्होंने अपने शब्दों के साथ कागजों की ओर इशारा किया।

“मुझे यह भी यहाँ चाहिए,” मिस्टर ब्राउनलो ने कहा, श्रोताओं की ओर देखते हुए।

“तो सुनो! तुम!” मंक्स ने कहा। “उसके पिता रोम में बीमार हुए, और उनकी पत्नी, मेरी माँ, जो उनसे लंबे समय से अलग थीं, पेरिस से आईं और मुझे अपने साथ ले गईं—उनकी संपत्ति की देखभाल करने के लिए, मुझे जो पता है, क्योंकि उसे उनके लिए कोई विशेष प्यार नहीं था, और न ही उन्हें। वह हमसे कुछ नहीं जानते थे, क्योंकि उनकी समझ खो चुकी थी, और वह अगले दिन तक सोते रहे, जब उनकी मृत्यु हो गई। उनके डेस्क में कुछ कागज़ थे, जिनमें से दो उस रात के थे जब उनकी बीमारी शुरू हुई थी, तुम्हारे नाम;” उन्होंने मिस्टर ब्राउनलो से कहा; “और उन पर तुम्हारे लिए कुछ छोटे नोट भी थे, जिसमें यह कहा गया था कि इसे तब तक नहीं भेजा जाए जब तक वह मर नहीं जाते। इनमें से एक पत्र इस लड़की एग्नेस के लिए था; दूसरा एक वसीयत।”

“पत्र का क्या?” मिस्टर ब्राउनलो ने पूछा।

“पत्र?—एक कागज़ का पन्ना, जिस पर पेनिटेंट कबूलनामा था, और भगवान से मदद की प्रार्थना। उसने लड़की को एक कहानी सुनाई कि किसी रहस्य ने—जिसका एक दिन खुलासा होगा—उसे उस समय उससे शादी करने से रोका; और इसी तरह वह उसके लिए धैर्यपूर्वक इंतज़ार करती रही, जब तक कि उसने बहुत भरोसा नहीं किया, और वह खो दिया जो कभी वापस नहीं मिल सकता था। वह उस समय अपनी गर्भावस्था के कुछ महीनों के करीब थी। उसने उसे बताया कि अगर वह जीवित रहता, तो वह उसकी शर्म को छुपाने के लिए सब कुछ करता, और उसे प्रार्थना की, अगर वह मर गया, तो उसके स्मृति को श्राप न दे, या न सोचे कि उनके पाप के परिणाम उसके या उनके छोटे बच्चे पर आएंगे; क्योंकि सारी गलती उसकी थी। उसने उसे उस दिन की याद दिलाई जब उसने उसे छोटा लocket और उसके ईसाई नाम के साथ एक अंगूठी दी थी, और उसके लिए जो वह एक दिन उसे देना चाहता था, उसके लिए एक जगह छोड़ दी थी—फिर प्रार्थना की कि वह उसे रखे, और इसे अपने दिल के पास पहने, जैसे वह पहले करती थी—और फिर वह उसी शब्दों में, बार-बार, बेताब होकर बोलता रहा, जैसे वह पागल हो गया हो। मुझे लगता है कि वह पागल हो गया था।”

“वसीयत,” मिस्टर ब्राउनलो ने कहा, जब ओलिवर की आँखों से आँसू गिर रहे थे।

मंक्स चुप था।

“वसीयत,” मिस्टर ब्राउनलो ने कहा, “पत्र की तरह ही थी। उसने उन दुखों के बारे में बात की जो उसकी पत्नी ने उसके ऊपर लाए; तुम्हारे प्रति विद्रोही प्रवृत्ति, पाप, दुर्भावना, और जल्दी पैदा हुए बुरे जुनून की; और तुम्हें और तुम्हारी माँ को, प्रत्येक को आठ सौ पाउंड का एक वार्षिक भुगतान छोड़ दिया। अपनी संपत्ति का अधिकांश उसने दो समान हिस्सों में बाँट दिया—एक एग्नेस फ्लेमिंग के लिए, और दूसरा उनके बच्चे के लिए, अगर वह जीवित जन्म लेता और कभी बड़ा होता। अगर यह लड़की होती, तो उसे बिना शर्त पैसे विरासत में मिलते; लेकिन अगर लड़का होता, तो केवल इस शर्त पर कि उसकी अल्पवयस्कता में उसने कभी अपने नाम को किसी सार्वजनिक dishonor, नीचता, cowardice, या गलत काम से दागा नहीं हो। उसने ऐसा कहा, कि वह माँ पर अपने विश्वास को दर्शाए, और उसकी भावना—जो केवल निकट मृत्यु से मजबूत हुई थी—that बच्चे का दिल भी उसी कोमलता और महानता का होगा। अगर वह इस उम्मीद में निराश होते, तो पैसे तुम्हें मिलते: क्योंकि तब, और केवल तब, जब दोनों बच्चे बराबर होते, वह तुम्हारे पहले दावे को मानता, जिसने उसके दिल पर कोई अधिकार नहीं रखा, लेकिन जिसने, बचपन से, उसे ठंडेपन और नफरत से दूर किया।”

“मेरी माँ,” मंक्स ने जोर से कहा, “वही किया जो एक महिला को करना चाहिए था। उसने इस वसीयत को जला दिया। पत्र अपने गंतव्य तक नहीं पहुँचा; लेकिन उसने उसे और अन्य सबूतों को रखा, ताकि अगर कभी वे इस दाग को मिटाने की कोशिश करें। लड़की के पिता ने उससे सच्चाई जानी, हर उस बात के साथ जिसे उसकी हिंसक नफरत—Iअब उससे प्यार करो—ने जोड़ा। शर्म और बेइज़्ज़ती से गुस्से में वह अपने बच्चों के साथ वेल्स के एक दूरदराज कोने में भाग गया, अपना नाम बदल दिया ताकि उसके दोस्तों को उसकी शरण का पता न चले; और यहाँ, कुछ समय बाद, वह अपने बिस्तर में मृत पाया गया। लड़की ने कुछ हफ्ते पहले अपने घर से चोरी-छिपे निकल गई थी; उसने उसके लिए, पैदल, हर कस्बे और गाँव में खोज की; वह उस रात अपने घर लौटा, यह आश्वासन लेकर कि उसने अपने को खत्म कर लिया था, अपनी और उसकी शर्म को छुपाने के लिए, तब उसका पुराना दिल टूट गया।”

यहाँ एक छोटा सा मौन था, जब तक कि मिस्टर ब्राउनलो ने कहानी का सूत्र पुनः पकड़ नहीं लिया।

“इसके कई साल बाद,” उसने कहा, “इस आदमी—एडवर्ड लीफोर्ड—की माँ मेरे पास आई। उसने अपनी माँ को तब छोड़ दिया था जब वह केवल अठारह वर्ष की थी; उससे गहने और पैसे चुरा लिए; जुआ खेला, बेकार किया, धोखाधड़ी की, और लंदन भाग गया: जहाँ उसने दो साल तक सबसे निचले स्तर के लोगों के साथ रहन-सहन किया। वह एक दर्दनाक और अनियंत्रित बीमारी से ग्रसित हो रही थी, और चाहती थी कि वह मरने से पहले अपने बेटे को वापस पा ले। जांच शुरू की गई, और कड़ी खोजबीन की गई। काफी समय तक यह सफल नहीं हुआ, लेकिन अंततः सफल रहा; और वह उसके साथ फ्रांस वापस गया।”

“वहाँ वह मर गई,” मंक्स ने कहा, “एक लंबी बीमारी के बाद; और, अपनी मृत्यु शय्या पर, उसने ये रहस्य मुझे सौंपे, साथ ही उन सभी के प्रति अपनी ज्वलंत और घातक नफरत भी—हालांकि उसे मुझे यह नहीं छोड़ना चाहिए था, क्योंकि मैंने इससे पहले ही इसे विरासत में पाया था। उसे विश्वास नहीं था कि लड़की ने खुद को खत्म कर लिया, और न ही बच्चे को, बल्कि उसे विश्वास था कि एक लड़का जीवित पैदा हुआ है। मैंने उसे शपथ दी, अगर कभी मेरा सामना हुआ, तो मैं उसे खोजूँगा; उसे कभी चैन नहीं लेने दूँगा; उसके प्रति सबसे कड़वे और नृशंस द्वेष के साथ पीछा करूँगा; उस घृणा को उस पर उतारूँगा जो मैंने गहराई से महसूस की, और उस अपमानजनक वसीयत की बेकार बड़ाई पर थूकूँगा, अगर मैं कर सकूँ, तो उसे फाँसी के फंदे तक खींचकर। वह सही थी। वह अंततः मेरे रास्ते में आया। मैंने अच्छी शुरुआत की; और, बेवजह की बातों के अलावा, मैं उसी तरह खत्म कर सकता था जैसा मैंने शुरू किया था!”

जब इस दुष्ट ने अपने हाथ बांध लिए और असफल द्वेष में अपने ऊपर शाप बुदबुदाने लगा, तो मिस्टर ब्राउनलो ने उसके पास खड़ी डरी हुई भीड़ की ओर मुड़कर समझाया कि यहूदी, जो उसका पुराना साथी और विश्वासपात्र था, ओलिवर को फंसाए रखने के लिए एक बड़ा इनाम चाहता था: जिसमें से कुछ हिस्सा उसे देने के लिए था, अगर ओलिवर को बचाया गया: और इस मुद्दे पर विवाद उनके देश के घर में आने का कारण बना था, ताकि ओलिवर की पहचान की जा सके।

“लॉकेट और अंगूठी?” मिस्टर ब्राउनलो ने मंक्स की ओर मुड़कर पूछा।

“मैंने उन्हें उस आदमी और औरत से खरीदा, जिनके बारे में मैंने तुम्हें बताया था, जिन्होंने उन्हें नर्स से चुराया, जिसने उन्हें शव से चुराया,” मंक्स ने बिना आँखें उठाए जवाब दिया। “तुम जानते हो कि उनका क्या हुआ।”

मिस्टर ब्राउनलो ने केवल मिस्टर ग्रिमविग की ओर सिर हिलाया, जो बहुत उत्साह से गायब हो गया, और जल्दी ही वापस आया, मिसेज बंबल को अंदर लाते हुए और उसके अनिच्छुक पति को पीछे खींचते हुए।

“क्या मेरी आँखें मुझे धोखा दे रही हैं!” मिस्टर बंबल ने झूठी उत्साह से चिल्लाया, “या यह छोटा ओलिवर है? ओ ओ-लिवर, अगर तुम जानते कि मैं तुम्हारे लिए कितना दुखी रहा हूँ—”

“अपनी ज़ुबान बंद रखो, बेवकूफ,” मिसेज बंबल ने फुसफुसाया।

“क्या ये नैतिकता नहीं है, मिसेज बंबल?” कार्यवाहक ने कहा। “क्या मैं यह महसूस नहीं कर सकता—मैंने इसे पोषण दिया—जब मैं इसे यहाँ सबसे अच्छे लोगों के बीच बैठा देखता हूँ! मैंने उस लड़के से ऐसा प्यार किया जैसे वह मेरा—मेरा—मेरे अपने दादा हो,” मिस्टर बंबल ने एक उचित तुलना के लिए रुकते हुए कहा। “मास्टर ओलिवर, मेरे प्यारे, क्या तुम उस आशीर्वादित व्यक्ति को याद करते हो जो सफेद वेस्टकोट पहने था? अहा! वह पिछले हफ्ते स्वर्ग चला गया, एक ओक के ताबूत में जिनके हैंडल चढ़े हुए थे, ओलिवर।”

“आइए, सर,” मिस्टर ग्रिमविग ने चिड़चिड़ा कर कहा; “अपने भावनाओं को दबाइए।”

“मैं कोशिश करूंगा, सर,” मिस्टर बंबल ने जवाब दिया। “आप कैसे हैं, सर? मुझे उम्मीद है कि आप बहुत अच्छे हैं।”

यह अभिवादन मिस्टर ब्राउनलो के लिए था, जो सम्मानित जोड़े के करीब आ गए थे। उन्होंने मंक्स की ओर इशारा करते हुए पूछा,

“क्या आप उस व्यक्ति को जानते हैं?”

“नहीं,” मिसेज बंबल ने सपाट स्वर में जवाब दिया।

“शायद आप नहीं जानतीं?” मिस्टर ब्राउनलो ने उनके पति से कहा।

“मैंने उसे अपने पूरे जीवन में कभी नहीं देखा,” मिस्टर बंबल ने कहा।

“और शायद आपने उसे कभी कुछ नहीं बेचा?”

“नहीं,” मिसेज बंबल ने जवाब दिया।

“आपके पास शायद एक गोल्ड लॉकेट और अंगूठी नहीं थी?” मिस्टर ब्राउनलो ने पूछा।

“बिल्कुल नहीं,” मातृसत्ता ने जवाब दिया। “हमें यहाँ इस तरह की बेतुकी बातें जवाब देने के लिए क्यों लाया गया?”

फिर मिस्टर ब्राउनलो ने मिस्टर ग्रिमविग की ओर सिर हिलाया; और फिर से वह सज्जन विशेष तत्परता से लंगड़ाते हुए चले गए। लेकिन इस बार वह एक मजबूत आदमी और उसकी पत्नी के साथ वापस नहीं आए; बल्कि इस बार, उन्होंने दो बुढ़िया को लाया, जो चलते समय कांपती और लडखड़ाती थीं।

“तुमने उस रात दरवाजा बंद किया जब पुरानी सैली मरी थी,” पहले में से एक ने कहा, अपनी सूखी हुई हाथ उठाते हुए, “लेकिन तुम आवाज़ को नहीं रोक सके, न ही दरवाजे की दरारें।”

“नहीं, नहीं,” दूसरी ने कहा, चारों ओर देखते हुए और अपनी दांतहीन जिव्हा हिलाते हुए। “नहीं, नहीं, नहीं।”

“हमने उसे तुम्हें बताने की कोशिश करते हुए सुना, और देखा कि तुमने उसके हाथ से एक कागज़ लिया, और अगले दिन तुम्हें गिरवी रखने वाले की दुकान की ओर जाते हुए भी देखा,” पहले ने कहा।

“हाँ,” दूसरी ने जोड़ा, “और वह ‘लॉकेट और सोने की अंगूठी’ थी। हमने यह पता लगाया, और देखा कि यह तुम्हें दी गई। हम वहाँ थे। ओह! हम वहाँ थे।”

“और हम उससे भी ज्यादा जानते हैं,” पहले ने आगे कहा, “क्योंकि उसने हमें बार-बार बताया, बहुत पहले, कि युवा माँ ने उसे बताया था कि उसे एहसास था कि वह इससे उबर नहीं पाएगी, और जब वह बीमार हुई, तो वह बच्चे के पिता की कब्र के पास मरने जा रही थी।”

“क्या तुम गिरवी रखने वाले को खुद देखना चाहोगी?” मिस्टर ग्रिमविग ने दरवाजे की ओर इशारा करते हुए पूछा।

“नहीं,” महिला ने उत्तर दिया; “अगर वह”—उसने मंक्स की ओर इशारा किया—“इतना कायर रहा है कि उसने स्वीकार किया, जैसा कि मैं देख रही हूँ, और तुमने इन औरतों से सबकुछ पूछ लिया है जब तक तुम सही लोगों तक नहीं पहुँचे, तो मुझे और कुछ नहीं कहना। मैंने उन्हें बेचा था, और वे वहाँ हैं जहाँ तुम कभी नहीं पहुँच पाओगे। तो फिर?”

“कुछ नहीं,” मिस्टर ब्राउनलो ने उत्तर दिया, “बस इतना कि हमें यह सुनिश्चित करना है कि तुम में से कोई भी फिर से भरोसे की स्थिति में न हो। तुम कमरे से जा सकती हो।”

“मुझे उम्मीद है,” मिस्टर बंबल ने चारों ओर देखते हुए कहा, जब मिस्टर ग्रिमविग दो पुरानी महिलाओं के साथ गायब हो गए: “मुझे उम्मीद है कि यह दुर्भाग्यपूर्ण स्थिति मुझे मेरी पारिश्रमिक नौकरी से वंचित नहीं करेगी?”

“बिल्कुल करेगी,” मिस्टर ब्राउनलो ने उत्तर दिया। “तुम्हें इस पर ध्यान लगाना चाहिए, और खुद को खुशकिस्मत समझना चाहिए।”

“यह सब मिसेज बंबल का था। उसने ऐसा किया,” मिस्टर बंबल ने जोर दिया; पहले यह देखने के लिए चारों ओर देखा कि उसकी साथी कमरे से जा चुकी है।

“यह कोई बहाना नहीं है,” मिस्टर ब्राउनलो ने कहा। “तुम उस समय मौजूद थे जब इन गहनों को नष्ट किया गया, और वास्तव में तुम कानून की नजर में अधिक दोषी हो; क्योंकि कानून मानता है कि तुम्हारी पत्नी तुम्हारे निर्देशन में कार्य कर रही है।”

“अगर कानून ऐसा मानता है,” मिस्टर बंबल ने दोनों हाथों में अपनी टोपी को कसकर दबाते हुए कहा, “तो कानून एक बेवकूफ है। अगर यही कानून की नजर है, तो कानून एक कुंवारा है; और सबसे बुरा जो मैं कानून के लिए चाहता हूँ, वह यह है कि उसका आँख अनुभव से खुले।”

इन दो शब्दों को दोहराने पर जोर देते हुए, मिस्टर बंबल ने अपनी टोपी को बहुत कसकर लगा लिया, और अपनी जेब में हाथ डालकर अपनी सहयोगिनी के पीछे-पीछे नीचे चले गए।

“युवा महिला,” मिस्टर ब्राउनलो ने रोज़ की ओर मुड़कर कहा, “मुझे अपना हाथ दो। मत डरो। तुम्हें हमारे द्वारा कहे जाने वाले कुछ बची हुई बातें सुनने में डरने की जरूरत नहीं है।”

“अगर वे मेरे संदर्भ में हैं—मुझे नहीं पता वे कैसे हो सकते हैं, लेकिन अगर वे हैं—तो कृपया मुझे उन्हें किसी और समय सुनने दो। मुझे अब न तो ताकत है और न ही हिम्मत।”

“नहीं,” पुराने सज्जन ने कहा, उसकी भुजा को अपने में लेते हुए; “तुममें इससे अधिक सहनशक्ति है, मुझे यकीन है। क्या तुम इस युवा महिला को जानती हो, सर?”

“हाँ,” मंक्स ने उत्तर दिया।

“मैंने तुम्हें पहले कभी नहीं देखा,” रोज़ ने कमज़ोरी से कहा।

“मैंने तुम्हें कई बार देखा है,” मंक्स ने कहा।

“दुखी एग्नेस के पिता की दो बेटियाँ थीं,” मिस्टर ब्राउनलो ने कहा। “दूसरी—बच्ची—का क्या हुआ?”

“बच्ची,” मंक्स ने उत्तर दिया, “जब उसके पिता एक अजीब जगह पर मरे, एक अजीब नाम से, बिना किसी पत्र, किताब, या कागज़ के जो उसके दोस्तों या रिश्तेदारों को ढूंढने में मदद कर सके—बच्ची को कुछ गरीब किसानों ने लिया, जिन्होंने उसे अपने बच्चे की तरह पाला।”

“आगे बताओ,” मिस्टर ब्राउनलो ने कहा, मिसेज मेयली को पास आने का इशारा करते हुए। “आगे बताओ!”

“तुम उन लोगों के ठिकाने को नहीं खोज सकते,” मंक्स ने कहा, “लेकिन जहाँ दोस्ती हारती है, वहाँ नफरत अक्सर रास्ता बना लेती है। मेरी माँ ने एक साल की चतुराई से खोजबीन के बाद उसे ढूंढ लिया—हाँ, और बच्ची को भी पाया।”

“क्या उसने उसे ले लिया?”

“नहीं। लोग गरीब थे और बीमार होने लगे—कम से कम आदमी तो—अपने अच्छे इंसानियत से; इसलिए उसने उसे उनके पास छोड़ दिया, उन्हें थोड़े पैसे का एक छोटा तोहफा देकर, जो ज्यादा दिन तक नहीं चलने वाला था, और और अधिक देने का वादा किया, जिसे उसने कभी भेजने का इरादा नहीं किया। हालांकि, उसने बच्ची की दुखद स्थिति के लिए उनकी असंतोष और गरीबी पर पूरी तरह से निर्भर नहीं किया, बल्कि बहन की शर्म की कहानी को अपनी सुविधानुसार बताई; उन्हें बच्ची का ध्यान रखने के लिए कहा, क्योंकि वह बुरी खून की थी; और बताया कि वह अवैध है, और किसी न किसी समय गलत रास्ते पर जाएगी। परिस्थितियों ने इसके समर्थन किया; लोगों ने इसे विश्वास किया; और वहीं बच्ची ने एक दुखद जीवन बिताया, जो हमारे लिए भी संतोषजनक था, जब तक कि एक विधवा महिला, जो उस समय चेस्टर में रह रही थी, ने लड़की को संयोगवश देखा, उस पर दया की, और उसे अपने घर ले गई। मुझे लगता है कि हमारे खिलाफ कोई श्राप था; क्योंकि हमारे सभी प्रयासों के बावजूद वह वहाँ रही और खुश रही। मैंने उसे दो या तीन साल पहले देखा, और उसके बाद से नहीं देखा, जब तक कुछ महीने पहले।”

“क्या तुम उसे अब देख रहे हो?”

“हाँ। तुम्हारे हाथ पर झुकते हुए।”

“लेकिन फिर भी मेरी भतीजी है,” मिसेज मेयली ने कहा, बेहोश लड़की को अपने गले में लपेटते हुए; “फिर भी मेरी सबसे प्यारी बच्ची। मैं उसे अब नहीं खोना चाहती, दुनिया के सभी खजाने के लिए भी नहीं। मेरी प्यारी साथी, मेरी अपनी प्यारी लड़की!”

“मेरे पास जो एकमात्र दोस्त था,” रोज़ ने कहा, उसे पकड़ते हुए। “सबसे दयालु, सबसे अच्छे दोस्त। मेरा दिल टूट जाएगा। मैं यह सब सहन नहीं कर सकती।”

“तुमने अधिक सहन किया है, और हमेशा, हर किसी पर खुशी बिखेरने वाली सबसे अच्छी और कोमल प्राणी रही हो,” मिसेज मेयली ने उसे प्यार से गले लगाते हुए कहा। “आओ, आओ, मेरे प्रिय, याद रखो कि यह कौन है जो तुम्हें अपने गले में समेटने के लिए इंतज़ार कर रहा है, गरीब बच्ची! देखो यहाँ—देखो, देखो, मेरे प्रिय!”

“नहीं, आंटी,” ओलिवर ने कहा, उसकी गर्दन के चारों ओर अपनी बाहें डालते हुए; “मैं उसे कभी आंटी नहीं कहूंगा—बहन, मेरी अपनी प्यारी बहन, जिसे मेरे दिल ने पहली बार से इतना प्यार करना सिखाया! रोज़, प्रिय, प्यारी रोज़!”

जो आँसू गिरे, और टूटे हुए शब्द जो अनाथों के बीच लंबे गले लगाने में साझा किए गए, उन्हें पवित्र मानो। एक पिता, बहन, और माँ, एक ही क्षण में पाए गए और खो गए। खुशी और दुख एक कप में मिल गए; लेकिन कोई कड़वा आँसू नहीं था: क्योंकि दुख भी इतना नरम था, और इतनी मीठी और कोमल यादों में लिपटा था, कि वह एक गंभीर खुशी बन गया, और दर्द का कोई गुण खो दिया।

वे एक लंबे समय तक अकेले रहे। दरवाजे पर एक नरम खटखटाना अंततः बताता है कि कोई बाहर है। ओलिवर ने दरवाजा खोला, चला गया, और हैरी मेयली को स्थान दिया।

“मैं सब जानता हूँ,” उसने सुंदर लड़की के पास बैठते हुए कहा। “प्रिय रोज़, मैं सब जानता हूँ।”

“मैं यहाँ случайно नहीं हूँ,” उसने एक लंबी चुप्पी के बाद जोड़ा; “न ही मैंने आज रात यह सब सुना है, क्योंकि मैं इसे कल जानता था—सिर्फ कल। क्या तुम अंदाजा लगाती हो कि मैं तुम्हें एक वादा याद दिलाने आया हूँ?”

“रुको,” रोज़ ने कहा। “तुम सच में सब जानते हो।”

“सब। तुमने मुझे एक साल के भीतर कभी भी हमारे पिछले वार्तालाप के विषय को फिर से उठाने की अनुमति दी थी।”

“मैंने ऐसा किया।”

“तुम्हें अपने निर्णय को बदलने के लिए दबाव नहीं डालना,” युवक ने आगे कहा, “परंतु यदि तुम चाहो, तो इसे दोहराने के लिए सुनना था। मुझे तुम्हारे पैरों पर जो कुछ भी पद या भाग्य था, वह रखना था, और यदि तुम अभी भी अपने पूर्व निर्णय पर टिके रहते, तो मैंने खुद को यह वचन दिया था कि न तो कोई शब्द और न ही कोई कार्य, इसे बदलने के लिए कोशिश करूंगा।”

“जिन कारणों ने मुझे तब प्रभावित किया, वे अब भी मुझे प्रभावित करेंगे,” रोज़ ने दृढ़ता से कहा। “अगर मैं कभी उसके प्रति एक सख्त और कठोर कर्तव्य का ऋणी थी, जिसने मुझे दरिद्रता और दुख की ज़िंदगी से बचाया, तो मैं इसे आज रात और भी गहराई से महसूस करूंगी। यह एक संघर्ष है,” रोज़ ने कहा, “लेकिन ऐसा संघर्ष है, जिसे मैं गर्व से करना चाहती हूँ; यह एक पीड़ा है, लेकिन यह मेरे दिल के लिए सहनीय होगी।”

“आज रात का खुलासा,”—हैरी ने शुरू किया।

“आज रात का खुलासा,” रोज़ ने नरमी से कहा, “मुझे आपके संदर्भ में उसी स्थिति में रखता है, जैसे मैं पहले थी।”

“तुम मेरा दिल कठोर कर रही हो, रोज़,” उसके प्रेमी ने कहा।

“ओ हैरी, हैरी,” युवा महिला ने आँसुओं में कहा; “काश मैं ऐसा कर पाती, और इस दर्द से खुद को बचा पाती।”

“तो फिर खुद पर यह दर्द क्यों डालती हो?” हैरी ने उसका हाथ पकड़ते हुए कहा। “सोचो, प्रिय रोज़, सोचो तुमने आज रात क्या सुना।”

“और मैंने क्या सुना! मैंने क्या सुना!” रोज़ ने कहा। “कि उसके गहरे अपमान का एहसास मेरे पिता पर इतना भारी पड़ा कि उन्होंने सबको दूर कर दिया—बस, इतना ही काफी है, हैरी, हमने काफी कहा।”

“अभी नहीं, अभी नहीं,” युवक ने कहा, जैसे वह उठने लगी। “मेरी उम्मीदें, मेरी इच्छाएँ, मेरे सभी विचार, तुम्हारे प्रति मेरे प्यार के अलावा हर चीज़ में बदलाव आया है। मैं तुम्हें अब कोई भीड़ में अलग नहीं देता; न ही उस दुनिया में, जहाँ द्वेष और अपमान है; बल्कि एक घर—एक दिल और घर—हाँ, प्रिय रोज़, और बस यही सब मैं तुम्हें देता हूँ।”

“तुम्हारा मतलब क्या है!” उसने कांपते हुए पूछा।

“मेरा मतलब यह है—जब मैं तुम्हें छोड़कर गया था, मैंने तुम्हारे और मेरे बीच की सभी काल्पनिक दीवारों को गिराने का ठान लिया था; अगर मेरी दुनिया तुम्हारी नहीं हो सकती, तो मैं तुम्हारी दुनिया को अपनी बनाऊंगा; कि जन्म का कोई गर्व तुम्हें नीचा नहीं दिखाएगा, क्योंकि मैं उससे मुँह मोड़ लूंगा। मैंने यही किया। जो लोग मुझसे इस कारण कतराए, उन्होंने तुमसे भी कतराया, और इससे तुम सही साबित हुई। जो प्रभावशाली रिश्तेदार मेरे ऊपर मुस्कुराते थे, अब ठंडे दिखते हैं; लेकिन इंग्लैंड के सबसे समृद्ध जिले में हंसते हुए खेत और झूमते पेड़ हैं; और एक गाँव के चर्च के पास—मेरा, रोज़, मेरा खुद का!—वहाँ एक साधारण घर है, जिसे तुम मुझे गर्वित कर सकती हो, इससे भी अधिक, जितनी सारी उम्मीदें मैंने छोड़ी हैं। यही मेरी स्थिति और स्थान है, और यहाँ मैं इसे रखता हूँ!”

“प्रेमियों के लिए रात का खाना इंतज़ार करना एक कठिन काम है,” मिस्टर ग्रिमविग ने कहा, जागते हुए और अपने सिर से रुमाल खींचते हुए।

सच बताने के लिए, रात का खाना एक बहुत ही लंबा समय इंतज़ार कर रहा था। न तो मिसेज मेयली, न हैरी, न रोज़ (जो सब एक साथ आईं) कोई शब्द कह सके।

“मैंने आज रात अपने सिर को खाने के बारे में गंभीरता से सोचा,” मिस्टर ग्रिमविग ने कहा, “क्योंकि मैं सोचने लगा था कि मुझे और कुछ नहीं मिलेगा। अगर आप अनुमति दें, तो मैं होने वाली दुल्हन को नमस्कार करने की अनुमति लूँगा।”

मिस्टर ग्रिमविग ने इस सूचना को शर्माई हुई लड़की पर लागू करने में कोई समय नहीं गंवाया; और उदाहरण, संक्रामक होने के कारण, डॉक्टर और मिस्टर ब्राउनलो द्वारा भी अनुसरण किया गया: कुछ लोग दावा करते हैं कि हैरी मेयली को इसे पहले एक अंधेरे कमरे में सेट करते देखा गया था; लेकिन सबसे अच्छे अधिकारियों का मानना है कि यह पूरी तरह से स्कैंडल है: वह युवा और एक पादरी थे।

“ओलिवर, मेरे बच्चे,” मिसेज मेयली ने कहा, “तुम कहाँ थे, और तुम इतने उदास क्यों दिख रहे हो? इस क्षण तुम्हारे चेहरे पर आँसू हैं। क्या हुआ?”

यह निराशा की दुनिया है: अक्सर उन उम्मीदों पर जो हम सबसे ज्यादा संजोते हैं, और जो हमारी प्रकृति को सबसे बड़ा सम्मान देती हैं।

बेचारा डिक मर गया!

Oliver Twist Chapter 51

AFFORDING AN EXPLANATION OF MORE MYSTERIES THAN ONE, AND COMPREHENDING A PROPOSAL OF MARRIAGE WITH NO WORD OF SETTLEMENT OR PIN-MONEY

The events narrated in the last chapter were yet but two days old, when Oliver found himself, at three o’clock in the afternoon, in a travelling-carriage rolling fast towards his native town. Mrs. Maylie, and Rose, and Mrs. Bedwin, and the good doctor were with him: and Mr. Brownlow followed in a post-chaise, accompanied by one other person whose name had not been mentioned.

They had not talked much upon the way; for Oliver was in a flutter of agitation and uncertainty which deprived him of the power of collecting his thoughts, and almost of speech, and appeared to have scarcely less effect on his companions, who shared it, in at least an equal degree. He and the two ladies had been very carefully made acquainted by Mr. Brownlow with the nature of the admissions which had been forced from Monks; and although they knew that the object of their present journey was to complete the work which had been so well begun, still the whole matter was enveloped in enough of doubt and mystery to leave them in endurance of the most intense suspense.

The same kind friend had, with Mr. Losberne’s assistance, cautiously stopped all channels of communication through which they could receive intelligence of the dreadful occurrences that had so recently taken place. “It was quite true,” he said, “that they must know them before long, but it might be at a better time than the present, and it could not be at a worse.” So, they travelled on in silence: each busied with reflections on the object which had brought them together: and no one disposed to give utterance to the thoughts which crowded upon all.

But if Oliver, under these influences, had remained silent while they journeyed towards his birth-place by a road he had never seen, how the whole current of his recollections ran back to old times, and what a crowd of emotions were wakened up in his breast, when they turned into that which he had traversed on foot: a poor houseless, wandering boy, without a friend to help him, or a roof to shelter his head.

“See there, there!” cried Oliver, eagerly clasping the hand of Rose, and pointing out at the carriage window; “that’s the stile I came over; there are the hedges I crept behind, for fear any one should overtake me and force me back! Yonder is the path across the fields, leading to the old house where I was a little child! Oh Dick, Dick, my dear old friend, if I could only see you now!”

“You will see him soon,” replied Rose, gently taking his folded hands between her own. “You shall tell him how happy you are, and how rich you have grown, and that in all your happiness you have none so great as the coming back to make him happy too.”

“Yes, yes,” said Oliver, “and we’ll—we’ll take him away from here, and have him clothed and taught, and send him to some quiet country place where he may grow strong and well,—shall we?”

Rose nodded “yes,” for the boy was smiling through such happy tears that she could not speak.

“You will be kind and good to him, for you are to every one,” said Oliver. “It will make you cry, I know, to hear what he can tell; but never mind, never mind, it will be all over, and you will smile again—I know that too—to think how changed he is; you did the same with me. He said ‘God bless you’ to me when I ran away,” cried the boy with a burst of affectionate emotion; “and I will say ‘God bless you’ now, and show him how I love him for it!”

As they approached the town, and at length drove through its narrow streets, it became matter of no small difficulty to restrain the boy within reasonable bounds. There was Sowerberry’s the undertaker’s just as it used to be, only smaller and less imposing in appearance than he remembered it—there were all the well-known shops and houses, with almost every one of which he had some slight incident connected—there was Gamfield’s cart, the very cart he used to have, standing at the old public-house door—there was the workhouse, the dreary prison of his youthful days, with its dismal windows frowning on the street—there was the same lean porter standing at the gate, at sight of whom Oliver involuntarily shrunk back, and then laughed at himself for being so foolish, then cried, then laughed again—there were scores of faces at the doors and windows that he knew quite well—there was nearly everything as if he had left it but yesterday, and all his recent life had been but a happy dream.

But it was pure, earnest, joyful reality. They drove straight to the door of the chief hotel (which Oliver used to stare up at, with awe, and think a mighty palace, but which had somehow fallen off in grandeur and size); and here was Mr. Grimwig all ready to receive them, kissing the young lady, and the old one too, when they got out of the coach, as if he were the grandfather of the whole party, all smiles and kindness, and not offering to eat his head—no, not once; not even when he contradicted a very old postboy about the nearest road to London, and maintained he knew it best, though he had only come that way once, and that time fast asleep. There was dinner prepared, and there were bedrooms ready, and everything was arranged as if by magic.

Notwithstanding all this, when the hurry of the first half-hour was over, the same silence and constraint prevailed that had marked their journey down. Mr. Brownlow did not join them at dinner, but remained in a separate room. The two other gentlemen hurried in and out with anxious faces, and, during the short intervals when they were present, conversed apart. Once, Mrs. Maylie was called away, and after being absent for nearly an hour, returned with eyes swollen with weeping. All these things made Rose and Oliver, who were not in any new secrets, nervous and uncomfortable. They sat wondering, in silence; or, if they exchanged a few words, spoke in whispers, as if they were afraid to hear the sound of their own voices.

At length, when nine o’clock had come, and they began to think they were to hear no more that night, Mr. Losberne and Mr. Grimwig entered the room, followed by Mr. Brownlow and a man whom Oliver almost shrieked with surprise to see; for they told him it was his brother, and it was the same man he had met at the market-town, and seen looking in with Fagin at the window of his little room. Monks cast a look of hate, which, even then, he could not dissemble, at the astonished boy, and sat down near the door. Mr. Brownlow, who had papers in his hand, walked to a table near which Rose and Oliver were seated.

“This is a painful task,” said he, “but these declarations, which have been signed in London before many gentlemen, must be in substance repeated here. I would have spared you the degradation, but we must hear them from your own lips before we part, and you know why.”

“Go on,” said the person addressed, turning away his face. “Quick. I have almost done enough, I think. Don’t keep me here.”

“This child,” said Mr. Brownlow, drawing Oliver to him, and laying his hand upon his head, “is your half-brother; the illegitimate son of your father, my dear friend Edwin Leeford, by poor young Agnes Fleming, who died in giving him birth.”

“Yes,” said Monks, scowling at the trembling boy: the beating of whose heart he might have heard. “That is the bastard child.”

“The term you use,” said Mr. Brownlow, sternly, “is a reproach to those long since passed beyond the feeble censure of the world. It reflects disgrace on no one living, except you who use it. Let that pass. He was born in this town.”

“In the workhouse of this town,” was the sullen reply. “You have the story there.” He pointed impatiently to the papers as he spoke.

“I must have it here, too,” said Mr. Brownlow, looking round upon the listeners.

“Listen then! You!” returned Monks. “His father being taken ill at Rome, was joined by his wife, my mother, from whom he had been long separated, who went from Paris and took me with her—to look after his property, for what I know, for she had no great affection for him, nor he for her. He knew nothing of us, for his senses were gone, and he slumbered on till next day, when he died. Among the papers in his desk, were two, dated on the night his illness first came on, directed to yourself”; he addressed himself to Mr. Brownlow; “and enclosed in a few short lines to you, with an intimation on the cover of the package that it was not to be forwarded till after he was dead. One of these papers was a letter to this girl Agnes; the other a will.”

“What of the letter?” asked Mr. Brownlow.

“The letter?—A sheet of paper crossed and crossed again, with a penitent confession, and prayers to God to help her. He had palmed a tale on the girl that some secret mystery—to be explained one day—prevented his marrying her just then; and so she had gone on, trusting patiently to him, until she trusted too far, and lost what none could ever give her back. She was, at that time, within a few months of her confinement. He told her all he had meant to do, to hide her shame, if he had lived, and prayed her, if he died, not to curse his memory, or think the consequences of their sin would be visited on her or their young child; for all the guilt was his. He reminded her of the day he had given her the little locket and the ring with her christian name engraved upon it, and a blank left for that which he hoped one day to have bestowed upon her—prayed her yet to keep it, and wear it next her heart, as she had done before—and then ran on, wildly, in the same words, over and over again, as if he had gone distracted. I believe he had.”

“The will,” said Mr. Brownlow, as Oliver’s tears fell fast.

Monks was silent.

“The will,” said Mr. Brownlow, speaking for him, “was in the same spirit as the letter. He talked of miseries which his wife had brought upon him; of the rebellious disposition, vice, malice, and premature bad passions of you his only son, who had been trained to hate him; and left you, and your mother, each an annuity of eight hundred pounds. The bulk of his property he divided into two equal portions—one for Agnes Fleming, and the other for their child, if it should be born alive, and ever come of age. If it were a girl, it was to inherit the money unconditionally; but if a boy, only on the stipulation that in his minority he should never have stained his name with any public act of dishonour, meanness, cowardice, or wrong. He did this, he said, to mark his confidence in the mother, and his conviction—only strengthened by approaching death—that the child would share her gentle heart, and noble nature. If he were disappointed in this expectation, then the money was to come to you: for then, and not till then, when both children were equal, would he recognise your prior claim upon his purse, who had none upon his heart, but had, from an infant, repulsed him with coldness and aversion.”

“My mother,” said Monks, in a louder tone, “did what a woman should have done. She burnt this will. The letter never reached its destination; but that, and other proofs, she kept, in case they ever tried to lie away the blot. The girl’s father had the truth from her with every aggravation that her violent hate—I love her for it now—could add. Goaded by shame and dishonour he fled with his children into a remote corner of Wales, changing his very name that his friends might never know of his retreat; and here, no great while afterwards, he was found dead in his bed. The girl had left her home, in secret, some weeks before; he had searched for her, on foot, in every town and village near; it was on the night when he returned home, assured that she had destroyed herself, to hide her shame and his, that his old heart broke.”

There was a short silence here, until Mr. Brownlow took up the thread of the narrative.

“Years after this,” he said, “this man’s—Edward Leeford’s—mother came to me. He had left her, when only eighteen; robbed her of jewels and money; gambled, squandered, forged, and fled to London: where for two years he had associated with the lowest outcasts. She was sinking under a painful and incurable disease, and wished to recover him before she died. Inquiries were set on foot, and strict searches made. They were unavailing for a long time, but ultimately successful; and he went back with her to France.”

“There she died,” said Monks, “after a lingering illness; and, on her death-bed, she bequeathed these secrets to me, together with her unquenchable and deadly hatred of all whom they involved—though she need not have left me that, for I had inherited it long before. She would not believe that the girl had destroyed herself, and the child too, but was filled with the impression that a male child had been born, and was alive. I swore to her, if ever it crossed my path, to hunt it down; never to let it rest; to pursue it with the bitterest and most unrelenting animosity; to vent upon it the hatred that I deeply felt, and to spit upon the empty vaunt of that insulting will by dragging it, if I could, to the very gallows-foot. She was right. He came in my way at last. I began well; and, but for babbling drabs, I would have finished as I began!”

As the villain folded his arms tight together, and muttered curses on himself in the impotence of baffled malice, Mr. Brownlow turned to the terrified group beside him, and explained that the Jew, who had been his old accomplice and confidant, had a large reward for keeping Oliver ensnared: of which some part was to be given up, in the event of his being rescued: and that a dispute on this head had led to their visit to the country house for the purpose of identifying him.

“The locket and ring?” said Mr. Brownlow, turning to Monks.

“I bought them from the man and woman I told you of, who stole them from the nurse, who stole them from the corpse,” answered Monks without raising his eyes. “You know what became of them.”

Mr. Brownlow merely nodded to Mr. Grimwig, who disappearing with great alacrity, shortly returned, pushing in Mrs. Bumble, and dragging her unwilling consort after him.

“Do my hi’s deceive me!” cried Mr. Bumble, with ill-feigned enthusiasm, “or is that little Oliver? Oh O-li-ver, if you know’d how I’ve been a-grieving for you—”

“Hold your tongue, fool,” murmured Mrs. Bumble.

“Isn’t natur, natur, Mrs. Bumble?” remonstrated the workhouse master. “Can’t I be supposed to feel—I as brought him up porochially—when I see him a-setting here among ladies and gentlemen of the very affablest description! I always loved that boy as if he’d been my—my—my own grandfather,” said Mr. Bumble, halting for an appropriate comparison. “Master Oliver, my dear, you remember the blessed gentleman in the white waistcoat? Ah! he went to heaven last week, in a oak coffin with plated handles, Oliver.”

“Come, sir,” said Mr. Grimwig, tartly; “suppress your feelings.”

“I will do my endeavours, sir,” replied Mr. Bumble. “How do you do, sir? I hope you are very well.”

This salutation was addressed to Mr. Brownlow, who had stepped up to within a short distance of the respectable couple. He inquired, as he pointed to Monks,

“Do you know that person?”

“No,” replied Mrs. Bumble flatly.

“Perhaps you don’t?” said Mr. Brownlow, addressing her spouse.

“I never saw him in all my life,” said Mr. Bumble.

“Nor sold him anything, perhaps?”

“No,” replied Mrs. Bumble.

“You never had, perhaps, a certain gold locket and ring?” said Mr. Brownlow.

“Certainly not,” replied the matron. “Why are we brought here to answer to such nonsense as this?”

Again Mr. Brownlow nodded to Mr. Grimwig; and again that gentleman limped away with extraordinary readiness. But not again did he return with a stout man and wife; for this time, he led in two palsied women, who shook and tottered as they walked.

“You shut the door the night old Sally died,” said the foremost one, raising her shrivelled hand, “but you couldn’t shut out the sound, nor stop the chinks.”

“No, no,” said the other, looking round her and wagging her toothless jaws. “No, no, no.”

“We heard her try to tell you what she’d done, and saw you take a paper from her hand, and watched you too, next day, to the pawnbroker’s shop,” said the first.

“Yes,” added the second, “and it was a ‘locket and gold ring.’ We found out that, and saw it given you. We were by. Oh! we were by.”

“And we know more than that,” resumed the first, “for she told us often, long ago, that the young mother had told her that, feeling she should never get over it, she was on her way, at the time that she was taken ill, to die near the grave of the father of the child.”

“Would you like to see the pawnbroker himself?” asked Mr. Grimwig with a motion towards the door.

“No,” replied the woman; “if he”—she pointed to Monks—“has been coward enough to confess, as I see he has, and you have sounded all these hags till you have found the right ones, I have nothing more to say. I did sell them, and they’re where you’ll never get them. What then?”

“Nothing,” replied Mr. Brownlow, “except that it remains for us to take care that neither of you is employed in a situation of trust again. You may leave the room.”

“I hope,” said Mr. Bumble, looking about him with great ruefulness, as Mr. Grimwig disappeared with the two old women: “I hope that this unfortunate little circumstance will not deprive me of my porochial office?”

“Indeed it will,” replied Mr. Brownlow. “You may make up your mind to that, and think yourself well off besides.”

“It was all Mrs. Bumble. She would do it,” urged Mr. Bumble; first looking round to ascertain that his partner had left the room.

“That is no excuse,” replied Mr. Brownlow. “You were present on the occasion of the destruction of these trinkets, and indeed are the more guilty of the two, in the eye of the law; for the law supposes that your wife acts under your direction.”

“If the law supposes that,” said Mr. Bumble, squeezing his hat emphatically in both hands, “the law is a ass—a idiot. If that’s the eye of the law, the law is a bachelor; and the worst I wish the law is, that his eye may be opened by experience—by experience.”

Laying great stress on the repetition of these two words, Mr. Bumble fixed his hat on very tight, and putting his hands in his pockets, followed his helpmate downstairs.

“Young lady,” said Mr. Brownlow, turning to Rose, “give me your hand. Do not tremble. You need not fear to hear the few remaining words we have to say.”

“If they have—I do not know how they can, but if they have—any reference to me,” said Rose, “pray let me hear them at some other time. I have not strength or spirits now.”

“Nay,” returned the old gentleman, drawing her arm through his; “you have more fortitude than this, I am sure. Do you know this young lady, sir?”

“Yes,” replied Monks.

“I never saw you before,” said Rose faintly.

“I have seen you often,” returned Monks.

“The father of the unhappy Agnes had two daughters,” said Mr. Brownlow. “What was the fate of the other—the child?”

“The child,” replied Monks, “when her father died in a strange place, in a strange name, without a letter, book, or scrap of paper that yielded the faintest clue by which his friends or relatives could be traced—the child was taken by some wretched cottagers, who reared it as their own.”

“Go on,” said Mr. Brownlow, signing to Mrs. Maylie to approach. “Go on!”

“You couldn’t find the spot to which these people had repaired,” said Monks, “but where friendship fails, hatred will often force a way. My mother found it, after a year of cunning search—ay, and found the child.”

“She took it, did she?”

“No. The people were poor and began to sicken—at least the man did—of their fine humanity; so she left it with them, giving them a small present of money which would not last long, and promised more, which she never meant to send. She didn’t quite rely, however, on their discontent and poverty for the child’s unhappiness, but told the history of the sister’s shame, with such alterations as suited her; bade them take good heed of the child, for she came of bad blood; and told them she was illegitimate, and sure to go wrong at one time or other. The circumstances countenanced all this; the people believed it; and there the child dragged on an existence, miserable enough even to satisfy us, until a widow lady, residing, then, at Chester, saw the girl by chance, pitied her, and took her home. There was some cursed spell, I think, against us; for in spite of all our efforts she remained there and was happy. I lost sight of her, two or three years ago, and saw her no more until a few months back.”

“Do you see her now?”

“Yes. Leaning on your arm.”

“But not the less my niece,” cried Mrs. Maylie, folding the fainting girl in her arms; “not the less my dearest child. I would not lose her now, for all the treasures of the world. My sweet companion, my own dear girl!”

“The only friend I ever had,” cried Rose, clinging to her. “The kindest, best of friends. My heart will burst. I cannot bear all this.”

“You have borne more, and have been, through all, the best and gentlest creature that ever shed happiness on every one she knew,” said Mrs. Maylie, embracing her tenderly. “Come, come, my love, remember who this is who waits to clasp you in his arms, poor child! See here—look, look, my dear!”

“Not aunt,” cried Oliver, throwing his arms about her neck; “I’ll never call her aunt—sister, my own dear sister, that something taught my heart to love so dearly from the first! Rose, dear, darling Rose!”

Let the tears which fell, and the broken words which were exchanged in the long close embrace between the orphans, be sacred. A father, sister, and mother, were gained, and lost, in that one moment. Joy and grief were mingled in the cup; but there were no bitter tears: for even grief itself arose so softened, and clothed in such sweet and tender recollections, that it became a solemn pleasure, and lost all character of pain.

They were a long, long time alone. A soft tap at the door, at length announced that some one was without. Oliver opened it, glided away, and gave place to Harry Maylie.

“I know it all,” he said, taking a seat beside the lovely girl. “Dear Rose, I know it all.”

“I am not here by accident,” he added after a lengthened silence; “nor have I heard all this tonight, for I knew it yesterday—only yesterday. Do you guess that I have come to remind you of a promise?”

“Stay,” said Rose. “You do know all.”

“All. You gave me leave, at any time within a year, to renew the subject of our last discourse.”

“I did.”

“Not to press you to alter your determination,” pursued the young man, “but to hear you repeat it, if you would. I was to lay whatever of station or fortune I might possess at your feet, and if you still adhered to your former determination, I pledged myself, by no word or act, to seek to change it.”

“The same reasons which influenced me then, will influence me now,” said Rose firmly. “If I ever owed a strict and rigid duty to her, whose goodness saved me from a life of indigence and suffering, when should I ever feel it, as I should tonight? It is a struggle,” said Rose, “but one I am proud to make; it is a pang, but one my heart shall bear.”

“The disclosure of tonight,”—Harry began.

“The disclosure of tonight,” replied Rose softly, “leaves me in the same position, with reference to you, as that in which I stood before.”

“You harden your heart against me, Rose,” urged her lover.

“Oh Harry, Harry,” said the young lady, bursting into tears; “I wish I could, and spare myself this pain.”

“Then why inflict it on yourself?” said Harry, taking her hand. “Think, dear Rose, think what you have heard tonight.”

“And what have I heard! What have I heard!” cried Rose. “That a sense of his deep disgrace so worked upon my own father that he shunned all—there, we have said enough, Harry, we have said enough.”

“Not yet, not yet,” said the young man, detaining her as she rose. “My hopes, my wishes, prospects, feeling: every thought in life except my love for you: have undergone a change. I offer you, now, no distinction among a bustling crowd; no mingling with a world of malice and detraction, where the blood is called into honest cheeks by aught but real disgrace and shame; but a home—a heart and home—yes, dearest Rose, and those, and those alone, are all I have to offer.”

“What do you mean!” she faltered.

“I mean but this—that when I left you last, I left you with a firm determination to level all fancied barriers between yourself and me; resolved that if my world could not be yours, I would make yours mine; that no pride of birth should curl the lip at you, for I would turn from it. This I have done. Those who have shrunk from me because of this, have shrunk from you, and proved you so far right. Such power and patronage: such relatives of influence and rank: as smiled upon me then, look coldly now; but there are smiling fields and waving trees in England’s richest county; and by one village church—mine, Rose, my own!—there stands a rustic dwelling which you can make me prouder of, than all the hopes I have renounced, measured a thousandfold. This is my rank and station now, and here I lay it down!”

“It’s a trying thing waiting supper for lovers,” said Mr. Grimwig, waking up, and pulling his pocket-handkerchief from over his head.

Truth to tell, the supper had been waiting a most unreasonable time. Neither Mrs. Maylie, nor Harry, nor Rose (who all came in together), could offer a word in extenuation.

“I had serious thoughts of eating my head tonight,” said Mr. Grimwig, “for I began to think I should get nothing else. I’ll take the liberty, if you’ll allow me, of saluting the bride that is to be.”

Mr. Grimwig lost no time in carrying this notice into effect upon the blushing girl; and the example, being contagious, was followed both by the doctor and Mr. Brownlow: some people affirm that Harry Maylie had been observed to set it, originally, in a dark room adjoining; but the best authorities consider this downright scandal: he being young and a clergyman.

“Oliver, my child,” said Mrs. Maylie, “where have you been, and why do you look so sad? There are tears stealing down your face at this moment. What is the matter?”

It is a world of disappointment: often to the hopes we most cherish, and hopes that do our nature the greatest honour.

Poor Dick was dead!

ओलिवर ट्विस्ट अध्याय 50

पीछा और बच निकलना

थेम्स नदी के उस हिस्से के पास, जहाँ रोदरहिथ का चर्च स्थित है, जहाँ किनारे की इमारतें सबसे गंदी हैं और नदी पर चलने वाले जहाज कोयले की धूल और पास बनी छोटी-छोटी छतों वाले घरों के धुएँ से काले हैं, वहाँ लंदन के कई छिपे हुए इलाकों में से सबसे गंदा, सबसे अजीब, और सबसे असाधारण इलाका मौजूद है, जिसका नाम तक लंदन के अधिकांश निवासियों को पता नहीं है।

इस जगह तक पहुँचने के लिए, आगंतुक को संकरे, कीचड़ से भरे गलियों के जाल से होकर गुजरना पड़ता है, जहाँ नदी किनारे के सबसे गरीब और कठोर लोग रहते हैं, और उनके कारोबार की वजह से यहाँ भीड़ लगी रहती है। दुकानों में सबसे सस्ती और घटिया चीजें भरी होती हैं; सबसे मोटे और सस्ते कपड़े दुकानदार के दरवाजे पर लटके होते हैं, और घरों की खिड़कियों और दीवारों से लटके होते हैं। बेरोजगार मजदूरों, बालास्ट-ढोने वालों, कोयला-लादने वालों, बेशर्म औरतों, फटेहाल बच्चों, और नदी के कचरे और गंदगी से जूझते हुए वह मुश्किल से आगे बढ़ता है। दाएँ-बाएँ की तंग गलियों से आती गंदी बदबू और घिनौने दृश्य उसे परेशान करते हैं, और भारी गाड़ियों के शोर से उसके कान बहरे हो जाते हैं, जो गोदामों से माल ढोती हैं, जो हर मोड़ पर ऊँची उठी होती हैं। आखिरकार, जब वह और भी सुनसान और कम भीड़-भाड़ वाली गलियों में पहुँचता है, तो वह झुकी हुई इमारतों के नीचे चलता है, टूटी-फूटी दीवारें जो गिरने के कगार पर होती हैं, आधी ध्वस्त चिमनियाँ, खिड़कियाँ जो पुराने जंग लगे लोहे की सलाखों से ढकी होती हैं, और चारों ओर बर्बादी और उपेक्षा के निशान दिखाई देते हैं।

ऐसी ही एक बस्ती में, साउथवार्क के बॉरो में डॉकहेड के आगे, जैकब का द्वीप स्थित है, जो एक कीचड़ भरे खाई से घिरा हुआ है, जिसकी गहराई छह से आठ फीट और चौड़ाई पंद्रह से बीस फीट तक होती है जब ज्वार आता है। इसे पहले मिल पोंड कहा जाता था, लेकिन इस कहानी के समय में इसे फॉली डिच के नाम से जाना जाता था। यह थेम्स से एक खाड़ी है, और ज्वार के समय इसे सीसा मिल्स के स्लूस खोलने पर भरा जा सकता है। ऐसे समय में, यदि कोई व्यक्ति मिल लेन पर बने लकड़ी के पुलों में से एक से देखे, तो वह देखेगा कि दोनों तरफ के घरों के निवासी अपने पिछवाड़े के दरवाजों और खिड़कियों से बाल्टियाँ, बर्तन, और घरेलू उपकरण नीचे लटकाकर पानी खींच रहे होते हैं; और जब उसकी नजर इन कामों से हटकर खुद घरों पर जाएगी, तो वह सामने के दृश्य से बेहद चकित हो जाएगा। आधी दर्जन घरों की पिछली ओर सामान्य लकड़ी की बालकनियाँ, जिनमें नीचे कीचड़ पर देखने के लिए छेद होते हैं; खिड़कियाँ टूटी-फूटी और पैबंद लगी होती हैं, जिनसे कपड़े सुखाने के लिए डंडे बाहर निकले होते हैं, लेकिन उन पर कभी कपड़े नहीं दिखते; कमरे इतने छोटे, गंदे, और संकरे होते हैं कि वहाँ की हवा भी गंदगी और घृणा के लिए बुरी लगती है; लकड़ी के कमरे कीचड़ के ऊपर लटके होते हैं और गिरने की धमकी देते हैं—जैसे कुछ पहले ही गिर चुके होते हैं; दीवारें कीचड़ में सनी होती हैं और नींव सड़ रही होती है; हर जगह गरीबी की हर बुरी निशानी, और गंदगी, सड़न, और कचरे का हर गंदा निशान दिखाई देता है। ये सब फॉली डिच के किनारों को ‘सजाते’ हैं।

जैकब के द्वीप पर, गोदामों की छतें टूटी हुई हैं और वे खाली पड़ी हैं; दीवारें गिर रही हैं; खिड़कियाँ अब खिड़कियाँ नहीं रहीं; दरवाजे सड़कों में गिर रहे हैं; चिमनियाँ काली हो गई हैं, लेकिन अब उनमें से धुआँ नहीं निकलता। तीस या चालीस साल पहले, जब घाटे और चांसरी के मुकदमों ने इसे बर्बाद नहीं किया था, यह जगह समृद्ध थी; लेकिन अब यह वास्तव में एक उजड़ा हुआ द्वीप है। इन घरों के कोई मालिक नहीं हैं; जो हिम्मत रखते हैं, वे इन्हें तोड़कर अंदर जाते हैं, वहीं रहते हैं और वहीं मरते हैं। उनके पास या तो गुप्त रूप से यहाँ रहने का कोई ठोस कारण होता है, या वे इतनी बुरी हालत में होते हैं कि उन्हें जैकब के द्वीप में शरण लेनी पड़ती है।

इन घरों में से एक के ऊपरी कमरे में—जो एक अलग-थलग और ठीक-ठाक बड़ा घर था, बाकी मामलों में खस्ताहाल, लेकिन दरवाजे और खिड़की पर मजबूती से बंद किया गया था—जिस घर का पिछवाड़ा पहले से वर्णित खाई की तरफ था, वहाँ तीन आदमी बैठे थे। वे कभी-कभी एक-दूसरे की ओर उलझन और उम्मीद से भरी नजरों से देखते हुए बैठे थे और कुछ समय तक गहरे और उदास सन्नाटे में डूबे रहे। इनमें से एक था टोबी क्रैकिट, दूसरा मिस्टर चिटलिंग, और तीसरा एक पचास साल का डाकू, जिसका नाक किसी पुराने झगड़े में लगभग टूट चुका था, और जिसके चेहरे पर एक भयानक निशान था, जो शायद उसी झगड़े की वजह से था। यह आदमी एक बागी था, और इसका नाम काग्स था।

““काश,” टोबी ने मिस्टर चिटलिंग की तरफ मुड़ते हुए कहा, “तुमने कोई और ठिकाना चुना होता जब दो पुराने ठिकाने ज्यादा खतरनाक हो गए थे, और यहाँ न आए होते, मेरे प्यारे दोस्त।”

“क्यों नहीं किया, बेवकूफ!” काग्स ने कहा।

“अरे, मैंने सोचा था कि तुम मुझे देखकर थोड़ा और खुश होगे,” मिस्टर चिटलिंग ने उदास स्वर में कहा।

“देखो, छोटे जनाब,” टोबी ने कहा, “जब कोई आदमी खुद को इतना अलग-थलग रखता है, जैसे मैंने किया है, और इस वजह से उसके सिर पर एक सुरक्षित घर हो जिसमें कोई ताका-झांकी न कर रहा हो, तो ये थोड़ा अजीब होता है कि एक नौजवान जनाब (चाहे वो कितना भी इज़्ज़तदार और ताश खेलने के लिए कितना भी अच्छा क्यों न हो) ऐसे हालात में आए जैसा तुम हो।”

“खासकर जब वह अलग-थलग आदमी का एक दोस्त उसके साथ रुका हो, जो विदेश से उम्मीद से जल्दी आ गया हो, और जो इतना विनम्र हो कि वह न्यायाधीशों से मिलने की इच्छा न रखता हो,” काग्स ने जोड़ा।

थोड़ी देर के बाद, टोबी क्रैकिट ने, अपनी सामान्य बेफिक्र अंदाज़ को बनाए रखने की कोशिश छोड़ते हुए, चिटलिंग की तरफ मुड़कर कहा, “फैगिन को कब पकड़ा गया था?”

“दोपहर के खाने के वक्त—आज दोपहर दो बजे। चार्ली और मैंने अपनी किस्मत चिमनी में छिपकर बचाई, और बोल्टर खाली पानी के ड्रम में सिर के बल घुस गया; लेकिन उसकी टाँगें इतनी लंबी थीं कि बाहर निकल गईं, और इसलिए उसे भी पकड़ लिया।”

“और बेट?”

“बेचारी बेट! वह लाश को देखने गई, ये जानने के लिए कि वह कौन था,” चिटलिंग ने कहा, और उसका चेहरा और भी ज्यादा गिरा, “और पागल हो गई, चिल्लाने और चिल्लाने लगी, और अपना सिर दीवारों पर मारने लगी; इसलिए उन्होंने उसे बाँधकर अस्पताल भेज दिया—और अब वह वहीं है।”

“यंग बेट्स का क्या हुआ?” काग्स ने पूछा।

“वह इंतजार कर रहा था, अंधेरा होने से पहले यहाँ न आने के लिए, लेकिन वह जल्द ही यहाँ होगा,” चिटलिंग ने जवाब दिया। “अब और कहीं जाने की जगह नहीं है, क्योंकि क्रिपल्स के लोग सब हिरासत में हैं, और मैं ऊपर गया और अपनी आँखों से देखा, वो जगह पुलिस से भरी हुई है।”

“ये तो बुरा हो गया,” टोबी ने अपने होंठ काटते हुए कहा। “इससे कई लोग फँसेंगे।”

“सत्र चल रहे हैं,” काग्स ने कहा, “अगर वे जांच पूरी कर लें, और बोल्टर सरकारी गवाह बन जाए: जैसा कि उसने अभी तक कहा है: वे साबित कर सकते हैं कि फैगिन पहले से ही इसमें शामिल था, और शुक्रवार को मुकदमा शुरू हो जाएगा, और वह छह दिन में फाँसी पर चढ़ जाएगा, भगवान की कसम!”

“तुम्हें लोगों की चीखें सुननी चाहिए थीं,” चिटलिंग ने कहा; “अधिकारियों ने शैतानों की तरह लड़ाई की, नहीं तो लोग उसे खींच ले जाते। एक बार वह गिर भी गया था, लेकिन उन्होंने उसके चारों ओर घेरा बना लिया और उसे बचा लिया। तुमने उसे देखना चाहिए था, कैसे वह चारों ओर देख रहा था, पूरा गंदगी और खून में सना हुआ, और अधिकारियों से ऐसे चिपक गया जैसे वे उसके सबसे प्यारे दोस्त हों। मैं अभी भी देख सकता हूँ, भीड़ के दबाव से वे सीधे खड़े नहीं हो पा रहे थे, और उसे अपने साथ खींच रहे थे; मैं देख सकता हूँ लोगों को एक-दूसरे के पीछे कूदते हुए, और दाँत निकालकर उसे पकड़ने की कोशिश करते हुए; मैं उसके बालों और दाढ़ी पर खून देख सकता हूँ, और महिलाओं की चीखें सुन सकता हूँ, जो गुस्से में आकर भीड़ के बीच में घुस गई थीं और कसम खा रही थीं कि वे उसका दिल निकाल लेंगी!”

इस दृश्य से आतंकित गवाह ने अपने हाथों से अपने कान ढँक लिए, और अपनी आँखें बंद कर, पागल की तरह कमरे में इधर-उधर घूमने लगा।

जब वह इस तरह व्यस्त था, और दोनों आदमी चुपचाप जमीन की तरफ देखते हुए बैठे थे, सीढ़ियों पर एक हल्की आवाज आई, और साइक्स का कुत्ता कमरे में कूद पड़ा। वे खिड़की की तरफ दौड़े, नीचे की तरफ भागे, और सड़क पर निकल गए। कुत्ता एक खुली खिड़की से अंदर कूदा था; उसने उन्हें पीछा करने की कोशिश नहीं की, और न ही उसका मालिक कहीं दिखाई दिया।

“इसका क्या मतलब है?” टोबी ने वापस लौटने पर कहा। “वह यहाँ नहीं आ रहा होगा। मैं—मैं—उम्मीद करता हूँ कि नहीं।”

“अगर वह आ रहा होता, तो कुत्ता उसके साथ होता,” काग्स ने कहा, जो कुत्ते की जाँच करने के लिए झुका, जो फर्श पर हाँफ रहा था। “इधर! इसके लिए थोड़ा पानी लाओ; यह थककर चूर हो गया है।”

“इसने सारा पानी पी लिया, एक-एक बूँद,” चिटलिंग ने कुत्ते को कुछ देर तक चुपचाप देखते हुए कहा। “यह कीचड़ से सना हुआ है—लंगड़ा रहा है—आधा अंधा हो गया है—यह लंबा सफर तय करके आया है।”

“यह कहाँ से आया होगा!” टोबी ने चौंकते हुए कहा। “यह बाकी ठिकानों पर जरूर गया होगा, और वहाँ अजनबियों को देखकर यहाँ आ गया, जहाँ यह कई बार पहले भी आ चुका है। लेकिन यह पहले कहाँ गया होगा, और यहाँ अकेला कैसे आया!”

“वह”—(उनमें से कोई भी हत्यारे को उसके पुराने नाम से नहीं बुलाता था)—“उसने खुद को खत्म नहीं किया होगा। तुम क्या सोचते हो?” चिटलिंग ने कहा।

टोबी ने अपना सिर हिलाया।

“अगर उसने ऐसा किया होता,” काग्स ने कहा, “तो कुत्ता हमें वहाँ ले जाने की कोशिश करता जहाँ उसने ऐसा किया। नहीं। मुझे लगता है कि वो देश से भाग गया है और कुत्ते को पीछे छोड़ दिया है। उसने किसी तरह कुत्ते को चकमा दिया होगा, नहीं तो कुत्ता इतना शांत नहीं होता।”

यह सबसे सही और संभावित हल लग रहा था, इसलिए इसे मान लिया गया। कुत्ता, एक कुर्सी के नीचे रेंगकर, खुद को लपेटकर सो गया, और किसी ने उस पर ज्यादा ध्यान नहीं दिया।

अब अंधेरा हो चुका था, शटर बंद कर दिया गया और एक मोमबत्ती जलाई गई और मेज पर रख दी गई। पिछले दो दिनों की भयानक घटनाओं ने तीनों पर गहरा असर डाला था, जो उनके खुद के हालात की खतरनाक स्थिति और अनिश्चितता से और बढ़ गया था। वे अपनी कुर्सियों को पास खींचकर बैठ गए, हर आवाज़ पर चौंकते हुए। वे कम बोल रहे थे, और वह भी फुसफुसाते हुए, और ऐसे चुपचाप और डरे हुए थे, जैसे कि मरी हुई औरत की लाश अगले कमरे में पड़ी हो।

वे कुछ समय तक इसी तरह बैठे रहे, जब अचानक नीचे दरवाजे पर तेज़ी से दस्तक हुई।

“यंग बेट्स,” काग्स ने गुस्से से चारों ओर देखते हुए कहा, जिससे वह अपना डर छिपा सके।

फिर से दस्तक आई। नहीं, यह वो नहीं था। वह कभी इस तरह दस्तक नहीं देता।

क्रैकिट खिड़की के पास गया, और पूरे शरीर में काँपते हुए, अपना सिर खींच लिया। उन्हें बताने की ज़रूरत नहीं थी कि कौन था; उसका पीला चेहरा ही काफी था। कुत्ता भी तुरंत चौकन्ना हो गया और दरवाजे की तरफ दौड़ा।

“हमें उसे अंदर आने देना होगा,” उसने मोमबत्ती उठाते हुए कहा।

“क्या कोई और रास्ता नहीं है?” दूसरे आदमी ने घबराई आवाज़ में पूछा।

“नहीं। उसे अंदर आना ही होगा।”

“हमें अंधेरे में मत छोड़ो,” काग्स ने कहा, चिमनी से एक मोमबत्ती उठाते हुए और उसे जलाते हुए, उसका हाथ इतना काँप रहा था कि दस्तक दो बार और हुई, इससे पहले कि वह जलाने का काम पूरा करता।

क्रैकिट दरवाजे की ओर गया, और वापस आया, उसके पीछे एक आदमी था, जिसके चेहरे के निचले हिस्से पर एक रूमाल लिपटा हुआ था, और उसके सिर पर एक और रूमाल था जो टोपी के नीचे बंधा हुआ था। उसने धीरे-धीरे उन्हें हटाया। सफेद चेहरा, धंसी हुई आँखें, गालों की खोखल, तीन दिन की दाढ़ी, कमजोर शरीर, भारी-भारी साँसें; यह साइक्स का जैसे भूत था।

उसने कमरे के बीच में रखी कुर्सी पर हाथ रखा, लेकिन उसमें बैठने से पहले काँपते हुए, ऐसा लगा कि वह अपने कंधे के ऊपर देख रहा है, उसने कुर्सी को दीवार के पास खींच लिया—जितना करीब हो सके—और उसे वहाँ रगड़ते हुए बैठ गया।

कोई शब्द नहीं बोला गया था। उसने चुपचाप एक से दूसरे की तरफ देखा। अगर कोई नजरें चुपके से उसकी तरफ उठतीं और उसकी आँखों से मिलतीं, तो वे तुरंत हट जातीं। जब उसकी खोखली आवाज़ ने सन्नाटा तोड़ा, तो तीनों चौंक गए। ऐसा लगा जैसे उन्होंने उसकी आवाज़ पहले कभी सुनी ही न हो।

“यह कुत्ता यहाँ कैसे आया?” उसने पूछा।

“अकेला। तीन घंटे पहले।”

“आज रात के अखबार में लिखा है कि फैगिन पकड़ा गया है। क्या यह सच है या झूठ?”

“सच है।”

वे फिर चुप हो गए।

“तुम सब के सब धिक्कार के लायक हो!” साइक्स ने अपने माथे पर हाथ फेरते हुए कहा। “क्या तुम लोगों के पास मुझसे कहने के लिए कुछ नहीं है?”

उनके बीच थोड़ी बेचैनी हुई, लेकिन किसी ने कुछ नहीं कहा।

“तुम जो इस घर को चलाते हो,” साइक्स ने क्रैकिट की ओर मुड़ते हुए कहा, “क्या तुम मुझे बेचने का इरादा रखते हो, या मुझे यहाँ तब तक रहने दोगे जब तक यह खोजबीन खत्म नहीं हो जाती?”

“अगर तुम्हें सुरक्षित लगता है तो तुम यहाँ रह सकते हो,” संबोधित व्यक्ति ने थोड़ी हिचकिचाहट के बाद जवाब दिया।

साइक्स ने धीरे-धीरे अपनी आँखें पीछे की दीवार पर ऊपर की ओर ले जाते हुए कहा, “क्या—वह—लाश—क्या उसे दफनाया गया?”

उन्होंने अपना सिर हिलाया।

“क्यों नहीं किया गया?” उसने उसी नजर से पीछे की तरफ देखते हुए कहा। “ऐसी भयानक चीजों को जमीन के ऊपर क्यों रखा हुआ है?—यह कौन दस्तक दे रहा है?”

क्रैकिट ने इशारे से बताया कि डरने की कोई बात नहीं है; और तुरंत वापस आया, उसके पीछे चार्ली बेट्स था। साइक्स दरवाजे के सामने बैठा था, इसलिए लड़का कमरे में दाखिल होते ही उसकी नजर उस पर पड़ी।

“टोबी,” लड़के ने पीछे हटते हुए कहा, जब साइक्स ने उसकी ओर देखा, “तुमने मुझे ये नीचे क्यों नहीं बताया?”

तीनों के पीछे हटने के इतने भयानक अंदाज ने उस दयनीय आदमी को इस लड़के तक से समर्थन पाने की कोशिश करने पर मजबूर कर दिया। इसलिए उसने सिर हिलाया, और ऐसा किया जैसे वह उससे हाथ मिलाना चाहता हो।

“मुझे किसी और कमरे में जाने दो,” लड़के ने और पीछे हटते हुए कहा।

“चार्ली!” साइक्स ने आगे बढ़ते हुए कहा। “क्या तुम—क्या तुम मुझे नहीं पहचानते?”

“मेरे पास मत आओ,” लड़के ने जवाब दिया, अब भी पीछे हटते हुए और डर से हत्यारे के चेहरे की ओर देखते हुए। “तुम राक्षस हो!”

आदमी आधे रास्ते पर रुक गया, और दोनों एक-दूसरे को देखते रहे; लेकिन धीरे-धीरे साइक्स की आँखें नीचे झुक गईं।

“तुम तीनों गवाह रहना,” लड़के ने अपनी मुट्ठी भींचते हुए कहा, और बोलते-बोलते और भी उत्तेजित हो गया। “तुम तीनों गवाह हो—मुझे उससे डर नहीं है—अगर वो यहाँ आया और लोग उसके पीछे आए, तो मैं उसे पकड़वा दूँगा; हाँ, करूंगा। मैं तुम्हें अभी बता देता हूँ। वो चाहे मुझे इसके लिए मार डाले, या हिम्मत हो तो कोशिश करे, लेकिन अगर मैं यहाँ हूँ, तो मैं उसे पकड़वा दूँगा। चाहे उसे उबाल कर मारना पड़े, मैं उसे पकड़वा दूँगा। हत्या! मदद करो! अगर तुम तीनों में से कोई एक भी आदमी है, तो मेरी मदद करो। हत्या! मदद करो! उसे पकड़ो!”

यह चिल्लाते हुए, और इसके साथ-साथ उग्र इशारे करते हुए, लड़का अकेले ही उस ताकतवर आदमी पर कूद पड़ा, और अपनी तीव्र ऊर्जा और अचानक हुए हमले से उसे भारी जमीन पर पटक दिया।

तीनों दर्शक जैसे स्तब्ध हो गए। उन्होंने कोई दखल नहीं दिया, और लड़का और आदमी जमीन पर लुढ़कते रहे; लड़का, उस पर हो रही मार को अनदेखा करते हुए, हत्यारे की छाती पर कसकर अपनी पकड़ और मजबूत करता गया, और पूरी ताकत से मदद के लिए पुकारता रहा।

हालांकि, यह लड़ाई बहुत असमान थी और ज्यादा देर तक नहीं चल सकी। साइक्स ने उसे नीचे गिरा दिया, और उसका घुटना उसकी गर्दन पर था, तभी क्रैकिट ने उसे डर से पीछे खींच लिया और खिड़की की तरफ इशारा किया। नीचे रोशनी चमक रही थी, जोर-जोर से बातें करने की आवाजें आ रही थीं, और तेज कदमों की आवाजें—जो अंतहीन लग रही थीं—करीबी लकड़ी के पुल को पार कर रही थीं। भीड़ में एक आदमी घोड़े पर भी दिख रहा था; क्योंकि ऊबड़-खाबड़ फर्श पर घोड़ों के खुरों की आवाज़ गूंज रही थी। रोशनी की चमक बढ़ गई; कदमों की आवाजें और तेज और जोरदार हो गईं। फिर, दरवाजे पर जोरदार दस्तक हुई, और फिर गुस्साई आवाजों का इतना भयंकर शोर उठा, जिससे सबसे बहादुर व्यक्ति भी कांप जाए।

“मदद!” लड़के ने एक ऐसी चीख के साथ चिल्लाया जो हवा को चीर रही थी। “वो यहाँ है! दरवाजा तोड़ डालो!”

“राजा के नाम पर,” बाहर से आवाजें आईं; और गुस्से से भरी आवाज़ फिर उठी, लेकिन और भी तेज़।

“दरवाजा तोड़ डालो!” लड़के ने चीखते हुए कहा। “मैं कहता हूँ, वो लोग दरवाजा कभी नहीं खोलेंगे। सीधे उस कमरे में जाओ जहाँ रोशनी है। दरवाजा तोड़ दो!”

जैसे ही उसने बोलना बंद किया, दरवाजे और निचली खिड़कियों के शटर पर जोर-जोर से वार होने लगे, और भीड़ से एक जोरदार हल्ला उठा; जिससे सुनने वालों को पहली बार उसकी विशालता का अंदाज़ा हुआ।

“किसी ऐसी जगह का दरवाजा खोलो जहाँ मैं इस चीखने वाले शैतान को बंद कर सकूं,” साइक्स ने गुस्से से चिल्लाया; इधर-उधर दौड़ते हुए, और अब लड़के को ऐसे घसीटते हुए जैसे वह एक खाली बोरी हो। “वो दरवाजा। जल्दी!” उसने लड़के को अंदर फेंका, दरवाजे को बंद किया, और चाबी घुमा दी। “नीचे का दरवाजा पक्का बंद है?”

“डबल लॉक और चैन लगी हुई है,” क्रैकिट ने जवाब दिया, जो बाकी दोनों लोगों के साथ अब भी पूरी तरह से हैरान और असहाय खड़े थे।

“दरवाजे के पैनल—क्या वो मजबूत हैं?”

“चादर वाली लोहे से ढंके हुए हैं।”

“और खिड़कियाँ भी?”

“हाँ, खिड़कियाँ भी।”

“तुम सब धिक्कार के लायक हो!” बौखलाए बदमाश ने खिड़की का सैश उठाते हुए और भीड़ को धमकाते हुए चिल्लाया। “जो करना है, कर लो! मैं तुमसे बाजी जीतूंगा!”

जितनी भी भयानक चीखें कभी इंसानों ने सुनी होंगी, उनमें से कोई भी इस गुस्साई भीड़ की चीखों से ज्यादा भयानक नहीं हो सकती थी। कुछ लोग पास खड़े लोगों से घर में आग लगाने के लिए चिल्ला रहे थे; कुछ अधिकारी से उसे गोली मार देने के लिए चीख रहे थे। उनमें सबसे ज्यादा गुस्सा घोड़े पर सवार आदमी दिखा, जो अपने घोड़े से कूद पड़ा, और ऐसे भीड़ को चीरता हुआ आया जैसे पानी में रास्ता बना रहा हो, और खिड़की के नीचे खड़े होकर बाकी सब से ऊपर उठती आवाज में चिल्लाया, “जो सीढ़ी लाएगा उसे बीस गिनी मिलेंगी!”

निकटतम आवाज़ों ने इस चीख को उठाया, और सैकड़ों ने इसका प्रतिध्वनि दी। कुछ सीढ़ियों के लिए चिल्लाए, कुछ स्लेज-हैमर के लिए; कुछ मशालें लेकर इधर-उधर दौड़ने लगे जैसे कि उन्हें ढूंढ रहे हों, और फिर वापस आकर फिर से गरजे; कुछ अपनी नाकामियों की गालियों में अपनी सांस बर्बाद कर रहे थे; कुछ पागलों की तरह आगे बढ़ रहे थे, जिससे नीचे के लोगों की प्रगति में रुकावट आ रही थी; और सबसे बहादुरों में से कुछ दीवार की दरारों और पानी के नालों से चढ़ने की कोशिश कर रहे थे; और सब नीचे अंधेरे में ऐसे हिल रहे थे जैसे गुस्से वाली हवा से खेत में खड़ी फसल हिल रही हो: और समय-समय पर एक ज़ोरदार उग्र चीख में शामिल हो जाते थे।

“ज्वार,” हत्यारे ने चिल्लाया, जैसे ही वह कमरे में पीछे हटता गया और चेहरे छिपा दिए, “जब मैं आया तो ज्वार चढ़ा हुआ था। मुझे एक रस्सी दो, लंबी रस्सी। वे सब सामने हैं। मैं फॉली डिच में गिर सकता हूँ, और इस रास्ते से भाग सकता हूँ। मुझे रस्सी दो, वरना मैं तीन और हत्याएँ कर दूंगा और खुद को मार दूंगा।”

डर से बेजान लोग उस जगह की ओर इशारा करने लगे जहाँ ये चीजें रखी गई थीं; हत्यारा जल्दी से सबसे लंबी और मजबूत रस्सी चुनकर घर की छत पर चढ़ गया।

घर के पीछे की सभी खिड़कियाँ पहले ही बंद कर दी गई थीं, सिवाए एक छोटे से जाल के जो उस कमरे में था जहाँ लड़का बंद था, और वह उसके शरीर के निकलने के लिए भी बहुत छोटा था। लेकिन इस दरवाजे से, उसने बाहर वालों को पीछे के लिए देखने के लिए लगातार बुलाना नहीं छोड़ा; और जब हत्यारा आखिरकार छत पर निकला, तो एक जोरदार चीख ने सामने वालों को इसकी सूचना दी, जो तुरंत चारों ओर दौड़ने लगे, एक-दूसरे पर दबाव डालते हुए।

उसने एक बोर्ड लगाया, जिसे वह अपने साथ लाया था, दरवाजे के खिलाफ इतनी मजबूती से कि इसे अंदर से खोलना बहुत कठिन हो जाएगा; और टाइलों पर रेंगते हुए, उसने नीची बालकनी के ऊपर देखा।

पानी सूख गया था, और खाई की मिट्टी भरी हुई थी।

भीड़ इस कुछ पलों में चुप हो गई थी, उसकी हरकतें देख रही थी और उसके इरादे पर संदेह कर रही थी, लेकिन जैसे ही उन्होंने देखा कि उसका इरादा विफल हो गया, उन्होंने एक जीत की चीख उठाई जो उनकी पहले की सारी चीखों से तेज़ थी। बार-बार यह चीख उठी। जो लोग इससे बहुत दूर थे और इसका अर्थ नहीं समझते थे, उन्होंने भी इसकी आवाज़ उठाई; यह गूंजती रही; ऐसा लग रहा था जैसे पूरी शहर की आबादी उसे कोसने के लिए बाहर आ गई हो।

लोग सामने से आगे बढ़ रहे थे—आगे, आगे, गुस्से भरे चेहरों की एक मजबूत धारा के साथ, यहाँ-वहाँ एक जलती मशाल के साथ जो उन्हें रोशन कर रही थी और उनकी पूरी गुस्से और जुनून को दिखा रही थी। खाई के विपरीत तरफ के घरों में भीड़ घुस गई थी; खिड़कियाँ ऊपर फेंकी गईं, या पूरी तरह से फाड़ दी गईं; हर खिड़की में चेहरे की कतारें थीं; हर घर की छत पर लोगों का समूह। हर छोटी पुल (और दृश्य में तीन थीं) उस पर भीड़ के वजन के नीचे झुक गई। फिर भी धारा आगे बढ़ रही थी, कुछ कोने या छिद्र को खोजने के लिए जिससे वे अपनी चीखें निकाल सकें, और केवल एक पल के लिए उस दीन-हीन व्यक्ति को देख सकें।

“अब उन्होंने उसे पकड़ लिया,” निकटतम पुल पर एक आदमी ने चिल्लाया। “हुर्रे!”

भीड़ ने अपने सिरों को ढककर हल्का हो गया; और फिर से चीख उठी।

“मैं पचास पाउंड दूंगा,” एक बूढ़े सज्जन ने उसी दिशा से चिल्लाया, “उस आदमी को जो उसे जिंदा पकड़कर लाएगा। मैं यहाँ रुकूंगा, जब तक वह मुझसे इसके लिए न पूछे।”

एक और गरज उठी। इस क्षण में भीड़ में खबर फैली कि दरवाजा आखिरकार तोड़ दिया गया है, और जिसने पहले सीढ़ी के लिए कहा था, वह कमरे में चढ़ गया है। जैसे ही यह जानकारी मुंह से मुंह फैली, धारा अचानक मुड़ गई; और खिड़कियों पर लोग, जो पुलों पर वापस लौटते हुए देख रहे थे, अपने स्थान छोड़कर सड़क पर दौड़ पड़े, और उस स्थान पर पहुँच गए जहाँ से वे निकले थे: हर आदमी अपने पड़ोसी के साथ धक्का-मुक्की कर रहा था, और सब दरवाजे के करीब पहुँचने और अपराधी को देखने के लिए बेचैन थे, जब अधिकारी उसे बाहर लाए। उन लोगों की चीखें और कराहें जो लगभग दम घुटने तक दबाए गए थे, या जूते के नीचे आकर कुचले गए थे, भयावह थीं; संकीर्ण रास्ते पूरी तरह से अवरुद्ध हो गए थे; और इस समय, कुछ लोग घर के सामने जगह पाने के लिए दौड़ रहे थे, जबकि अन्य अपने आप को भीड़ से निकालने के लिए संघर्ष कर रहे थे, हत्यारे पर ध्यान भटक गया, हालाँकि उसे पकड़ने की सर्वव्यापी इच्छा, अगर संभव हो, और बढ़ गई थी।

मनुष्य ने, भीड़ की हिंसा और बचने की असंभवता से, पूरी तरह से संकुचित होकर नीचे चला गया; लेकिन जैसे ही उसने यह अचानक परिवर्तन देखा, उसने अपने पैरों पर कूदकर अपनी जान के लिए एक अंतिम प्रयास करने का निर्णय लिया, खाई में कूदकर, और, दम घुटने के खतरे के बावजूद, अंधेरे और अराजकता में रेंगने की कोशिश की।

नई ताकत और ऊर्जा में उठकर, और घर के अंदर की आवाज़ से प्रेरित होकर, जो यह बताती थी कि वास्तव में एक प्रवेश किया गया है, उसने चिमनियों के ढेर के खिलाफ अपना पैर रखा, रस्सी का एक सिरा मजबूती से उसके चारों ओर लपेटा, और दूसरे सिरے से अपने हाथों और दांतों की मदद से लगभग एक सेकंड में एक मजबूत फंदा बना लिया। वह रस्सी के द्वारा अपने शरीर की ऊँचाई से कम ऊँचाई पर लटक सकता था, और उसके हाथ में उसकी चाकू तैयार थी ताकि वह उसे काट सके और गिर सके।

जैसे ही उसने फंदा अपने सिर के ऊपर लाया, और जब उस बूढ़े सज्जन ने (जो भीड़ की ताकत का सामना करते हुए पुल की रेलिंग को मजबूती से पकड़े हुए था) उन लोगों को गंभीरता से चेतावनी दी कि आदमी खुद को नीचे गिराने वाला है—ठीक उसी क्षण, हत्यारे ने, छत पर पीछे मुड़कर, अपने सिर के ऊपर अपने हाथ उठाए और आतंक की एक चीख मारी।

“फिर वही आँखें!” उसने एक अदृश्य चीख में कहा।

बिजली के झटके से जैसे ही वह stagger हुआ, उसने अपना संतुलन खो दिया और परापेट पर गिर पड़ा। फंदा उसकी गर्दन पर था। यह उसके वजन के साथ ऊपर चला गया, धनुष की तंतु की तरह तंग और तीर की तरह तेज। वह पैंतीस फीट तक गिरा। एक अचानक झटका, अंगों में एक भयंकर कंपन; और वह वहीं लटका रहा, उसकी कटी हुई चाकू उसकी कड़ी हुई मुट्ठी में थी।

पुरानी चिमनी ने इस झटके से कांपना शुरू किया, लेकिन बहादुरी से खड़ी रही। हत्यारा दीवार के खिलाफ बेहोश झूल रहा था; और लड़के ने, उस लटकते शरीर को हटाते हुए जो उसकी दृष्टि को अवरुद्ध कर रहा था, लोगों से कहा कि वे आकर उसे निकालें, भगवान के लिए।

एक कुत्ता, जो अब तक छिपा हुआ था, परापेट पर हताश भौंकते हुए पीछे और आगे दौड़ने लगा, और कूदने के लिए तैयार होकर, मृत व्यक्ति के कंधों पर कूदने लगा। अपना निशाना चूकते हुए, वह खाई में गिर गया, जैसे ही वह पलटा; और एक पत्थर से अपना सिर टकराकर, उसने अपने मस्तिष्क को बाहर फेंक दिया।