नेपाल स्टक एक्सचेन्जको विद्युतीय कारोबार प्रणाली हेरफेर हुन सक्ने र धोखाधडीको जोखिममा रहेको देखिएको छ।
नेपाली शेयर किनबेचको प्लेटफर्म नेपाल स्टक एक्सचेन्ज (नेप्से) को विद्युतीय कारोबारमा गम्भीर प्रणालीगत सुरक्षा कमजोरी रहेको फेला परेको छ।
हिमालखबरले पहुँच प्राप्त गरेको नेप्सेको आर्थिक वर्ष २०८१/८२ को प्रारम्भिक लेखापरीक्षण प्रतिवेदनले नेप्सेको प्रत्यक्ष कारोबार प्रणालीमा कार्यालयभन्दा बाहिरबाट पहुँच प्राप्त गरी शुरूआती कारोबार (बिगिनिङ अफ डे) सञ्चालन गरिएको उल्लेख छ। सञ्चालक समितिको निर्णय विना नै व्यवस्थापनको स्वीकृतिमा २०८१ पुस १८ देखि यो काम भइरहेको प्रतिवेदनमा उल्लेख छ। यसले विद्युतीय कारोबार प्रणाली नै हेरफेर हुन सक्ने र धोखाधडीको जोखिममा रहेको देखाएको छ।
महत्त्वपूर्ण यो छ कि लेखापरीक्षकहरूले अत्यन्तै संवेदनशील डेटाबेसमा कसले पहुँच प्राप्त गरिरहेका छन् भन्ने प्रत्यक्ष परीक्षण गर्न खोज्दा नेप्सेको सूचना प्रविधि व्यवस्थापनले असहयोग गरेको थियो। प्रत्यक्ष (लाइभ) डेटाबेस देखाउनुको सट्टा व्यवस्थापनले तस्विर (स्क्रिनसट) मात्रै उपलब्ध गराएको थियो, जसलाई परीक्षकहरूले अपर्याप्त र अस्वीकार्य प्रमाण भनी उल्लेख गरेका छन्।
यसले दैनिक अर्बौं रुपैयाँको कारोबार हुने धितोपत्र कारोबारको निष्पक्षता र विश्वसनीयतामा गम्भीर आशंका पैदा गरेको छ। प्रतिवेदनले औंल्याएको छ, “नेप्से गम्भीर र प्रणालीगत सुरक्षा कमजोरीका साथ सञ्चालन भइरहेको छ।” प्रतिवेदनले विद्युतीय कारोबार प्रणाली नै धोखाधडीबाट हेरफेर हुन सक्ने र भित्री सूचना दुरुपयोगको जोखिममा रहेको औंल्याएको छ।
पी. आनन्द एन्ड एसोसिएट्सले २०२५ डिसेम्बर १४ मा नेप्सेको सञ्चालक समितिलाई बुझाएको प्रतिवेदन सार्वजनिक भएको छैन। सरकारी लेखापरीक्षक निकाय महालेखा परीक्षक कार्यालयको लेखापरीक्षण आवश्यकता अन्तर्गत नेप्सेले यो लेखापरीक्षण गराएको थियो।
प्रतिवेदनले यसअघि भएका कारोबारमा जालसाजी भएको थियो वा थिएन भन्ने विषयमा खुलाएको छैन। तर, यसले प्रष्टतासित किटान गरेको छ कि कारोबार प्रणालीमा अनधिकृत पहुँचले कारोबारलाई हेरफेर गर्न वा डेटा (तथ्यांक) चोर्नको लागि अवसर दिइरहेको थियो।
लेखापरीक्षकहरूले प्रत्यक्ष कारोबारको डेटाबेसमा कसले पहुँच प्राप्त गरिरहेका छन् भन्ने परीक्षण गर्न चाहे पनि नेप्सेका अधिकारीहरूले असहयोग गरेको प्रतिवेदनमा उल्लेख गरेका छन्। शुरुमा विशेष सफ्टवेयर खरिद नगरी प्रयोगकर्ता अर्थात् कसले ‘लग इन’ गरिरहेको छ भन्ने थाहा नपाइने जवाफ अधिकारीहरूले दिएका थिए। तर पछि ‘लग इन’ गर्नेहरूको प्रत्यक्ष विवरण नभई तस्वीर (स्क्रिनसट) मात्रै उपलब्ध गराइएको प्रतिवेदनमा छ। नेप्सेका अधिकारीहरूको यस्तो काम अव्यावसायिक भएको ठानी परीक्षकहरूले उक्त स्क्रिनसटलाई विश्वसनीय नभएको भन्दै अस्वीकार गरेका छन्।
लेखापरीक्षकहरूले २०८१ पुस १८ देखि नेप्सेको कारोबार प्रणालीका कर्मचारीले मुख्य कारोबार प्रणालीलाई नेप्सेको व्यवस्थापन वा प्रमुख कार्यकारी अधिकृतको स्वीकृतिमा कार्यालयभन्दा बाहिरबाट सञ्चालन गर्दै आएको भेट्टाएका छन्। “यो गम्भीर चिन्ताजनक विषय हो,” नेप्सेका एक अधिकारीले हिमालखबरसँग नाम उल्लेख नगर्ने शर्तमा भने, “कार्यालयभन्दा बाहिरबाट प्रणाली सञ्चालन हुनुले यसमा अनधिकृत व्यक्तिको पहुँच भइरहेको र त्यसले भित्री सूचनाको दुरुपयोग एवं स्वतन्त्र र निष्पक्ष बजार अभ्यासमा हेरफेर गरिरहेको हुन सक्ने संकेत गर्छ।”
प्रतिवेदनले यसलाई सुशासन र सुरक्षा प्रणालीको गम्भीर असफलता भनी चित्रण गरेको छ। साथै यस्तो सुरक्षा अवस्थाको ठूलो परिवर्तनका लागि सञ्चालक समितिको निर्णय विना नै व्यवस्थापनले काम गरेको उल्लेख छ। नेप्से सञ्चालक समितिका एक सदस्यले प्रणालीमा पहुँचका विषयमा विवरण पटक–पटक माग्दा नेप्से उच्च व्यवस्थापनले उपलब्ध नगराएको दाबी गरे। नेप्सेको मुख्य कारोबार प्रणालीमा को र कसले, कहाँबाट पहुँच प्राप्त गरेको थियो भन्ने प्रष्ट विवरण माग्दा व्यवस्थापनले उपलब्ध नगराएको उनले दाबी गरे।
प्रतिवेदनले प्रष्ट शब्दमा नेप्सेको नियन्त्रण र निगरानी प्रणाली कमजोर अवस्थामा रहेको उल्लेख गरेको छ। प्रतिवेदनमा उल्लेख गरिएको छ, “एकाध महीनाका लागि करारमा नियुक्त भएका सूचना प्रविधिका कर्मचारीले सफ्टवेयर कोड पनि लेख्ने र सीधै प्रत्यक्ष विद्युतीय कारोबार प्रणाली (लाइभ मार्केट) मा राख्ने दोहोरो जिम्मेवारी लिइरहेका थिए।” यस्तो पहुँचले कारोबार प्रणालीको विश्वसनीयतामा प्रश्न उब्जाएको प्रतिवेदनमा उल्लेख छ। पटके करारमा नियुक्त कर्मचारीले कारोबार प्रणालीको मुख्य प्रणाली, तथ्यांक तथा संवेदनशील स्थानमा पहुँच प्राप्त गरी काम गरिरहेको पनि प्रतिवेदनमा उल्लेख छ।
नेप्सेका प्रवक्ता मुराहरि पराजुलीले यसबारे प्रतिक्रिया दिंदै नेप्सेको विद्युतीय कारोबारको पहुँचबारे प्रश्न उठेपछि कार्यालयबाहिरबाट प्रणालीमा ‘लग इन’ पहुँच बन्द भइसकेको बताए। उनले नेप्सेका कर्मचारीले घरबाट शुरूआती कारोबारका लागि ‘लग इन’ गर्ने गरेको भए पनि सञ्चालक समितिको निर्णयपछि यो कार्य बन्द भइसकेको बताए।
दुई वर्षअघिको यस्तै एक छानबिन प्रतिवेदनले पनि नेपाल स्टक एक्सचेन्ज (नेप्से) को प्रणालीमा अनधिकृत व्यक्तिको पहुँच भएको हुन सक्ने देखाएको थियो। शेयर बजारको प्राविधिक पूर्वाधारसहितका विषयमा अध्ययन गर्न २०८० असोजमा नेपाल धितोपत्र बोर्डले गठन गरेको अध्ययन समितिले तयार पारेको प्रतिवेदनमा नेप्सेको सूचना प्रविधि सुशासनमा गम्भीर समस्या रहेको तथा यसको मुख्य प्रणालीमा अनधिकृत व्यक्तिको प्रवेशबाट छेडखानीको जोखिम रहेको औंल्याएको थियो।
हिमालखबरलाई प्राप्त अप्रकाशित उक्त प्रतिवेदनले धितोपत्र बजारको विद्युतीय कारोबार प्रणाली (नट्स) को बिक्री तथा मर्मतसम्भार गर्ने कम्पनी ‘वाईको सोलुसन्स’को भूमिकामाथि प्रश्न उठाइएको थियो। यो कम्पनीले नेप्सेका महत्त्वपूर्ण प्रणालीमा सहज पहुँच पाएको तथा कुन–कुन समयमा कहाँबाट यस्तो पहुँच उपलब्ध भएको थियो भन्ने विवरण नेप्सेले सुरक्षित नराखेको उक्त प्रतिवेदनमा उल्लेख थियो। यसको अर्थ ‘वाईको’का कर्मचारीद्वारा नेप्सेको प्रणालीमा गरिएको परिवर्तन थाहा हुने अवस्था नरहेको प्रतिवेदनमा औंल्याइएको थियो। धितोपत्र बजारको विद्युतीय कारोबार प्रणाली तयार गरी धितोपत्र बोर्डलाई बिक्री गर्ने ‘वाईको सोलुसन्स’ व्यावसायिक घराना आईएमई समूहको मुख्य लगानी भएको कम्पनी हो।
नेप्सेको प्रणालीमा अनधिकृत पहुँचले भित्री कारोबार तथा सूचनाको दुरुपयोग गरी खास व्यक्ति वा समूहले लाभ उठाउन सक्ने जोखिम निम्त्याउँछ। मुख्य कारोबार प्रणालीको पहुँच दुरुपयोग गरी तथ्यांक हेरफेर वा बजारमा माग र आपूर्तिको स्वच्छ प्रणालीलाई नै हेरफेर गर्न सकिने जोखिम हुने हिमालखबरसँग कुरा गर्ने नेप्सेका ती अधिकारीले बताए।
लेखापरीक्षण प्रतिवेदनमा नेप्सेले आफ्नो मानक सूचना प्रविधिसम्बन्धी सुरक्षा भत्काएको उल्लेख गरेको छ। सुरक्षित वित्तीय कारोबारमा भित्री चलखेल रोक्न सफ्टवेयर कोड लेख्ने इन्जिनियरहरू र लाइभ बजार सञ्चालन गर्ने कर्मचारीहरूबीच कडा विभाजन हुनुपर्ने भए पनि नेप्सेमा यस्तो सीमारेखा तय नगरिएको उल्लेख छ। दुई महीने करारमा रहेका अस्थायी कामदारलाई प्रणाली विकास गर्ने, परीक्षण गर्ने र सीधै लाइभ मार्केटमा डिप्लोय (लागू) गर्ने व्यापक पहुँच दिइएको थियो। यसले कारोबार प्रणालीलाई अपारदर्शी (ब्ल्याक बक्स) जस्तो वातावरण सिर्जना गरेको भन्दै हेरफेर र धोखाधडीको लागि अत्यन्तै संवेदनशील भएको लेखापरीक्षकहरूले उल्लेख गरेका छन्। अख्तियार दुरुपयोग अनुसन्धान आयोगले मुख्य नेटवर्कको पहुँचलाई स्थायी आन्तरिक कर्मचारीहरूमा मात्र सीमित गर्न निर्देशन दिएको थियो। यद्यपि, नेप्से व्यवस्थापनले सूचना प्रविधि विभागका कर्मचारीलाई जानीजानी निष्क्रिय राखेर करारका कर्मचारीमार्फत संवेदनशील काम गराइरहेको प्रतिवेदनमा उल्लेख छ।
अपारदर्शी र अडिट नगरिएको प्रणाली सञ्चालन हुँदा स्पष्ट गडबडी फेला परेको प्रतिवेदनमा उल्लेख छ। विशेष खरीद र बिक्री आदेश बजार खुल्ने बित्तिकै अर्थात् एक मिलिसेकेन्डमै लगातार कार्यान्वयन भइरहेका छन्। यसको अर्थ अल्गोरिदमिक ‘बट’को अनियन्त्रित प्रयोग गरी कारोबार गरिएको देखाउँछ। नेपालमा हाल अल्गोरिदमिक ट्रेडिङलाई नियमन गर्ने कानुन छैन। लेखापरीक्षकहरूले यसबाट प्राविधिक रूपमा सक्षम कारोबारीको सानो समूहले सर्वसाधारणलाई घाटा पुर्याउन प्रणालीको दुरुपयोग गर्ने सम्भावना रहेको औंल्याएका छन्। प्रतिवेदनअनुसार एउटै लगानीकर्तालाई नागरिकता नम्बरको ढाँचा, जारी र जन्म मितिजस्ता विवरण परिवर्तन गरेर धेरै वटा युनिक क्लाइन्ट कोड जारी गरिएको र यिनीहरू कारोबारमा संलग्न रहेको देखाएको थियो।
बजारको निष्पक्षतामा अर्को प्रहार ब्रोकर ट्रेडिङ लिमिटको दुरुपयोगबाट भएको छ। प्रतिवेदनले ‘स्मार्ट डोर्स’ नामक लगानीकर्ताले ब्रोकर ७२, हातेमालोमार्फत मिति र प्रमाणीकरण नभएको चेकका आधारमा असाधारण कारोबारको सीमा उपयोग गरी दुरुपयोग गरेको उल्लेख गरेको छ। उक्त ब्रोकरले पैसा रोक्का नगरी ‘स्मार्ट डोर्स’लाई ८० करोड रुपैयाँ ट्रेडिङ लिमिट दिएको थियो। यो दीपेन्द्र अग्रवालको कम्पनी हो। ‘स्मार्ट डोर्स’का अग्रवालबाहेक महेशलाल बतास, अभिजित मण्डल लगायतले पनि यस्तै दुरुपयोग गरेको देखिएको छ। यी लगानीकर्ताले कृत्रिम खरिद क्षमता प्रयोग गरी धेरै मात्रामा अर्डर राख्ने र त्यसको ४ देखि ५ प्रतिशत मात्र कार्यान्वयन गर्ने गरेको लेखापरीक्षण प्रतिवेदनमा औंल्याइएको छ।
लेखापरीक्षकहरूले यसलाई बजारमा मागको गलत भ्रम पैदा गर्ने रणनीतिको रूपमा व्याख्या गरेका छन्। कयौं कारोबार भइरहेका कम्पनीले नियमित त्रैमासिक प्रतिवेदन उपलब्ध गराउन चुकेको तथा आवश्यक तथ्यांक र ढाँचामा प्रतिवेदन नदिने गरेको प्रतिवेदनमा उल्लेख छ। नेप्सेले आफूले तत्काल कारबाही गर्नुपर्ने विषय धितोपत्र बोर्डतिर पन्छाउने गरेको, म्युचुअल फण्डमाथि सामान्य नियमन र अनुगमन समेत नगरी सर्वसाधारणको लगानी जोखिममा धकेलेको जस्ता विषयलाई प्रतिवेदनले प्रष्ट तरिकाले उजागर गरेको छ। नेप्से व्यवस्थापनले यस्ता विषयमा गम्भीर नियमन गर्न चुकेको प्रतिवेदनमा छ। त्यस्तै, नेप्सेभित्रै प्रशासनिक अराजकता रहेको, कर्मचारीहरूले असाधारण र अपारदर्शी ऋण उपयोग गरेको, शेयरको असाधारण मूल्य थपघटबारे अनुसन्धान नभएको, पारदर्शिताको अभाव रहेको, बजार विकास रणनीतिमा असफल रहेको, नेप्सेका सहायक कम्पनीमा संस्थागत सुशासनमा प्रश्न रहेको जस्ता विषय प्रतिवेदनमा उल्लेख गरिएका छन्।
अनुसन्धानले ब्रोकरहरूको वित्तीय अवस्थामा पनि गम्भीर अस्थिरता देखाएको छ। नियामकको न्यूनतम चुक्ता पूँजीको शर्त पूरा गर्न केही ब्रोकरले कागजमा पूँजी बढाएको देखिए तापनि वास्तवमा त्यो रकम तुरुन्तै आफ्नै सञ्चालक र शेयरधनीहरूलाई एड्भान्स (पेश्की) को रूपमा फिर्ता दिएको पाइएको छ। यसरी रकम फिर्ता लैजानेहरूमा अलाइट स्टक हाउस, मनी वर्ल्ड शेयर एक्सचेन्ज, गरिमा सेक्युरिटिज र रोड शो सेक्युरिटिज रहेका छन्। लेखापरीक्षकहरूले यसलाई पूँजी पर्याप्तताको भ्रम भन्दै यसबाट तरलता जोखिम निम्तिने र बजारमा भुक्तानी प्रणाली नै ठप्प हुन सक्ने चेतावनी दिएका छन्। साथै, धेरै ब्रोकरले कानुनअनुसार नाफाको १० प्रतिशत जगेडा कोषमा राख्नुपर्नेमा सो रकम लाभांश बाँड्न प्रयोग गरेको वा १ प्रतिशत मात्र कोषमा राखेको पाइएको थियो।
सुरक्षाको दृष्टिले अर्को ठूलो कमजोरी ‘डिजास्टर रिकभरी साइट’को अभाव हो। नेप्सेको हालको सुरक्षा व्यवस्था केवल सरकारी डेटा सेन्टरमा रहेको र यसमा वास्तविक समयमा प्रणाली पुनःस्थापना गर्ने क्षमता नभएको लेखापरीक्षणले पुष्टि गरेको छ। कुनै साइबर आक्रमण वा भौतिक विपद् भएमा पूँजी बजार पूर्ण रूपमा ठप्प हुने र डाटा हराउने जोखिम छ।
