QUAESTOR Értékpapír Nyrt. HÁTTÉR TÁMOGATÓ TEVÉKENYSÉGEK BANK-, ÜZLETI- ÉS ÉRTÉKPAPÍR TITKOT TARTALMAZ
Hiv. MEGÁLLAPÍTÁS AZ INTÉZMÉNY ÉSZREVÉTELE AZ ÉSZREVÉTEL ÉRTÉKELÉSE HÁTTÉRTÁMOGA TEVÉKENYSÉGEK IT Támogatás Inf.1. Az informatikai stratégiai célok megvalósításának a XXX éves, csoportszintű informatikai fejlesztési tervei A hivatkozott IT éves fejlesztési tervek valóban nem tartalmaznak konkrét felelősöket és Az intézmény a megállapítást nem vitatja. Az Intézmény biztosítanak megfelelő keretet. A bemutatott éves informatikai fejlesztési terv a feladatokhoz a költségkereten kívül, határidőket, mivel a tervben foglalt feladatok tényleges végrehajtása negyedéves az észrevételében említett határidővel ellátott projekt konkrét felelőst és határidőt nem határoz meg [ XXX ]. bontásban üzletileg egyeztetett résztvevők és határidők meghatározásával történik. A terveket nem mutatott be. A megállapítást fenntartjuk. vizsgálaton bemutatott terv XXX.
SZÜKSÉGES INTÉZKEDÉS
H/VL
HATÁRIDŐ
Gondoskodjanak az informatikai fejlesztési feladatok tervezése során a konkrét feladatokhoz kapcsolódó felelősök és határidők meghatározásáról, ezzel biztosítva a tervek végrehajtásának ellenőrizhetőségét és számon kérhetőségét.
VL
kézhezvételt követő 60 nap
Inf.2.
A XXX évi felügyeleti vizsgálat óta az informatikai szabályzatok túlnyomó többségét felülvizsgálták, A pontban leírt megállapításokkal egyet értünk, a hivatkozott eljárásrendek frissítése Az intézmény a megállapítást nem vitatja. Az Intézmény átdolgozták és újabb verzióban XXX és XXX év során kiadták. A XXX informatikai folyamatban van, azt a megadott határidőre tervezzük végrehajtani. XXX megtett intézkedéseit tudomásul vesszük. A tevékenységének szabályozása – a XXX által XXX kiadott szabályzatokkal együtt – szabályzati szinten, megállapítást fenntartjuk. teljes körűnek mondható, de az eljárásrendek és utasítások felülvizsgálata még folyamatban van, befejezése XXX határidőre tervezett. A hatályos szabályozások az Intraneten mindenki számára elérhetőek XXX
Végezzék el az informatikai szabályozás rendszerének teljes, - az eljárásrendek és utasítások szintjére is kiterjedő – aktualizálását és - a 2013. évre tervezett informatikai infrastruktúra és üzemeltetési változtatások hatásait is figyelembe véve folyamatosan gondoskodjanak az informatikai szabályozási rendszer aktuális állapotának fenntartásáról.
VL
kézhezvételt követő 60 nap
Inf.3.
Az informatikai kockázatelemzés a XXX napján elkészült BCP tervezés keretében valósult meg, elsődlegesen XXX . A XXX évi BCP tervezés kapcsán a QÉP teljes körű informatikai biztonsági kockázatfelmérést és elemzést nem hajtott végre. XXX ]. Ezzel nem teljesítette a Bszt. 12 §. (3) bekezdésében foglaltakat, miszerint: "...befektetési vállalkozás és árutőzsdei szolgáltató az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálja és aktualizálja". A megtett kockázatcsökkentő intézkedéseket a QÉP a felügyeleti vizsgálatra való felkészülése során ellenőrizte [ XXX ] Az QÉP Igazgatósága a XXX napján XXX . A XXX évre átnyúló XXX projekt keretében, a felügyeleti vizsgálat XXX időpontjáig a kockázatelemzési módszertanon kívül, munkaanyagként az adatvagyon és alkalmazás leltár készült el, de a kockázatelemzési folyamat még nem zárult le, még nincs értékelhető eredmény. XXX
A XXX évben készített XXX tervek XXX ben és XXX -ben Az intézmény a megállapítást nem vitatja. Az Intézmény ellenőrzésre és felülvizsgálatra kerültek, így nem állapítható meg a mulasztás megtett intézkedéseit tudomásul vesszük. A Kétségtelen, hogy az eltelt idő alatt az egyes megváltozott üzleti és informatikai megállapítást fenntartjuk. folyamatok és környezeteknek megfelelő, teljesen új módszertan alapján elkészített BCP/DRP projekt már elindításra került, így részeredményeket tudtunk bemutatni az ellenőrzési időszak alatt. XXX Az alábbi dokumentumokat csatoljuk: XXX
Gondoskodjanak az elfogadott kockázatelemzés módszertanán alapuló teljes körű informatikai biztonsági kockázatfelmérés és elemzés végrehajtásáról, készítsenek intézkedési tervet a feltárt kockázatok csökkentésére és azt – az intézkedések megfelelő dokumentálása és ellenőrzése mellett hajtsák végre ezzel biztosítva az informatikai biztonság folyamatos fenntartását.
VL
kézhezvételt követő 120 nap
Inf.4.
Az informatikai infrastruktúra elemek nyilvántartására egyrészt – a munkaállomások vonatkozásában - a XXX program, másrészt a szerverek nyilvántartására EXCEL táblázat, valamint hálózati elemek vonatkozásában a XXX hálózatfelügyeleti rendszer szolgál, melyet a XXX tart karban. A XXX program csak munkaállomásonként tud listát készíteni a hardver konfigurációról, összesített táblázatos lista készítésére vagy adat exportra nem képes. Egy adott munkaállomásra vagy szerverre telepített szoftvereket az XXX alkalmazással tudja a XXX kilistázni. A XXX szoftver licence nyilvántartással nem rendelkezik, mivel a licencek a XXX tulajdonában vannak. A vizsgálat alkalmával nem mutattak be licence nyilvántartást, ily módon a szoftverek jogtiszta használata nem volt ellenőrizhető. [ XXX ], [ XXX ].
A XXX által üzemeltetett infrastruktúrába telepített licenc köteles alkalmazások Az intézmény a megállapítást nem vitatja. Az Intézmény éves gyakorisággal végrehajtott éves felülvizsgálatot írnak elő, ezért a hivatkozott tervezett intézkedéseit tudomásul vesszük. A XXX alkalmazással a XXX ellenőrzi az üzemeltetett infrastruktúrában lévő megállapítást fenntartjuk. eszközökre telepített valós szoftverek körét és a licencszerződésben lévő számokat, majd a licencforduló alkalmával jelenti le a változásokat a szállítók felé. Ez a gyakorlat sem szállító szerződésbe, sem jogszabályba nem ütközik. Jelenleg vizsgáljuk a XXX megoldás bevezetést.
Felhívjuk a figyelmet olyan szoftver licence nyilvántartás kialakítására és naprakész fenntartására, melynek alapján a jogtiszta szoftver használat ellenőrzése bármikor elvégezhető.
VL
kézhezvételt követő 60 nap
Inf.5.
A QÉP által használt és alkalmazás szinten üzemeltetett kritikus üzleti rendszerek infrastruktúráját a XXX üzemelteti, de a fejlesztési és karbantartási feladatokban más szoftver gyártó cégek is közreműködnek. A legkritikusabb, a nyilvántartási feladatokat ellátó XXX rendszer esetében a XXX a fejlesztő cég. A fejlesztési/verzióváltási és tesztelési folyamat megfelelően dokumentált. A tesztelés külön teszt környezetben történik, eredményét jegyzőkönyvben rögzítik. A fejlesztő cég a rendszer forráskódjának letétbe helyezését – ügyvédi letéti szerződés keretében – vállalta XXX . XXX A Letéti szerződés 2. pontja szerint a Letevő vállalja, hogy a Program forráskódját letétbe helyezi, de nem derül ki, hogy a forráskódhoz tartozó adatbázis-struktúra részee a letétnek.
A QÉP-nél jelenleg alkalmazott letéti konstrukció az alábbi okok miatt nem tartalmazza Az intézmény a megállapítást az adatbázis letétet: megállapítást fenntartjuk. 1. XXX 2. XXX
A Javasoljuk, tisztázzák, hogy a Broker rendszer fejlesztője a program forráskódja mellett az adatbázisstruktúrát is letétbe helyezi-e? Gondoskodjanak arról, hogy mindenkor rendelkezzenek minden olyan dokumentációval, amely az üzleti tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és biztonságos működését még a szállító, illetőleg a rendszerfejlesztő tevékenységének megszűnése után is - biztosítja.
VL
kézhezvételt követő 60 nap
1. oldal, összesen: 5
nem
vitatja.
QUAESTOR Értékpapír Nyrt. HÁTTÉR TÁMOGATÓ TEVÉKENYSÉGEK BANK-, ÜZLETI- ÉS ÉRTÉKPAPÍR TITKOT TARTALMAZ
Hiv. Inf.6.
MEGÁLLAPÍTÁS A QUAESTOR XXX géptermében az XXX kapcsolat mellett XXX kontroller és az irodákba telepített XXX teszi lehetővé - az internet felé is irányuló - vezeték nélküli hálózati kapcsolatot a belső dolgozók és a külső vendégek számára. A XXX típusú XXX kontroller – bár konfigurációs lehetőségei megengednék, - a jelenlegi alapszintű (default) konfigurációs beállítások mellett nem nyújt biztonságos kapcsolatot, mivel a tűzfal beállítás és a biztonsági naplózás nincs bekapcsolva, egyedül a XXX szűrés és a XXX titkosítás nyújt gyenge védelmet a belső felhasználók számára (míg a vendégekre vonatkozó konfiguráció esetében ezek a biztonsági beállítások sem működnek). A vizsgálat időpontjában, XXX napján XXX -kor, az aktuális beállításokról készített dokumentum szerint a XXX kontroller saját órája este XXX mutatott, ami az időszinkron hiányára utal, és egyben lehetetlenné teszi a biztonsági naplóbejegyzések értelmezését is. Feltehető, hogy a hálózati biztonság szempontjából kritikus kockázatot jelentő XXX kontroller biztonsági konfigurálásának hiánya, valamint felügyeletének és rendszeres karbantartásának elmaradása okozta a helytelen idő beállítást. A bemutatott hálózati dokumentáció hiányos, nem tartalmazta a vezeték nélküli XXX hálózati kapcsolatokat. [ XXX ].
AZ INTÉZMÉNY ÉSZREVÉTELE AZ ÉSZREVÉTEL ÉRTÉKELÉSE A XXX telepített XXX a vizsgálati időszakban – a XXX szolgáltatás Az intézmény a megállapítást nem vitatja. Az Intézmény átalakítása miatt – XXX esett át, vélhetően ezért volt tapasztalható az megtett intézkedéseit tudomásul vesszük. A időszinkron hiánya. megállapítást fenntartjuk. A berendezés a vizsgált időszak előtt, illetve jelenleg is maximális átgondoltsággal és biztonságos működésre törekvéssel lett konfigurálva, melyet alább részletezünk: XXX
SZÜKSÉGES INTÉZKEDÉS Gondoskodjanak a kritikus biztonsági kockázatot jelentő vezeték nélküli hálózat megfelelő informatikai biztonságáról, a biztonsági beállítások végrehajtásáról és dokumentálásáról, valamint a kritikus hálózati elemek felügyeletéről és rendszeres karbantartásáról. A vezeték nélküli hálózat biztonságát független szakértővel ellenőriztessék és a megtett intézkedéseiről valamint az ellenőrzés eredményéről tájékoztassák a Felügyeletet.
H/VL VL
HATÁRIDŐ kézhezvételt követő 60 nap
Inf.7.
Jogosultság kezelési vizsgálat a Felügyelet részéről a legkritikusabb üzleti alkalmazás, a XXX rendszer esetében A pontban hivatkozott megállapításokra reagálva kiemeljük, hogy a XXX rendszer Az intézmény a megállapítást nem vitatja. Az Intézmény történt. A megállapításainkat alátámasztó dokumentumok a következők: [ XXX jogosultságkezelése önmagában nem megítélhető, mert az alkalmazott megoldás válaszában a megállapítás tárgyától eltérve, a hálózati -A XXX alkalmazás jelszó házirendje a gyakorlatban megengedi a rövid, 4 karakteres felhasználói név és XXX folyamaton alapul: jogosultság (AD) beállításokat részletezi, holott a jelszó használatát. XXX megállapítás a XXX rendszer jogosultság kezelési - Nem készíthető lista külön a QÉP munkatársakról és a függő ügynökökről, a felhasználókra és a kapcsolódó hiányosságaira vonatkozik, melyre vonatkozóan érdemi jogcsoportokra készülő listából nem derül ki, hogy mikor kapták az adott jogcsoportbeli jogot és hogy érvényes-e. észrevételt nem tett. A megállapítást fenntartjuk. - A jogosultság-kezelési eljárásrend egy jogosultságkezelőt és annak két helyettesét nevezi meg. A „rendszergazda” és a „jogosultságosztás” csoportban csak a jogosultságkezelő neve található a helyetteseké nem. A páncélszekrényben tárolt jelszóborítékok listájában a XXX rendszer rendszergazdai borítékjai nem találhatók. A rendszergazda elmondása szerint XXX A jogosultságok rendszeres ellenőrzési rendjének kialakítása, és üzemszerű vizsgálata nem történt meg. Erre vonatkozóan a külső informatikai auditor tett megállapítást, az intézkedést XXX . napi határidőre tervezik. XXX Megállapítható, hogy a XXX rendszer esetében követett gyakorlat sérti a Bszt. 12. §. (6) szakaszának a) és c) pontjait, miszerint: (6) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább: a) a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosításáról, és c) a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események).
Gondoskodjanak a XXX rendszer alkalmazási szintű jogosultságainak megfelelően biztonságos kezeléséről, továbbá, általában a jogosultságok rendszeres ellenőrzési rendjének kialakításáról, és rendszeres üzemszerű, dokumentált vizsgálatáról.
VL
kézhezvételt követő 60 nap
Inf.8.
A mentési folyamatokat a külső informatikai biztonsági auditor XXX vizsgálta. Lényeges megállapítása volt, A külső IT biztonsági auditor megállapításainak figyelembevételével elkészült a Az intézmény a megállapítást nem vitatja. Az Intézmény hogy a mentések visszaállítási próbáiról a XXX nem mutatott be bizonyító dokumentumot. A vizsgálat „Mentés visszaállítás tesztelése” XXX melynek átadását a jelzett határidőben megtett intézkedéseit tudomásul vesszük. A megállapításai nyomán készült intézkedési tervben a visszatöltési tesztek dokumentált rendszerének kialakítására tervezzük végrehajtani. XXX megállapítást fenntartjuk. XXX határidő szerepel XXX
Gondoskodjanak a mentések felhasználhatóságát bizonyító visszatöltési tesztek dokumentált rendszerének kialakításáról és a tesztek rendszeres végrehajtásáról, annak érdekében, hogy rendkívüli helyzetben felkészült legyen informatikai rendszerei mentésből való helyreállítására.
VL
folyamatosan
Inf.9.
A bemutatott – az üzletmenet folytonosság fenntartásának biztosítására hivatott – XXX -ben készült és XXX aktualizált XXX terveket az időközben elindult XXX projekt és az azóta bekövetkezett informatikai infrastrukturális változások felülírták, így azok aktuálisan már nem alkalmazhatók. XXX A QÉP új XXX terveinek – a XXX projekt keretében folyamatban lévő - kidolgozása alatt, - átmeneti megoldásként - a kritikus rendszerek helyreállítására vonatkozó XXX kívánja megoldani az informatikai rendszerek katasztrófa helyzetben való helyreállítási folyamatainak leírását. A XXX elvégezte a QÉP XXX tervét helyettesítő akcióterv – egyetlen meghibásodás típusra vonatkozó – részleges tesztelését és erről jegyzőkönyvet mutatott be, amelyen a résztvevők aláírása nem szerepel. XXX ] A XXX üzletmenet folytonosság fenntartásának biztosítására való felkészültsége a vizsgálat időpontjában érvényes és alkalmazható XXX tervek hiányában nem bizonyított. A majdani XXX részének tekinthető erőforrás akcióterv tesztelése csak részlegesen történt meg, tesztelési jegyzőkönyve formai hiányosságokat mutat.
Gondoskodjanak az üzletmenet folytonosság fenntartásának biztosítására való felkészültséget bizonyító XXX tervek és a kapcsolódó erőforrás akciótervek kidolgozásáról, teljes körű teszteléséről és oktatásáról valamint az elvégzett tevékenységek dokumentálásáról. A XXX terveket és a tesztelések eredményét az informatikai belső ellenőrzés vizsgálja meg és a vizsgálat eredményéről tájékoztassa a Felügyeletet.
VL
kézhezvételt követő 120 nap
Inf.10.
XXX
„A XXX üzletmenet folytonosság fenntartásának biztosítására való felkészültsége a vizsgálat időpontjában érvényes és alkalmazható XXX tervek hiányában nem bizonyított” ponthoz kiemelnénk, hogy a XXX tervek nem lettek hatályon kívül helyezve, így továbbra is érvényben vannak. Ezért a leírtak nem helytállóak. Az új módszertan szerint elkészülő XXX elfogadásával együtt elkészül XXX
Az intézmény a megállapítást nem vitatja. A XXX ban kidolgozott és XXX -ben és XXX ben felülvizsgált XXX tervek alkalmazhatóságát éppen az intézmény INf.3. pontra adott válasza kérdőjelezi meg azzal, hogy megállapítja "az eltelt idő alatt az egyes megváltozott üzleti és informatikai folyamatok és környezeteknek megfelelő, teljesen új módszertan alapján elkészített XXX Az Intézmény megtett intézkedéseit tudomásul vesszük. A megállapítást fenntartjuk.
Az intézmény pótlólagosan csatolta az informatikai oktatások megtörténtét igazoló jegyzőkönyveket. A megállapítást töröljük.
XXX
2. oldal, összesen: 5
QUAESTOR Értékpapír Nyrt. HÁTTÉR TÁMOGATÓ TEVÉKENYSÉGEK BANK-, ÜZLETI- ÉS ÉRTÉKPAPÍR TITKOT TARTALMAZ
Hiv. Inf.11.
MEGÁLLAPÍTÁS AZ INTÉZMÉNY ÉSZREVÉTELE A QÉP informatikai biztonsági felelőse - belső ellenőrzés keretében – a XXX időszakban, évente több XXX a hivatkozott ellenőrzéssel kapcsolatosan megállapítás hiányában nem alkalommal informatikai biztonsági ellenőrzéseket végzett: XXX Az informatikai biztonsági felelős vizsgálatai fogalmazott meg konkrét akció terveket, ugyanis a vizsgálat során akciótervet igénylő nyomán, azok megállapításai és javaslatai alapján konkrét feladatokat, határidőket és felelősöket meghatározó hiányosság nem került feltárásra, vagy már folyamatban lévő akciótervekre vonatkoztak. intézkedési terv nem készült, így nem állapítható meg, hogy a javaslatokat a Társaság megvalósította-e. XXX ]
Inf.12.
Az alkalmazási rendszerek közül a vizsgálat során a legkritikusabb, XXX rendszer naplózását tekintettük át XXX . Megállapítottuk, hogy a rendszer fel van készítve műveleti napló (ezen belül jelszó csere), belépési napló, webbroker napló és eseménynapló készítésére. Alkalmas a Bszt. 12. § (6) d) szerinti, az informatikai rendszer működése szempontjából kritikus folyamatok eseményeinek naplózására és alkalmas e naplózás rendszeres és érdemi értékelésének biztosítására, illetve lehetőséget nyújt a nem rendszeres események kezelésére, az informatikai biztonsági naplózásra. A QÉP–nél nincs meghatározva (szabályozva) a kritikus események köre és a naplózás rendszeres értékelése sem történik meg. 2012. év folyamán (október 2.) a QUAESTOR Csoport vezetése részére a XXX készített egy XXX elemzésre vonatkozó előterjesztést [ XXX ].
Számvitel Számv.1.
A Társaság a XXX által üzemeltetett nyilvántartási rendszerét nem auditáltatta, a XXX által biztosított nyilvántartási rendszerben szereplő adatok szükségesek ahhoz, hogy az ügyfelet megillető pénzügyi eszköz és pénzeszköz állománya, illetőleg összegének minden időpontban megállapítható legyen (a könyvvizsgáló igazolás arra vonatkozóan, hogy a befektetési vállalkozás informatikai rendszere alkalmas a 18. § (2) bekezdésében meghatározott követelmények teljesítésére).
AZ ÉSZREVÉTEL ÉRTÉKELÉSE Az intézmény a megállapítást nem vitatja. Az Intézmény nem dokumentálja nyomonkövethető módon az informatikai biztonsági felelős tevékenységét. A megállapítást fenntartjuk.
SZÜKSÉGES INTÉZKEDÉS Gondoskodjanak az informatikai biztonsági felelős vizsgálatai nyomán, azok megállapításai és javaslatai alapján intézkedési tervek készítéséről és nyomon követéséről, hogy mindenkor megállapítható legyen, a javaslatok megvalósulása. A legkritikusabb üzleti események körét a XXX rendszer folyamatba építve kezeli Az intézmény a megállapítást nem vitatja. Az Intézmény Szabályozás szinten határozzák meg az és nem log elemzés alapján. Ide soroljuk a fedezettséggel, megbízások speciális tervezett intézkedéseit tudomásul vesszük. A alkalmazott üzleti informatikai rendszer paramétereivel, kockázatokkal összefüggő ellenőrzési algoritmusokat,stb. megállapítást fenntartjuk. működése szempontjából kritikus A XXX által tervezett logelemző rendszer bevezetése további lehetőséget ad a eseményeket és ezek naplózási folyamatok ellenőrzésének/elemzésének finomabb hangolására. eseményeit rendszeresen értékeljék ki. Ezzel együtt sem ismert olyan esemény, vagy kár, amely a logelemzés hiányára lett volna visszavezethető.
H/VL VL
HATÁRIDŐ folyamatosan
VL
kézhezvételt követő 120 nap
A T. Felügyelet által a Kisz.1. ponban leírtak szerint "A XXX keresztül elérhető A Társaság megküldte a XXX nyilvántartási ügyletek kezelésére szolgáló nyilvántartási rendszerét a vizsgálat ideje alatt nem a rendszeréről a XXX által végzett audit riportot. Társaság üzemeltette, hanem XXX A XXX által üzemeltetett nyilvántartási rendszer nem Társaságunk nyilvántartási rendszere. Társaságunk nem auditáltathatja egy másik befektetési szolgáltató nyilvántartási rendszerét. Annak érdekében, hogy minden időpontban megállapítható legyen az ügyfelet megillető pénzügyi eszköz és pénzeszköz állománya, Társaságunk a Kisz.1 pontban hivatkozott módon minden nap, sőt ha szükséges nap közben többször is átolvassa az adatokat saját nyilvántartási rendszerébe. Időközben beszereztük és mellékeljük a XXX nyilvántartási rendszeréről szóló XXX által végzett hivatalos audit riportját, amelyet mellékelünk.
Számv.2.
A főkönyvi nyilvántartásban a XXX való elszámolás - átutalt pénz XXX és a XXX való elszámolás - A hibás gyakorlatot észleltük és tudomásul vettük. Ennek megfelelően a jövőben a A Társaság a megállapítást nem vitatta, a megállapítást A XXX elszámolás során átutalt pénz elnevezésű főkönyvi számlák egyenlege nem megfelelően került meghatározásra, az ügyfélkövetelés XXX szembeni sajátszámlás hitel tartozás elkülönítetten kerül a főkönyvekben változatlan formában fenntartjuk. mindenkor megfelelően különítse el a egyenlege több alszámlán található saját pénzegyenleget is tartalmazott (lsd. Pézf.2.) kimutatásra. saját és ügyfeleket megillető (főkönyvi kivonatok) pénzeszközöket.
VL
folyamatosan
Számv.3.
A XXX (Alap) XXX főkönyvi számla XXX és XXX havi forgalmát vizsgáltuk a nyilvántartási rendszerben rögzített ügyletekkel. Megállapítottuk, hogy a főkönyvi számlán az Alappal történő elszámolás negatív egyenlege kizárólag a hó végi állomány szerint kerülnek rögzítésre, a megállapodás 2.5. pontja szerint a XXX beszámítja, azonban a főkönyvi elszámolásban kizárólag hó végén kerül elszámolásra az egyenleg (lsd. E.tev.1.) A Társaság eljárása sérti a számvitelről szóló 2000. évi C. törvény bizonylati elv és bizonylati fegyelem előírásait, a 165. § (1) bekezdése szerint a gazdasági műveletek (események) folyamatát tükröző összes bizonylat adatait a könyvviteli nyilvántartásokban rögzíteni kell. (267,286)
A 286-os kérdésnél átadott főkönyvi kartonokon látható, hogy az Alap által kötött adásvételi szerződések tételesen, a befektetési jegy forgalmazás napi összesenben került a főkönyvi könyvelésben rögzítésre, a 165§(1)-nek megfelelően. Mivel a 251/2000 Kormányrendelet 8§(8) g) által biztosított, hogy a főkönyvi számlák egyenlegét havonta kel zárni, és meghatározni: 8§ (8) A számviteli nyilvántartások havi, illetve negyedéves zárása során - a számviteli politikában is rögzítettek szerint - legalább a következő zárlati munkálatokat kell elvégezni: g) a főkönyvi számlák technikai zárása (csak az egyenleg meghatározását értve alatta). A QUAESTOR Értékpapír Nyrt és XXX között fennálló szerződésből eredő, XXX .
A Társaság észrevételét nem fogadjuk el. A főkönyvi Mindenkor tartsa be a bizonylati elvre és számlák egyenlegének zárása nem azonos azzal, hogy a fegyelemre vonatkozó jogszabályi gazdasági eseményeket nem rögzítjük. A megállapodás előírásokat. 2.5. pontja szerint XXX Tekintettel arra, hogy a XXX szerződés megszűntetésre került, vizsgálati levélben javasoljuk az intézkedést.
VL
folyamatosan
Számv.4.
A Társaságnak XXX napján volt saját nyitott határidős pozíciója, azonban a 0. Mérleg alatti számlák között A Társaság élt a 251/2000. (XII. 24) Korm.rendelet 15. § (2)b)-ben előírt lehetőséggel, nem került kimutatásra, a Társaság eljárása nem felel meg a 251/2000. (XII.24.) Korm. rendelet 13. §-ban és a saját – nem fedezeti célú - nyitott pozíciók mérleg fordulónapi – főkönyv előírtaknak. fordulónapi - piaci értéke és kötési ára (árfolyama) közötti különbözet összegében aktív (168, rendelkezésre bocsátott főkönyvi kivonatok) elhatárolást számolt el. Majd ugyanezen összegre a 251/2000. (XII. 24) Korm.rendelet 8§(2) bekezdése szerint céltartalékot képzett. Mivel a főkönyvi rendszerben, az mérlegkészítés alapját képező számlaosztályokban megjelenik ez a jövőben követelés, bevétel és a bevétel elmaradásának kockázata, mint céltartalék az óvatosság elve szerint, ezért nem került a 0. Mérleg alatti számlaosztályban is kimutatásra ez az összeg.
A Társaság észrevételét nem fogadjuk el. A 251/2000. Mindenkor tartsa be a 0. Nyilvántartási Korm. Rendelet 13. §-a szerint a nyitott határidős számlák könyvvezetési előírásait. pozíciókat a 0. Nyilvántartási számlaosztályban nyilván kell tartani függetlenül az egyéb elszámolásoktól. /13. § (1) A tőzsdén, illetve tőzsdén kívül kötött határidős és opciós ügyletek, valamint a swap ügyletek határidős ügyletrésze esetén az ügylet tárgyát képező pénzügyi instrumentumra, egyéb árura vonatkozó követelést vagy kötelezettséget mindaddig mérlegen kívüli tételként kell nyilvántartani a szerződésben rögzített határidős áron, árfolyamon (a továbbiakban: kötési ár, árfolyam), amíg a szerződés szerinti határidő be nem következik (illetve az ügylet lezárásra nem kerül a lejáratkor, vagy a lejárati idő előtt tőzsdén kötött ellenügylet miatt, tőzsdén kívüli ügylettől való visszalépés miatt)./
VL
folyamatosan
3. oldal, összesen: 5
QUAESTOR Értékpapír Nyrt. HÁTTÉR TÁMOGATÓ TEVÉKENYSÉGEK BANK-, ÜZLETI- ÉS ÉRTÉKPAPÍR TITKOT TARTALMAZ
Hiv. Számv.5.
MEGÁLLAPÍTÁS AZ INTÉZMÉNY ÉSZREVÉTELE AZ ÉSZREVÉTEL ÉRTÉKELÉSE SZÜKSÉGES INTÉZKEDÉS A XXX Zrt-nél elhelyezett saját tulajdonú Q-EHLA értékpapír XXX db mennyiségben zárolt számlán A hibás gyakorlatot észleltük és tudomásul vettük. Ennek megfelelően a jövőben az A Társaság a megállapítást nem vitatta, a megállapítást Mindenkor tartsa be a 0. Nyilvántartási került elhelyezésre, hitel fedezet megjelöléssel ( XXX letéti igazolása). A Társaság a XXX többször ilyen gazdasági események a 0.Nyilvántartási számlaosztályban kimutatásra kerülnek. változatlan formában fenntartjuk. számlák könyvvezetési előírásait. módosított hitelszerződésében szerződő félként szerepelt, mint óvadékadó és mint kezes is, azonban a 0. Nyilvántartási számlaosztályban mérlegen kívüli tételként nem került kimutatása (számvitelről szóló 2000. évi C. törvény 160. § (5) bekezdés). (230,247, főkönyvi kivonatok)
Számv.6.
XXX napra vonatkozóan a 3111 Követelések ügyfeleknek nyújtott szolgáltatásokból számla egyenlege nem A hibás gyakorlatot észleltük és tudomásul vettük. tartalmazza teljes körűen a negatív ügyfélszámla egyenlegeket, ezáltal a mérlegben kimutatott ügyfelekkel szembeni követelés összege sem, mely nem felel meg a 4. § (3) bekezdésében foglaltaknak. (150, főkönyvi kivonatok)
Lásd határozatban foglaltakat
H
Számv.7.
A vizsgálat során rendelkezésre bocsátott 4291 Értékpapír árfolyamveszteségre képzett céltartalék számla és a 4292 Nyitott pozíció veszteségére képzett céltartalék számla könyvelt tranzakciói alapján megállapítottuk, hogy a Társaság a nyitó céltartalék összegének feloldásán kívül a céltartalék visszavezetéseket nem a 923 Céltartalék felhasználás számlákon könyvelte, hanem a 823 Céltartalék ráfordítás számlákon. A Társaság eljárása nem felel meg a 251/2000. (XII. 24.) Korm. rendelet 8. § (1) bekezdésében foglaltaknak, mely szerint a hó végi értékpapír értékelésekor képzett céltartalékot a következő hónap elején fel kell használni, amelyet a kereskedelmi tevékenység bevételeivel szemben kell elszámolni. XXX
Lásd határozatban foglaltakat
H
Számv.8.
A 2011. évi éves beszámoló kiegészítő mellékletének 3.1.5. Mérlegen kívüli tételek közt és a 6.5. Adott és kapott Ahogy az ide kapcsolódó számv.5.-ben jeleztük a hibás gyakorlatot észleltük és A Társaság a megállapítást nem vitatta, a megállapítást A kiegészítő melléklet elkészítése során fedezetek között nem szerepel az adott óvadék, kezesség összege XXX lsd. Ép.2.). tudomásul vettük. változatlan formában fenntartjuk. teremtse meg az összhangot a leírtak és (247) a ténylegesen alkalmazott gyakorlat között, tartsa be a kiegészítő melléklet tartalmára vonatkozó előírásokat.
Adatszolgáltatás Adsz.1. A vizsgálat a Társaság által a Felügyeletre beküldött napi tranzakciós (MiFID) jelentések adattartalmának ellenőrzése során adatszolgáltatási hibát tárt fel. Az ellenőrzést a teljes üzletkötési adatállomány rendelkezésünkre állásától, XXX napjától XXX napjáig terjedő időszakra végeztük el, a XXX kötött XXX ügyletek tekintetében. A jelentéssorokat összehasonlítottuk a XXX által szolgáltatott hivatalos tőzsdei kötési adatokkal, mely ellenőrzés során megállapítottuk, hogy a XXX db jelentéssorból • 4.634 jelentéssor (1,8 %) egyezik a XXX adataival; • 251.027 jelentéssorban (97,49 %) a kereskedés időpontja mező tér el; • 19 jelentéssorban (0,01 %) az értékpapír ISIN kódja tér el; • 1.788 jelentéssorban (0,69 %) 3 vagy 4 kulcsattributumban (kereskedés napja, kereskedés ideje, ISIN, mennyiség, ár) van eltérés; • 11 jelentéssor (0,0 %) pedig az 5 kulcsattributum és a kötésazonosító alapján sem párosítható a hivatalos XXX kötési adatokkal.
A céltartalék képzése során a 8§ (1)-ben előírt könyvelés technika azt jelenti, hogy minden egyes hónapban az előző havi értékpapír értékelésre megképzett céltartalék teljes összege nem realizált bevételt generál, és az éves árbevételben egy folyamatosan növekvő összeget indukál. A helyett hogy a nyitott pozícióra képzendő céltartalékhoz hasonlóan, havi záráskor az értékpapír árfolyamveszteségre képzendő céltartaléknak csak a változása kerüljön elszámolásra, azaz csak a növekménye, vagy csökkenése lenne számolandó az eredményben. Az árfolyamveszteségre képzett céltartalékok hó eleji, teljes összegű visszavezetésével keletkezett éves befektetési szolgáltatási tevékenység bevétel növekménye indokolatlanul képez iparűzési adó és a társasági adóalap növekményt, és ezzel összefüggésben megemelkedett adófizetési kötelezettséget. Tehát lényegében egy könyvelés technikai törvényi előírás miatt – amelyet a jogalkotó a számviteli alapelvek sérülése nélkül - akár egy indokolatlan többlet adóterhet nem generáló könyvelés technikára is módosíthatna, amely a Kormányrendeletben más helyütt jelen van.A jogszabály ilyen szempontú felülvizsgálata szükséges, ezt a 2008. évi vizsgálat során is jeleztük a T. Felügyelet felé. XXX a tőzsdén jegyzett értékpapírokat a 251/2000. (XII. 24) Korm.rendelet 6. § szerint összességében le kellett értékelni. A tőzsdén nem jegyezett saját számlán lévő befektetési jegyet ( XXX ) valamint a tőzsdén és ÁKK által nem jegyzett XXX kötvények is forduló napi értékelésre kerültek, melynek összege felértékelés volt. Az óvatosság elve alapján, hogy ez a nem realizált bevétel az eredményt ne növelje, erre a felértékelési összegre történt a céltartalék képzés. Tehát az eredményben a tőzsdén jegyezett értékpapírok vesztesége jelenik csak meg.
Társaságunk a kereskedés időpontján kívül a többi feltárt eltérés vvonatkozását számosságban nem tartotta jelentősnek, ezért foglalkozott a válaszadás során a kereskedés időpontjával. A T.Felügylet által 2013.05.31-én (http://www.pszaf.hu/hirek_ujdonsagok/piacfelugyelesi_fokuszpontok_130524.html) compliance officerek részére tartott konzultáción a MiFID TREM adatszolgáltatás tapasztalatai ismertetése során elhangzott, hogy a kereskedés időpontjában másodperces eltérések, illetve annak töredékei nem mérvadóak.
A Társaság tájékoztatásában az eltérést egyrészről a XXX és a Társaság szerveridejének különbségével és a fizikai távolsággal magyarázta. Megítélésünk szerint ez a magyarázat csak egy ezredmásodpercekben mérhető, és konstans időeltérést indokolhatna. Másrészt a Társaság arról adott tájékoztatást, hogy kereskedési rendszere minden adatot óra-perc részletezettséggel menti az adatbázisban, s a másodpercet a kerekítés szabályai szerint tudja csak tárolni. A probléma megoldására a Társaság vállalta hogy árajánlatot kér be a XXX programot fejlesztő cégtől. A Társaság az egyéb eltérésekre nem adott magyarázatot. A befektetési szolgáltatási tevékenységet, befektetési szolgáltatási tevékenységet kiegészítő szolgáltatást, árutőzsdei szolgáltatást végzők adatszolgáltatási kötelezettségéről szóló 9/2011. (VI. 17.) PSZÁF rendelete 2. mellékletének (Kitöltési útmutató) II. rész C/MIFID TREM tábla fejezetében a 3. a kereskedés időpontja mezőjének leírása szerint: „Az ügylet végrehajtásának időpontja az ügylet bejelentését fogadó illetékes hatóság helyi idejében megadva, es az ügylet bejelentésének időzónája az egyetemes világidőhöz (Coordinated Universal Time – UTC) viszonyított +/– órákban kifejezve.” A kereskedés időpontjának jelentési kötelezettsége az ügylet végrehajtásának időpontját jelenti. Az ügylet végrehajtása a kötés végrehajtásának időpillanatában történik, nem az ajánlatbevitel időpontjában, és nem is azok percre kerekített időpontjában. Így a jogszabályszerű adatszolgáltatás-teljesítésnek azt fogadjuk el, amikor a nevezett mezőben a tranzakció végrehajtásának pontos időpontját jelentik. Ez a XXX -en megkötött ügyletek esetében megegyezik a XXX kötéslistáján szereplő, a tőzsdetag adatszolgáltató által ismert kötési időponttal. 4. oldal, összesen: 5
Lásd határozatban foglaltakat
H/VL VL
VL
H
HATÁRIDŐ folyamatosan
folyamatosan
adatot óra-perc részletezettséggel menti az adatbázisban, s a másodpercet a kerekítés szabályai szerint tudja csak tárolni. A probléma megoldására a Társaság vállalta hogy árajánlatot kér be a XXX programot fejlesztő cégtől. A Társaság az egyéb eltérésekre nem adott magyarázatot.
Hiv.
A befektetési szolgáltatási tevékenységet, befektetési szolgáltatási tevékenységet kiegészítő szolgáltatást, árutőzsdei szolgáltatást végzők adatszolgáltatási kötelezettségéről szóló 9/2011. (VI. 17.) PSZÁF rendelete 2. mellékletének (Kitöltési útmutató) II. rész C/MIFID TREM tábla fejezetében a 3. a kereskedés időpontja mezőjének leírása szerint: „Az ügylet végrehajtásának időpontja az ügylet bejelentését fogadó illetékes hatóság helyi idejében megadva, es az ügylet bejelentésének időzónája az egyetemes világidőhöz (Coordinated Universal Time – UTC) viszonyított +/– órákban kifejezve.” A kereskedés időpontjának MEGÁLLAPÍTÁS jelentési kötelezettsége az ügylet végrehajtásának időpontját jelenti. Az ügylet végrehajtása a kötés végrehajtásának időpillanatában történik, nem az ajánlatbevitel időpontjában, és nem is azok percre kerekített időpontjában. Így a jogszabályszerű adatszolgáltatás-teljesítésnek azt fogadjuk el, amikor a nevezett mezőben a tranzakció végrehajtásának pontos időpontját jelentik. Ez a XXX -en megkötött ügyletek esetében megegyezik a XXX kötéslistáján szereplő, a tőzsdetag adatszolgáltató által ismert kötési időponttal.
QUAESTOR Értékpapír Nyrt. HÁTTÉR TÁMOGATÓ TEVÉKENYSÉGEK BANK-, ÜZLETI- ÉS ÉRTÉKPAPÍR TITKOT TARTALMAZ
AZ INTÉZMÉNY ÉSZREVÉTELE
AZ ÉSZREVÉTEL ÉRTÉKELÉSE
SZÜKSÉGES INTÉZKEDÉS
H/VL
HATÁRIDŐ
Adsz.2.
A Társaság a napi tranzakciós (MiFID) jelentésben a szabályozott piacra bevezetett állampapír ügyleteket nem Társaságunk a vizsgálat ideje alatt pótolta a hiányosságot. jelenti, a Társaság eljárása során nem követte a 9/2011. (VI. 17.) PSZÁF rendelet 2. sz. melléklet Kitöltési útmutató II. Rész C/ MiFID TREM tábla vonatkozó rendelkezéseit, egy ügylet akkor tartozik a MiFID hatálya alá, ha az ügylet tárgya szabályozott piacra vagy MTF-re bevezetett pénzügyi eszköz. (felügyeleti adatszolgáltatás, 253)
Lásd határozatban foglaltakat
H
Adsz.3.
A XXX napjára vonatkozó negyedéves 37A (Portfolió elemzés - minősítés) táblában szerepeltetett adatok nem Társaságunk a feltárt hiányosságot a következő jelentés alkalmától pótolja. tartalmazzák a XXX kötött ügyletek miatt keletkezett (devizaárfolyam kockázat miatti) negatív számlaegyenlegű ügyfelek adatait (követelés összege XXX . napján forintban: XXX forint). Ezen követeléseket a Társaság nem minősítette, mely nem felel meg a 251/2000 (XII.24.) Korm. rendelet 5. sz. mellékletének I. fejezet (1) bekezdésében foglaltaknak, mely szerint a befektetési szolgáltatásokból adódóan fennálló valamennyi követelést minősíteni kell, továbbá a 31C tábla Befektetési vállalkozás - Tájékoztató adatok (1.) Ügyfelekkel szembeni követelések sorában jelentett adatok között sem került kimutatásra. (rendszeres adatszolgáltatás adatai, 150, 255, XXX -i főkönyvi kivonat)
Lásd határozatban foglaltakat
H
folyamatosan
Adsz.4.
A XXX napjára vonatkozó negyedéves 37B2 (Céltartalék változása) táblában szerepeltetett adatok nem állnak A 37B232 Nyitott pozíció veszteségére képzett céltartalék soron tévesen nem jelentett a A Társaság a megállapítást nem vitatta, a megállapítást Adatszolgáltatása feleljen meg összhangban a főkönyvi nyilvántartásában elszámolt összegekkel, a nyitott pozíció veszteségére képzett céltartalékot Társaság adatot, amely azóta nem fordult elő. változatlan formában fenntartjuk. vonatkozó jogszabályi előírásoknak. a tábla nem tartalmazza. (274)
a
VL
folyamatosan
Adsz.5.
A Társaság a 30D1 Saját számlás állományok hónap végén táblában XXX napjára és XXX napjára A 2013 januárjában beveztetett új havi jelentéstáblák kitöltése óta Társaságunk a 30DB1 A Társaság a megállapítást nem vitatta, a megállapítást Adatszolgáltatása feleljen meg vonatkozóan a 30D12 (határidős ügyletek öszesen) soron nem szerepeltet adatot. Az eljárás során átadott soron és annak bontásában szerepelteti a saját számlás határidős pozíciók piaci értékét. változatlan formában fenntartjuk. vonatkozó jogszabályi előírásoknak. dokumentumok alapján a Társaságnak volt határidős pozíciója. A Társaság eljárása során nem követte a 9/2011. (VI. 17.) PSZÁF rendelet 2. sz. melléklet Kitöltési útmutató II. Rész A) Egyedi táblákra (30D1 Saját számlás állományok a hónap végén ) vonatkozó előírásait. (168, felügyeleti adatszolgáltatás)
a
VL
folyamatosan
5. oldal, összesen: 5