Vizsgálati jelentés. A QUAESTOR Értékpapírkereskedelmi és Befektetési Nyrt. célvizsgálatáról

*Ikt./Ref: *** / /2008. A QUAESTOR Értékpapírkereskedelmi és Befektetési Nyrt. célvizsgálatáról Készítette: *** Jóváhagyta: *** 2008. november

TARTALOMJEGYZÉK 1. A VIZSGÁLAT JELLEMZŐI, CÉLJA, IDŐTARTAMA, VIZSGÁLATI MÓDSZERE... 4 1.1. A VIZSGÁLT INTÉZMÉNY AZONOSÍTÓ ADATAI... 4 1.2. A VIZSGÁLAT CÉLJA, A VIZSGÁLAT MÓDSZERTANI ISMERTETŐJE... 4 2. ÖSSZEFOGLALÓ ÉRTÉKELÉS... 6 3. VÁLLALATIRÁNYÍTÁS... 7 3.1. TULAJDONOSI JOGGYAKORLÁS... 7 3.1.1. Tulajdonosi szerkezet... 7 3.1.2. Tulajdonosi irányítás és kontroll... 7 3.2. STRATÉGIA... 8 3.2.1. Intézményi stratégia... 8 3.2.2. Reputációs kockázat... 9 3.3. BELSŐ IRÁNYÍTÁS... 10 3.3.1. Szervezeti felépítés intézményi szinten, csoportszerkezet... 10 3.3.2. Szervezeten belüli felelősségi körök, döntési, beszámoltatási rendszer... 11 3.3.3. A testületi rendszer felépítése, irányítási és felvigyázási funkciók... 11 3.3.4. Felügyelőbizottság; Audit Bizottság, felelős társaságirányítási jelentés... 12 3.3.5. Igazgatóság... 14 3.3.6. Vezetők és a munkatársak feladatai... 15 3.3.7. Szabályozási rendszer, jogi kockázatok... 15 3.3.8. Nyilvánosságra hozatal, átláthatóság... 16 3.4. BELSŐ KONTROLLRENDSZER... 16 3.4.1. Belső kontrollrendszerrel szembeni általános elvárások érvényesülése... 16 3.4.2. Kockázatkezelés (szabályozottság, szervezeti-személyi feltételek, gyakorlat)... 17 3.4.3. Compliance... 19 3.4.4. Ellenőrzési rendszer... 20 3.4.4.1. Belső ellenőrzés, (Szabályozás, személyi feltételek)... 20 3.4.4.2. Belső ellenőri vizsgálatok... 21 3.4.4.3. Munkafolyamatba épített ellenőrzés... 22 4. PIACI MEGJELENÉS... 23 4.1. TERMÉKEK, SZOLGÁLTATÁSOK... 23 4.2. ÜGYFÉLKÖVETELÉSEK VÉDELME... 23 4.2.1. Pénzfedezettség... 23 4.2.2. Értékpapír fedezettség... 24 4.3. ÜGYFELEK... 24 4.3.1. A belső szabályozottság; a Bszt. előírásainak való megfelelés... 25 4.3.2. Alkalmazásra való felkészülés... 25 4.3.3. Előzetes tájékoztatási kötelezettség, ügyfélminősítés... 25 4.3.4. Megfelelési és alkalmassági teszt... 26 4.3.5. Végrehajtási politika... 26 4.3.6. Összeférhetetlenségi politika... 27 4.3.7. A vezető állású személyek, alkalmazottak és egyéb érintett személyek saját ügyletei... 27 4.3.8. Ügyfél panaszok kezelésének rendje... 27 5. ÜZLETI FOLYAMATOK ÉS TŐKE... 29 5.1. PÉNZÜGYI ÉS MŰKÖDÉSI KOCKÁZATOK... 29 5.1.1. Hitelkockázat koncentrációs kockázat... 29 5.1.2. Piaci kockázat, kereskedési könyvi kockázatok... 31 5.1.3. Működési kockázatok... 32 5.1.3.1. Közvetítői hálózat, szabályozás... 32 5.1.3.2. Közvetítő díjazása... 32 5.1.3.3. Ügynökhálózat ellenőrzése... 33 2

5.1.3.4. Oktatás... 33 5.1.4. Likviditáskezelés, likviditási kockázat... 33 5.2. TŐKE... 34 5.3. JÖVEDELMEZŐSÉG... 35 5.3.1.1. Jövedelemi helyzet... 35 5.3.1.2. Jövedelemtranszfer, üzleti kapcsolatok... 37 6. HÁTTÉR ÉS TÁMOGATÓ TEVÉKENYSÉGEK... 40 6.1. IT TÁMOGATÁS... 40 6.1.1. A vizsgálat terjedelme... 40 6.1.2. Tervezés, vezetés, szervezet és szabályozás... 40 6.1.2.1. Informatikai stratégia... 40 6.1.2.2. Az informatika szervezete... 40 6.1.2.3. Szabályozottság... 40 6.1.2.4. Kockázatkezelés... 41 6.1.3. Információ technológiai architektúra, fejlesztés és üzembeállítás... 41 6.1.3.1. Információ technológiai architektúra... 41 6.1.3.2. Fejlesztés és változáskezelés... 41 6.1.4. Üzemeltetés... 42 6.1.4.1. Folyamatok menedzselése... 42 6.1.4.2. Fizikai-, logikai- és adatbiztonság... 42 6.1.4.3. Hozzáférési jogosultságok... 42 6.1.4.4. Felhasználók támogatása... 43 6.1.4.5. Adatvédelem, mentések, archiválások... 43 6.1.4.6. Rendkívüli események... 43 6.1.4.7. Külső szolgáltatások, kiszervezés... 43 6.1.4.8. Informatikai oktatás... 44 6.1.5. Monitorozás, ellenőrzés... 44 6.1.5.1. Független ellenőrzés... 44 6.1.5.2. Monitorozás... 44 6.2. HUMÁNPOLITIKA... 44 7. MELLÉKLETEK... 46 3

1. A vizsgálat jellemzői, célja, időtartama, vizsgálati módszere 1.1. A vizsgált intézmény azonosító adatai Intézmény neve: QUAESTOR Értékpapírkereskedelmi és Befektetési Nyrt. (a továbbiakban: Társaság). Intézmény székhelye: 1132, Budapest, Váci út 30. 6. emelet Tevékenységi engedély: A Társaság a Felügyelet 70.068/1993. számú (1993.04.16.), valamint 75.024/1999. számú (1999.06.14.) és III/75.024-20/2003. számú (2003.02.21.) határozatai alapján befektetési szolgáltatási és kiegészítő szolgáltatási tevékenységek végzésére jogosult szervezet. A Társaság önkéntes kölcsönös biztosító pénztár részére a 1199/1999. számú (1999.04.02.), magánnyugdíjpénztár részére a 2608/1999. számú (1999.12.31.) felügyeleti engedélyek alapján végezhet vagyonkezelést. A Társaság a Felügyelet E-III/445/2008. számú (2008.05.20.) engedélye alapján jogosult árutőzsdei szolgáltatási tevékenység végzésére. A Társaság jelenleg érvényben lévő Üzletszabályzata 2008.07.01. napjától hatályos. 1.2. A vizsgálat célja, a vizsgálat módszertani ismertetője A vizsgálat célja volt a szervezeten belüli és szervezetközi belső irányítás valamint a kockázati transzferek és a likviditás prioritások alapján behatárolható kockázati kategóriák elemei tekintetében feltárni, jelezni a személyi, működési és üzleti kockázatokat a Társaság és a QUAESTOR cégcsoport 1 jogszabálykövető és prudens tevékenységgyakorlásának elősegítése, a Felügyelet ezirányú feladatainak ellátása érdekében. A vizsgálat célja volt továbbá a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló 2007. évi CXXXVIII. törvényben (a továbbiakban: Bszt.) foglalt előírások gyakorlati érvényesülésének kontrollja, különös tekintettel az ügyfél tájékoztatásra vonatkozó rendelkezésekre. A célvizsgálat során az ellenőrzött intézménytől iratokat, bizonylatokat kértünk be, az érintettekkel személyes interjúkat készítettünk. A Társaság képviselőinek ily módon lehetőségük volt a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL. törvény (a továbbiakban: Ket.) 51. (1) bekezdésében biztosított jogukkal élni, ennek keretében nyilatkozatokat tenni. A Társaság a vizsgálat során nyilatkozott arról, hogy a célvizsgálathoz kért és iratjegyzékben átadott információk a nyilvántartásából származnak és teljes körűen tartalmazzák a Felügyelet által kért dokumentumokat. A Társaságot a Ket., a Pénzügyi Szervezetek Állami Felügyeletéről szóló 2007. évi CXXXV. törvény (a továbbiakban: Psztv.), a Bszt. szerint megillető jogokról és kötelezettségekről írásban tájékoztattuk. A tájékoztató tartalmának megismeréséről a Társaság annak aláírásával nyilatkozott. A célvizsgálat során támaszkodtunk továbbá a Felügyeleten a korábbi eljárások 1 A Társaság, a QUAESTOR Befektetési Alapkezelő Zrt., a QUAESTOR Jelzálog Finanszírozási Zrt., a QUAESTOR Országos Magánnyugdíjpénztár, a QUAESTOR Önkéntes Nyugdíjpénztár, a QUAESTOR Önkéntes Egészségpénztár. 4

során keletkezett dokumentumokra, illetőleg a vizsgált intézmény elektronikus adatszolgáltatására. A vizsgálati jelentésben félkövér dőlt betűtípussal kerültek rögzítésre azon megállapítások, amelyek valamely jogszabályi rendelkezést sértenek. Azon megállapítások, amelyek a Felügyelet álláspontja szerint a prudens működés kívánalmának nem megfelelő gyakorlatot jelzik, dőlt betűszedéssel jelennek meg a vizsgálati jelentésben. A jogkövető magatartásra utaló megállapítások kiemelés nélkül szerepelnek. A megállapítások alapjául szolgáló dokumentumokra lábjegyzetben hivatkozunk, amelyek a vizsgálati jelentés mellékletét képező iratjegyzékből beazonosíthatóak; és itt kerülnek továbbá rögzítésre az egyéb kiegészítő információk is. A vizsgálat résztvevői köszönetüket fejezik ki a Társaság menedzsmentjének és munkatársainak a vizsgálat során tanúsított segítőkészségükért. 5

2. ÖSSZEFOGLALÓ ÉRTÉKELÉS A tulajdonosi felelősség a tulajdonosok döntéseiben megfelelően érvényesül. A tulajdonosi irányítás *** A Társaságnál az Igazgatóság elnökeként Tarsoly Csaba személyében a tulajdonosi kontroll közvetlenül is érvényesül. A Társaság vezető testületeinek irányítási és kontrollfunkciója a belső szabályozásnak megfelelően a gyakorlatban is biztosított. A vizsgálat során megállapítottuk, hogy a Társaság megfelelő kockázatkezelési rendszerrel rendelkezik a jogszabályi rendelkezésekben, belső szabályzatokban meghatározott követelmények érvényesítéséhez. A likviditáskezelés gyakorlata megfelelő, igazodik a Társaság méretéhez, tevékenységének jellegéhez és összetettségéhez, a működés során felmerülő lehetséges kockázatok mértékéhez. A Társaság belső szabályozottsága megfelelő szakmai színvonalú, megfelelő kereteket biztosít mind a tevékenységgyakorláshoz, mind annak kontrollálásához. A Bszt. alapján megalkotott szabályozó dokumentumok tekintetében és a kialakított gyakorlatban feltárt hiányosságok, módosítási igények részben technikai jellegük, részben kockázataik miatt alacsony kockázatúnak minősíthetőek. A vizsgált jogi szakterület szervezete, szabályozottsága és feladatellátása, valamint a folyamatban lévő bírósági peres és peren kívüli ügyek súlya, jellege és száma, illetőleg azok kezelése a rendelkezésre álló információk alapján *** ***. Az ellenőrzés szabályozottságát a jogszabályokkal, illetve egyéb belső szabályzatokkal összhangban állónak tartjuk, a belső ellenőrzés függetlensége biztosított. *** A Felügyelet rendelkezésére álló belső ellenőri dokumentumok áttekintést adnak a Társaság működésében feltárt kockázatokról. Az informatikai belső ellenőri feladatok és a compliance officer-i feladatok ellátására a Társaság ***. A Társaság nem tekintette kiszervezett tevékenységeknek e munkavégzéseket, ezért azt a Felügyeletnek nem jelentette be, Üzletszabályzatában nem tűntette fel. A Társaságnál a bérszámfejtési feladatokat *** látja el, mely tevékenységet a Társaság szintén nem a kiszervezés szabályai szerint végeztet. A Társaság megbízási szerződés alapján számviteli feladatokat lát el a *** mely tevékenységvégzés nem felel meg a Bszt. által előírt tevékenység kizárólagossági szabályoknak. Az ügyfelek pénz- és értékpapír követelése *** napján a Társaság számláin maradéktalanul megtalálható volt, a vizsgálat az ügyfélkövetelések védelmével kapcsolatos jogszabálysértést nem tárt el. A Társaság a QUAESTOR Pénzügyi Tanácsadó Zrt.-vel kötött függő ügynöki megbízási szerződést, az ügyfelek döntő többsége az ügynöki hálózaton keresztül kerül kapcsolatba a Társasággal. Az ügynökhálózat irányításának megfelelő szintű szakmai kontrollja a Társaság részéről biztosított, ugyanez elmondható az ügynök üzletkötőinek/termékértékesítőinek szakmai oktatásáról. *** A *** végzett felügyeleti vizsgálat óta a QUAESTOR csoport köztük a Társaság informatikai helyzete javult *** területén.***. Összességében az információ technológia alkalmazásában rejlő kockázat mértékét mérsékeltnek tartjuk, a kockázatkezelés minősége pedig megfelelő. 6

3. VÁLLALATIRÁNYÍTÁS 1. A szervezet belső szabályozottsága, szervezeten belüli és szervezetközi döntési, beszámoltatási rendszerek megbízható és átlátható működése; a tulajdonosi stratégia, a tulajdonosi és vezetői ellenőrzés működésének formái, hatékonysága vizsgálati programpontok tárgyköreinek feldolgozása a Felügyeleten alkalmazott ún*** Rendszerben definiált kockázati kategóriáknak megfelelően történik. 2. A Felügyelet honlapján közzétette a Felügyelet *** évre meghirdetett prioritásait, amelynek egyik eleme a belső irányítás szervezeten belüli és szervezetközi döntési, beszámoltatási, ellenőrzési rendszerek megbízható és átlátható működése. *** 3. A Társaságnál az intézményi, illetve csoportszintű 2 kockázatok feltárása érdekében tartott helyszíni célvizsgálat részét képezte *** a szervezeten belüli döntési, beszámoltatási, ellenőrzési rendszerek, a tulajdonosi és vezetői ellenőrzés működési formáinak vizsgálata. Az eljárás során figyelemmel voltunk a Pénzügyi Szervezetek Állami Felügyelete Felügyeleti Tanácsának A belső védelmi vonalak kialakításáról és működtetéséről szóló 11/2006. (XII.14.) számú; A pénzügyi szervezetek vezetőinek és tulajdonosainak alkalmassági és megbízhatósági értékeléséről szóló 4/2007. (X.31.) számú 3 ajánlásaira; a Pénzügyi Szervezetek Állami Felügyeletének 5/2008. számú módszertani útmutatójára a pénzügyi csoportok összevont alapú irányításáról és kockázatkezeléséről 4 ; továbbá a Budapesti Értéktőzsde Zrt. (a következőkben: BÉT) által a tőzsdei vállalatok számára, vállalatirányításukra vonatkozóan közzétett ajánlásra 5. 3.1. Tulajdonosi joggyakorlás 3.1.1. Tulajdonosi szerkezet 4. A Társaság a Bszt.123. (1) bekezdés b) pontja alapján bejelentette *** én hatályos részvényesi körét, illetve a részvényesek tulajdoni és szavazati hányadát. 6 részvényes tulajdoni és szavazati hányad (%) *** *** *** *** *** *** *** *** *** *** 5. *** A tulajdonosi összetétel átlátható, naprakész nyilvántartását a Társaság részvénykönyve biztosítja. 6. *** ily módon azok tevékenységéről, üzleti kapcsolataikról csak a nyilvános, illetőleg a Társaság által közölt adatok állnak rendelkezésre. *** A vizsgálat során nem jutott olyan információ a Felügyelet tudomására, amely aggályossá tenné a tulajdonosi kör megítélését. 3.1.2. Tulajdonosi irányítás és kontroll 7. A Társaság és a QUAESTOR Csoport (a továbbiakban: Csoport) többi tagja esetében is a tulajdonosi irányítás és kontroll több érdekérvényesítő csatornán keresztül jelenik meg. A Társaságnál érvényesülő tulajdonosi irányítás és kontroll nem választható el a csoport szintű irányítási és kontroll funkcióktól, ezért azokat együttesen vizsgáljuk. 2 A QUAESTOR csoport a Felügyelet által kialakított csoportmódszertan elvei szerint nem jogi kapcsolat alapján működő csoport, irányító intézménnyel. A kijelölt irányító intézmény a QUAESTOR Értékpapírkereskedelmi és Befektetési Nyrt. 3 Ezen ajánlás címzettjei elsősorban az ágazati törvények előírásai alapján működő pénzügyi szervezetek. 4 A QUAESTOR csoport a Módszertani útmutató tágan értelmezett címzetti körébe vonható. 5 A Társaság a BÉT hivatkozott ajánlása alapján 2008. évben is elkészítette és közzétette a Felelős Társaságirányítási Jelentését. 6 lsd. *** 7

8. A tulajdonosi irányítás és kontroll egyik eszköze a vezető testületekbe való delegálás, illetve az alkalmazott vezetők tevékenysége. A Társaság, illetőleg felügyelt intézményi kör tekintetében a személyi összefüggéseket a *** számú melléklet tartalmazza. A vizsgált vezető tisztségviselői körben a többes funkcióellátások az összeférhetetlenségi szabályokat nem sértik, azonban jelzik a személyi kockázatokat (kapcsolódó megállapításokat a *** fejezet tartalmaz). 9. A Csoportba tartozó *** társaságok divízió rendszerű felépítése***, a csoportfeladatokra kialakított szervezeti egységek szintén a tulajdonosi irányítás közvetlenségét hivatottak biztosítani. A Társaság *** Divízió része, amely dedikált feladata*** ***. 10. A Társaságnál érvényesülő tulajdonosi joggyakorlás további eszköze a Csoport irányítását végző ***, amely ***. A Társaság (***) tekintetében nincs utasítási jogköre, az egyéb területek vonatkozásában igen. Feladata ***. A ***magába foglalja ***. 11. A tulajdonosi irányítás és kontroll eszköze a Társaságot irányító testületi rendszer (értve ez alatt a Felügyelőbizottság, Igazgatóság és Audit Bizottság működését), amellyel kapcsolatos megállapításaink a *** fejezetekben kerültek rögzítésre. 3.2. Stratégia 3.2.1. Intézményi stratégia 12. Pénzügyi Szervezetek Állami Felügyeletének 5/2008. számú módszertani útmutatójában 7 (a továbbiakban: Módszertani útmutató) rögzítésre került, hogy a csoport szintű irányítási és döntéshozatali rendszer kialakítása érdekében a Felügyelet szükségesnek tartja, hogy a pénzügyi szervezet az irányító pénzügyi szervezetre és a csoporttagokra egyaránt érvényes közös stratégiát dolgozzon ki, amely stratégia összehangolja az irányító pénzügyi szervezet és az egyes csoporttag intézmények célkitűzéseit. A stratégiát az irányító pénzügyi szervezet vezetése fogadja el. A Társaság *** évi stratégiai tervét a Társaság évi rendes Közgyűlése az Igazgatóság és Felügyelőbizottság előzetes véleményalkotására figyelemmel ***-án elfogadta. 13. Az eljárás során megállapítottuk, hogy a Társaság *** évre vonatkozóan rendelkezésre bocsátott stratégiai és üzleti terve 8 illeszkedik a Csoport ezen belül a *** Divízió tekintetében kidolgozott stratégiai tervezési folyamatába. Az abban meghatározott célkitűzések a piaci helyzet és folyamatok reális felmérésén, az elérendő célok és belső erőforrások elemzésén alapulnak 9. A Csoport jelen esetben részletesebben áttekintett intézményi stratégia meghatározásában a tulajdonos, illetőleg a korábbiakban említett divízió szerinti munkamegosztásból adódóan közreműködőként a *** Divízió szerepe volt meghatározó. 14. A Csoport ily módon a Társaság is olyan minőségű szabályozott stratégia alkotási rendszerrel rendelkezik, amely a stratégia elkészítésének menetét, rendszeres felülvizsgálatát, a mindennapi munkába történő lebontását is biztosítja (***). A visszamérés módszertana szintén kidolgozott, annak intézményi illetve Csoport szinten történő alkalmazásáról szintén később szólunk. A rendelkezésre álló információk alapján megállapítható, hogy a Csoport ezáltal a Társaság stratégia tervezési folyamata főbb vonalaiban megfeleltethető a Módszertani útmutatóban rögzített elvárásoknak is (***.). 15. *** 7 A Pénzügyi Szervezetek Állami Felügyeletének 5/2008. számú módszertani útmutatója pénzügyi csoportok összevont alapú irányításáról és kockázatkezeléséről címzetti körébe közvetlenül nem tartozik bele a QUAESTOR csoport; tekintettel azonban annak adaptálható elemeire, az eljárás során figyelemmel voltunk rá. 8 lsd. előzetesen beküldött Stratégiai és üzleti terv. 9 A Társaság***. évi előre jelzett pénzügyi eredmény adatai a tényadatokkal összhangot mutatott. 8

16. A QUAESTOR Pénzügyi Tanácsadó Zrt. (a továbbiakban: QPT Zrt., vagy QPT.) a Társaság legnagyobb tulajdonosaként és a Csoport tényleges irányító vállalataként a *** évi stratégiaalkotás óta egységes formában tesz javaslatot az általa (rész)tulajdonolt vállalatok számára, amely alapján a csoporttagok mindegyike így a Társaság is stratégiáját a cégcsoport üzleti stratégiájába ágyazva alakítja ki. 17. A stratégiai tervezés projektje ***ban indult 10 ; ***ra megszületett a Csoport stratégiai céljainak első stratégiai térképe; a folyamatos munka eredményeként a ***re kialakított *** fókuszpontot ***re kezelhetőbb mennyiségre, mintegy ***ra sikerült csökkenteni. A Társaság képviselőinek tájékoztatása szerint ***re várható az új stratégiai térkép, a ***- es fókuszpontok, a BSC mutatók vitája, elfogadása; az év végére a fókuszpontok alapján a divizionális pénzügyi-és feladattervek elkészítése; ***ig pedig a BSC első fázis felállítása (mintegy ***mutatóval). 18. Az ily módon kialakított stratégia megvalósulása egy ***folyamat 11 : *** 19. A Társaság ***re meghatározott Stratégiai és Üzleti terve a vállalati stratégiai célok 12 rögzítését követően meghatározza a stratégiai célok teljesítése érdekében a célok alá rendelt taktikai akciókat. Ilyen többek között *** az Internetes csatorna megjelenésének javítása; ügyfél igények megismerése; magas szintű szakmai tudást biztosító oktatás a munkatársak, ügynökök részére; belső ellenőrzés, kockázatkezelés és compliance szervezeti egység felállítása. 20. Az eljárás során a Társaság vezérigazgatója kiegészítő tájékoztatást adott a cégcsoport felügyeleti kontrollkörbe tartozó intézményeivel ezen belül hangsúlyosan a Társasággal kapcsolatos üzleti megfontolásokról, tervekről. Változás várható a Társaság (Csoport) stratégiájában oly módon, hogy az eddigi *** felváltja az *** (amely nem termék, hanem ügyfél igény alapú megközelítést jelent). A ***.-vel végrehajtott ügyfélkutatási program keretében a Társaság helyzete is pozícionálásra kerül, objektív megítélést kap a piaci szereplők között elfoglalt helye tekintetében. A Társaság bővíteni kívánja *** és *** folyamatait, és erősíteni a *** ismertségét. A célok elérése érdekében az ügyfelek pénzügyi igényeinek megfelelően a *** további szélesítésre törekednek, amelyben partnerként számíthatnak ***-re. A nemzetközi piaci helyzet alakulása óvatosságra intő jel; ezért a kapcsolat fenntartásával ugyan, de jelenleg a kivárás mellett döntöttek. *** a nemzetközi kihívásokkal összhangban, a jövőben nagyobb hangsúlyt fektet a Társaság a nyelvet beszélő, magasan képzett munkaerő alkalmazására. *** 21. A Társaság által az eljárás során elkészített *** 13 a piaci környezet, és a Társaság erősségeinek és gyengeségeinek reális felmérését és értékelését tükrözi. A vezérigazgató által a gyengeségek 14 és veszélyek 15 kapcsán adott kiegészítő tájékoztatás kockázattudatosságot jelez, amelyhez átgondolt fentiekben vázolt intézkedési stratégia társul. 3.2.2. Reputációs kockázat 22. Reputációs kockázattal járó esemény a vizsgált időszakban nem történt; áttekintve azonban a Társaságról attól elválaszthatatlan módon a Csoportról rendelkezésre álló információkat nem zárható ki a reputációs kockázat/fertőzésveszély (***). 10 lsd*** tervezés a gyakorlatban, *** működés; a QUAESTOR csoport stratégiai tervezési rendszere prezentációk. 11 lsd. előzetesen beküldött dokumentum: Javaslat a *** Divízió stratégiájára. 12 A csoport szinten meghatározott nézőpontoknak***). *** *** *** 9

23. A Társaság vezetése tisztában van a reputációs kockázat lehetséges felmerülésével 16, ezért az egyes, különösen nagy kockázatot hordozó területekre kiemelt figyelmet fordítva, megfontolandónak tartják esetlegesen eltérő cégnév használatában is megnyilvánuló elkülönítés biztosítását, a kiemelt kockázatkezelést. 24. A QUAESTOR image erősítése a befektetőkben és az ügyfelekben a Társaság egyik stratégiai célkitűzése. Ezt a stratégiai célt szolgálta az egységes arculat bevezetése, a korábbi kiadványok átalakítása; együttműködés több nagy külföldi partnerrel *** 3.3. Belső irányítás 3.3.1. Szervezeti felépítés intézményi szinten, csoportszerkezet 25. *** 26. A Társaság szervezeti felépítése megfelel az SZMSZ-ben rögzítetteknek az alábbi kitétellel összhangban áll a jogszabályi előírásokkal. A szabályozó dokumentumok alapján megállapítottuk, hogy a portfoliókezelési és az árutőzsdei szolgáltatási szervezeti egység irányítását egyaránt *** a *** látja el. Tekintettel arra, hogy ***, az egyes szervezeti egységek irányítás szintjén történő elkülönítésének hiánya tényleges kockázatot jelenleg nem hordoz 17, azonban az esetleges üzletpolitikai változások függvényében, az érintett tevékenységek egyidejű folytatása esetén biztosítani kell a Bszt. 17. (1) bekezdés a) pontjában foglaltak érvényesülését. 27. A szervezeti felépítés átlátható és megfelelő alapot biztosít az intézmény biztonságos irányításához, a felelősségek és hatáskörök, a beszámolási útvonalak egyértelműen meghatározottak 18. Ugyanakkor megjegyzendő, hogy az alkalmazotti állomány nagyságának korlátozottsága miatt egyes személyek az általuk ellátott többes feladatkör miatt több, más-más személy irányítása alá tartozó szervezeti egységben is feltüntetésre kerültek ***. 28. Ugyancsak aggályosnak tekinthető, hogy *** (munkaszerződés, illetve részmunkaidős munkaszerződés alapján) egyaránt ellátja a Társaság tőzsdei asszisztensi és a QUAESTOR Befektetési Alapkezelő Zrt. értékpapír-alapkezelési asszisztensi feladatait (kapcsolódó megállapításokat lsd. a 6.2. fejezetben) is. Az eljárás helyszíni szakaszában kapott információk szerint személyi változás várható annyiban, hogy nevezett személyt nevezik ki az Alapkezelő back-office vezetőjének. 29. Az SZMSZ 6.2.3. és 6.4.3. fejezeteiben az ügyvezető és az operatív tevékenység vezető feladatainál rögzíti a Társaság együttműködési kötelezettségét a Csoport egyes divízióval 19. 30. A Társaság vezérigazgatójának tájékoztatása szerint az egyes divíziók működését a tulajdonos külön szabályzatban (SZMSZ, eljárási rendek) rögzítette, a feladatokat, felelősségeket meghatározta. A divíziók 20 alapvetően üzleti és támogatói divíziókba sorolhatóak. A divíziókba tartozó cégek saját feladat-és hatáskörökkel, önálló felelősséggel rendelkeznek; a divízióknak nincs kikényszeríthető döntési, utasítási jogkörük; az egyeztetés jelenti az együttműködés alapját. A divíziók alkalmazottai munkajogilag ***. 31. A Társaság vezérigazgatója az eljárás során kiegészítő tájékoztatást adott az egyes divíziók működéséről. *** *** *** *** *** 20 t; Értékesítési és Ügyfélkapcsolati; Pénz- és Tőkepiaci; Ingatlan Fejlesztési Divíziók; továbbá Diverzifikált Szolgáltatások divíziója. 10

32. A Társaság honlapjának vizsgálata során utalást találtunk arra, hogy egyes vidéki irodák franchise rendszerben kerülnek működtetésre. Ezzel kapcsolatban felmerült kérdésre válaszolva a Társaság írásban nyilatkozott 21 arról, hogy *** és ***-ban franchise rendszerben működő *** irodákban a Társaság, valamint a Társaság ügynöke,a QUAESTOR Pénzügyi Tanácsadó Zrt. befektetési szolgáltatási tevékenységet nem folytat, az érintett irodák tevékenysége a *** tevékenységéhez kötődik. 3.3.2. Szervezeten belüli felelősségi körök, döntési, beszámoltatási rendszer 33. A Társaság vezető testületeinek joggyakorlásáról, beszámoltatási jogköreiről (lsd. testületi ülések jegyzőkönyvei) a következő fejezet tartalmaz részletes megállapításokat; e fejezetben az operatív irányítás során felmerülő vezetői jogosítványokról esik szó. 34. Az eljárás során részint áttekintettük a Társaság vonatkozó belső szabályozó dokumentumait, részint egyéb információk (testületi ülések jegyzőkönyvei, nyilatkozatok, szerződések) alapján kontrolláltuk az azoknak megfelelő joggyakorlást. 35. A szervezeten belüli feladat-és hatásköröket, felelősségeket átfogó jelleggel az SZMSZ tartalmazza. Az egyes további belső szabályozó dokumentumok*** a limiteket, intézkedési és döntési jogköröket rögzítik. A személyre (munkakörre) szólóan aktualizált munkaköri leírások pontosító, részletező rendelkezéseket tartalmaznak. 36. *** 37. Az eljárás során a belső szabályozó dokumentumok áttekintése, a Társaság vezérigazgatójának és a vizsgálatra kijelölt kapcsolattartójának tájékoztatása alapján megállapítottuk, ***. A *** időpontokban naponta rendszeresen tartott megbeszélések biztosítják az üzleti folyamatok folyamatos nyomon követését, az aktuálisan felmerülő kockázatok kezelését. 38. A munkafolyamatba épített kontrollkörben a *** tartalmaz munkafolyamat szintű szabályokat. A részletes szabályozás ellenére ab*** ból egyértelműen nem tűnnek ki a felelősségek, stornózási jogosultságok (ki, milyen típusú művelet stornózására jogosult, milyen határidőkkel, ki, mikor kontrollálja a *** rendszerén keresztül bejelentett, a Bróker programban is stornírozandó adminisztratív hibákat). A Társaság egyéb belső szabályozó dokumentumaiban fellelhetők a kontrollfunkciókra történő utalások ***. Az egyértelműség biztosítása érdekében indokolt a stornózásról szóló szabályzat részletesebb rendelkezésekkel történő kiegészítése; illetőleg az ellenőrzések tekintetében kereszthivatkozások alkalmazása. 3.3.3. A testületi rendszer felépítése, irányítási és felvigyázási funkciók 39. A Társaság vezető testületeiben a vizsgált időszakban nem volt változás. A Felügyelőbizottság elnöke: Závodszky Zoltán; tagjai: Révész László és dr. Bakódi Kálmán. Mindhárman 1997. április 2-tól folyamatosan tagjai e testületnek 22. 40. Az Igazgatóság tagjai: Tarsoly Csaba, Tarsolyné Rónaszéki Erika és Májer Zsolt. Mindhárman a Társaság alapításától kezdve folyamatosan (1996. szeptember 2.) töltik be tisztségüket 23. 41. A *** megválasztott Audit Bizottság személyi összetételét tekintve ***. 42. A testületek tagjai figyelemmel a Társasággal (Csoporttal) évek óta fennálló jogviszonyra; az operatív irányításban végzett munkájukból és a kontrollfunkciók gyakorlásából adódó tapasztalataikra megfelelő mélységű általános ismeretekkel *** 22 lsd. *** 23 lsd. Alapszabály 11.1.3. pontja szerint az Igazgatóság tagjait a Közgyűlés választja határozott időre, de legfeljebb 5 (öt) évi időtartamra. Az Igazgatóság tagjai újraválaszthatók. 11

rendelkeznek a tevékenységgyakorlás főbb folyamatairól (general és good understanding). 43. A tisztségviselők megfelelnek a fit & proper elvárásoknak24; sem jelen eljárás, sem a korábbi vizsgálatok nem tártak fel olyan tényt, körülményt, amely aggályossá tenné fenti megítélést. 44. A Társaság kiemelt figyelmet fordít a vezetői (és nem vezetői) munkavállalói kör kiválasztására, a felvett alkalmazottak beilleszkedésének elősegítésére. A *** toborzási, kiválasztási és beillesztési folyamatrendjében részletesen rögzítésre kerülnek a kiválasztás és a beilleszkedési-betanulási rend folyamata, az ahhoz kapcsolódó felelősségek és hatáskörök. 45. A Társaság legfőbb irányító, felvigyázási funkciókat ellátó testületeit, azok feladatait, a tevékenységüket meghatározó legfőbb eljárási szabályokat, hatásköröket és feladatmegosztásokat több belső szabályozó dokumentum rögzíti. Az Alapszabály, és az SZMSZ mellett elfogadásra kerültek a Felügyelőbizottság és az Igazgatóság működésének részletszabályait tartalmazó Ügyrendek. 3.3.4. Felügyelőbizottság; Audit Bizottság, felelős társaságirányítási jelentés 46. A Felügyelőbizottságra vonatkozóan több belső szabályozó dokumentum25 tartalmaz rendelkezéseket, amelyek jellegükből adódóan eltérő részletezettséggel, de a lényegi elemeket tekintve döntően azonos tartalommal rögzítik e testület feladat-és jogköreit. A dokumentumokban egyértelműen rögzítésre kerültek a testület kontrollfunkciói (a Felügyelőbizottság a Közgyűlés részére ellenőrzi a Társaság Igazgatóságát; köteles megvizsgálni minden, a Közgyűlés ülésének napirendjén szereplő valamennyi lényeges üzletpolitikai jelentést, valamint minden olyan előterjesztést, amely a Közgyűlés kizárólagos hatáskörébe tartozó ügyre vonatkozik; a függetlenített belső ellenőrzés a Felügyelőbizottság alá van rendelve stb.). 47. A szabályozó dokumentumokban a jogszabályi előírásokkal összhangban rögzített jogosítványok; valamint azok megvalósulását mutató testületi és Közgyűlési jegyzőkönyvek alapján megállapítható, hogy a Társaság e testülete ellátja a rá háruló feladatokat; azokhoz az Igazgatóság és a belső ellenőrzés támogatása biztosított. 48. A Felügyelőbizottság kontrollfunkciói ellátásának egyik biztosítéka, hogy az SZMSZ *** fejezetében rögzítésre kerül: Az Igazgatóság az ügyvezetésről, a Társaság vagyoni helyzetéről és üzletpolitikájáról legalább évente egyszer a Közgyűlés, 3 havonta a Felügyelőbizottság részére jelentést készít. 49. Az eljárás során a Társaság nyilatkozott26 arról, hogy a *** Jelentés *** pontja szerint az Igazgatóság a részvényesek számára elkésztette jelentését a belső kontrollok működéséről. Az Igazgatóság az éves jelentés keretében számol be a részvényesek (Közgyűlés) számára a belső kontrollok működéséről, ***. 50. Az eljárás során megtekintett Igazgatósági és Felügyelőbizottsági ülések jegyzőkönyvében rendszeresen szerepel utalás az Igazgatóság által a QUAESTOR Értékpapír Nyrt. Felügyelőbizottság részére készített Jelentésre. Az eljárás során a hivatkozott Jelentések tartalmának áttekintése érdekében meghatározott időszakra kértük annak átadását. A Felügyelet rendelkezésére bocsátott, a Társaság *** közötti 24 lsd. a Pénzügyi Szervezetek Állami felügyelete Felügyeleti Tanácsának 4/2007. (X.31.) számú ajánlása a pénzügyi szervezetek vezetőinek és tulajdonosainak alkalmassági és megbízhatósági értékeléséről. A fit & proper mindazon szükséges feltételek összefoglaló neve, amelyek megléte valószínűsíti valamely vezető, illetve tulajdonos alkalmasságát feladatai ellátására ( szükséges végzettségek és egyéb képzettségek, korszerű szakmai ismeretek, szükséges vezetői és egyéb gyakorlat, kizáró és összeférhetetlenségi feltételek, szakmai alkalmasság, üzleti megbízhatóság, jó üzleti hírnév, általános bizalom és elismertség, erkölcsi megbízhatóság és erkölcsi feddhetetlenség). 25 Alapszabály, Szervezeti és Működési Szabályzat, Felügyelőbizottság Ügyrendje. 26 lsd. helyszínen 19. sz. alatt átvett tájékoztatás. 12

gazdálkodásának elemzésére vonatkozó jelentés alapján27 megállapítottuk, hogy az a testület kontroll funkciójának gyakorlásához megfelelő részletezettségű információkkal szolgált: eredményadatok számszerű alakulásának részletes áttekintése, a változások okainak jelzése; eszköz- és forrásoldal aktuális elemzése; a Társaság helyzetének elemzése a piac résztvevőihez viszonyítva. A Jelentés aktuális információt tartalmaz a kutatás és kísérleti fejlesztés tárgykörben is (az ügyfelek befektetési igényeinek folyamatos feltérképezése, a mely alapján meghatározásra kerültek a legszélesebb körű igényeket kielégítő, innovatív befektetési szolgáltatási termékek a különböző kockázati kategóriákban). 51. A Társaság rendelkezésre bocsátotta a Felügyelőbizottság ***-tól hatályos Ügyrendjét28. A szabályozás döntően megfelel az ilyen dokumentumokkal szemben támasztott követelményeknek; az alábbi rendelkezések esetében technikai jellegű módosítások indokoltak; illetőleg javasolt a maradéktalan összhang biztosítása az SZMSZ rendelkezéseivel: *** A Felügyelőbizottság Ügyrendje 3.1.2. pontja szerint: Az elnök a Felügyelőbizottság ülését negyedévente legalább egyszer (rendes ülés), továbbá szükség szerint (rendkívüli ülés) köteles összehívni. A Társaság SZMSZ-ének 5.2.2. pontja szerint: A Felügyelőbizottság minden fél évben legalább egyszer, és a Közgyűlés kérésére bármikor ülést tart. A felügyeleti vizsgálathoz rendelkezésre bocsátott testületi jegyzőkönyvek szerint a testület jellemzően havonta (esetenként hónapon belül többször is) ülésezett, ily módon nem működésbeli, hanem szabályozási kérdésről van szó. A Felügyelőbizottság Ügyrendje 3.1.11. pontja szerint a Felügyelőbizottság ülésein állandó meghívottként tanácskozási joggal vesz részt az Igazgatóság elnöke, akadályoztatása esetén az Igazgatóság bármely tagja, valamint a Társaság könyvvizsgálója, továbbá a belső ellenőrzési szervezet vezetője. Az áttekintett testületi jegyzőkönyvek alapján megállapítható, hogy a Társaság Igazgatóságának elnöke valamennyi ülésen részt vett; a belső ellenőr kizárólag a belső ellenőrzésre vonatkozó napirendi pont tárgyalásakor; a könyvvizsgáló részvételére történő utalás nem volt a jegyzőkönyvekben. Felügyelőbizottság Ügyrendje 2.7. pontjában elírás miatt indokolt helyesbíteni az Alapító Okiratra történő utalást (a gazdasági társaságokról szóló 2006. évi IV. törvény (a továbbiakban: Gt.) 11. (1) bekezdésnek megfelelően a Társaságnál Alapszabály került megalkotásra; amely benyújtásra került jelen eljáráshoz is; a többi hivatkozás is egyébként ennek megfelelő). 52. A Gt. 311. (1) bekezdés rendelkezéseinek megfelelően a Társaság Közgyűlése *** napján választotta meg az Audit Bizottság tagjait a Felügyelőbizottság független tagjai közül. A Társaság Felügyelőbizottsága háromtagú, melynek valamennyi tagja független. A Gt. rendelkezései alapján az Audit Bizottság szintén háromtagú testület, ily módon a két testület személyi egyezősége miatt az Audit Bizottság feladatait a Társaság Felügyelőbizottsági üléseinek keretében látja el. A Gt. nem írja elő az Audit Bizottság számára a rendszeres időközönként történő ülésezést, kizárólag a Gt.-ben és a Társaság Szervezeti és Működési Szabályzatában foglalt, hatáskörébe tartozó eseményekkel összefüggésben kell eljárnia. A Társaság tájékoztatása szerint az Audit Bizottság valamennyi hatáskörébe tartozó feladatot az FB ülések keretében a személyi egyezőségre tekintettel ellátott29. 27 lsd. *** 28 ***. 29 *** 13

53. Az Audit Bizottság és a Felügyelőbizottság személyi összetételének azonosságára figyelemmel, a belső ellenőrzés éves ellenőrzési tervét a Felügyelőbizottság hagyta jóvá; a belső ellenőrzésnek van beszámolási kötelezettsége, de nem az Audit Bizottság, hanem a Felügyelőbizottság felé30. A Felügyelőbizottságra a pénzügyi szervezetek belső védelmi vonalainak működtetésével kapcsolatban kiemelt szerep hárul. A Társaság esetében hangsúlyosan a tulajdonosi irányítással összefüggő, a stratégiaalkotáshoz és a belső ellenőrzési szervezeti egységgel kapcsolatos hatáskörök gyakorlását vizsgáltuk. 54. A Felügyelőbizottság kontrollfunkciójának ellátásához a szükséges szabályozási hátteret a Társaság belső szabályozó dokumentumai biztosítják. Az SZMSZ *** fejezete rögzíti, hogy a Felügyelőbizottság a Közgyűlés részére ellenőrzi a Társaság Igazgatóságát, jogosult a Társaság bármely ügyében az Igazgatóságtól, illetőleg a vezető állású munkavállalóktól felvilágosítást kérni, a Társaság bármely könyvét, iratát megvizsgálhatja; a függetlenített belső ellenőrzési rendszer a Felügyelőbizottság alá van rendelve. 55. A vizsgált időszak testületi üléseinek jegyzőkönyveit31 áttekintve megállapítottuk, hogy a Felügyelőbizottság kontrollfunkcióinak gyakorlásához a szükséges információkat rendszeresen megkapja. A Felügyelőbizottsági üléseken az azt megelőző Igazgatósági üléseken hozott döntések megerősítésre kerülnek, az Igazgatóság elnöke *** a Felügyelőbizottság ülésein rendszeresen jelen van, *** a Felügyelőbizottság elnöke pedig az Igazgatóság üléseinek állandó meghívottja. 56. A Társaság elkészítette, vezető testületei által megtárgyalta32, majd jóváhagyásra a *** napján tartott éves rendes Közgyűlés elé terjesztette a ***.33 A *** a Közgyűlés jóváhagyta. 3.3.5. Igazgatóság 57. A Társaság Alapszabálya *** fejezetében a jogszabályi előírásokkal összhangban, az általános szabályokon túlmenően részletes rendelkezéseket rögzít az Igazgatóság főbb jogairól és kötelezettségeiről; az egyes gazdasági, társasági döntésekhez kapcsolódó felhatalmazásokról; az összeférhetetlenségi és főbb eljárási szabályokról. 58. Az SZMSZ-ben (***) az Igazgatóság hatásköre, működési szabályai, felelőssége az Alapszabály alapján kerültek rögzítésre, azok az ilyen tisztséghez kapcsolódó valamennyi releváns információt tartalmaznak azzal, hogy a további részletszabályokat az Igazgatóság Ügyrendje tartalmazza. 59. A Társaság rendelkezésre bocsátotta az Igazgatóság ***-tól hatályos Ügyrendjét. A szabályozó dokumentum megfelelő részletezettséggel, a Társaság Alapszabályával, valamint a Szervezeti és Működési Szabályzatával összhangban, a jogszabályi előírásokra figyelemmel, operatív részletezettséggel került megszövegezésre. 60. Az Igazgatóság kontrollfunkcióját biztosítja, hogy az Igazgatóság tagjai a Társaság vezető állású alkalmazottaitól a Társaság tevékenységét érintő bármely kérdésben bármikor felvilágosítást, jelentést kérhetnek. A megkeresett tisztségviselő köteles a kért információ megadására (lsd. Igazgatóság Ügyrendjének***. pontja). 61. Az SZMSZ *** fejezete az Igazgatóság ülésezését évente legalább *** alkalommal írja elő (rendes igazgatósági ülések). Az eljárás során áttekintettük a Társaság Igazgatósága vizsgált időszaki üléseinek jegyzőkönyveit34. Megállapítottuk, hogy a Társaság 30 lsd. helyszínen 19. sz. alatt átvett tájékoztatás. 31 lsd. előzetesen beküldött FB jegyzőkönyvek. 32 Az Igazgatóság ***számú határozatát a *** Jelentés elfogadásáról a Felügyelőbizottság *** sz. határozatával jóváhagyta. 33 A BÉT a tőzsdei vállalatok számára, társaságirányításukra vonatkozóan ajánlásokat tett közzé (FT Ajánlások). 34 lsd előzetesen bekért Igazgatósági ülések jegyzőkönyvei. 14

Igazgatósága a belső szabályozó dokumentumban rögzítetteket meghaladó, indokolt gyakorisággal (majdnem havonta) ülésezett, az üléseken érdemi, a Társaság tevékenységgyakorlása során aktuálisan felmerülő kérdések kerültek megtárgyalásra35. 62. Az Igazgatóság a Társaság *** évi rendes Közgyűlésein megfelelő részletezettséggel adott tájékoztatást a Közgyűlés hatáskörébe tartozó kérdéskörökben36. 3.3.6. Vezetők és a munkatársak feladatai 63. A SZMSZ a vezető testületek és a könyvvizsgáló feladatainak meghatározását követően az ügyvezetőre, igazgatókra, üzletágvezetőkre, valamint a nem vezető beosztású munkavállalókra nézve általános és speciális feladatokat határoz meg. A szabályozás megfelelő alapot jelent mind a feladatellátáshoz, mind annak ellenőrzéséhez. 64. Az SZMSZ nem tartalmaz vezérigazgató tisztséget, amelyet *** ügyvezető 37 tölt be. *** a belső szabályozó dokumentumokon, jelentéseken, szerződéseken, nyilatkozatokon jellemzően vezérigazgatóként (vagy az Igazgatóság tagja) kerül megjelölésre. A két tisztség szakmai tartalmának egyezősége egyértelmű, indokolt azonban a szabályozás(ok)ban mindenütt következetesen alkalmazni (lsd. különösen a kockázatkezeléshez kötődő szabályzatok). 3.3.7. Szabályozási rendszer, jogi kockázatok 65. A jogi szabályozási folyamatok koordinálása és megfelelőség biztosítása Csoport szinten a Törzskari Divízió feladatkörébe tartozik. A Társaság képviselőitől kapott tájékoztatás szerint a jövőben e szinten kívánják a compliance feladatok ellátását is központosítani. Jelenleg két munkatárs dolgozik e területen (***alkalmazottai). A Csoport (tagjainak) cégjogi képviseletét ellátó *** Ügyvédi Iroda mellett részint a szakmai kompetenciáknak megfelelő egyéb ügyvédi irodákkal, döntően azonban a Csoport saját munkavállalói körével oldják meg a jogi megfelelőségi feladatokat ez gyorsabb, az adott cégekre aktualizált szabályzatalkotást biztosít. 66. A Társaság compliance officer feladatait a *** látja el. A Társaság szabályzatainak szakmaiságáért az érintett területek (folyamatgazdák) felelősek; a jogi megfelelősség biztosításához nyújt segítséget a compliance officer. 67. A Társaság ***-től megváltoztatta belső szabályozó dokumentumainak szerkezeti felépítését és azok formai jellemzőivel szemben támasztott elvárásait. A fenti időpontot követően módosításra kerülő belső szabályozó dokumentumokat minőségbiztosítási követelményeket is figyelembe véve ún. változat jelöléssel látja el a Társaság. 68. A Társaság rendelkezésre bocsátotta A *** szabályzatát. A Szabályzat megfelelő részletezettséggel és tartalommal rögzíti az egyes beosztásokhoz, tisztségekhez (compliance officer, folyamatgazdák) kötődő feladat- és hatásköröket; a szabályozás folyamatát a szabályozási igény felmerülésétől azok közzétételéig, nyilvántartásba vételéig, oktatásáig. A szabályozás egységes szerkesztési elveinek érvényesítése jelen szabályozó dokumentum hatálybalépését követő dokumentumokban már érvényesítésre került. 69. A szabályzatok elektronikus nyilvántartása jelenleg az ***-on történik. A compliance officer tájékoztatása szerint Csoport szinten is tervezik a szabályozó dokumentumok közös felületen történő elektronikus elérhetőségének biztosítását, amely egyben lehetőséget biztosít majd a felmerülő problémák és javaslatok rögzítésére is. 35 *** 36 lsd. előzetesen beküldött Közgyűlési jegyzőkönyvek. 37 *** 15

70. A vizsgálathoz a Társaság a Felügyelet rendelkezésre bocsátotta belső szabályozó dokumentumait, illetőleg azok hatálybalépését és a döntéshozót feltüntető listát. 38 71. A szabályzatok lefedik a Társaság engedélyezett tevékenységi köreit, kellően részletes eljárási szabályokat, egyértelmű feladat és hatásköri elhatárolásokat tartalmaznak. 72. A szabályzatok aktualizálása döntően megtörtént 39, azonban a *** szóló szabályzat esetében felmerült a módosítás szükségessége. A szabályzatban, amely ***-én került elfogadásra (***) indokolt pontosítani a jogszabályi hivatkozásokat, amelyek az időközbeni módosítások miatt változtak (lsd. dematerializált értékpapír fogalmát jelenleg a Tpt.5. 29. pontja rögzíti; a *** pont értelmező rendelkezés módosította az értékpapír fogalmat, a kibocsátó definícióját a *** pont tartalmazza). A szabályzat XII. fejezetében utalás történik a Társaság Katasztrófa tervére, amely időközben módosításra került (lsd. 2008. február 15-től hatályos QUAESTOR Értékpapír Nyrt. Informatikai katasztrófa elhárítási terv); emiatt felmerül ez esetben is az új szabályozásnak megfelelő aktualizálás szükségessége. A szükséges módosítások technikai jellegűek, a szabályzat érvényesülését nem befolyásolják. 73. A Társaság SzMSz-ében követett szabályozási metodika részleges hiányossága, hogy a társaság döntési-irányítási (DIR), illetve vezetési és ellenőrzési rendszerét alkotó testületi szervei (és tisztségviselői) közül a legfőbb testületi szervre, a Közgyűlésre vonatkozóan - a többi testületi szerv és tisztségviselő feladat- és jogkörének külön pontokban történő taglalásával ellentétben - nem tartalmazza egységesen azokat az egyedi előírásokat, melyek a szabályzatban máshol, a többi testületi szervre vonatkozó rendelkezések körében elszórva vagy utalásszerűen részben mégis szerepelnek. 74. A Társaság ***-én tájékoztatásul megküldte a *** a Bszt. rendelkezésire figyelemmel elkészített, *** napjától hatályos Üzletszabályzatát. 40 75. *** 41 3.3.8. Nyilvánosságra hozatal, átláthatóság 76. A Társaság a Tpt. 395. (3) bekezdésében meghatározott42, a Közgyűlés által jóváhagyott *** évre vonatkozó auditált éves beszámolót és a könyvvizsgálói jelentést *** napokon (két részletben) a Tpt. 395. (4) bekezdés h) pontjában előírt határidőben küldte meg a Felügyelete, valamint tette közzé. A Társaság Közgyűlése ***. napon tartott éves rendes Közgyűlése a *** határozatával elfogadta a Társaság *** évi mérlegét *** Ft mérlegfőösszeggel és *** Ft mérleg szerinti eredménnyel. 77. A Társaság tekintetében a nyilvánosságra hozott információk mennyisége és minősége megfelelő, azok kis mértékben meghaladják a törvényi előírások által megkövetelt szintet. 3.4. Belső kontrollrendszer 3.4.1. Belső kontrollrendszerrel szembeni általános elvárások érvényesülése 78. A belső szabályozó dokumentumok áttekintése; a vizsgálat során bekért riportok, a kockázatkezelés működésével és a vezetői ellenőrzéssel kapcsolatban kapott tájékoztatások alapján megállapítottuk, hogy a Társaságnál teljesülnek a 38 A Bszt. előírásai alapján elkészült belső szabályozó dokumentumok külön fejezetben kerülnek értékelésre. 39 A szabályzatok jellemzően *** évben átdolgozásra kerültek. 40 lsd.***. ikt. sz. beérkezett dokumentum. 41 Az *** részéről a vizsgálat során átadott,***) ügyekről szóló Nyilatkozat elnevezésű dokumentumok, illetőleg a helyszíni vizsgálat során társaságok nevében tett nyilatkozatok. 42 A Bszt. 123. (3) és (4) bekezdései fenti összefüggésben tartalmában és szövegezésében megegyezik a Tpt. említett előírásával, azonban annak hatályba lépése *** 16

kockázatkontrollal szembeni alapvető elvárások. A többes funkcióellátással kapcsolatos aggályok miatt nem biztosított teljes körűen a kockázatkezelés függetlensége (személyi vonatkozásban, lsd. 84. pontban foglaltakat). 79. A jelentések, riportok továbbítása biztosított a Társaság menedzsmentje és a belső kontrollfeladatok ellátásáért felelős szervezeti egységek részére. A kockázatkezelési folyamatok, eljárások kellő mértékben és színvonalon, aktualizáltan szabályozottak (***). 80. Nem került feltárásra olyan körülmény az eljárás során, amely arra utalt volna, hogy a kockázatkezelők javadalmazása függhetne az ellenőrzött terület teljesítményétől. 3.4.2. Kockázatkezelés (szabályozottság, szervezeti-személyi feltételek, gyakorlat) 81. A vizsgálat során megállapítottuk, hogy a Társaság megfelelő kockázatkezelési rendszerrel rendelkezik a jogszabályi rendelkezésekben, belső szabályzatokban meghatározott követelmények érvényesítéséhez, a határidős ügyletekből eredő kötelezettségek, követelések, pozíció és kockázatvállalások kellő gyakorisággal és pontossággal történő figyelemmel kíséréséhez és ellenőrzéséhez. 82. A Társaság a Bszt. előírásainak megfelelően elkészítette, és ***-jén hatályba léptette *** szabályzatát, amely megfelelő részletezettséggel tartalmazza a kockázatkezelési szervezet felépítését, annak feladatait, döntési jogköreit, a kockázatkezelési folyamatokat, eljárásokat, a sajátszámlás és a bizományosi tevékenységhez kapcsolódó limiteket, a limitek túllépésének következményeit, a kockázatok mérésére használt módszereket, eljárásokat, a felmerülő kockázattípusok kezelését. 83. A Kockázatkezelési szabályzat mellett a kereskedési könyv vezetéséről és a tőkekövetelmény meghatározásáról, a Sajátszámlás ügyletek kezeléséről és a kereskedési limitekről szóló szabályzatok, a Likviditáskezelésről készített eljárási rend, az Üzletmenet folytonossági terv (informatika területére specializáltan az Informatikai katasztrófa elhárítási terv) tartalmaz rendelkezéseket e tárgykörhöz kapcsolódóan43. A Befektetési hitel szabályzat további konkrét feladatokat határoz meg a hitelkockázat kezelés tekintetében a kockázatkezelő számára (jelenleg e szolgáltatás nem nyújtja a Társaság, de a Bszt. előírásainak megfelelően elkészült a vonatkozó szabályzat). 84. Az egyes belső szabályozó dokumentumok áttekintése során észlelt összhang hiányt, illetőleg pontosítást kívánó rendelkezéseket a Társaság a helyszíni eljárás alatt haladéktalanul, döntően megfelelő tartalommal biztosította, illetőleg pótolta 44 *** 85. A kockázatkezelési feladatokat korábban *** látta el; a Bszt előírásainak megfelelve, *** napjától a Társaság főállású alkalmazottjaként a kockázatkezelési szervezet felelős vezetője *** A kockázatkezelés és üzleti terület elkülönítése, a kockázatkezelési terület üzleti területektől való függetlensége ezáltal nem biztosított teljes körűen; ***. 86. A Felügyelet a belső tőkeszükséglet számítással (ICAAP) kapcsolatban kiadott, A tőkemegfelelés belső értékelési folyamata című, a felügyelt intézmények részére készített útmutatójában 45 a belső kontroll rendszer fejezetben rögzített elvárásai szerint a belső kontroll funkcióknak 46 függetlennek 47 kell lenniük azoktól a tevékenységtől és üzletágaktól, amelyeket felügyelnek és ellenőriznek. A belső tőkeszükséglet számítási folyamat során, a kockázatok teljes körű feltérképezésére a vállalt és felmerülő kockázatok mérésére a jövőben nagy hangsúlyt kell fektetni, tekintettel arra, hogy a 43 lsd. előzetesen elektronikusan megküldött szabályzatok, továbbá a helyszínen *** átvett Üzletmenet folytonossági terv és Informatikai katasztrófa elhárítási terv. 44 helyszínen *** átvett, módosított szabályzatok. 45 A www.pszaf.hu honlapon elérhető ICAAP SREP módszertani útmutató. 46 Kockázat kontroll funkció, megfelelősé biztosítási funkció, belső ellenőrzési rendszer. 47 *** 17

Társaságnak a megfelelő eljárásokkal, számításokkal alátámasztott belső tőkeszükségletét magának kell felmérnie. 87. A kockázatkezelés területén dolgozó munkatársak eljárás során bekért munkaköri leírásai alapján megállapítottuk, hogy azok az SZMSZ előírásaival összhangban szabályozzák feladataikat. 88. A Kockázatkezelési Szabályzat *** pontja tartalmaz utalást a Kockázatkezelési Bizottságra, amely tagjai rendszeresen (***) találkoznak; szükség esetén többször is. 89. A Kockázatkezelési szabályzat *** pontja rendelkezik a kockázatkezelési szervezeti egység vezetőjének jelentési kötelezettségeiről. A hivatkozott pont d) bekezdése szerint a kockázatkezelési szervezeti egység vezetője havonta írásos összefoglalót készít a vezérigazgató számára. Az előzetesen rendelkezésre bocsátott *** hónapra első alkalommal elkészített havi jelentés,48 megfelelő részletezettségű információt szolgáltat,***. 90. A *** kockázatkezelési jelentésben szereplő ügyfélkockázatok *** kapcsán a Társaság tájékoztatása alapján49 megállapítottuk, hogy azok évek óta fennálló, *** követelések. A követelések csökkentésére a Társaság minden lehetőséget megragad:***. 91. A Felügyelet előtt a korábbi vizsgálatok alapján ismert a Társaság által jelen eljárásban is nyilatkozott azon eljárása, amely szerint a hivatkozott *** szabályzat hatálybalépését megelőzően is a napi kockázatkezelési rendszer részét képezték a kereskedési könyv vezetése, ehhez kapcsolódó tőkekövetelmény megállapítása, valamint a jelenlegi kockázatkezelési riportok elkészítése. 92. Az előzetesen rendelkezésre bocsátott nyilatkozat szerint50 a Társaságnál az üzletvitelből fakadó napi szintű kockázatok nyomon követésére *** rendszert alkalmaznak, amely folyamatosan percnyi pontossággal követi le a Társaság üzleti tevékenységét, és szolgáltat összefoglalóan adatokat a Társaság ügyvezetésének, illetve a kockázatok figyelésére alkalmazott szervezeti egység számára. Az *** rendszer által figyelt adatok köre: ***. A kockázatkezelés által az Ügyvezetők részére szolgáltatott napi adatok köre:***. 93. Az eljárás során szemléltetésként bekért napi riportok alapján megállapítottuk, hogy azok felépítésük, részletezettségük révén megfelelő tájékoztatást adnak a felmerülő kockázatok folyamatos követéséhez. 94. A kereskedési rendszer a vezető üzletkötő részére automatikusan jelzést küld és jóváhagyást kér a *** forint árfolyamérték feletti megbízások, a ***-ot meghaladó áreltérés esetén (illetve akkor, ha a rendszerben az adott termékre nincs rögzítve bázisár és így nem tudja kiszámítani az eltérést), derivatív ügyletek esetén *** kontraktus felett51. 95. A limittúllépéseket jelenleg *** figyeli; az informatikai támogatottságra irányuló fejlesztés szándéka megszületett (a *** programban lévő beállítások miatt jelenleg is fennakadnak a limitet sértő ügyletkötések, azok csak külön kontrollt követően kerülnek továbbításra). A Társaság képviselőjének tájékoztatása szerint a vizsgált időszakban limittúllépések nem voltak. 96. A Társaság Üzletmenet folytonossági terve52 ***-től hatályos; tartalmazza a katasztrófa helyzet vagy a normál működést jelentősen befolyásoló események esetén az üzleti 48 lsd. előzetesen beküldött ***. melléklet; elektronikusan rendelkezésre bocsátott *** szabályzat; és előzetesen beküldött *** havi kockázatkezelési riport. 49 lsd. előzetesen beküldött *** havi kockázatkezelési jelentés; az eljárás során ***. alatt átvett tájékoztatás. 50 lsd. előzetesen beküldött ***. mellékelt. 51 lsd. előzetesen beküldött *** melléklet. 52 lsd. helyszínen *** átvett dokumentum. 18

folyamatok legalább elégséges szintű működésének biztosításhoz szükséges eljárásokat. Az ilyen helyzetben felmerülő kockázatokhoz rendelten rögzíti a bekövetkezés lehetséges következményeit, annak valószínűségét, a hatás mértékét, a kockázat mérséklésére tett (teendő) intézkedéseket, felelősöket. 97. A Felügyelet Módszertani útmutatója kimondja: A pénzügyi csoport összevont alapú kockázatkezelésének célja az, hogy a csoport egészének kockázati kitettsége valamennyi fontos kockázati típus vonatkozásában mindenkor megállapítható legyen, valamennyi, a csoporthoz tartozó vállalkozásról rendelkezésre álljanak azok a szükséges információk, amelyek a csoport egészére vonatkozó lehetséges hatást megmutatják, valamint az, hogy az irányító szervezet a csoport egészének kockázati kitettségét aktívan tudja meghatározni, mérni és kezelni. A***, azonban a Társaság és Csoport kockázattudatosságra való törekvése kapcsán prudenciális szempontból javasolt a csoport szinten felmerülő kockázatok kezelése, melyet a Társaság is idejében felismert. 98. A Társaság képviselői az eljárás során tájékoztatást adtak arról, hogy Csoport szinten történő egységes kockázatkezelés a Csoportba tartozó cégek markánsan különböző tevékenységi körei és kockázatai, azok földrajzi diverzifikációja miatt (*** ) rendkívül nehéz feladat. Érzékelve viszont annak szükségességét, ***. Az erre létrejött külső cég közreműködésével támogatott projektbe az üzleti divíziók is delegálnak tagokat, ily módon a lefedettség biztosítható. 3.4.3. Compliance 99. A Társaságnál a compliance officer-i feladatokat *** látja el, ***. Feladatát *** alapján végzi, *** napjától. Személyének bejelentése a Felügyelet felé megtörtént. ***, aki a Társaság igazgatósági tagja, így a felette lévő kontroll mindkét részről megvalósul. Az informatikai belső ellenőr alkalmazásánál (lsd. *** pont) leírtakkal megegyezően, fenti jogviszony kiszervezett tevékenységnek minősül, mely tevékenységet a Társaság jelenleg nem kiszervezés formájában végeztet, ezért azt a Felügyeletnek nem jelentette be, Üzletszabályzatában nem tűntette fel. 100. A vizsgálat helyszíni szakaszának befejezéséig tekintettel a feladatvégzés rövid időszakára a compliance tevékenységgel kapcsolatban írásba foglalt jelentés, feljegyzés nem készült. 101. A compliance officer több alkalommal részt vett külső cégek (többek között a Felügyelet) által szervezett oktatáson. A QPT, mint ügynök szervezésében a Bszt. bevezetésével kapcsolatosan a compliance szervezet ( *** fő) az egész hálózat tekintetében három napos oktatást tartott. A munkatársak részére készített prezentációs oktató anyag követi a jogszabályi előírásban foglaltakat, az megfelelő szakmai színvonalon 53 biztosítja a munkatársak adott területet érintő felkészülését. 102. A compliance tevékenységgel kapcsolatos feladatok a munkaköri leírásban, a Belső ellenőrzési szabályzatban és az SZMSZ-ben kerültek meghatározásra. A compliance officer feladatai közé tartozik a jogszabályváltozások nyomonkövetése, a PSZÁF, tőzsde és MNB felé való kapcsolattartás, megfelelőségi szabályoknak való megfelelés vizsgálata, szabályozás változások oktatása, pénzmosás és terrorizmus finanszírozásának megelőzése, külső és belső csalás megelőzése, a dolgozók saját üzleti tevékenységeire vonatkozó szabályok megalkotása és ezen szabályok betartásának folyamatos ellenőrzése stb. 53 MiFID oktatási anyag. 19

3.4.4. Ellenőrzési rendszer 3.4.4.1. Belső ellenőrzés, (Szabályozás, személyi feltételek) 103. A Társaság belső ellenőre *** ***-án munkaszerződése módosításra került, mely alapján, mint belső szervezeti egység vezetője látja el belső ellenőri feladatait. A ***-én aktualizált munkaköri leírása összhangban áll az SZMSZ és a Belső ellenőrzési szabályzat (a továbbiakban: BE Szabályzat) rendelkezéseivel. Feladata többek között a belső ellenőrzési csoport szakmai felügyelete, irányítása, belső ellenőrzési folyamatokban részvétel, a kockázatelemzéssel alátámasztott belső ellenőrzési stratégia és éves ellenőrzési tervek összeállítása, végrehajtása. Feladatait a munkaszerződés***. pontja alapján *** órában látja el54. A belső ellenőr munkaköre ellátásához rendelkezik a szükséges jogosultságokkal. 104. A Társaság a Bszt. 19. (2) bekezdésének eleget tett, a belső ellenőr személyét bejelentette a Felügyeletnek. A belső ellenőr az ellenőrzési feladatokon kívül a Társaságnál egyéb feladatot nem lát el, függetlensége biztosított. 105. A Társaság a ***-vel (a továbbiakban:***) kötött szerződést az informatikai üzemeltetés végzésére, mely tevékenységet a *** kiszervezett tevékenység keretében végzi. Az informatikai belső ellenőri feladatok ellátására a Társaság a ***-vel *** napján Megállapodást kötött *** munkavállaló kirendeléséről (a kirendelés időtartama naptári évenként maximum *** munkanap). A belső szervezeti egység vezetőjének tájékoztatása alapján az informatikai vizsgálatokról külön vizsgálati jelentés készül (lsd. a *** fejezet). 106. A Bszt. szabályai szerint (4. (2) bekezdés 34. pont) minden olyan megállapodás a szolgáltató és harmadik személy között, amelynek keretében e harmadik személy olyan tevékenységet végez, amelyet egyébként a szolgáltató maga végezne, kiszervezés. A Bszt. 79. -ának (1) bekezdése tartalmazza a kiszervezhető tevékenységek körének komplex felsorolását. Főszabályként minden tevékenység még a törvény hatálya alá nem tartozó tevékenység vagy szolgáltatás is és funkció kiszervezhető, egyidejűleg azonban a befektetési szolgáltatási tevékenység, kiegészítő szolgáltatás és a kritikusnak minősített funkciók esetében a korábbiaknál szigorúbb szabályok érvényesülnek. Tekintettel arra, hogy az informatikai belső ellenőrzési feladatokat (elméletileg) a Társaság saját alkalmazottaival is elláthatná, annak harmadik féltől történő igénybevétele kiszervezésnek minősül. A Bszt. 79. -ának (6) bekezdésében foglalt meghatározásra figyelemmel a belső ellenőrzés tevékenysége kritikus funkciónak minősül, amely, 79. (1) bekezdés szerinti kiszervezésére a 79. (3) és (4) bekezdés alapján van csak lehetőség. Ennek megfelelően a Társaság az informatikai belső ellenőrzési tevékenységet kizárólag a kiszervezésre vonatkozó szigorú szabályok szerint végeztetheti harmadik személlyel. Mindez egyúttal azt is jelenti, hogy a Felügyelet felé történő, a Bszt. 80. -a (4) bekezdésének megfelelő bejelentésnek (mellékelve ahhoz a kiszervezésről szóló megállapodást), valamint a befektetési szolgáltatási tevékenységet, befektetési szolgáltatási tevékenységet kiegészítő szolgáltatást, valamint árutőzsdei szolgáltatást folytató gazdálkodó szervezet üzletszabályzatának kötelező tartalmi elemeiről szóló 22/2008. (II. 7.) Korm. rendelet 6. -a (1) bekezdésének b) pontjában foglaltaknak (az üzletszabályzat mellékletét képezi többek között a kiszervezett tevékenységek köre és a kiszervezett tevékenységet végzők jegyzéke) eleget kell tenni. A Társaság nem tekintette kiszervezett tevékenységnek e munkavégzést, ezért azt a Felügyeletnek nem jelentette be, Üzletszabályzatában nem tüntette fel. A Társaság 54 Helyszínen átvett 1. sorszámú dokumentum: munkaszerződés, munkaszerződés módosítás. 20