iv. MEGÁLLAPÍTÁS AZ INTÉZMÉNY ÉSZREVÉTELE AZ ÉSZREVÉTEL ÉRTÉKELÉSE SZÜKSÉGES INTÉZKEDÉS / ATÁRIDŐ ÁTTÉRTÁMOGA TEVÉKENYSÉGEK IT Támogatás Inf.1. Az informatikai stratégiai célok megvalósításának a éves, csoportszintű informatikai fejlesztési tervei A hivatkozott IT éves fejlesztési tervek valóban nem tartalmaznak konkrét felelősöket és Az intézmény a megállapítást nem vitatja. Az Intézmény Gondoskodjanak az informatikai biztosítanak megfelelő keretet. A bemutatott éves informatikai fejlesztési terv a feladatokhoz a költségkereten kívül, határidőket, mivel a tervben foglalt feladatok tényleges végrehajtása negyedéves az észrevételében említett határidővel ellátott projekt fejlesztési feladatok tervezése során a konkrét felelőst és határidőt nem határoz meg [ ]. bontásban üzletileg egyeztetett résztvevők és határidők meghatározásával történik. A terveket nem mutatott be. A konkrét feladatokhoz kapcsolódó vizsgálaton bemutatott terv. felelősök és határidők meghatározásáról, ezzel biztosítva a tervek végrehajtásának ellenőrizhetőségét és számon kérhetőségét. Inf.2. A évi felügyeleti vizsgálat óta az informatikai szabályzatok túlnyomó többségét felülvizsgálták, A pontban leírt megállapításokkal egyet értünk, a hivatkozott eljárásrendek frissítése Az intézmény a megállapítást nem vitatja. Az Intézmény Végezzék el az informatikai szabályozás átdolgozták és újabb verzióban és év során kiadták. A informatikai folyamatban van, azt a megadott határidőre tervezzük végrehajtani. megtett intézkedéseit tudomásul vesszük. A rendszerének teljes, - az eljárásrendek és tevékenységének szabályozása a által kiadott szabályzatokkal együtt szabályzati szinten, utasítások szintjére is kiterjedő teljes körűnek mondható, de az eljárásrendek és utasítások felülvizsgálata még folyamatban van, befejezése aktualizálását és - a 2013. évre tervezett határidőre tervezett. A hatályos szabályozások az Intraneten mindenki számára elérhetőek informatikai infrastruktúra és üzemeltetési változtatások hatásait is figyelembe véve - gondoskodjanak az informatikai szabályozási rendszer aktuális állapotának fenntartásáról. Inf.3. Az informatikai kockázatelemzés a napján elkészült BCP tervezés keretében valósult meg, elsődlegesen A évben készített tervek ben és -ben Az intézmény a megállapítást nem vitatja. Az Intézmény Gondoskodjanak az elfogadott. A évi BCP tervezés kapcsán a QÉP teljes körű informatikai biztonsági kockázatfelmérést és ellenőrzésre és felülvizsgálatra kerültek, így nem állapítható meg a mulasztás megtett intézkedéseit tudomásul vesszük. A kockázatelemzés módszertanán alapuló elemzést nem hajtott végre. ]. Ezzel nem teljesítette a Bszt. 12. (3) bekezdésében foglaltakat, Kétségtelen, hogy az eltelt idő alatt az egyes megváltozott üzleti és informatikai miszerint: "...befektetési vállalkozás és árutőzsdei szolgáltató az informatikai rendszer biztonsági kockázatelemzését folyamatok és környezeteknek megfelelő, teljesen új módszertan alapján elkészített szükség szerint, de legalább kétévente felülvizsgálja és aktualizálja". A megtett kockázatcsökkentő intézkedéseket a BCP/DRP projekt már elindításra került, így részeredményeket tudtunk bemutatni az QÉP a felügyeleti vizsgálatra való felkészülése során ellenőrizte [ ] ellenőrzési időszak alatt. Az QÉP Igazgatósága a napján. A évre átnyúló projekt keretében, a felügyeleti vizsgálat időpontjáig a kockázatelemzési módszertanon kívül, munkaanyagként az adatvagyon és alkalmazás leltár készült el, de a kockázatelemzési folyamat még nem zárult le, még nincs értékelhető eredmény. Az alábbi dokumentumokat csatoljuk: teljes körű informatikai biztonsági kockázatfelmérés és elemzés végrehajtásáról, készítsenek intézkedési tervet a feltárt kockázatok csökkentésére és azt az intézkedések megfelelő dokumentálása és ellenőrzése mellett - hajtsák végre ezzel biztosítva az informatikai biztonság folyamatos fenntartását. Inf.4. Az informatikai infrastruktúra elemek nyilvántartására egyrészt a munkaállomások vonatkozásában - a A által üzemeltetett infrastruktúrába telepített licenc köteles alkalmazások Az intézmény a megállapítást nem vitatja. Az Intézmény Felhívjuk a figyelmet olyan szoftver program, másrészt a szerverek nyilvántartására EXCEL táblázat, valamint hálózati elemek vonatkozásában a éves gyakorisággal végrehajtott éves felülvizsgálatot írnak elő, ezért a hivatkozott tervezett intézkedéseit tudomásul vesszük. A licence nyilvántartás kialakítására és hálózatfelügyeleti rendszer szolgál, melyet a tart karban. A program csak alkalmazással a ellenőrzi az üzemeltetett infrastruktúrában lévő naprakész fenntartására, melynek munkaállomásonként tud listát készíteni a hardver konfigurációról, összesített táblázatos lista készítésére vagy adat eszközökre telepített valós szoftverek körét és a licencszerződésben lévő számokat, majd alapján a jogtiszta szoftver használat exportra nem képes. Egy adott munkaállomásra vagy szerverre telepített szoftvereket az alkalmazással a licencforduló alkalmával jelenti le a változásokat a szállítók felé. ellenőrzése bármikor elvégezhető. tudja a kilistázni. A szoftver licence nyilvántartással nem rendelkezik, mivel a licencek a Ez a gyakorlat sem szállító szerződésbe, sem jogszabályba nem ütközik. tulajdonában vannak. A vizsgálat alkalmával nem mutattak be licence nyilvántartást, ily módon a Jelenleg vizsgáljuk a megoldás bevezetést. szoftverek jogtiszta használata nem volt ellenőrizhető. [ ], [ ]. Inf.5. A QÉP által használt és alkalmazás szinten üzemeltetett kritikus üzleti rendszerek infrastruktúráját a A QÉP-nél jelenleg alkalmazott letéti konstrukció az alábbi okok miatt nem tartalmazza Az intézmény a megállapítást nem vitatja. A Javasoljuk, tisztázzák, hogy a Broker üzemelteti, de a fejlesztési és karbantartási feladatokban más szoftver gyártó cégek is közreműködnek. A az adatbázis letétet: rendszer fejlesztője a program legkritikusabb, a nyilvántartási feladatokat ellátó rendszer esetében a a fejlesztő cég. A 1. forráskódja mellett az adatbázisstruktúrát is letétbe helyezi-e? fejlesztési/verzióváltási és tesztelési folyamat megfelelően dokumentált. A tesztelés külön teszt környezetben 2. történik, eredményét jegyzőkönyvben rögzítik. A fejlesztő cég a rendszer forráskódjának letétbe helyezését ügyvédi Gondoskodjanak arról, hogy mindenkor letéti szerződés keretében vállalta. A Letéti szerződés 2. pontja szerint a Letevő vállalja, rendelkezzenek minden olyan hogy a Program forráskódját letétbe helyezi, de nem derül ki, hogy a forráskódhoz tartozó adatbázis-struktúra részee a letétnek. tevékenységet közvetlenül vagy közvetve dokumentációval, amely az üzleti támogató informatikai rendszerek folyamatos és biztonságos működését - még a szállító, illetőleg a rendszerfejlesztő tevékenységének megszűnése után is - biztosítja. 1. oldal, összesen: 5
iv. MEGÁLLAPÍTÁS AZ INTÉZMÉNY ÉSZREVÉTELE AZ ÉSZREVÉTEL ÉRTÉKELÉSE SZÜKSÉGES INTÉZKEDÉS / ATÁRIDŐ Inf.6. A QUAESTOR géptermében az kapcsolat mellett kontroller és az irodákba A telepített a vizsgálati időszakban a szolgáltatás Az intézmény a megállapítást nem vitatja. Az Intézmény Gondoskodjanak a kritikus biztonsági telepített teszi lehetővé - az internet felé is irányuló - vezeték nélküli hálózati kapcsolatot a belső átalakítása miatt esett át, vélhetően ezért volt tapasztalható az megtett intézkedéseit tudomásul vesszük. A kockázatot jelentő vezeték nélküli dolgozók és a külső vendégek számára. A típusú kontroller bár konfigurációs lehetőségei időszinkron hiánya. hálózat megfelelő informatikai megengednék, - a jelenlegi alapszintű (default) konfigurációs beállítások mellett nem nyújt biztonságos kapcsolatot, A berendezés a vizsgált időszak előtt, illetve jelenleg is maximális átgondoltsággal és biztonságáról, a biztonsági beállítások mivel a tűzfal beállítás és a biztonsági naplózás nincs bekapcsolva, egyedül a szűrés és a biztonságos működésre törekvéssel lett konfigurálva, melyet alább részletezünk: végrehajtásáról és dokumentálásáról, titkosítás nyújt gyenge védelmet a belső felhasználók számára (míg a vendégekre vonatkozó konfiguráció esetében valamint a kritikus hálózati elemek ezek a biztonsági beállítások sem működnek). A vizsgálat időpontjában, napján -kor, az felügyeletéről és rendszeres aktuális beállításokról készített dokumentum szerint a kontroller saját órája este mutatott, ami karbantartásáról. A vezeték nélküli az időszinkron hiányára utal, és egyben lehetetlenné teszi a biztonsági naplóbejegyzések értelmezését is. Feltehető, hálózat biztonságát független szakértővel hogy a hálózati biztonság szempontjából kritikus kockázatot jelentő kontroller biztonsági ellenőriztessék és a megtett konfigurálásának hiánya, valamint felügyeletének és rendszeres karbantartásának elmaradása okozta a helytelen idő intézkedéseiről valamint az ellenőrzés beállítást. A bemutatott hálózati dokumentáció hiányos, nem tartalmazta a vezeték nélküli hálózati eredményéről tájékoztassák a kapcsolatokat. [ ]. Felügyeletet. Inf.7. Jogosultság kezelési vizsgálat a Felügyelet részéről a legkritikusabb üzleti alkalmazás, a rendszer esetében A pontban hivatkozott megállapításokra reagálva kiemeljük, hogy a rendszer Az intézmény a megállapítást nem vitatja. Az Intézmény Gondoskodjanak a rendszer történt. A megállapításainkat alátámasztó dokumentumok a következők: [ jogosultságkezelése önmagában nem megítélhető, mert az alkalmazott megoldás válaszában a megállapítás tárgyától eltérve, a hálózati alkalmazási szintű jogosultságainak folyamaton alapul: jogosultság (AD) beállításokat részletezi, holott a megfelelően biztonságos kezeléséről, megállapítás a rendszer jogosultság kezelési továbbá, általában a jogosultságok hiányosságaira vonatkozik, melyre vonatkozóan érdemi rendszeres észrevételt nem tett. A ellenőrzési rendjének - A alkalmazás jelszó házirendje a gyakorlatban megengedi a rövid, 4 karakteres felhasználói név és jelszó használatát. - Nem készíthető lista külön a QÉP munkatársakról és a függő ügynökökről, a felhasználókra és a kapcsolódó jogcsoportokra készülő listából nem derül ki, hogy mikor kapták az adott jogcsoportbeli jogot és hogy érvényes-e. - A jogosultság-kezelési eljárásrend egy jogosultságkezelőt és annak két helyettesét nevezi meg. A rendszergazda és a jogosultságosztás csoportban csak a jogosultságkezelő neve található a helyetteseké nem. A páncélszekrényben tárolt jelszóborítékok listájában a rendszer rendszergazdai borítékjai nem találhatók. A rendszergazda elmondása szerint A jogosultságok rendszeres ellenőrzési rendjének kialakítása, és üzemszerű vizsgálata nem történt meg. Erre vonatkozóan a külső informatikai auditor tett megállapítást, az intézkedést. napi határidőre tervezik. Megállapítható, hogy a rendszer esetében követett gyakorlat sérti a Bszt. 12.. (6) szakaszának a) és c) pontjait, miszerint: (6) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább: a) a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosításáról, és c) a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események). kialakításáról, és rendszeres üzemszerű, dokumentált vizsgálatáról. Inf.8. A mentési folyamatokat a külső informatikai biztonsági auditor vizsgálta. Lényeges megállapítása volt, A külső IT biztonsági auditor megállapításainak figyelembevételével elkészült a Az intézmény a megállapítást nem vitatja. Az Intézmény Gondoskodjanak a mentések hogy a mentések visszaállítási próbáiról a nem mutatott be bizonyító dokumentumot. A vizsgálat Mentés visszaállítás tesztelése melynek átadását a jelzett határidőben megtett intézkedéseit tudomásul vesszük. A felhasználhatóságát bizonyító megállapításai nyomán készült intézkedési tervben a visszatöltési tesztek dokumentált rendszerének kialakítására tervezzük végrehajtani. visszatöltési tesztek dokumentált határidő szerepel rendszerének kialakításáról és a tesztek rendszeres végrehajtásáról, annak érdekében, hogy rendkívüli helyzetben felkészült legyen informatikai rendszerei mentésből való helyreállítására. Inf.9. A bemutatott az üzletmenet folytonosság fenntartásának biztosítására hivatott -ben készült és A üzletmenet folytonosság fenntartásának biztosítására való felkészültsége a Az intézmény a megállapítást nem vitatja. A Gondoskodjanak az üzletmenet aktualizált terveket az időközben elindult projekt és az azóta bekövetkezett vizsgálat időpontjában érvényes és alkalmazható tervek hiányában nem ban kidolgozott és -ben és ben folytonosság fenntartásának biztosítására informatikai infrastrukturális változások felülírták, így azok aktuálisan már nem alkalmazhatók. bizonyított ponthoz kiemelnénk, hogy a tervek nem lettek hatályon kívül felülvizsgált tervek alkalmazhatóságát éppen való felkészültséget bizonyító A QÉP új terveinek a projekt keretében folyamatban lévő - kidolgozása alatt, - átmeneti helyezve, így továbbra is érvényben vannak. Ezért a leírtak nem helytállóak. az intézmény INf.3. pontra adott válasza kérdőjelezi meg tervek és a kapcsolódó erőforrás megoldásként - a kritikus rendszerek helyreállítására vonatkozó kívánja megoldani az informatikai Az új módszertan szerint elkészülő elfogadásával együtt elkészül azzal, hogy megállapítja "az eltelt idő alatt az egyes akciótervek kidolgozásáról, teljes körű rendszerek katasztrófa helyzetben való helyreállítási folyamatainak leírását. A elvégezte a QÉP megváltozott üzleti és informatikai folyamatok és teszteléséről és oktatásáról valamint az tervét helyettesítő akcióterv egyetlen meghibásodás típusra vonatkozó részleges tesztelését és erről jegyzőkönyvet környezeteknek megfelelő, teljesen új módszertan elvégzett tevékenységek mutatott be, amelyen a résztvevők aláírása nem szerepel. ] A üzletmenet folytonosság alapján elkészített Az Intézmény megtett dokumentálásáról. A fenntartásának biztosítására való felkészültsége a vizsgálat időpontjában érvényes és alkalmazható tervek intézkedéseit tudomásul vesszük. A megállapítást terveket és a tesztelések eredményét az hiányában nem bizonyított. A majdani részének tekinthető erőforrás akcióterv tesztelése csak részlegesen fenntartjuk. informatikai belső ellenőrzés vizsgálja történt meg, tesztelési jegyzőkönyve formai hiányosságokat mutat. meg és a vizsgálat eredményéről tájékoztassa a Felügyeletet. Inf.10. Az intézmény pótlólagosan csatolta az informatikai oktatások megtörténtét igazoló jegyzőkönyveket. A megállapítást töröljük. 2. oldal, összesen: 5
iv. MEGÁLLAPÍTÁS AZ INTÉZMÉNY ÉSZREVÉTELE AZ ÉSZREVÉTEL ÉRTÉKELÉSE SZÜKSÉGES INTÉZKEDÉS / ATÁRIDŐ Inf.11. A QÉP informatikai biztonsági felelőse - belső ellenőrzés keretében a időszakban, évente több a hivatkozott ellenőrzéssel kapcsolatosan megállapítás hiányában nem Az intézmény a megállapítást nem vitatja. Az Intézmény Gondoskodjanak az informatikai alkalommal informatikai biztonsági ellenőrzéseket végzett: Az informatikai biztonsági felelős vizsgálatai fogalmazott meg konkrét akció terveket, ugyanis a vizsgálat során akciótervet igénylő nem dokumentálja nyomonkövethető módon az biztonsági felelős vizsgálatai nyomán, nyomán, azok megállapításai és javaslatai alapján konkrét feladatokat, határidőket és felelősöket meghatározó hiányosság nem került feltárásra, vagy már folyamatban lévő akciótervekre vonatkoztak. informatikai biztonsági felelős tevékenységét. A azok megállapításai és javaslatai alapján intézkedési terv nem készült, így nem állapítható meg, hogy a javaslatokat a Társaság megvalósította-e. ] intézkedési tervek készítéséről és nyomon követéséről, hogy mindenkor megállapítható legyen, a javaslatok megvalósulása. Inf.12. Az alkalmazási rendszerek közül a vizsgálat során a legkritikusabb, rendszer naplózását tekintettük át A legkritikusabb üzleti események körét a rendszer folyamatba építve kezeli Az intézmény a megállapítást nem vitatja. Az Intézmény Szabályozás szinten határozzák meg az. Megállapítottuk, hogy a rendszer fel van készítve műveleti napló (ezen belül jelszó csere), belépési napló, és nem log elemzés alapján. Ide soroljuk a fedezettséggel, megbízások speciális tervezett intézkedéseit tudomásul vesszük. A alkalmazott üzleti informatikai rendszer webbroker napló és eseménynapló készítésére. Alkalmas a Bszt. 12. (6) d) szerinti, az informatikai rendszer paramétereivel, kockázatokkal összefüggő ellenőrzési algoritmusokat,stb. működése szempontjából kritikus működése szempontjából kritikus folyamatok eseményeinek naplózására és alkalmas e naplózás rendszeres és A által tervezett logelemző rendszer bevezetése további lehetőséget ad a eseményeket és ezek naplózási érdemi értékelésének biztosítására, illetve lehetőséget nyújt a nem rendszeres események kezelésére, az informatikai folyamatok ellenőrzésének/elemzésének finomabb hangolására. eseményeit rendszeresen értékeljék ki. biztonsági naplózásra. A QÉP nél nincs meghatározva (szabályozva) a kritikus események köre és a naplózás Ezzel együtt sem ismert olyan esemény, vagy kár, amely a logelemzés hiányára lett rendszeres értékelése sem történik meg. 2012. év folyamán (október 2.) a QUAESTOR Csoport vezetése részére a volna visszavezethető. készített egy elemzésre vonatkozó előterjesztést [ ]. Számvitel Számv.1. A Társaság a által üzemeltetett nyilvántartási rendszerét nem auditáltatta, a által biztosított A T. Felügyelet által a Kisz.1. ponban leírtak szerint "A keresztül elérhető A Társaság megküldte a nyilvántartási nyilvántartási rendszerben szereplő adatok szükségesek ahhoz, hogy az ügyfelet megillető pénzügyi eszköz és ügyletek kezelésére szolgáló nyilvántartási rendszerét a vizsgálat ideje alatt nem a rendszeréről a által végzett audit riportot. pénzeszköz állománya, illetőleg összegének minden időpontban megállapítható legyen (a könyvvizsgáló igazolás Társaság üzemeltette, hanem A által üzemeltetett nyilvántartási arra vonatkozóan, hogy a befektetési vállalkozás informatikai rendszere alkalmas a 18. (2) bekezdésében rendszer nem Társaságunk nyilvántartási rendszere. Társaságunk nem auditáltathatja meghatározott követelmények teljesítésére). egy másik befektetési szolgáltató nyilvántartási rendszerét. Annak érdekében, hogy minden időpontban megállapítható legyen az ügyfelet megillető pénzügyi eszköz és pénzeszköz állománya, Társaságunk a Kisz.1 pontban hivatkozott módon minden nap, sőt ha szükséges nap közben többször is átolvassa az adatokat saját nyilvántartási rendszerébe. Időközben beszereztük és mellékeljük a nyilvántartási rendszeréről szóló által végzett hivatalos audit riportját, amelyet mellékelünk. Számv.2. A főkönyvi nyilvántartásban a való elszámolás - átutalt pénz és a való elszámolás - A hibás gyakorlatot észleltük és tudomásul vettük. Ennek megfelelően a jövőben a A Társaság a megállapítást nem vitatta, a megállapítást A elszámolás során átutalt pénz elnevezésű főkönyvi számlák egyenlege nem megfelelően került meghatározásra, az ügyfélkövetelés szembeni sajátszámlás hitel tartozás elkülönítetten kerül a főkönyvekben mindenkor megfelelően különítse el a egyenlege több alszámlán található saját pénzegyenleget is tartalmazott (lsd. Pézf.2.) kimutatásra. saját és ügyfeleket megillető (főkönyvi kivonatok) pénzeszközöket. Számv.3. A (Alap) főkönyvi számla és havi forgalmát vizsgáltuk a nyilvántartási A 286-os kérdésnél átadott főkönyvi kartonokon látható, hogy az Alap által kötött A Társaság észrevételét nem fogadjuk el. A főkönyvi Mindenkor tartsa be a bizonylati elvre és rendszerben rögzített ügyletekkel. Megállapítottuk, hogy a főkönyvi számlán az Alappal történő elszámolás negatív adásvételi szerződések tételesen, a befektetési jegy forgalmazás napi összesenben került számlák egyenlegének zárása nem azonos azzal, hogy a fegyelemre vonatkozó jogszabályi egyenlege kizárólag a hó végi állomány szerint kerülnek rögzítésre, a megállapodás 2.5. pontja szerint a a főkönyvi könyvelésben rögzítésre, a 165 (1)-nek megfelelően. Mivel a 251/2000 gazdasági eseményeket nem rögzítjük. A megállapodás előírásokat. beszámítja, azonban a főkönyvi elszámolásban kizárólag hó végén kerül elszámolásra az egyenleg (lsd. E.tev.1.) A Kormányrendelet 8 (8) g) által biztosított, hogy a főkönyvi számlák egyenlegét havonta 2.5. pontja szerint Tekintettel arra, hogy a Társaság eljárása sérti a számvitelről szóló 2000. évi C. törvény bizonylati elv és bizonylati fegyelem előírásait, a kel zárni, és meghatározni: 8 (8) A számviteli nyilvántartások havi, illetve negyedéves szerződés megszűntetésre került, vizsgálati 165. (1) bekezdése szerint a gazdasági műveletek (események) folyamatát tükröző összes bizonylat adatait a zárása során - a számviteli politikában is rögzítettek szerint - legalább a következő levélben javasoljuk az intézkedést. könyvviteli nyilvántartásokban rögzíteni kell. zárlati munkálatokat kell elvégezni: g) a főkönyvi számlák technikai zárása (csak az (267,286) egyenleg meghatározását értve alatta). A QUAESTOR Értékpapír Nyrt és között fennálló szerződésből eredő,. Számv.4. A Társaságnak napján volt saját nyitott határidős pozíciója, azonban a 0. Mérleg alatti számlák között A Társaság élt a 251/2000. (XII. 24) Korm.rendelet 15. (2)b)-ben előírt lehetőséggel, A Társaság észrevételét nem fogadjuk el. A 251/2000. Mindenkor tartsa be a 0. Nyilvántartási nem került kimutatásra, a Társaság eljárása nem felel meg a 251/2000. (XII.24.) Korm. rendelet 13. -ban és a saját nem fedezeti célú - nyitott pozíciók mérleg fordulónapi főkönyv Korm. Rendelet 13. -a szerint a nyitott határidős számlák könyvvezetési előírásait. előírtaknak. (168, rendelkezésre bocsátott főkönyvi kivonatok) fordulónapi - piaci értéke és kötési ára (árfolyama) közötti különbözet összegében aktív pozíciókat a 0. Nyilvántartási számlaosztályban nyilván elhatárolást számolt el. Majd ugyanezen összegre a 251/2000. (XII. 24) Korm.rendelet kell tartani függetlenül az egyéb elszámolásoktól. 8 (2) bekezdése szerint céltartalékot képzett. Mivel a főkönyvi rendszerben, az /13. (1) A tőzsdén, illetve tőzsdén kívül kötött mérlegkészítés alapját képező számlaosztályokban megjelenik ez a jövőben követelés, határidős és opciós ügyletek, valamint a swap ügyletek bevétel és a bevétel elmaradásának kockázata, mint céltartalék az óvatosság elve szerint, határidős ügyletrésze esetén az ügylet tárgyát képező ezért nem került a 0. Mérleg alatti számlaosztályban is kimutatásra ez az összeg. pénzügyi instrumentumra, egyéb árura vonatkozó követelést vagy kötelezettséget mindaddig mérlegen kívüli tételként kell nyilvántartani a szerződésben rögzített határidős áron, árfolyamon (a továbbiakban: kötési ár, árfolyam), amíg a szerződés szerinti határidő be nem következik (illetve az ügylet lezárásra nem kerül a lejáratkor, vagy a lejárati idő előtt tőzsdén kötött ellenügylet miatt, tőzsdén kívüli ügylettől való visszalépés miatt)./ 3. oldal, összesen: 5
iv. MEGÁLLAPÍTÁS AZ INTÉZMÉNY ÉSZREVÉTELE AZ ÉSZREVÉTEL ÉRTÉKELÉSE SZÜKSÉGES INTÉZKEDÉS / ATÁRIDŐ Számv.5. A Zrt-nél elhelyezett saját tulajdonú Q-ELA értékpapír db mennyiségben zárolt számlán A hibás gyakorlatot észleltük és tudomásul vettük. Ennek megfelelően a jövőben az A Társaság a megállapítást nem vitatta, a megállapítást Mindenkor tartsa be a 0. Nyilvántartási került elhelyezésre, hitel fedezet megjelöléssel ( letéti igazolása). A Társaság a többször ilyen gazdasági események a 0.Nyilvántartási számlaosztályban kimutatásra kerülnek. számlák könyvvezetési előírásait. módosított hitelszerződésében szerződő félként szerepelt, mint óvadékadó és mint kezes is, azonban a 0. Nyilvántartási számlaosztályban mérlegen kívüli tételként nem került kimutatása (számvitelről szóló 2000. évi C. törvény 160. (5) bekezdés). (230,247, főkönyvi kivonatok) Számv.6. napra vonatkozóan a 3111 Követelések ügyfeleknek nyújtott szolgáltatásokból számla egyenlege nem A hibás gyakorlatot észleltük és tudomásul vettük. tartalmazza teljes körűen a negatív ügyfélszámla egyenlegeket, ezáltal a mérlegben kimutatott ügyfelekkel szembeni követelés összege sem, mely nem felel meg a 4. (3) bekezdésében foglaltaknak. (150, főkönyvi kivonatok) Számv.7. A vizsgálat során rendelkezésre bocsátott 4291 Értékpapír árfolyamveszteségre képzett céltartalék számla és a 4292 A céltartalék képzése során a 8 (1)-ben előírt könyvelés technika azt jelenti, hogy Nyitott pozíció veszteségére képzett céltartalék számla könyvelt tranzakciói alapján megállapítottuk, hogy a minden egyes hónapban az előző havi értékpapír értékelésre megképzett céltartalék Társaság a nyitó céltartalék összegének feloldásán kívül a céltartalék visszavezetéseket nem a 923 Céltartalék teljes összege nem realizált bevételt generál, és az éves árbevételben egy felhasználás számlákon könyvelte, hanem a 823 Céltartalék ráfordítás számlákon. A Társaság eljárása nem felel növekvő összeget indukál. A helyett hogy a nyitott pozícióra képzendő céltartalékhoz meg a 251/2000. (XII. 24.) Korm. rendelet 8. (1) bekezdésében foglaltaknak, mely szerint a hó végi értékpapír hasonlóan, havi záráskor az értékpapír árfolyamveszteségre képzendő céltartaléknak értékelésekor képzett céltartalékot a következő hónap elején fel kell használni, amelyet a kereskedelmi tevékenység csak a változása kerüljön elszámolásra, azaz csak a növekménye, vagy csökkenése lenne bevételeivel szemben kell elszámolni. számolandó az eredményben. Az árfolyamveszteségre képzett céltartalékok hó eleji, teljes összegű visszavezetésével keletkezett éves befektetési szolgáltatási tevékenység bevétel növekménye indokolatlanul képez iparűzési adó és a társasági adóalap növekményt, és ezzel összefüggésben megemelkedett adófizetési kötelezettséget. Tehát lényegében egy könyvelés technikai törvényi előírás miatt amelyet a jogalkotó a számviteli alapelvek sérülése nélkül - akár egy indokolatlan többlet adóterhet nem generáló könyvelés technikára is módosíthatna, amely a Kormányrendeletben más helyütt jelen van.a jogszabály ilyen szempontú felülvizsgálata szükséges, ezt a 2008. évi vizsgálat során is jeleztük a T. Felügyelet felé. a tőzsdén jegyzett értékpapírokat a 251/2000. (XII. 24) Korm.rendelet 6. szerint összességében le kellett értékelni. A tőzsdén nem jegyezett saját számlán lévő befektetési jegyet ( ) valamint a tőzsdén és ÁKK által nem jegyzett kötvények is forduló napi értékelésre kerültek, melynek összege felértékelés volt. Az óvatosság elve alapján, hogy ez a nem realizált bevétel az eredményt nenövelje, erre a felértékelési összegre történt a céltartalék képzés. Tehát az eredményben a tőzsdén jegyezett értékpapírok vesztesége jelenik csak meg. Számv.8. A 2011. évi éves beszámoló kiegészítő mellékletének 3.1.5. Mérlegen kívüli tételek közt és a 6.5. Adott és kapott fedezetek között nem szerepel az adott óvadék, kezesség összege lsd. Ép.2.). (247) Ahogy az ide kapcsolódó számv.5.-ben jeleztük a hibás gyakorlatot észleltük és A Társaság a megállapítást nem vitatta, a megállapítást A kiegészítő melléklet elkészítése során tudomásul vettük. teremtse meg az összhangot a leírtak és a ténylegesen alkalmazott gyakorlat között, tartsa be a kiegészítő melléklet tartalmára vonatkozó előírásokat. Adatszolgáltatás Adsz.1. A vizsgálat a Társaság által a Felügyeletre beküldött napi tranzakciós (MiFID) jelentések adattartalmának Társaságunk a kereskedés időpontján kívül a többi feltárt eltérés vvonatkozását ellenőrzése során adatszolgáltatási hibát tárt fel. Az ellenőrzést a teljes üzletkötési adatállomány rendelkezésünkre számosságban nem tartotta jelentősnek, ezért foglalkozott a válaszadás során a állásától, napjától napjáig terjedő időszakra végeztük el, a kötött ügyletek kereskedés időpontjával. A T.Felügylet által 2013.05.31-én tekintetében. A jelentéssorokat összehasonlítottuk a által szolgáltatott hivatalos tőzsdei kötési adatokkal, (http://www.pszaf.hu/hirek_ujdonsagok/piacfelugyelesi_fokuszpontok_130524.html) mely ellenőrzés során megállapítottuk, hogy a db jelentéssorból compliance officerek részére tartott konzultáción a MiFID TREM adatszolgáltatás 4.634 jelentéssor (1,8 %) egyezik a adataival; tapasztalatai ismertetése során elhangzott, hogy a kereskedés időpontjában másodperces 251.027 jelentéssorban (97,49 %) a kereskedés időpontja mező tér el; eltérések, illetve annak töredékei nem mérvadóak. 19 jelentéssorban (0,01 %) az értékpapír ISIN kódja tér el; 1.788 jelentéssorban (0,69 %) 3 vagy 4 kulcsattributumban (kereskedés napja, kereskedés ideje, ISIN, mennyiség, ár) van eltérés; 11 jelentéssor (0,0 %) pedig az 5 kulcsattributum és a kötésazonosító alapján sem párosítható a hivatalos kötési adatokkal. A Társaság tájékoztatásában az eltérést egyrészről a és a Társaság szerveridejének különbségével és a fizikai távolsággal magyarázta. Megítélésünk szerint ez a magyarázat csak egy ezredmásodpercekben mérhető, és konstans időeltérést indokolhatna. Másrészt a Társaság arról adott tájékoztatást, hogy kereskedési rendszere minden adatot óra-perc részletezettséggel menti az adatbázisban, s a másodpercet a kerekítés szabályai szerint tudja csak tárolni. A probléma megoldására a Társaság vállalta hogy árajánlatot kér be a programot fejlesztő cégtől. A Társaság az egyéb eltérésekre nem adott magyarázatot. A befektetési szolgáltatási tevékenységet, befektetési szolgáltatási tevékenységet kiegészítő szolgáltatást, árutőzsdei szolgáltatást végzők adatszolgáltatási kötelezettségéről szóló 9/2011. (VI. 17.) PSZÁF rendelete 2. mellékletének (Kitöltési útmutató) II. rész C/MIFID TREM tábla fejezetében a 3. a kereskedés időpontja mezőjének leírása szerint: Az ügylet végrehajtásának időpontja az ügylet bejelentését fogadó illetékes hatóság helyi idejében megadva, es az ügylet bejelentésének időzónája az egyetemes világidőhöz (Coordinated Universal Time UTC) viszonyított +/ órákban kifejezve. A kereskedés időpontjának jelentési kötelezettsége az ügylet végrehajtásának időpontját jelenti. Az ügylet végrehajtása a kötés végrehajtásának időpillanatában történik, nem az ajánlatbevitel időpontjában, és nem is azok percre kerekített időpontjában. Így a jogszabályszerű adatszolgáltatás-teljesítésnek azt fogadjuk el, amikor a nevezett mezőben a tranzakció végrehajtásának pontos időpontját jelentik. Ez a -en megkötött ügyletek esetében megegyezik a kötéslistáján szereplő, a tőzsdetag adatszolgáltató által ismert kötési időponttal. 4. oldal, összesen: 5
adatot óra-perc részletezettséggel menti az adatbázisban, s a másodpercet a kerekítés szabályai szerint tudja csak tárolni. A probléma megoldására a Társaság vállalta hogy árajánlatot kér be a programot fejlesztő cégtől. A Társaság az egyéb eltérésekre nem adott magyarázatot. A befektetési szolgáltatási tevékenységet, befektetési szolgáltatási tevékenységet kiegészítő szolgáltatást, árutőzsdei szolgáltatást végzők adatszolgáltatási kötelezettségéről szóló 9/2011. (VI. 17.) PSZÁF rendelete 2. mellékletének (Kitöltési útmutató) II. rész C/MIFID TREM tábla fejezetében a 3. a kereskedés időpontja mezőjének leírása szerint: QUAESTOR Értékpapír Nyrt. Az ügylet végrehajtásának időpontja az ügylet bejelentését fogadó illetékes hatóság helyi idejében megadva, es az ügylet bejelentésének időzónája az egyetemes világidőhöz (Coordinated Universal Time UTC) viszonyított +/ iv. órákban kifejezve. A kereskedés időpontjának MEGÁLLAPÍTÁS jelentési kötelezettsége az ügylet végrehajtásának időpontját jelenti. AZ INTÉZMÉNY ÉSZREVÉTELE AZ ÉSZREVÉTEL ÉRTÉKELÉSE SZÜKSÉGES INTÉZKEDÉS / ATÁRIDŐ Az ügylet végrehajtása a kötés végrehajtásának időpillanatában történik, nem az ajánlatbevitel időpontjában, és nem is azok percre kerekített időpontjában. Így a jogszabályszerű adatszolgáltatás-teljesítésnek azt fogadjuk el, amikor a nevezett mezőben a tranzakció végrehajtásának pontos időpontját jelentik. Ez a -en megkötött ügyletek esetében megegyezik a kötéslistáján szereplő, a tőzsdetag adatszolgáltató által ismert kötési időponttal. Adsz.2. A Társaság a napi tranzakciós (MiFID) jelentésben a szabályozott piacra bevezetett állampapír ügyleteket nem Társaságunk a vizsgálat ideje alatt pótolta a hiányosságot. jelenti, a Társaság eljárása során nem követte a 9/2011. (VI. 17.) PSZÁF rendelet 2. sz. melléklet Kitöltési útmutató II. Rész C/ MiFID TREM tábla vonatkozó rendelkezéseit, egy ügylet akkor tartozik a MiFID hatálya alá, ha az ügylet tárgya szabályozott piacra vagy MTF-re bevezetett pénzügyi eszköz. (felügyeleti adatszolgáltatás, 253) Adsz.3. A napjára vonatkozó negyedéves 37A (Portfolió elemzés - minősítés) táblában szerepeltetett adatok nem Társaságunk a feltárt hiányosságot a következő jelentés alkalmától pótolja. tartalmazzák a kötött ügyletek miatt keletkezett (devizaárfolyam kockázat miatti) negatív számlaegyenlegű ügyfelek adatait (követelés összege. napján forintban: forint). Ezen követeléseket a Társaság nem minősítette, mely nem felel meg a 251/2000 (XII.24.) Korm. rendelet 5. sz. mellékletének I. fejezet (1) bekezdésében foglaltaknak, mely szerint a befektetési szolgáltatásokból adódóan fennálló valamennyi követelést minősíteni kell, továbbá a 31C tábla Befektetési vállalkozás - Tájékoztató adatok (1.) Ügyfelekkel szembeni követelések sorában jelentett adatok között sem került kimutatásra. (rendszeres adatszolgáltatás adatai, 150, 255, -i főkönyvi kivonat) Adsz.4. A napjára vonatkozó negyedéves 37B2 (Céltartalék változása) táblában szerepeltetett adatok nem állnak A 37B232 Nyitott pozíció veszteségére képzett céltartalék soron tévesen nem jelentett a A Társaság a megállapítást nem vitatta, a megállapítást Adatszolgáltatása feleljen meg a összhangban a főkönyvi nyilvántartásában elszámolt összegekkel, a nyitott pozíció veszteségére képzett céltartalékot Társaság adatot, amely azóta nem fordult elő. a tábla nem tartalmazza. (274) vonatkozó jogszabályi előírásoknak. Adsz.5. A Társaság a 30D1 Saját számlás állományok hónap végén táblában napjára és napjára A 2013 januárjában beveztetett új havi jelentéstáblák kitöltése óta Társaságunk a 30DB1 A Társaság a megállapítást nem vitatta, a megállapítást Adatszolgáltatása feleljen meg a vonatkozóan a 30D12 (határidős ügyletek öszesen) soron nem szerepeltet adatot. Az eljárás során átadott soron és annak bontásában szerepelteti a saját számlás határidős pozíciók piaci értékét. dokumentumok alapján a Társaságnak volt határidős pozíciója. A Társaság eljárása során nem követte a 9/2011. (VI. 17.) PSZÁF rendelet 2. sz. melléklet Kitöltési útmutató II. Rész A) Egyedi táblákra (30D1 Saját számlás állományok a hónap végén ) vonatkozó előírásait. (168, felügyeleti adatszolgáltatás) vonatkozó jogszabályi előírásoknak. 5. oldal, összesen: 5