Iktatószám8687-72/2013 Bank-, üzleti-, pénztári-, és értékpapír titkot tartalmaz VIZSGÁLATI JELENTÉS a QUAESTOR Értékpapírkereskedelmi és Befektetési Nyilvánosan Működő Részvénytársaságnál lefolytatott átfogó vizsgálatról Vizsgálat vezetője:.. A vizsgálati jelentést jóváhagyta: Budapest, 2013. augusztus 29.
TARTALOMJEGYZÉK Összefoglaló értékelés:... 5 1. VÁLLALATIRÁNYÍTÁS... 5 1.1. Belső irányítás... 5 1.1.1. Közvetítők... 5 1.1.2. Kiszervezett tevékenységek... 5 1.1.3. Vezető állású személyek, alkalmazottak személyes üzleti tevékenysége... 5 1.1.4. Javadalmazási politika... 5 1.1.5. Összeférhetetlenség, érdek-összeütközések, ösztönzés... 5 1.2. Belső kontroll rendszer... 5 1.2.1. Nyilvánosságra hozatal és átláthatóság... 5 1.2.2. Kockázatkezelés... 6 1.2.3. Belső ellenőrzés... 6 1.2.4. Compliance... 6 2. PIACI MEGJELENÉS... 6 2.1. Panaszügyek kezelése... 6 2.2. Ügyféltájékoztatás, előzetes tájékozódás... 6 2.3. Pénzmosás és a terrorizmus finanszírozásának kiszűrése... 7 2.4. Üzletszabályzat szerinti egyéb tevékenységek... 7 2.5. Bennfentes kereskedelem, piacbefolyásolás... 7 3. ÜZLETI FOLYAMATOK ÉS TŐKE... 7 3.1. Működési kockázat... 7 3.1.1. Megbízáskezelés... 7 3.1.2. Befektetési tanácsadás... 7 3.1.3. BÉT Határidős ügyletek fedezettsége... 7 3.1.4. Ügyfélkövetelések védelme... 8 3.1.4.1. Értékpapír fedezettség... 8 3.1.4.2. Pénz fedezettség... 8 3.1.5. Tőke és jövedelmezőség vizsgálata; ICAAP-SREP párbeszéd... 8 4. HÁTTÉR ÉS TÁMOGATÓ TEVÉKENYSÉGEK... 9 4.1. IT támogatás (informatika)... 9 4.2. Számvitel, nyilvántartás, könyvvizsgáló... 10 4.3. Az adatszolgáltatás vizsgálata... 10 5. KIBOCSÁTÓI TEVÉKENYSÉG... 10 5.1. Közzétételi kötelezettség teljesítésének gyakorlata... 10 5.2. Bennfentes személyek, bennfentes nyilvántartás... 11 2
A vizsgált intézmény megnevezése: QUAESTOR Értékpapír Nyrt. (Társaság, Kibocsátó) A vizsgált intézmény székhelye: 1132 Budapest, Váci út 30. A vizsgálat célja: Vizsgálat kezdete: 2013. január 10. A vizsgálat alá vont időszak: A Pénzügyi Szervezetek Állami Felügyeletéről szóló 2010. évi CLVIII. tv. 53., 54. (1) és (4) bekezdéseiben foglalt felhatalmazás alapján átfogó vizsgálat lefolytatása 2010. december 31. napjától a helyszíni szakasz befejezéséig A vizsgálat helyszíni szakasza: 2013. február 11 március 22. A vizsgálat típusa: A vizsgálatot végző személyek: Átfogó vizsgálat Vizsgálatvezető: Résztvevők: A vizsgálat módszertani ismertetése: A Pénzügyi Szervezetek Állami Felügyelete (Felügyelet) korlátozott terjedelmű és mélységű, nem teljes körű vizsgálatot folytatott. A vizsgálat értékelte a Társaság által rendelkezésre bocsátott dokumentumokat és adatokat, az intézmény munkatársaitól és vezetőitől szóban kapott tájékoztatásokat. A folyamatok megismerésének eszközei a szabályzatok meglétének és gyakorlati alkalmazásának vizsgálata, az interjúkészítés, az alkalmazott informatikai rendszerek áttekintése és az ott rögzített, valamint a Felügyelet részére küldött jelentések adataiból szerzett információk voltak. Ezen túlmenően ügylet mélységű vizsgálatok is történtek. A megállapítások alapját a szabályzatok gyakorlati alkalmazásának ügyletszintű vizsgálata, kapcsolódó számlaforgalmak és az egyéb analitikus dokumentumok áttekintése során szerzett információk képezik. Az informatikai vizsgálat a releváns ágazati jogszabályokban foglalt informatikai biztonsági előírások betartására, az üzletmenet folytonosság biztosítására, az informatikai infrastruktúra működtetésére, szabályozottságára, a jogosultságok kezelésére, az informatikai szállítók tevékenységére és a független kontrollok működtetésére terjedt ki. A vizsgálat kiterjedt a 2012. évi ICAAP-SREP párbeszédre. A vizsgálati jelentés összefoglaló értékelés részében szerepelnek a Társaságra jellemző fontosabb információk, illetve a kockázatok felügyeleti besorolása a kockázatalapú felügyelés 3
módszertani kézikönyve alapján. 1 Az értékelő részben zárójeles hivatkozások utalnak a konkrét megállapításokra. A vizsgálati jelentés részét képező 1. számú melléklet tartalmazza azokat a konkrét megállapításokat, amelyek valamely jogszabály, felügyeleti határozat, intézményi belső szabályozás megsértésére utalnak, illetve a Felügyelet álláspontja szerint a prudens működés kívánalmának nem megfelelő gyakorlatot jeleznek. 1 http://www.pszaf.hu/data/cms367879/mell kletek s_f ggel lkek.pdf 4
Összefoglaló értékelés: 1. VÁLLALATIRÁNYÍTÁS 1.1. Belső irányítás 1.1.1. Közvetítők A Társaság közvetítőkkel kapcsolatos közzétételi és bejelentési kötelességének nem tett maradéktalanul eleget. [Közv.1.] Kockázati besorolás: alacsony 1.1.2. Kiszervezett tevékenységek A Társaság a által üzemeltetett nyilvántartási rendszerét nem tekinti kiszervezésnek, így az egyébként kritikus funkciónak minősülő kiszervezésről szóló megállapodással nem rendelkezik. [Kisz.1.] 2 A Társaság közvetítőkkel kapcsolatos közzétételi és bejelentési kötelességének nem tett maradéktalanul eleget, a Társaság által igénybe vett közvetítők jegyzéke elavult adatokat tartalmaz. [Kisz.2.] Kockázati besorolás: magas 1.1.3. Vezető állású személyek, alkalmazottak személyes üzleti tevékenysége a ] 3 1.1.4. Javadalmazási politika A javadalmazási politika kiemelt személy fogalma nem határozza meg konkrétan, hogy mely munkavállaló tevékenysége gyakorol lényeges hatást a Társaság kockázatvállalására. [Jav.1.] 1.1.5. Összeférhetetlenség, érdek-összeütközések, ösztönzés A Társaság nem készített összeférhetetlenségi mátrixot, mely alkalmas az összeférhetetlenséget eredményező helyzetek feltérképezésére. [Összf.1.] A Társaság az elfogadott juttatásról az ügyfeleket nem megfelelően tájékoztatta. [Összf.2.] 1.2. Belső kontroll rendszer 4 1.2.1. Nyilvánosságra hozatal és átláthatóság A 2011. évi javadalmazási politikáját a Társaság nem hozta nyilvánosságra. [Nyilv.1.] 2 A megállapítás jogi megítélése változott. 3 A Szem.1. megállapítást az észrevételhez csatoltan megküldött dokumentumok alapján a vizsgálat törölte. 4 A kockázati besorolást az észrevételhez csatoltan megküldött dokumentumok alapján a vizsgálat módosította. 5
1.2.2. Kockázatkezelés A Kockázatkezelésről szóló szabályzat és a Kereskedési könyv vezetéséről és a tőkekövetelmény számításáról szóló szabályzat a Kockázat kezelési bizottság tagjai vonatkozásában eltérő rendelkezéseket tartalmaz, míg a Sajátszámlás ügyletek kezeléséről és a kereskedői limitekről szóló szabályzat aktualizálásra szorul. [Kock.1.] A Társaság a kötött ügyletek miatt keletkezett ügyféltartozásokat, a -nél zárolt számlán elhelyezett értékpapírral kapcsolatos kockázatokat nem kezelte, a kontroll elmaradása hatást gyakorolt az ügyfelek pénzeszközeinek elkülönített kezelésére, az ügyfélkövetelések minősítésére, beszámolóban történő kimutatására, a tőkekövetelmény összegére. [Kock.2.] Kockázati besorolás: magas 1.2.3. Belső ellenőrzés A Társaság vizsgált periódus alatti belső ellenőrzési gyakorlata nem felelt meg maradéktalanul a vonatkozó jogszabályi előírásoknak. [Be.1.] 1.2.4. Compliance A vezető állású személyek és alkalmazottak személyes tevékenységéről szóló szabályzat nem tartalmazta a munkavállalók felhatalmazása alapján történő bejelentés alóli felmentést, az éves összefoglaló jelentés nem tartalmazza a témakörökkel kapcsolatos vizsgálatok időpontját, az intézkedések határidejének megfelelő megjelölését. [Comp.1 5-2.] 2. PIACI MEGJELENÉS 2.1. Panaszügyek kezelése 6 A Társaság panaszügyi nyilvántartása nem tartalmazza a vonatkozó jogszabály által előírt kötelező tartalmi elemeket. [Pan.1.] 2.2. Ügyféltájékoztatás, előzetes tájékozódás MiFID termékspecifikus tájékoztató nem hívja fel az ügyfelek figyelmét arra, hogy az adózási kérdésben adott tájékoztatás csak az ügyfél egyedi körülményei alapján ítélhető meg, valamint arra, hogy az a jövőben változhat, a tájékoztató továbbá nem tartalmazza megfelelően a deviza-, arany- és ezüstügyletek besorolását. [Ütáj.1-2.] A -nál elhelyezett eszközökkel kapcsolatos tájékoztatás nem megfelelő. [Ütáj.3.] A Társaság valamennyi informatikai és más technikai probléma esetén kizárja a felelősségét. [Ütáj.4.] 7 A nem megfelelő termékkel rendelkező ügyfelek figyelemfelhívásának a Társaság nem tett maradéktalanul eleget. [Ütáj.5.] 5 A Comp.1. megállapítást a vizsgálat pontosította. 6 A kockázati besorolást az észrevételhez csatoltan megküldött dokumentumok alapján a vizsgálat módosította. 7 A Megállapítás módosításra került. 6
2.3. Pénzmosás és a terrorizmus finanszírozásának kiszűrése A mintavételi körbe került azonosítási dokumentumok kontrollja feltárta, hogy a Társaság azonosítási eljárása során nem a megfelelő Azonosítási adatlapot és Ügyfél tényleges tulajdonosi nyilatkozat dokumentumot alkalmazta. [Pm.1.] 2.4. Üzletszabályzat szerinti egyéb tevékenységek Kockázati besorolás: jelentős A részére biztosított halasztott pénzügyi teljesítésből eredő követelés beszámítása a nyilvántartási rendszerben nem követhető. [E.tev.1-2.] 2.5. Bennfentes kereskedelem, piacbefolyásolás A Társaság által a bennfentes kereskedelem és a piacbefolyásolás célzatú megbízások kiszűrésére alkalmazott rendszer a bemutatott formában nem nyújt megfelelő támogatást az e témakörökhöz kapcsolódó jogszabályi követelmények teljesítéséhez. [Pb.1.] 3. ÜZLETI FOLYAMATOK ÉS TŐKE 3.1. Működési kockázat 3.1.1. Megbízáskezelés A által adott megbízások a Társaság vizsgált időszakban hatályos Üzletszabályzatának nem feleltek meg. [Mb.1.] A meghatalmazottakat tartalmazó lista a vizsgált ügyfelek tekintetében nem volt teljes körű. [Mb.2.] A számlákra történő első teljesítés nem felelt meg maradéktalanul a szerződésben foglaltaknak. [Nyesz.1.] [Tbsz.1.] Inherens kockázat: mérsékelt Nettó kockázati szint: mérsékelt 3.1.2. Befektetési tanácsadás A Társaság alkalmassági teszttel nem rendelkező ügyfeleinek adott befektetési tanácsadást 8. [Beft.1.] Inherens kockázat: magas Kockázatkontroll: gyenge Nettó kockázati szint: magas 3.1.3. BÉT Határidős ügyletek fedezettsége A Társaság által az ügyfél kérésére történő óvadék-felszabadítás mint óvadékkezelési mód lehetséges következményeivel, kockázataival kapcsolatban az ügyfelek írásos tájékoztatást nem kapnak. [Hat.1.] 8 7
3.1.4. Ügyfélkövetelések védelme Inherens kockázat: magas Kockázatkontroll: gyenge Nettó kockázati szint: magas 3.1.4.1. Értékpapír fedezettség Az eljárás során napokra vonatkozóan tételes vizsgálattal ellenőriztük az ügyfelek értékpapír követelésének biztosítottságát. Az eljárás során a Felügyelet rendelkezésére bocsátott bizonylatok, dokumentumok alapján megállapítottuk, hogy az ügyfelek értékpapír követeléseinek fedezete a vizsgált időpontok tekintetében a Társaság számláin és értéktárában megtalálható volt. A átruházása nem volt szabályos. [Ép.1.] A -nél elhelyezett értékpapírt a Társaság nyilvántartási rendszerében nem zárolta. [Ép.2.] A saját számláról eladott értékpapír ( ) nyilvántartási renszerben történő rögzítése késedelmesen történt. [Ép.3.] 3.1.4.2. Pénz fedezettség Az eljárás során napokra vonatkozóan tételes vizsgálattal ellenőriztük az ügyfelek pénzkövetelésének biztosítottságát. Az eljárás során a Felügyelet rendelkezésére bocsátott bizonylatok, dokumentumok alapján megállapítottuk, hogy az ügyfelek pénzköveteléseinek fedezete a vizsgált időpont tekintetében a Társaság számláin megtalálható volt. Az ügyfeleket megillető pénzeszközök a Társaság saját pénzeszközeitől egyik vizsgált napon sem kerültek maradéktalanul elkülönítésre. A Társaság elsődleges fedezettsége napokon negatív egyenleget mutatott, azaz a Társaság ügyfél tulajdonú pénzeszközöket saját pénzeszközei elhelyezésére szolgáló számlán tartott. napon az elsődleges fedezettség pozitív egyenleget mutatott, a Társaság ezen napon saját tulajdonú pénzeszközöket az ügyfelek részére vezetett számlákon tartott. [Pénzf.1.] A vizsgálat a pénzfedezettségi tábla adatszolgáltatásával kapcsolatban több, jelentős kockázatú hiányosságot tárt fel. [Pénzf.2.] [Pénzf.3.] [Pénzf.4.] [Pénzf.5.] Inherens kockázat: magas Kockázatkontroll: gyenge Nettó kockázati szint: magas 3.1.5. Tőke és jövedelmezőség vizsgálata; ICAAP-SREP párbeszéd A Társaság a tőzsdei határidős részvény ügyletek esetében nem határozta meg a határidős ügyletek általános kamatkockázatát. [Szav.1.] A Társaság a részvények egyedi pozíciókockázatát a Kkr. 2012. január 1-je előtt hatályos rendelkezései alapján határozta meg, a kockázati súlynak a hatályos 8% helyett %-ot alkalmazott. [Szav.2.] A Társaság a kereskedési könyvben nyilvántartott befektetési jegyek tőkekövetelményét %-os kockázati súly alkalmazásával állapította meg a Kkr.-ben előírt 32%-os súly helyett. [Szav.3.] A Társaság a vel, mint központi szerződő féllel szembeni kitettségeit egységesen %-os kockázati súlyú tételként kezelte, nem vette figyelembe a származtatott ügyletekből eredő kitettségek és az egyes kitettségek eltérő kezelésének a követelményét. [Szav.4.] 8
A Társaság nem állapított meg tőkekövetelményt a által felvett hitelhez kapcsolódó a. felé fenálló készfizető kezesség után. [Szav.5.] A Társaság nem vette figyelmbe a által kibocsátott kötvények nagykockázati limit túllépése miatti szavatoló tőke többlet szükségletet, ezáltal a kockázatok fedezéséhez rendelkezésre álló szavatoló tőke mértékét a valóságosnál forinttal magasabbnak mutatta be. [Szav.6.] A Társaság a repóba adott értékpapírok tőkekövetelményét nem határozta meg, ezen papírokat a saját pozíciók között nem vette számításba. [Szav.7.] A Társaság a napjára vonatkozó szavatoló tőke számítása során a vonatkozásnapi főkönyvi kivonatában szereplő immateriális javakat az alapvető tőke negatív összetevőjeként nem vette figyelembe. [Szav.8.] A Társaság tőkeszükséglete összesen forintról, a Felügyelet rendelkezésére álló adatok alapján kb. forinttal, forintra nő. Ez és a rendelkezésre álló szavatoló tőke csökkenése miatt a szabályozói TMM ról ra, a SREP TMM ról ra csökkent. [Szav.9.] 9 Inherens kockázat: mérsékelt Nettó kockázati szint: mérsékelt 4. HÁTTÉR ÉS TÁMOGATÓ TEVÉKENYSÉGEK 4.1. IT támogatás (informatika) A által bemutatott éves fejlesztési terv a meghatározott feladatokhoz felelőst és határidőt nem rendel hozzá.[inf.1.] A szabályozási rendszer felülvizsgálata eljárásrend és utasítások szintjén nem történt meg teljes körűen. [Inf.2.] A QÉP teljes körű informatikai biztonsági kockázatelemzést még nem végzett, ezzel nem teljesítette a Bszt. 12. (3) bekezdésében foglaltakat, miszerint: "...befektetési vállalkozás az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálja és aktualizálja". [Inf.3.] A nyilvántartásoknak nem része a szoftver licencnyilvántartás [Inf.4.] A rendszer Letéti szerződése nem egyértelműen fogalmaz. [Inf.5.] A kialakított és működő belső WIFI kapcsolat kockázatokat hordoz, a kommunikációs infrastruktúra (hálózati topológia) dokumentációja hiányos. [Inf.6.] A rendszerben alkalmazási rendszer szinten - jogosultság kezelési hiányosságok vannak és megállapítható, hogy a rendszer esetében követett gyakorlat sérti a Bszt. 12.. (6) szakaszának a) és c) pontjait, miszerint: (6) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább: a) a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosításáról, és c) a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események). [Inf.7.] A mentések visszaállítási tesztjei nincsenek dokumentálva. [Inf.8.] A hatályos BCP/DRP tervek nem teljes körűek és nem aktualizáltak. [Inf.9.] 10 Az informatikai biztonsági felelős vizsgálatai nyomán, azok megállapításai és javaslatai alapján konkrét feladatokat, határidőket és felelősöket meghatározó intézkedési terv 9 A Szav.9. megállapítást a vizsgálat pontosította. 10 Az Inf.10. megállapítást az észrevételhez csatoltan megküldött dokumentumok alapján a vizsgálat törölte. 9
nem készült. [Inf.11.] Az alkalmazási rendszerek naplózásával kapcsolatos feladatok nincsenek szabályozva. [Inf.12.] Inherens kockázat: jelentős Nettó kockázati szint: jelentős 4.2. Számvitel, nyilvántartás, könyvvizsgáló A Társaság a által üzemeltetett nyilvántartási rendszerét nem auditáltatta. [Számv.1.] A főkönyvi nyilvántartásban a szembeni követelés saját és ügyfél bontása nem megfelelően került meghatározásra. [Számv.2.] A történő elszámolás nem felel meg a bizonylati elv követelményének. [Számv.3.] A nyitott határidős pozíciók a 0. Nyilvántartási számlaosztályban nem kerültek kimutatásra. [Számv.4.] A nál elhelyezett értékpapír a 0. Nyilvántartási számlaosztályban nem került kimutatásra. [Számv.5.] Az ügyfelekkel szembeni követelések egyenlege nem tartalmazza teljes körűen a negatív ügyfélszámlaegyenlegeket. [Számv.6.] A céltartalék elszámolása nem felel meg a jogszabályi előírásnak. [Számv.7.] 11 A kiegészítő melléklet tartalma nem felel meg teljes körűen a jogszabályi előírásnak. [Számv.8.] Inherens kockázat: jelentős Nettó kockázati szint: jelentős 4.3. Az adatszolgáltatás vizsgálata A Társaság a napi tranzakciós (MiFID) jelentéseket nem a jogszabályi előírásoknak megfelelő tartalommal teljesítette. [Adsz.1.] A napi tranzakciós (MiFID) jelentésben a szabályozott piacra bevezetett állampapír ügyletek nem kerültek jelentésre. [Adsz.2.] A 37A (Portfolió elemzés - minősítés) táblában szerepeltetett adat nem tartalmazza a kötött ügyletek miatt keletkezett ügyfélköveteléseket, ezen követelések nem kerültek minősítésre [Adsz.3.] A 37B2 (Céltartalék változása) táblában szerepeltetett adatok nem állnak összhangban a főkönyvi nyilvántartásban elszámolt összegekkel. [Adsz.4.] A Társaság a 30D1 Saját számlás állományok hónap végén táblában a határidős ügyletek soron nem szerepeltet adatot. [Adsz.5.] Inherens kockázat: mérsékelt Nettó kockázati szint: mérsékelt 5. KIBOCSÁTÓI TEVÉKENYSÉG 5.1. Közzétételi kötelezettség teljesítésének gyakorlata A közzététel rendjéről szóló szabályzat nem nevesíti azon közzétételi helyeket, amelyeknek a Kibocsátó a szabályozott információt bejelenti illetve megküldi. [Kib.1.] A Kibocsátó közzétételi kötelezettségének nem a jogszabályi előírásoknak megfelelően tett eleget. [Kib.2-8.] 11 A Számv.7. megállapítást a vizsgálat pontosította. 10
5.2. Bennfentes személyek, bennfentes nyilvántartás A napjáig hatályos Szabályzat a vezető állású személyek és alkalmazottak személyes tevékenységéről nem tartalmazta a nyilvántartás vezetésére kijelölt személyt. [Kib.9.] A Kibocsátó bennfentes nyilvántartásának vezetésére vonatkozó gyakorlata nem alkalmas a bennfentes kereskedelemhez kapcsolódó hatósági ellenőrzés elősegítésére. [Kib.10.] Inherens kockázat: mérsékelt Nettó kockázati szint: mérsékelt Melléklet: 1. Megállapítások (Excel formátum) 2. Dokumentumjegyzék(Excel formátum) 11