Eredeti melléklet letöltése
(PDF file)

Ez a közérdekűadat-igénylés csatolmányának HTML formátumú változata 'Quaestor-üggyel kapcsolatos egyes információk'.

QUAESTOR Értékpapír Nyrt.
 HÁTTÉR TÁMOGATÓ TEVÉKENYSÉGEK
BANK-, ÜZLETI- ÉS ÉRTÉKPAPÍR TITKOT TARTALMAZ
Hiv.
MEGÁLLAPÍTÁS
AZ INTÉZMÉNY ÉSZREVÉTELE
AZ ÉSZREVÉTEL ÉRTÉKELÉSE
SZÜKSÉGES INTÉZKEDÉS
H/VL
HATÁRIDŐ
HÁTTÉRTÁMOGA TEVÉKENYSÉGEK
IT Támogatás
Inf.1.
Az informatikai stratégiai célok megvalósításának a
XXX
éves, csoportszintű informatikai fejlesztési tervei A hivatkozott IT éves fejlesztési tervek valóban nem tartalmaznak konkrét felelősöket és Az intézmény a megállapítást nem vitatja. Az Intézmény Gondoskodjanak
az
informatikai
VL
kézhezvételt 
biztosítanak megfelelő keretet. A bemutatott éves informatikai fejlesztési terv a feladatokhoz a költségkereten kívül, határidőket, mivel a tervben foglalt feladatok tényleges végrehajtása negyedéves az észrevételében említett határidővel ellátott projekt fejlesztési feladatok tervezése során a
követő 60 nap
konkrét felelőst és határidőt nem határoz meg [     XXX     ].
bontásban üzletileg egyeztetett résztvevők és határidők meghatározásával történik. A terveket nem mutatott be. A megállapítást fenntartjuk.
konkrét
feladatokhoz
kapcsolódó
vizsgálaton bemutatott terv          XXX.     
felelősök és határidők meghatározásáról,
ezzel biztosítva a tervek végrehajtásának
ellenőrizhetőségét
és
számon
kérhetőségét.
Inf.2.
A
XXX
évi felügyeleti vizsgálat óta az informatikai szabályzatok túlnyomó többségét felülvizsgálták, A pontban leírt megállapításokkal egyet értünk, a hivatkozott eljárásrendek frissítése Az intézmény a megállapítást nem vitatja. Az Intézmény Végezzék el az informatikai szabályozás
VL
kézhezvételt 
átdolgozták és újabb verzióban
XXX
és
XXX
év során kiadták. A
XXX
informatikai folyamatban van, azt a megadott  határidőre tervezzük végrehajtani.      XXX          
megtett
intézkedéseit
tudomásul
vesszük.
A rendszerének teljes, - az eljárásrendek és
követő 60 nap
tevékenységének szabályozása – a
XXX
által
XXX
kiadott szabályzatokkal együtt – szabályzati szinten,
megállapítást fenntartjuk.
utasítások
szintjére
is
kiterjedő –
teljes körűnek mondható, de az eljárásrendek és utasítások felülvizsgálata még folyamatban van, befejezése
XXX
aktualizálását és - a 2013. évre tervezett
határidőre tervezett. A hatályos szabályozások az Intraneten mindenki számára elérhetőek     XXX     
informatikai
infrastruktúra
és
üzemeltetési változtatások hatásait is
figyelembe
véve
-
folyamatosan
gondoskodjanak
az
informatikai
szabályozási
rendszer
aktuális
állapotának fenntartásáról.
Inf.3.
Az informatikai kockázatelemzés a
XXX
napján elkészült BCP tervezés keretében valósult meg, elsődlegesen A
XXX
évben készített XXX
tervek
XXX
ben és
XXX
-ben Az intézmény a megállapítást nem vitatja. Az Intézmény Gondoskodjanak
az
elfogadott
VL
kézhezvételt 
XXX
. A
XXX
évi BCP tervezés kapcsán a QÉP teljes körű informatikai biztonsági kockázatfelmérést és ellenőrzésre és felülvizsgálatra kerültek, így nem állapítható meg a mulasztás megtett
intézkedéseit
tudomásul
vesszük.
A kockázatelemzés módszertanán alapuló
követő 120 nap
elemzést nem hajtott végre.
XXX
]. Ezzel nem teljesítette a Bszt. 12 §. (3) bekezdésében foglaltakat, Kétségtelen, hogy az eltelt idő alatt az egyes megváltozott üzleti és informatikai megállapítást fenntartjuk.
teljes
körű
informatikai
biztonsági
miszerint: "...befektetési vállalkozás és árutőzsdei szolgáltató az informatikai rendszer biztonsági kockázatelemzését folyamatok és környezeteknek megfelelő, teljesen új módszertan alapján elkészített
kockázatfelmérés
és
elemzés
szükség szerint, de legalább kétévente felülvizsgálja és aktualizálja". A megtett kockázatcsökkentő intézkedéseket a BCP/DRP projekt már elindításra került, így részeredményeket tudtunk bemutatni az
végrehajtásáról, készítsenek intézkedési
QÉP a felügyeleti vizsgálatra való felkészülése során ellenőrizte [     XXX     ] 
ellenőrzési időszak alatt. 
tervet a feltárt kockázatok csökkentésére
Az QÉP Igazgatósága a
XXX
napján
XXX
. A
XXX
évre átnyúló XXX
projekt keretében, a      XXX     
és azt – az intézkedések megfelelő
felügyeleti vizsgálat
XXX
időpontjáig a kockázatelemzési módszertanon kívül, munkaanyagként az Az alábbi dokumentumokat csatoljuk:
dokumentálása és ellenőrzése mellett -
adatvagyon és alkalmazás leltár készült el, de a kockázatelemzési folyamat még nem zárult le, még nincs értékelhető      XXX     
hajtsák
végre
ezzel
biztosítva
az
eredmény.     XXX     
informatikai
biztonság
folyamatos
fenntartását.
Inf.4.
Az informatikai infrastruktúra elemek nyilvántartására egyrészt – a munkaállomások vonatkozásában - a
XXX A
XXX
által üzemeltetett infrastruktúrába telepített licenc köteles alkalmazások Az intézmény a megállapítást nem vitatja. Az Intézmény Felhívjuk a figyelmet olyan szoftver
VL
kézhezvételt 
program, másrészt a szerverek nyilvántartására EXCEL táblázat, valamint hálózati elemek vonatkozásában a éves gyakorisággal végrehajtott éves felülvizsgálatot írnak elő, ezért a hivatkozott tervezett
intézkedéseit
tudomásul
vesszük.
A licence nyilvántartás kialakítására és
követő 60 nap
XXX
hálózatfelügyeleti rendszer szolgál, melyet a
XXX
tart karban. A
XXX
program csak XXX
alkalmazással a
XXX
ellenőrzi az üzemeltetett infrastruktúrában lévő megállapítást fenntartjuk.
naprakész
fenntartására,
melynek
munkaállomásonként tud listát készíteni a hardver konfigurációról, összesített táblázatos lista készítésére vagy adat eszközökre telepített valós szoftverek körét és a licencszerződésben lévő számokat, majd
alapján a jogtiszta szoftver használat
exportra nem képes. Egy adott munkaállomásra vagy szerverre telepített szoftvereket az
XXX
alkalmazással a licencforduló alkalmával jelenti le a változásokat a szállítók felé.
ellenőrzése bármikor elvégezhető.
tudja a
XXX
kilistázni. A
XXX
szoftver licence nyilvántartással nem rendelkezik, mivel a licencek a Ez a gyakorlat sem szállító szerződésbe, sem jogszabályba nem ütközik.
XXX
tulajdonában vannak. A vizsgálat alkalmával nem mutattak be licence nyilvántartást, ily módon a Jelenleg vizsgáljuk a      XXX      megoldás bevezetést. 
szoftverek jogtiszta használata nem volt ellenőrizhető. [     XXX     ], [     XXX     ]. 
Inf.5.
A QÉP által használt és alkalmazás szinten üzemeltetett kritikus üzleti rendszerek infrastruktúráját a
XXX A QÉP-nél jelenleg alkalmazott letéti konstrukció az alábbi okok miatt nem tartalmazza Az
intézmény a megállapítást
nem
vitatja.
A Javasoljuk, tisztázzák, hogy a Broker
VL
kézhezvételt 
üzemelteti, de a fejlesztési és karbantartási feladatokban más szoftver gyártó cégek is közreműködnek. A az adatbázis letétet:
megállapítást fenntartjuk.
rendszer
fejlesztője
a
program
követő 60 nap
legkritikusabb, a nyilvántartási feladatokat ellátó
XXX
rendszer esetében a
XXX
a fejlesztő cég. A 1.      XXX     
forráskódja
mellett
az
adatbázis-
fejlesztési/verzióváltási és tesztelési folyamat megfelelően dokumentált. A tesztelés külön teszt környezetben 2.      XXX     
struktúrát
is
letétbe
helyezi-e?
történik, eredményét jegyzőkönyvben rögzítik. A fejlesztő cég a rendszer forráskódjának letétbe helyezését – ügyvédi
Gondoskodjanak arról, hogy mindenkor
letéti szerződés keretében – vállalta
XXX
.
XXX
A Letéti szerződés 2. pontja szerint a Letevő vállalja,
rendelkezzenek
minden
olyan
hogy a Program forráskódját letétbe helyezi, de nem derül ki, hogy a forráskódhoz tartozó adatbázis-struktúra része-
dokumentációval,
amely
az
üzleti
e a letétnek.
tevékenységet közvetlenül vagy közvetve
támogató
informatikai
rendszerek
folyamatos és biztonságos működését -
még
a
szállító,
illetőleg
a
rendszerfejlesztő
tevékenységének
megszűnése után is - biztosítja.
1. oldal, összesen: 5
QUAESTOR Értékpapír Nyrt.
 HÁTTÉR TÁMOGATÓ TEVÉKENYSÉGEK
BANK-, ÜZLETI- ÉS ÉRTÉKPAPÍR TITKOT TARTALMAZ
Hiv.
MEGÁLLAPÍTÁS
AZ INTÉZMÉNY ÉSZREVÉTELE
AZ ÉSZREVÉTEL ÉRTÉKELÉSE
SZÜKSÉGES INTÉZKEDÉS
H/VL
HATÁRIDŐ
Inf.6.
A QUAESTOR
XXX
géptermében az
XXX
kapcsolat mellett
XXX
kontroller és az irodákba A
XXX
telepített
XXX
a vizsgálati időszakban – a
XXX
szolgáltatás Az intézmény a megállapítást nem vitatja. Az Intézmény Gondoskodjanak a kritikus biztonsági
VL
kézhezvételt 
telepített
XXX
teszi lehetővé - az internet felé is irányuló - vezeték nélküli hálózati kapcsolatot a belső átalakítása miatt –
XXX
esett át, vélhetően ezért volt tapasztalható az megtett
intézkedéseit
tudomásul
vesszük.
A kockázatot
jelentő
vezeték
nélküli
követő 60 nap
dolgozók és a külső vendégek számára. A
XXX
típusú
XXX
kontroller – bár konfigurációs lehetőségei időszinkron hiánya.
megállapítást fenntartjuk.
hálózat
megfelelő
informatikai
megengednék, - a jelenlegi alapszintű (default) konfigurációs beállítások mellett nem nyújt biztonságos kapcsolatot, A berendezés a vizsgált időszak előtt, illetve jelenleg is maximális átgondoltsággal és
biztonságáról, a biztonsági beállítások
mivel a tűzfal beállítás és a biztonsági naplózás nincs bekapcsolva, egyedül a
XXX
szűrés és a
XXX biztonságos működésre törekvéssel lett konfigurálva, melyet alább részletezünk:
végrehajtásáról
és
dokumentálásáról,
titkosítás nyújt gyenge védelmet a belső felhasználók számára (míg a vendégekre vonatkozó konfiguráció esetében      XXX    
valamint a kritikus hálózati elemek
ezek a biztonsági beállítások sem működnek). A vizsgálat időpontjában,
XXX
napján
XXX
-kor, az
felügyeletéről
és
rendszeres
aktuális beállításokról készített dokumentum szerint a      XXX     kontroller saját órája este      XXX    mutatott, ami 
karbantartásáról. A vezeték nélküli
az időszinkron hiányára utal, és egyben lehetetlenné teszi a biztonsági naplóbejegyzések értelmezését is. Feltehető,
hálózat biztonságát független szakértővel 
hogy a
hálózati biztonság szempontjából kritikus kockázatot jelentő
XXX
kontroller
biztonsági
ellenőriztessék
és
a
megtett
konfigurálásának hiánya, valamint felügyeletének és rendszeres karbantartásának elmaradása okozta a helytelen idő
intézkedéseiről valamint az ellenőrzés
beállítást. A bemutatott hálózati dokumentáció hiányos, nem tartalmazta a vezeték nélküli
XXX
hálózati
eredményéről
tájékoztassák
a
kapcsolatokat. [     XXX     ].
Felügyeletet.
Inf.7.
Jogosultság kezelési vizsgálat a Felügyelet részéről a legkritikusabb üzleti alkalmazás, a
XXX
rendszer esetében A pontban hivatkozott megállapításokra reagálva kiemeljük, hogy a
XXX
rendszer Az intézmény a megállapítást nem vitatja. Az Intézmény Gondoskodjanak a
XXX
rendszer
VL
kézhezvételt 
történt. A megállapításainkat alátámasztó dokumentumok a következők: [     XXX    
jogosultságkezelése önmagában nem megítélhető, mert az alkalmazott megoldás válaszában a megállapítás tárgyától eltérve, a hálózati alkalmazási
szintű
jogosultságainak
követő 60 nap
- A
XXX
alkalmazás jelszó házirendje a gyakorlatban megengedi a rövid, 4 karakteres felhasználói név és XXX    folyamaton alapul:
jogosultság (AD) beállításokat részletezi, holott a megfelelően
biztonságos
kezeléséről,
jelszó használatát.
     XXX    
megállapítás a
XXX
rendszer jogosultság kezelési továbbá,
általában
a
jogosultságok
- Nem készíthető lista külön a QÉP munkatársakról és a függő ügynökökről, a felhasználókra és a kapcsolódó
hiányosságaira vonatkozik, melyre vonatkozóan érdemi rendszeres
ellenőrzési
rendjének
jogcsoportokra készülő listából nem derül ki, hogy mikor kapták az adott jogcsoportbeli jogot és hogy érvényes-e.
észrevételt nem tett. A megállapítást fenntartjuk.
kialakításáról, és rendszeres üzemszerű,
- A jogosultság-kezelési eljárásrend egy jogosultságkezelőt és annak két helyettesét nevezi meg. A „rendszergazda”
dokumentált vizsgálatáról.
és a „jogosultságosztás” csoportban csak a jogosultságkezelő neve található a helyetteseké nem. A
páncélszekrényben tárolt jelszóborítékok listájában a
XXX
rendszer rendszergazdai borítékjai nem találhatók.
A rendszergazda elmondása szerint      XXX    
A jogosultságok rendszeres ellenőrzési rendjének kialakítása, és üzemszerű vizsgálata nem történt meg. Erre
vonatkozóan a külső informatikai auditor tett megállapítást, az intézkedést
XXX
. napi határidőre tervezik.
XXX
Megállapítható, hogy a
XXX
rendszer esetében követett gyakorlat sérti a Bszt. 12. §. (6) szakaszának
a) és c) pontjait, miszerint: (6) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági
kockázattal arányos módon gondoskodni kell legalább:
a) a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető
azonosításáról,
és c) a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési
szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események).
Inf.8.
A mentési folyamatokat a külső informatikai biztonsági auditor
XXX
vizsgálta. Lényeges megállapítása volt, A külső IT biztonsági auditor megállapításainak figyelembevételével elkészült a Az intézmény a megállapítást nem vitatja. Az Intézmény Gondoskodjanak
a
mentések
VL
folyamatosan
hogy a mentések visszaállítási próbáiról a
XXX
nem mutatott be bizonyító dokumentumot. A vizsgálat „Mentés visszaállítás tesztelése”
XXX
melynek átadását a jelzett határidőben megtett
intézkedéseit
tudomásul
vesszük.
A felhasználhatóságát
bizonyító
megállapításai nyomán készült intézkedési tervben a visszatöltési tesztek dokumentált rendszerének kialakítására tervezzük végrehajtani.      XXX    
megállapítást fenntartjuk.
visszatöltési
tesztek
dokumentált
XXX     határidő szerepel      XXX    
rendszerének kialakításáról és a tesztek
rendszeres
végrehajtásáról,
annak
érdekében, hogy rendkívüli helyzetben
felkészült legyen informatikai rendszerei
mentésből való helyreállítására.
Inf.9.
A bemutatott – az üzletmenet folytonosság fenntartásának biztosítására hivatott –
XXX
-ben készült és „A
XXX
üzletmenet folytonosság fenntartásának biztosítására való felkészültsége a Az intézmény a megállapítást nem vitatja. A
XXX Gondoskodjanak
az
üzletmenet
VL
kézhezvételt 
XXX
aktualizált
XXX
terveket az időközben elindult
XXX
projekt és az azóta bekövetkezett vizsgálat időpontjában érvényes és alkalmazható
XXX
tervek hiányában nem ban kidolgozott és
XXX
-ben és
XXX
ben folytonosság fenntartásának biztosítására
követő 120 nap
informatikai infrastrukturális változások felülírták, így azok aktuálisan már nem alkalmazhatók.      XXX    
bizonyított” ponthoz kiemelnénk, hogy a
XXX
tervek nem lettek hatályon kívül felülvizsgált
XXX
tervek alkalmazhatóságát éppen való felkészültséget bizonyító
XXX
A QÉP új
XXX
terveinek – a
XXX
projekt keretében folyamatban lévő - kidolgozása alatt, - átmeneti helyezve, így továbbra is érvényben vannak. Ezért a leírtak nem helytállóak. 
az intézmény INf.3. pontra adott válasza kérdőjelezi meg  tervek
és
a
kapcsolódó
erőforrás
megoldásként - a kritikus rendszerek helyreállítására vonatkozó
XXX
kívánja megoldani az informatikai Az új módszertan szerint elkészülő      XXX    elfogadásával együtt elkészül      XXX     azzal, hogy megállapítja "az eltelt idő alatt az egyes akciótervek kidolgozásáról, teljes körű
rendszerek katasztrófa helyzetben való helyreállítási folyamatainak leírását. A
XXX
elvégezte a QÉP
XXX
megváltozott üzleti és informatikai folyamatok és teszteléséről és oktatásáról valamint az
tervét helyettesítő akcióterv – egyetlen meghibásodás típusra vonatkozó – részleges tesztelését és erről jegyzőkönyvet
környezeteknek megfelelő, teljesen új módszertan elvégzett
tevékenységek
mutatott be, amelyen a résztvevők aláírása nem szerepel.
XXX
] A
XXX
üzletmenet folytonosság
alapján elkészített
XXX
Az Intézmény megtett dokumentálásáról.
A
XXX
fenntartásának biztosítására való felkészültsége a vizsgálat időpontjában érvényes és alkalmazható
XXX
tervek
intézkedéseit tudomásul vesszük. A megállapítást terveket és a tesztelések eredményét az
hiányában nem bizonyított. A majdani
XXX
részének tekinthető erőforrás akcióterv tesztelése csak részlegesen
fenntartjuk.
informatikai belső ellenőrzés vizsgálja
történt meg, tesztelési jegyzőkönyve formai hiányosságokat mutat. 
meg
és
a
vizsgálat
eredményéről
tájékoztassa a Felügyeletet.
Inf.10.
    XXX    
    XXX    
Az intézmény pótlólagosan csatolta az informatikai
oktatások megtörténtét igazoló jegyzőkönyveket. A
megállapítást töröljük.
2. oldal, összesen: 5
QUAESTOR Értékpapír Nyrt.
 HÁTTÉR TÁMOGATÓ TEVÉKENYSÉGEK
BANK-, ÜZLETI- ÉS ÉRTÉKPAPÍR TITKOT TARTALMAZ
Hiv.
MEGÁLLAPÍTÁS
AZ INTÉZMÉNY ÉSZREVÉTELE
AZ ÉSZREVÉTEL ÉRTÉKELÉSE
SZÜKSÉGES INTÉZKEDÉS
H/VL
HATÁRIDŐ
Inf.11.
A QÉP informatikai biztonsági felelőse - belső ellenőrzés keretében – a
XXX
időszakban, évente több
XXX
a hivatkozott ellenőrzéssel kapcsolatosan megállapítás hiányában nem Az intézmény a megállapítást nem vitatja. Az Intézmény Gondoskodjanak
az
informatikai
VL
folyamatosan
alkalommal informatikai biztonsági ellenőrzéseket végzett:
XXX
Az informatikai biztonsági felelős vizsgálatai fogalmazott meg konkrét akció terveket, ugyanis a vizsgálat során akciótervet igénylő nem
dokumentálja
nyomonkövethető
módon
az biztonsági felelős vizsgálatai nyomán,
nyomán, azok megállapításai és javaslatai alapján konkrét feladatokat, határidőket és felelősöket meghatározó hiányosság nem került feltárásra, vagy már folyamatban lévő akciótervekre vonatkoztak. informatikai
biztonsági
felelős
tevékenységét.
A azok megállapításai és javaslatai alapján
intézkedési terv nem készült, így nem állapítható meg, hogy a javaslatokat a Társaság megvalósította-e.     XXX    ]
megállapítást fenntartjuk.
intézkedési
tervek
készítéséről
és
nyomon követéséről, hogy mindenkor
megállapítható legyen, a javaslatok
megvalósulása.
Inf.12.
Az alkalmazási rendszerek közül a vizsgálat során a legkritikusabb,
XXX
rendszer naplózását tekintettük át A legkritikusabb üzleti események körét a
XXX
rendszer folyamatba építve kezeli Az intézmény a megállapítást nem vitatja. Az Intézmény Szabályozás szinten határozzák meg az
VL
kézhezvételt 
XXX
. Megállapítottuk, hogy a rendszer fel van készítve műveleti napló (ezen belül jelszó csere), belépési napló, és nem log elemzés alapján. Ide soroljuk a fedezettséggel, megbízások speciális tervezett
intézkedéseit
tudomásul
vesszük.
A alkalmazott üzleti informatikai rendszer
követő 120 nap
webbroker napló és eseménynapló készítésére. Alkalmas a Bszt. 12. § (6) d) szerinti, az informatikai rendszer paramétereivel, kockázatokkal összefüggő ellenőrzési algoritmusokat,stb.
megállapítást fenntartjuk.
működése
szempontjából
kritikus
működése szempontjából kritikus folyamatok eseményeinek naplózására és alkalmas e naplózás rendszeres és A
XXX
által tervezett logelemző rendszer bevezetése további lehetőséget ad a
eseményeket
és
ezek
naplózási
érdemi értékelésének biztosítására, illetve lehetőséget nyújt a nem rendszeres események kezelésére, az informatikai folyamatok ellenőrzésének/elemzésének finomabb hangolására.
eseményeit rendszeresen értékeljék ki.
biztonsági naplózásra. A QÉP–nél nincs meghatározva (szabályozva) a kritikus események köre és a naplózás Ezzel együtt sem ismert olyan esemény, vagy kár, amely a logelemzés hiányára lett
rendszeres értékelése sem történik meg. 2012. év folyamán (október 2.) a QUAESTOR Csoport vezetése részére a volna visszavezethető.
XXX     készített egy     XXX    elemzésre vonatkozó előterjesztést [    XXX    ].
Számvitel
Számv.1.
A Társaság a
XXX
által üzemeltetett nyilvántartási rendszerét nem auditáltatta, a
XXX
által biztosított A T. Felügyelet által a Kisz.1. ponban leírtak szerint "A
XXX
keresztül elérhető A Társaság megküldte a
XXX
nyilvántartási
nyilvántartási rendszerben szereplő adatok szükségesek ahhoz, hogy az ügyfelet megillető pénzügyi eszköz és ügyletek kezelésére szolgáló nyilvántartási rendszerét a vizsgálat ideje alatt nem a rendszeréről a     XXX     által végzett audit riportot. 
pénzeszköz állománya, illetőleg összegének minden időpontban megállapítható legyen (a könyvvizsgáló igazolás Társaság üzemeltette, hanem
XXX
A XXX
által üzemeltetett nyilvántartási
arra vonatkozóan, hogy a befektetési vállalkozás informatikai rendszere alkalmas a 18. § (2) bekezdésében rendszer nem Társaságunk nyilvántartási rendszere. Társaságunk nem auditáltathatja
meghatározott követelmények teljesítésére).
egy másik befektetési szolgáltató nyilvántartási rendszerét. Annak érdekében, hogy
minden időpontban megállapítható legyen az ügyfelet megillető pénzügyi eszköz és
pénzeszköz állománya, Társaságunk a Kisz.1 pontban hivatkozott módon minden nap,
sőt ha szükséges nap közben többször is átolvassa az adatokat saját nyilvántartási
rendszerébe. Időközben beszereztük és mellékeljük a
XXX
nyilvántartási
rendszeréről szóló     XXX    által végzett hivatalos audit riportját, amelyet mellékelünk.
Számv.2.
A főkönyvi nyilvántartásban a
XXX
való elszámolás - átutalt pénz
XXX
és a
XXX
való elszámolás - A hibás gyakorlatot észleltük és tudomásul vettük. Ennek megfelelően a jövőben a A Társaság a megállapítást nem vitatta, a megállapítást A
XXX
elszámolás
során
VL
folyamatosan
átutalt pénz elnevezésű főkönyvi számlák egyenlege nem megfelelően került meghatározásra, az ügyfélkövetelés XXX
szembeni sajátszámlás hitel tartozás elkülönítetten kerül a főkönyvekben változatlan formában fenntartjuk.
mindenkor megfelelően különítse el a
egyenlege több alszámlán található saját pénzegyenleget is tartalmazott (lsd. Pézf.2.)
kimutatásra.
saját
és
ügyfeleket
megillető
(főkönyvi kivonatok)
pénzeszközöket.
Számv.3.
A
XXX
(Alap) XXX
főkönyvi számla
XXX
és
XXX
havi forgalmát vizsgáltuk a nyilvántartási A 286-os kérdésnél átadott főkönyvi kartonokon látható, hogy az Alap által kötött A Társaság észrevételét nem fogadjuk el. A főkönyvi Mindenkor tartsa be a bizonylati elvre és
VL
folyamatosan
rendszerben rögzített ügyletekkel. Megállapítottuk, hogy a főkönyvi számlán az Alappal történő elszámolás negatív adásvételi szerződések tételesen, a befektetési jegy forgalmazás napi összesenben került számlák egyenlegének zárása nem azonos azzal, hogy a fegyelemre
vonatkozó
jogszabályi
egyenlege kizárólag a hó végi állomány szerint kerülnek rögzítésre, a megállapodás 2.5. pontja szerint a
XXX a főkönyvi könyvelésben rögzítésre, a 165§(1)-nek megfelelően. Mivel a 251/2000 gazdasági eseményeket nem rögzítjük. A megállapodás előírásokat.
beszámítja, azonban a főkönyvi elszámolásban kizárólag hó végén kerül elszámolásra az egyenleg (lsd. E.tev.1.) A Kormányrendelet 8§(8) g) által biztosított, hogy a főkönyvi számlák egyenlegét havonta 2.5. pontja szerint
XXX
Tekintettel arra, hogy a
Társaság eljárása sérti a számvitelről szóló 2000. évi C. törvény bizonylati elv és bizonylati fegyelem előírásait, a kel zárni, és meghatározni: 8§ (8) A számviteli nyilvántartások havi, illetve negyedéves XXX
szerződés megszűntetésre került, vizsgálati
165. § (1) bekezdése szerint a gazdasági műveletek (események) folyamatát tükröző összes bizonylat adatait a zárása során - a számviteli politikában is rögzítettek szerint - legalább a következő levélben javasoljuk az intézkedést.
könyvviteli nyilvántartásokban rögzíteni kell. 
zárlati munkálatokat kell elvégezni: g) a főkönyvi számlák technikai zárása (csak az
(267,286)
egyenleg meghatározását értve alatta). A QUAESTOR Értékpapír Nyrt és 
XXX
között fennálló szerződésből eredő,     XXX    .
Számv.4.
A Társaságnak
XXX
napján volt saját nyitott határidős pozíciója, azonban a 0. Mérleg alatti számlák között A Társaság élt a 251/2000. (XII. 24) Korm.rendelet 15. § (2)b)-ben előírt lehetőséggel, A Társaság észrevételét nem fogadjuk el. A 251/2000. Mindenkor tartsa be a 0. Nyilvántartási
VL
folyamatosan
nem került kimutatásra, a Társaság eljárása nem felel meg a 251/2000. (XII.24.) Korm. rendelet 13. §-ban és a saját – nem fedezeti célú - nyitott pozíciók  mérleg fordulónapi – főkönyv Korm. Rendelet 13. §-a szerint a nyitott határidős számlák könyvvezetési előírásait.
előírtaknak.
fordulónapi - piaci értéke és kötési ára (árfolyama) közötti különbözet összegében aktív pozíciókat a 0. Nyilvántartási számlaosztályban nyilván
(168, rendelkezésre bocsátott főkönyvi kivonatok)
elhatárolást számolt el. Majd ugyanezen összegre a 251/2000. (XII. 24) Korm.rendelet kell tartani függetlenül az egyéb elszámolásoktól. 
8§(2) bekezdése szerint céltartalékot képzett. Mivel a főkönyvi rendszerben, az /13. § (1) A tőzsdén, illetve tőzsdén kívül kötött
mérlegkészítés alapját képező  számlaosztályokban megjelenik ez a jövőben követelés, határidős és opciós ügyletek, valamint a swap ügyletek
bevétel és a bevétel elmaradásának kockázata, mint céltartalék az óvatosság elve szerint, határidős ügyletrésze esetén az ügylet tárgyát képező
ezért nem került a 0. Mérleg alatti számlaosztályban is kimutatásra ez az összeg.
pénzügyi instrumentumra, egyéb árura vonatkozó
követelést vagy kötelezettséget mindaddig mérlegen
kívüli tételként kell nyilvántartani a szerződésben
rögzített határidős áron, árfolyamon (a továbbiakban:
kötési ár, árfolyam), amíg a szerződés szerinti határidő
be nem következik (illetve az ügylet lezárásra nem kerül
a lejáratkor, vagy a lejárati idő előtt tőzsdén kötött
ellenügylet
miatt,
tőzsdén
kívüli
ügylettől
való
visszalépés miatt)./
   
3. oldal, összesen: 5
QUAESTOR Értékpapír Nyrt.
 HÁTTÉR TÁMOGATÓ TEVÉKENYSÉGEK
BANK-, ÜZLETI- ÉS ÉRTÉKPAPÍR TITKOT TARTALMAZ
Hiv.
MEGÁLLAPÍTÁS
AZ INTÉZMÉNY ÉSZREVÉTELE
AZ ÉSZREVÉTEL ÉRTÉKELÉSE
SZÜKSÉGES INTÉZKEDÉS
H/VL
HATÁRIDŐ
Számv.5.
A
XXX
Zrt-nél elhelyezett saját tulajdonú Q-EHLA értékpapír
XXX
db mennyiségben zárolt számlán A hibás gyakorlatot észleltük és tudomásul vettük. Ennek megfelelően a jövőben az A Társaság a megállapítást nem vitatta, a megállapítást Mindenkor tartsa be a 0. Nyilvántartási
VL
folyamatosan
került elhelyezésre, hitel fedezet megjelöléssel (
XXX
letéti igazolása). A Társaság a
XXX
többször ilyen gazdasági események a 0.Nyilvántartási számlaosztályban kimutatásra kerülnek.
változatlan formában fenntartjuk.
számlák könyvvezetési előírásait.
módosított hitelszerződésében szerződő félként szerepelt, mint óvadékadó és mint kezes is, azonban a 0.
Nyilvántartási számlaosztályban mérlegen kívüli tételként nem került kimutatása (számvitelről szóló 2000. évi C.
törvény 160. § (5) bekezdés).
(230,247, főkönyvi kivonatok)
Számv.6.
XXX
napra vonatkozóan a 3111 Követelések ügyfeleknek nyújtott szolgáltatásokból számla egyenlege nem A hibás gyakorlatot észleltük és tudomásul vettük.
Lásd határozatban foglaltakat
H
tartalmazza teljes körűen a negatív ügyfélszámla egyenlegeket, ezáltal a mérlegben kimutatott ügyfelekkel szembeni
követelés összege sem, mely nem felel meg a 4. § (3) bekezdésében foglaltaknak.
(150, főkönyvi kivonatok)
Számv.7.
A vizsgálat során rendelkezésre bocsátott 4291 Értékpapír árfolyamveszteségre képzett céltartalék számla és a 4292 A céltartalék képzése során a 8§ (1)-ben előírt könyvelés technika azt jelenti, hogy
Lásd határozatban foglaltakat
H
Nyitott pozíció veszteségére képzett céltartalék számla könyvelt tranzakciói alapján megállapítottuk, hogy a minden egyes hónapban az előző havi értékpapír értékelésre megképzett céltartalék
Társaság a nyitó céltartalék összegének feloldásán kívül a céltartalék visszavezetéseket nem a 923 Céltartalék teljes összege nem realizált bevételt generál, és az éves árbevételben egy folyamatosan
felhasználás számlákon könyvelte, hanem a 823 Céltartalék ráfordítás számlákon. A Társaság eljárása nem felel növekvő összeget indukál. A helyett hogy a nyitott pozícióra képzendő céltartalékhoz
meg a 251/2000. (XII. 24.) Korm. rendelet 8. § (1) bekezdésében foglaltaknak, mely szerint a hó végi értékpapír hasonlóan, havi záráskor az értékpapír árfolyamveszteségre képzendő céltartaléknak
értékelésekor képzett céltartalékot a következő hónap elején fel kell használni, amelyet a kereskedelmi tevékenység csak a változása kerüljön elszámolásra, azaz csak a növekménye, vagy csökkenése lenne
bevételeivel szemben kell elszámolni.
számolandó az eredményben. Az árfolyamveszteségre képzett céltartalékok hó eleji,
    XXX    
teljes összegű visszavezetésével keletkezett éves befektetési szolgáltatási tevékenység
bevétel növekménye indokolatlanul képez iparűzési adó és a társasági adóalap
növekményt, és ezzel összefüggésben megemelkedett adófizetési kötelezettséget. Tehát
lényegében egy könyvelés technikai törvényi előírás miatt – amelyet a jogalkotó a
számviteli alapelvek sérülése nélkül - akár egy indokolatlan többlet adóterhet nem
generáló könyvelés technikára is módosíthatna, amely a Kormányrendeletben más
helyütt jelen van.A jogszabály ilyen szempontú felülvizsgálata szükséges, ezt a 2008.
évi vizsgálat során is jeleztük a T. Felügyelet felé.
XXX
a tőzsdén jegyzett
értékpapírokat a 251/2000. (XII. 24) Korm.rendelet 6. § szerint összességében le kellett
értékelni. A tőzsdén nem jegyezett saját számlán lévő befektetési jegyet (
XXX
)
valamint a tőzsdén és ÁKK által nem jegyzett
XXX
kötvények is forduló napi
értékelésre kerültek, melynek összege felértékelés volt. Az óvatosság elve alapján, hogy
ez a nem realizált bevétel az eredményt ne növelje, erre a felértékelési összegre történt a
céltartalék képzés. Tehát az eredményben a tőzsdén jegyezett értékpapírok vesztesége
jelenik csak meg.
Számv.8.
A 2011. évi éves beszámoló kiegészítő mellékletének 3.1.5. Mérlegen kívüli tételek közt és a 6.5. Adott és kapott Ahogy az ide kapcsolódó számv.5.-ben jeleztük a hibás gyakorlatot észleltük és A Társaság a megállapítást nem vitatta, a megállapítást A kiegészítő melléklet elkészítése során
VL
folyamatosan
fedezetek között nem szerepel az adott óvadék, kezesség összege     XXX    lsd. Ép.2.).
tudomásul vettük.
változatlan formában fenntartjuk.
teremtse meg az összhangot a leírtak és
(247)   
a
ténylegesen alkalmazott gyakorlat
között, tartsa be a kiegészítő melléklet
tartalmára vonatkozó előírásokat.
Adatszolgáltatás
Adsz.1.
A vizsgálat a Társaság által a Felügyeletre beküldött napi tranzakciós (MiFID) jelentések adattartalmának Társaságunk a kereskedés időpontján kívül a többi feltárt eltérés vvonatkozását
Lásd határozatban foglaltakat
H
ellenőrzése során adatszolgáltatási hibát tárt fel. Az ellenőrzést a teljes üzletkötési adatállomány rendelkezésünkre számosságban nem tartotta jelentősnek, ezért foglalkozott a válaszadás során a
állásától,
XXX
napjától
XXX
napjáig terjedő időszakra végeztük el, a
XXX
kötött
XXX
ügyletek kereskedés
időpontjával.
A
T.Felügylet
által
2013.05.31-én
tekintetében. A jelentéssorokat összehasonlítottuk a
XXX
által szolgáltatott hivatalos tőzsdei kötési adatokkal, (http://www.pszaf.hu/hirek_ujdonsagok/piacfelugyelesi_fokuszpontok_130524.html) 
mely ellenőrzés során megállapítottuk, hogy a    XXX    db jelentéssorból
compliance officerek részére tartott konzultáción a MiFID TREM adatszolgáltatás
• 4.634 jelentéssor (1,8 %) egyezik a     XXX     adataival;
tapasztalatai ismertetése során elhangzott, hogy a kereskedés időpontjában másodperces
• 251.027 jelentéssorban (97,49 %) a kereskedés időpontja mező tér el;
eltérések, illetve annak töredékei nem mérvadóak. 
• 19 jelentéssorban (0,01 %) az értékpapír ISIN kódja tér el;
• 1.788 jelentéssorban (0,69 %) 3 vagy 4 kulcsattributumban (kereskedés napja, kereskedés ideje, ISIN, mennyiség,
ár) van eltérés;
• 11 jelentéssor (0,0 %) pedig az 5 kulcsattributum és a kötésazonosító alapján sem párosítható a hivatalos
XXX
kötési adatokkal.
A Társaság tájékoztatásában az eltérést egyrészről a
XXX
és a Társaság szerveridejének különbségével és a
fizikai távolsággal magyarázta. Megítélésünk szerint ez a magyarázat csak egy ezredmásodpercekben mérhető, és
konstans időeltérést indokolhatna. Másrészt a Társaság arról adott tájékoztatást, hogy kereskedési rendszere minden
adatot óra-perc részletezettséggel menti az adatbázisban, s a másodpercet a kerekítés szabályai szerint tudja csak
tárolni. A probléma megoldására a Társaság vállalta hogy árajánlatot kér be a XXX
programot fejlesztő cégtől.
A Társaság az egyéb eltérésekre nem adott magyarázatot.
A befektetési szolgáltatási tevékenységet, befektetési szolgáltatási tevékenységet kiegészítő szolgáltatást, árutőzsdei
szolgáltatást végzők adatszolgáltatási kötelezettségéről szóló 9/2011. (VI. 17.) PSZÁF rendelete 2. mellékletének
(Kitöltési útmutató) II. rész C/MIFID TREM tábla fejezetében a 3. a kereskedés időpontja mezőjének leírása szerint:
„Az ügylet végrehajtásának időpontja az ügylet bejelentését fogadó illetékes hatóság helyi idejében megadva, es az
ügylet bejelentésének időzónája az egyetemes világidőhöz (Coordinated Universal Time – UTC) viszonyított +/–
órákban kifejezve.” A kereskedés időpontjának jelentési kötelezettsége az ügylet végrehajtásának időpontját jelenti.
Az ügylet végrehajtása a kötés végrehajtásának időpillanatában történik, nem az ajánlatbevitel időpontjában, és nem
is azok percre kerekített időpontjában. Így a jogszabályszerű adatszolgáltatás-teljesítésnek azt fogadjuk el, amikor a
nevezett mezőben a tranzakció végrehajtásának pontos időpontját jelentik. Ez a
XXX
-en megkötött ügyletek
esetében megegyezik a     XXX     kötéslistáján szereplő, a tőzsdetag adatszolgáltató által ismert kötési időponttal. 
4. oldal, összesen: 5
Adsz.1.
A vizsgálat a Társaság által a Felügyeletre beküldött napi tranzakciós (MiFID) jelentések adattartalmának Társaságunk a kereskedés időpontján kívül a többi feltárt eltérés vvonatkozását
Lásd határozatban foglaltakat
H
ellenőrzése során adatszolgáltatási hibát tárt fel. Az ellenőrzést a teljes üzletkötési adatállomány rendelkezésünkre számosságban nem tartotta jelentősnek, ezért foglalkozott a válaszadás során a
állásától,
XXX
napjától
XXX
napjáig terjedő időszakra végeztük el, a
XXX
kötött
XXX
ügyletek kereskedés
időpontjával.
A
T.Felügylet
által
2013.05.31-én
tekintetében. A jelentéssorokat összehasonlítottuk a
XXX
által szolgáltatott hivatalos tőzsdei kötési adatokkal, (http://www.pszaf.hu/hirek_ujdonsagok/piacfelugyelesi_fokuszpontok_130524.html) 
mely ellenőrzés során megállapítottuk, hogy a    XXX    db jelentéssorból
compliance officerek részére tartott konzultáción a MiFID TREM adatszolgáltatás
• 4.634 jelentéssor (1,8 %) egyezik a     XXX     adataival;
tapasztalatai ismertetése során elhangzott, hogy a kereskedés időpontjában másodperces
• 251.027 jelentéssorban (97,49 %) a kereskedés időpontja mező tér el;
eltérések, illetve annak töredékei nem mérvadóak. 
• 19 jelentéssorban (0,01 %) az értékpapír ISIN kódja tér el;
• 1.788 jelentéssorban (0,69 %) 3 vagy 4 kulcsattributumban (kereskedés napja, kereskedés ideje, ISIN, mennyiség,
ár) van eltérés;
• 11 jelentéssor (0,0 %) pedig az 5 kulcsattributum és a kötésazonosító alapján sem párosítható a hivatalos
XXX
kötési adatokkal.
A Társaság tájékoztatásában az eltérést egyrészről a
XXX
és a Társaság szerveridejének különbségével és a
fizikai távolsággal magyarázta. Megítélésünk szerint ez a magyarázat csak egy ezredmásodpercekben mérhető, és
konstans időeltérést indokolhatna. Másrészt a Társaság arról adott tájékoztatást, hogy kereskedési rendszere minden
adatot óra-perc részletezettséggel menti az adatbázisban, s a másodpercet a kerekítés szabályai szerint tudja csak
tárolni. A probléma megoldására a Társaság vállalta hogy árajánlatot kér be a XXX
programot fejlesztő cégtől.
A Társaság az egyéb eltérésekre nem adott magyarázatot.
A befektetési szolgáltatási tevékenységet, befektetési szolgáltatási tevékenységet kiegészítő szolgáltatást, árutőzsdei
QUAESTOR Értékpapír Nyrt.
szolgáltatást végzők adatszolgáltatási kötelezettségéről szóló 9/2011. (VI. 17.) PSZÁF rendelete 2. mellékletének
 HÁTTÉR TÁMOGATÓ TEVÉKENYSÉGEK
(Kitöltési útmutató) II. rész C/MIFID TREM tábla fejezetében a 3. a kereskedés időpontja mezőjének leírása szerint:
BANK-, ÜZLETI- ÉS ÉRTÉKPAPÍR TITKOT TARTALMAZ
„Az ügylet végrehajtásának időpontja az ügylet bejelentését fogadó illetékes hatóság helyi idejében megadva, es az
ügylet bejelentésének időzónája az egyetemes világidőhöz (Coordinated Universal Time – UTC) viszonyított +/–
Hiv.
órákban kifejezve.” A kereskedés időpontjának M
je EG
lent Á
ésLLA
i köt P
el Íe
zettSsége az ügylet végrehajtásának időpontját jelenti.
AZ INTÉZMÉNY ÉSZREVÉTELE
AZ ÉSZREVÉTEL ÉRTÉKELÉSE
SZÜKSÉGES INTÉZKEDÉS
H/VL
HATÁRIDŐ
Az ügylet végrehajtása a kötés végrehajtásának időpillanatában történik, nem az ajánlatbevitel időpontjában, és nem
is azok percre kerekített időpontjában. Így a jogszabályszerű adatszolgáltatás-teljesítésnek azt fogadjuk el, amikor a
nevezett mezőben a tranzakció végrehajtásának pontos időpontját jelentik. Ez a
XXX
-en megkötött ügyletek
esetében megegyezik a     XXX     kötéslistáján szereplő, a tőzsdetag adatszolgáltató által ismert kötési időponttal. 
Adsz.2.
A Társaság a napi tranzakciós (MiFID) jelentésben a szabályozott piacra bevezetett állampapír ügyleteket nem Társaságunk a vizsgálat ideje alatt pótolta a hiányosságot.
Lásd határozatban foglaltakat
H
jelenti, a Társaság eljárása során nem követte a 9/2011. (VI. 17.) PSZÁF rendelet 2. sz. melléklet Kitöltési útmutató
II. Rész C/ MiFID TREM tábla vonatkozó rendelkezéseit, egy ügylet akkor tartozik a MiFID hatálya alá, ha az
ügylet tárgya szabályozott piacra vagy MTF-re bevezetett pénzügyi eszköz.
(felügyeleti adatszolgáltatás, 253)
Adsz.3.
A
XXX
napjára vonatkozó negyedéves 37A (Portfolió elemzés - minősítés) táblában szerepeltetett adatok nem Társaságunk a feltárt hiányosságot a következő jelentés alkalmától pótolja.
Lásd határozatban foglaltakat
H
folyamatosan
tartalmazzák a
XXX
kötött ügyletek miatt keletkezett (devizaárfolyam kockázat miatti) negatív
számlaegyenlegű ügyfelek adatait (követelés összege
XXX
. napján forintban:
XXX
forint). Ezen
követeléseket a Társaság nem minősítette, mely nem felel meg a 251/2000 (XII.24.) Korm. rendelet 5. sz.
mellékletének I. fejezet (1) bekezdésében foglaltaknak, mely szerint a befektetési szolgáltatásokból adódóan fennálló
valamennyi követelést minősíteni kell, továbbá a 31C tábla Befektetési vállalkozás - Tájékoztató adatok (1.)
Ügyfelekkel szembeni követelések sorában jelentett adatok között sem került kimutatásra.
(rendszeres adatszolgáltatás adatai, 150, 255, XXX   -i főkönyvi kivonat)
Adsz.4.
A
XXX
napjára vonatkozó negyedéves 37B2 (Céltartalék változása) táblában szerepeltetett adatok nem állnak A 37B232 Nyitott pozíció veszteségére képzett céltartalék soron tévesen nem jelentett a A Társaság a megállapítást nem vitatta, a megállapítást Adatszolgáltatása
feleljen
meg
a
VL
folyamatosan
összhangban a főkönyvi nyilvántartásában elszámolt összegekkel, a nyitott pozíció veszteségére képzett céltartalékot Társaság adatot, amely azóta nem fordult elő.
változatlan formában fenntartjuk.
vonatkozó jogszabályi előírásoknak.
a tábla nem tartalmazza.
(274)
Adsz.5.
A Társaság a 30D1 Saját számlás állományok hónap végén táblában
XXX
napjára és
XXX
napjára A 2013 januárjában beveztetett új havi jelentéstáblák kitöltése óta Társaságunk a 30DB1 A Társaság a megállapítást nem vitatta, a megállapítást Adatszolgáltatása
feleljen
meg
a
VL
folyamatosan
vonatkozóan a 30D12 (határidős ügyletek öszesen) soron nem szerepeltet adatot. Az eljárás során átadott soron és annak bontásában szerepelteti a saját számlás határidős pozíciók piaci értékét.
változatlan formában fenntartjuk.
vonatkozó jogszabályi előírásoknak.
dokumentumok alapján a Társaságnak volt határidős pozíciója. A Társaság eljárása során nem követte a 9/2011.
(VI. 17.) PSZÁF rendelet 2. sz. melléklet Kitöltési útmutató II. Rész A) Egyedi táblákra (30D1 Saját számlás
állományok a hónap végén ) vonatkozó előírásait. (168, felügyeleti adatszolgáltatás)
5. oldal, összesen: 5