Na podlagi 1. točke 404. člena Zakona o trgu finančnih instrumentov (Uradni list RS, št. 67/07) Agencija za trg vrednostnih papirjev izdaja
S K L E P
o organizacijskih zahtevah za vodenje centralnega registra in upravljanje poravnalnega sistema
1. SPLOŠNI DOLOČBI
1. člen
(splošna določba)
Ta sklep določa podrobnejše organizacijske zahteve za vodenje centralnega registra in za upravljanje poravnalnega sistema.
2. člen
(pojmi)
(1) Pojmi, opredeljeni v tem sklepu, imajo enak pomen kot v določbah Zakona o trgu finančnih instrumentov (Uradni list RS, št. 67/2007; v nadaljevanju: ZTFI).
(2) Za namen tega sklepa veljajo naslednje opredelitve pojmov:
1. »nadzorni svet« je nadzorni svet v dvotirnem sistemu upravljanja oziroma so člani upravnega odbora, ki niso izvršni direktorji upravnega odbora v enotirnem sistemu upravljanja,
2. »uprava« je uprava v dvotirnem sistemu upravljanja oziroma so izvršni direktorji upravnega odbora v enotirnem sistemu upravljanja,
3. »storitve« pomenijo storitve iz 1. odstavka 407. člena ZTFI,
4. »višje vodstvo« je vodstvena raven, ki je neposredno podrejena upravi upravljavca in odgovorna za sprejemanje tekočih poslovno operativnih odločitev v zvezi s poslovanjem upravljavca, za upravljanje s tveganji ter izvajanje odločitev, ki jih sprejme uprava upravljavca,
5. upravljanje poravnalnega sistema pomeni upravljanje takšnega sistema s strani:
– centralne klirinškodepotne družbe,
– druge osebe, ki pri opravljanju storitev upravljanja poravnalnega sistema prevzema položaj centralne nasprotne stranke,
– druge osebe, ki pri opravljanju storitev upravljanja poravnalnega sistema ne prevzema položaja centralne nasprotne stranke,
6. upravljavec pomeni:
– oseba, ki vodi centralni register (centralna klirinškodepotna družba),
– oseba, ki upravlja poravnalni sistem (centralna nasprotna stranka ali druga oseba, npr. centralna klirinškodepotna družba).
(3) Kadar se ta sklep sklicuje na določbe drugih predpisov, se te določbe uporabljajo v njihovem vsakokrat veljavnem besedilu.
2. SPLOŠNE ORGANIZACIJSKE ZAHTEVE
3. člen
(splošne zahteve)
(1) Upravljavec mora ob upoštevanju značilnosti, obsega in zapletenosti dejavnosti, ki jih dejansko opravlja, izpolnjevati naslednje splošne organizacijske zahteve:
1. da pripravi, izvaja in vzdržuje postopke odločanja ter organizacijsko strukturo, ki jasno in na dokumentiran način razporeja funkcije, pooblastila in odgovornosti,
2. da zagotovi, da so vsi zaposleni seznanjeni s postopki, ki jih morajo upoštevati za pravilno opravljanje svojih dolžnosti,
3. da vzpostavi, izvaja in vzdržuje primerne notranje kontrolne mehanizme, katerih namen je zagotoviti skladnost z odločitvami in postopki na vseh ravneh upravljavca,
4. da zaposli osebje, ki razpolagajo z usposobljenostjo, znanjem in strokovnostjo, ki so potrebni za opravljanje dodeljenih odgovornosti,
5. da vzpostavi, izvaja in vzdržuje učinkovito notranje poročanje ter pretok informacij na vseh ustreznih ravneh,
6. da vzdržuje primerne in urejene evidence svojih dokumentov v zvezi z notranjo organizacijo in postopki,
7. da zagotovi, da posameznim zaposlenim, ki opravljajo več funkcij, to ne preprečuje opravljanja posamezne funkcije na preudaren, pošten in strokoven način, ter ustrezno razmeji funkcije, ki jih ne more opravljati ista oseba,
8. da vzpostavi, izvaja in vzdržuje sisteme in postopke, ki so primerni za ohranjanje varnosti, celovitosti in zaupnosti informacij,
9. da sprejme, izvaja in vzdržuje načrt neprekinjenega poslovanja, katerega cilj je zagotoviti, da se ključni podatki in funkcije ohranjajo in da se dejavnosti ne prekinejo v primeru izpada sistemov in postopkov ali, kadar to ni mogoče, da se omogoči pravočasno obnovitev podatkov in pravočasno nadaljevanje opravljanja dejavnosti,
10. da sprejme, izvaja in vzdržuje računovodske postopke, ki mu omogočajo, da izdela in pravočasno posreduje finančna in druga poročila, ki prikazujejo resnično in pošteno sliko in so skladna z vsemi veljavnimi računovodskimi standardi in drugimi pravili,
11. da spremlja in redno ocenjuje primernost in učinkovitost svojih sistemov, notranjih kontrolnih mehanizmov in ureditev ter sprejme primerne ukrepe za odpravljanje pomanjkljivosti.
(2) Določbe tega sklepa glede organizacijskih zahtev pri upravljanju s tveganji se smiselno upoštevajo tudi glede organizacijskih zahtev pri drugih področjih poslovanja upravljavca. Pravila, načrti in postopki, ki jih upravljavec sprejme na podlagi tega sklepa, morajo biti v pisni obliki.
4. člen
(dolžnosti organov vodenja in nadzora)
(1) Aktivnosti iz 11. točke prvega odstavka 4. člena tega sklepa morata izvrševati uprava, in kjer je to potrebno, nadzorni svet upravljavca.
(2) Pri izvajanju teh nalog morajo osebe iz prvega odstavka tega člena zagotoviti, da najmanj enkrat letno prejmejo poročila iz 8. in 15. člena tega sklepa ter se prepričati, da so bili v primeru pomanjkljivosti sprejeti ustrezni ukrepi.
5. člen
(prenos pomembnih poslovnih procesov na zunanje izvajalce)
(1) Upravljavec mora pri sklenitvi pogodbe o prenosu izvajanja pomembnih poslovnih procesov zagotoviti, da pri tem ne pride do prenosa odgovornosti upravljavca in njenih organov vodenja ali nadzora za spoštovanje pravil, ki se uporabljajo pri opravljanju posameznih dejavnosti, in nadzora nad spoštovanjem teh pravil, na druge osebe ter da pogoji, na podlagi katerih je upravljavec pridobil dovoljenje za opravljanje posameznih dejavnosti, ostanejo izpolnjeni.
(2) Upravljavec mora zagotoviti ustrezno skrbnost pri sklenitvi, izvajanju ali prekinitvi pogodbe o prenosu pomembnih poslovnih procesov na zunanjega izvajalca, zlasti pa mora zagotoviti, da:
1. ima izvajalec sposobnost, zmogljivost in vsa zakonsko zahtevana dovoljenja, da funkcije, storitve ali dejavnosti, opravlja zanesljivo in strokovno,
2. izvajalec storitve izvaja učinkovito, upravljavec pa mora vzpostaviti metode za ocenjevanje standarda uspešnosti izvajalca storitev,
3. izvajalec ustrezno nadzoruje izvajanje funkcij in primerno upravlja s tveganji, ki so povezana z zunanjim izvajanjem,
4. ima sprejete ustrezne postopke, če ugotovi, da izvajalec ne more opravljati funkcij učinkovito in v skladu z veljavnimi predpisi,
5. ima ustrezne zmogljivosti za učinkovit nadzor funkcij, oddanih v zunanje izvajanje, in upravljanje s tveganji, povezanimi z zunanjim izvajanjem, ter mora nadzorovati navedene funkcije in upravljati navedena tveganja,
6. izvajalec upravljavcu razkrije vse dogodke, ki bi lahko pomembno vplivali na njegovo zmožnost izvajanja funkcij na učinkovit način in v skladu z veljavnimi predpisi,
7. lahko, če je potrebno, prekine pogodbo o prenosu pomembnih poslovnih procesov na drugo osebo brez posledic za kontinuiteto in kakovost izvajanja dejavnosti,
8. izvajalec spoštuje navodila upravljavca,
9. imajo upravljavec, njegov revizor in Agencija učinkovit dostop do podatkov, ki se nanašajo na dejavnosti, oddane v zunanje izvajanje, in na poslovne prostore izvajalca,
10. izvajalec varuje vse zaupne informacije, ki zadevajo upravljavca,
11. imata upravljavec in izvajalec vzpostavljen krizni načrt za izvajanje ukrepov v primeru kriznega dogodka ter zagotovljeno redno testiranje varnostne opreme, če je to potrebno ob upoštevanju funkcije, storitve ali dejavnosti.
(3) Pogodba o prenosu izvajanja pomembnih poslovnih procesov mora biti sklenjena v pisni obliki.
6. člen
(neprekinjeno poslovanje)
(1) Opravljanje najpomembnejših storitev upravljavca mora potekati neprekinjeno v kakršnih koli okoliščinah, po potrebi na ustrezni rezervni lokaciji, ki mora biti v ta namen vzpostavljena.
(2) Upravljavec mora zagotoviti, da se sproti izdelujejo rezervne kopije ključnih podatkov in programske opreme, ki se shranjujejo na primerni dislocirani lokaciji.
(3) Upravljavec mora izdelati načrte za obnovitev informacijskega sistema ob izpadih sistema ali delov sistema.
7. člen
(notranja revizija)
Upravljavec mora organizirati službo notranje revizije, ki je funkcionalno in organizacijsko ločena od drugih organizacijskih delov upravljavca in ima naslednje odgovornosti:
1. vzpostavitev, izvajanje in vzdrževanje revizijskega načrta za pregled in ocenjevanje primernosti in učinkovitosti sistemov, mehanizmov notranje kontrole in ureditev upravljavca,
2. izdajanje priporočil na podlagi rezultatov notranjerevizijskih pregledov,
3. preverjanje skladnosti ukrepov, sprejetih za odpravljanje morebitnih pomanjkljivosti, z navedenimi priporočili,
4. poročanje organom vodenja in nadzora upravljavca v zvezi z notranjo revizijo.
8. člen
(vrste nasprotij interesov)
Upravljavec mora opredeliti vrste nasprotij interesov, katerih nastop lahko škoduje interesom, da je opravljanje storitev upravljavca zanesljivo in pošteno, najmanj na podlagi naslednjih kriterijev:
1. upravljavec bo verjetno ustvaril finančni dobiček ali se izognil finančni izgubi na račun, da bi bile storitve upravljavca opravljene zanesljivo in pošteno,
2. upravljavec ima drugačen interes v zvezi z rezultatom dejavnosti, ki jo opravlja, kot ga zahteva zanesljivo in pošteno opravljanje storitev,
3. upravljavec ima finančno ali drugo spodbudo, da svoj interes, interes lastnikov ali interes članov postavi pred interes, da bodo storitve opravljene zanesljivo in pošteno.
3. SISTEM UPRAVLJANJA
9. člen
(elementi sistema upravljanja)
(1) Upravljavec mora vzpostaviti in uresničevati trden in zanesljiv sistem upravljanja z naslednjimi medsebojno povezanimi elementi:
1. jasen organizacijski ustroj,
2. učinkovit proces upravljanja s tveganji,
3. ustrezen sistem notranjih kontrol.
(2) Organizacijski ustroj, postopki in sistemi iz prvega odstavka tega člena morajo biti jasno in razumljivo opredeljeni in sorazmerni z značilnostmi, obsegom in zapletenostjo poslov, ki jih opravlja upravljavec.
3.1. Organizacijski ustroj
10. člen
(splošno)
(1) Upravljavec mora vzpostaviti jasen organizacijski ustroj iz 1. točke prvega odstavka 11. člena tega sklepa. Organizacijski ustroj je jasen, če temelji na natančno opredeljenih, preglednih in doslednih notranjih razmerjih glede odgovornosti.
(2) Organizacijski ustroj upravljavca mora omogočati učinkovito komunikacijo in sodelovanje na vseh organizacijskih ravneh, vključno z ustreznim pretokom informacij navzgor in navzdol.
(3) Pretok informacij navzgor je ustrezen, če omogoča posameznim vodstvenim ravnem dostop do informacij, ki so pomembne za sprejemanje poslovnih odločitev ter odločitev glede upravljanja s tveganji.
(4) Pretok informacij navzdol je ustrezen, če omogoča zaposlenim dostop do znanj glede strategij in politik prevzemanja tveganj in upravljanja s tveganji, ki so pomembna za izpolnjevanje njihovih pristojnosti in nalog.
11. člen
(preprečevanje nastanka nasprotja interesov)
(1) Organizacijski ustroj mora temeljiti na ustrezni razmejitvi pristojnosti in nalog med vsemi zaposlenimi, vključno z vsemi vodstvenimi ravnmi. Razmejitev pristojnosti in nalog je ustrezna, če:
1. omejuje in preprečuje nastanek nasprotij interesov,
2. zagotavlja transparenten in dokumentiran proces sprejemanja vodstvenih odločitev.
(2) Nasprotja interesov, ki izjemoma nastanejo zaradi pomanjkanja kvalificiranih zaposlenih, morajo biti pravočasno ugotovljena ter predmet rednih in neodvisnih pregledov notranje revizije.
12. člen
(zaposleni)
(1) Upravljavec mora zagotoviti zadostno število kvalificiranih zaposlenih glede na potrebe svojega organizacijskega ustroja, poslovnih dejavnosti ter izpostavljenosti tveganjem. Usposobljenost in izkušnje zaposlenih morajo ustrezati njihovim pristojnostim in odgovornostim ter zahtevnosti nalog, ki jih opravljajo.
(2) Upravljavec mora zagotoviti zamenljivost ključnih zaposlenih. Odsotnost z delovnega mesta ali prekinitev delovnega razmerja s ključnim zaposlenim ne sme dolgoročno negativno vplivati na uveljavljanje strategij in politik prevzemanja in upravljanja s tveganji.
(3) Upravljavec mora zagotoviti, da sistem plačevanja in nagrajevanja organov vodenja in nadzora upravljavca ter preostalih zaposlenih ni v nasprotju s cilji strategije prevzemanja tveganj in upravljanja s tveganji. Struktura in način plačevanja in nagrajevanja morata biti urejena tako, da ne spodbujata organov vodenja ali nadzora upravljavca, višjega vodstva in preostalih zaposlenih k škodljivemu prevzemanju tveganj zaradi maksimiziranja kratkoročnih poslovnih rezultatov.
13. člen
(organizacijska kultura)
Upravljavec mora vzpostaviti trdno organizacijsko kulturo, ki temelji na visokih strokovnih in etičnih standardih poslovanja ter pozitivnem odnosu zaposlenih do notranjih kontrol. Notranje kontrole morajo biti neločljiv del vseh poslovnih dejavnosti upravljavca. Zaposleni morajo razumeti namen in pomembnost notranjih kontrol ter svoj prispevek k njihovemu učinkovitemu izvajanju.
3.2. Upravljanje s tveganji
14. člen
(izvajanje procesa upravljanja s tveganji)
(1) Upravljavec mora zagotavljati, da spremljanje ustreznosti postopkov ugotavljanja, merjenja oziroma ocenjevanja, obvladovanja in spremljanja tveganj poteka trajno in učinkovito.
(2) Izvajanja procesa iz prejšnjega odstavka upravljavec ni dolžan organizirati kot neodvisne službe, če to ne vpliva na učinkovito izvajanje procesa.
(3) Osebe, ki neposredno izvajajo proces iz prvega odstavka, morajo o svojih ugotovitvah redno poročati upravi upravljavca.
15. člen
(učinkovitost upravljanja s tveganji)
(1) Upravljanje s tveganji je učinkovito, če so določeni ustrezni postopki ugotavljanja, merjenja oziroma ocenjevanja, obvladovanja in spremljanja tveganj in če se ti postopki dosledno izvajajo.
(2) Postopki ugotavljanja tveganj morajo vsebovati celovito in pravočasno prepoznavanje tveganj, ki nastajajo pri poslovanju upravljavca, ter analizo vzrokov za njihov nastanek.
(3) Postopki merjenja oziroma ocenjevanja tveganj morajo vsebovati izdelavo meril oziroma ocen tveganj, ki jih je upravljavec ugotovil v postopku ugotavljanja tveganj.
(4) Postopki obvladovanja tveganj morajo vsebovati ukrepe za zmanjševanje, razpršitev, prenos in izognitev tveganjem, ki jih je upravljavec ugotovil in izmeril oziroma ocenil. Prevzemanje pomembnih tveganj mora biti v mejah upravljavčeve sposobnosti prevzemanja tveganj.
(5) Postopki spremljanja tveganj morajo vsebovati pravila glede odgovornosti, pogostosti in načina spremljanja tveganj, ki nastajajo pri poslovanju upravljavca.
16. člen
(sposobnost prevzemanja tveganj)
(1) Upravljavec mora zagotoviti, da je vsakokratno prevzemanje pomembnih tveganj v mejah njegovih sposobnosti prevzemanja tveganj.
(2) Upravljavec mora izdelati metodologijo za ocenjevanje sposobnosti prevzemanja tveganj ter pojasniti predpostavke, na katerih temelji ta metodologija. Metodologija mora upoštevati vsa pomembna tveganja, ki jih prevzema v okviru svojega poslovanja.
(3) Upravljavec mora zagotoviti in dokumentirati redno ocenjevanje lastne sposobnosti prevzemanja tveganj v skladu z metodologijo iz drugega odstavka tega člena.
(4) Upravljavec mora preverjati ustreznost metodologije za ocenjevanje lastne sposobnosti prevzemanja tveganj vsaj enkrat letno ter ob vsaki pomembni spremembi izpostavljenosti prevzetim tveganjem.
17. člen
(tveganja)
(1) Upravljavec mora izpolnjevati splošne standarde upravljanja predvsem pri operativnem tveganju.
(2) Operativno tveganje je tveganje nastanka izgube, vključno s pravnim tveganjem, zaradi naslednjih okoliščin:
1. neustreznosti ali nepravilnega izvajanja notranjih procesov,
2. drugih nepravilnih ravnanj oseb, ki spadajo v notranjo poslovno sfero upravljavca,
3. neustreznosti ali nepravilnega delovanja sistemov, ki spadajo v notranjo poslovno sfero upravljavca,
4. zunanjih dogodkov ali dejanj.
(3) Ne glede na prvi in drugi odstavek tega člena mora upravljavec zagotoviti, da je v vsakem trenutku sposoben upravljati tudi z vsemi drugimi pomembnimi tveganji, ki jih prevzema v okviru poslovanja.
(4) Upravljavec mora pred večjo spremembo organizacijskega ustroja opraviti analizo pripadajočih tveganj.
18. člen
(uvajanje novih produktov)
Upravljavec mora pred uvedbo novega produkta opraviti analizo pripadajočih tveganj.
19. člen
(uporaba zunanjih izvajalcev)
(1) Upravljavec mora zagotoviti, da uporaba zunanjih izvajalcev ne oslabi izvajanja njegovih poslovnih dejavnosti, upravljanja s tveganji ali sistema notranjih kontrol.
(2) Upravljavec mora ustrezno nadzorovati delo zunanjih izvajalcev in skrbeti, da tudi zunanji izvajalci spoštujejo postopke upravljanja s tveganji in druga pravila, ki veljajo za opravljanje dejavnosti, ki je bila prenesena na zunanje izvajalce.
(3) Pogodba o prenosu izvajanja pomembnih poslovnih procesov mora biti sklenjena v pisni obliki.
20. člen
(notranje poročanje o tveganjih)
Upravljavec mora zagotoviti izdelavo rednih poročil o tveganjih, ki jih prevzema v okviru svojega poslovanja. Ta poročila morajo omogočiti sprejemanje vodstvenih odločitev glede ukrepov za obvladovanje tveganj ter spremljanje rezultatov teh ukrepov. V primeru nepričakovanega nastanka pomembne izpostavljenosti tveganjem mora upravljavec zagotoviti tudi izdelavo izrednih poročil o tveganjih.
3.3. Notranje kontrole
21. člen
(ustreznost notranjih kontrol)
(1) Notranje kontrole so ustrezne, če:
– zagotavljajo reden in učinkovit nadzor nad skladnostjo delovanja oseb, ki opravljajo dela pri upravljavcu, s sprejetimi odločitvami upravljavca,
– je zagotovljeno delovanje funkcije za pregled in ocenjevanje trdnosti in zanesljivosti sistema upravljanja ter za pregled in ocenjevanje izpolnjevanja drugih zahtev glede vodenja centralnega registra in upravljanja poravnalnega sistema (funkcija notranje revizije).
(2) Notranje kontrole vključujejo:
– poročanje oseb, ki opravljajo dela pri upravljavcu, o poslovanju upravljavca in o okolju, v katerem ta posluje, ter spremljanje in nadzor nad temi poročili s strani oseb, ki sprejemajo odločitve,
– vzpostavitev dovolj podrobnih formalnih delovnih postopkov pri izvajanju vseh pomembnejših poslovnih dejavnosti upravljavca in nadzor nad spoštovanjem teh postopkov,
– vzpostavitev dovolj podrobnih formalnih delovnih postopkov, ki so potrebni za pravočasno izpolnjevanje obveznosti v zvezi s finančnimi in drugimi poročili, ki morajo prikazovati resnično in pošteno sliko premoženja in obveznosti upravljavca, njegovega finančnega položaja ter poslovnega izida in morajo biti skladna z veljavnimi računovodskimi standardi,
– vzpostavitev sistemov in postopkov za ohranjanje varnosti, celovitosti in zaupnosti informacij,
– fizične kontrole, kjer so te potrebne za omejevanje dostopa do premičnega in nepremičnega premoženja upravljavca in za varovanje tega premoženja,
– vzpostavitev ustreznih notranjih kontrol na področju informacijskega sistema.
22. člen
(služba notranje revizije)
(1) Služba notranje revizije mora zagotoviti neodvisno, redno ter celovito pregledovanje in ocenjevanje ustreznosti sistema upravljanja iz prvega odstavka 11. člena tega sklepa, vključno s pregledovanjem kakovosti notranjih kontrol.
(2) Upravljavec mora zagotoviti, da so tudi dejavnosti, predane v izvajanje zunanjim izvajalcem, predmet rednih pregledov, ki jih izvaja služba notranje revizije.
4. KAPITALSKA USTREZNOST
23. člen
(kapitalska ustreznost)
(1) Upravljavec mora zagotoviti, da vedno razpolaga z ustreznim kapitalom, ki omogoča njegovo normalno delovanje glede na obseg in vrste poslov, ki jih opravlja, in obseg ter stopnje tveganj, ki jim je izpostavljen pri svojem poslovanju.
(2) Če ima upravljavec položaj centralne klirinškodepotne družbe, je pri določanju ustreznega kapitala iz prejšnjega odstavka treba upoštevati, da centralna klirinškodepotna družba ne prevzema kreditnega in likvidnostnega tveganja ter drugih tveganj, ki so specifična za opravljanje bančnih storitev.
(3) Če ima upravljavec položaj osebe, ki pri opravljanju storitev upravljanja poravnalnega sistema prevzema položaj centralne nasprotne stranke, je pri določanju ustreznega kapitala iz prvega odstavka treba upoštevati tudi pogoje, določene v Sklepu o podrobnejših pravilih za poravnavo borznih poslov in pogojih za prevzemanje položaja centralne nasprotne stranke in opravljanje drugih poslov, pri katerih prevzema kreditno tveganje nasprotne stranke (Uradni list RS, št. 106/07).
5. INFORMACIJSKI SISTEM
24. člen
(splošni informacijski sistem)
Splošni informacijski sistem, ki podpira računovodstvo in notranje postopke v zvezi z opravljanjem storitev upravljavca (v nadaljevanju: splošni informacijski sistem) mora omogočati beleženje vseh transakcij in s tem povezanega pretoka podatkov, ki je potreben v procesu sprejemanja odločitev v okviru notranjih kontrol, predvsem pa mora:
1. omogočati sledljivost vseh transakcij z beleženjem časa in bistvenih podatkov o transakciji, ki omogočajo sledljivost transakcij,
2. zaposleni morajo imeti ustrezne dostope do informacij, da lahko izvršujejo svoje naloge,
3. omogočati izpise in posredovanje podatkov pooblaščenim osebam in nadzornim organom.
25. člen
(informacijski sistem)
(1) Zaradi zagotavljanja, da je informacijski sistem za poravnavo borznih poslov in vodenje centralnega registra (v nadaljevanju: informacijski sistem) varen in zanesljiv, tehnično ustrezen in zmogljiv ter se vzdržuje po ustreznih postopkih, morajo imeti zaposleni pri upravljavcu, ki so odgovorni za delovanje informacijskega sistema, ustrezna znanja in izkušnje, ki omogočajo vzdrževanje in vodenje informacijskega sistema.
(2) Upravljavec mora pri vodenju in vzdrževanju informacijskega sistema:
1. določiti strategijo razvoja informacijske tehnologije v skladu s tekočimi potrebami v zvezi z opravljanjem storitev skupaj z oceno sredstev, ki so potrebna za uresničevanje takšne strategije,
2. določiti politike, standarde, postopke in nadzor v zvezi z posameznimi področji aktivnosti informacijske tehnologije, ki obenem določajo sodelovanje med poslovnimi enotami upravljavca in organizacijskim oddelkom, ki je pristojen za informacijsko tehnologijo,
3. določiti pogoje, ki jih mora izpolnjevati informacijski sistem za podporo opravljanja storitev upravljavca.
(3) Strategijo razvoja informacijskega sistema iz 1. točke drugega odstavka tega člena potrdi nadzorni svet upravljavca.
26. člen
(zagotovitev varnega, zanesljivega in ustreznega informacijskega sistema)
Pri uresničevanju strategij in politik iz prejšnjega člena mora upravljavec zagotoviti, da:
1. so aktivnosti uporabnikov informacijskega sistema in tehnične aktivnosti organizacijsko ločene v okviru notranje organizacije, na primer oddelek, pristojen za informacijsko tehnologijo, je odgovoren za razvoj in delovanje računalniških programov in tehničnih postopkov, ki omogočajo podporo upravljanja storitev, uporabniki informacijskega sistema pa so odgovorni za pravilnost in sprotnost vnosov podatkov,
2. so aktivnosti in odgovornosti v zvezi z razvojem in vzdrževanjem informacijskega sistema organizacijsko ločene, tako da imajo zaposleni in tretje osebe omogočen dostop do podatkov v informacijskem sistemu na podlagi predpisanih postopkov,
3. materialne avtorske pravice na računalniških programih, ki se uporabljajo v informacijskem sistemu in jih razvijajo zaposleni, neomejeno in izključno preidejo na upravljavca,
4. je službi notranje revizije omogočena ocena primernosti in učinkovitosti notranjih kontrol v oddelku informacijske tehnologije,
5. je vzpostavljena tekoča podpora razvoja in nadzora kakovosti informacijskega sistema, ki zagotavlja opravljanje funkcij v skladu z njihovim namenom in nadzor nad standardno dokumentacijo, ki je potrebna, da lahko uporabniki uporabljajo informacijski sistem, in da je omogočen učinkovit razvoj informacijskega sistema,
6. so predpisani postopki za pridobivanje računalniških programov in strojne opreme, ki so povezani z delovanjem informacijskega sistema,
7. so predpisani postopki za sklepanje pogodb o opravljanju storitev v zvezi z vzdrževanjem in razvojem informacijskega sistema s tretjimi osebami v skladu s tekočimi potrebami upravljavca, z ustreznimi določili o prenosu avtorskih pravic oziroma licenc pri razvoju računalniških programov, vključno s pripravljalnim gradivom za njihovo izdelavo,
8. informacijski sistem vsebuje kontrole in funkcije za sledljivost, ki omogočajo preverjanje pravilnosti vhodnih in izhodnih podatkov ter vnose in dostope do podatkov na podlagi vnaprej določenih pooblastil,
9. so določena pravila in pooblastila za dostop do podatkov in posameznih računalniških programov,
10. je dostop do podatkov in računalniških programov oziroma posameznih funkcij informacijskega sistema omejen le posameznim uslužbencem v skladu z njihovimi pooblastili in odgovornostmi in da razen določenega upravljavca informacijskega sistema nihče od zaposlenih nima neomejenega dostopa do vseh podatkov in računalniških sistemov,
11. je izdelan načrt neprekinjenega opravljanja najpomembnejših storitev v kakršnih koli okoliščinah, ki omogoča vzpostavitev opravljanja storitev v primeru nepričakovanih okoliščin oziroma nedelovanja informacijskega sistema v najkrajšem možnem času, skupaj z načrtom rednega testiranja takšnega načrta.
27. člen
(zahteve za delovanje informacijskega sistema)
(1) Informacijski sistem upravljavca mora zagotavljati pravilno in zanesljivo zbiranje, vodenje, prenos in obdelavo podatkov. Pri tem mora informacijski sistem izpolnjevati zlasti naslednje zahteve:
1. zagotovljen mora biti vnos samo odobrenih podatkov ter vseh odobrenih podatkov,
2. možnost vnosa podatkov smejo imeti le pooblaščene osebe,
3. zagotovljen mora biti podatek o osebah, ki so dostopale do podatkov, in osebah, ki so opravile vnos in odobrile vnos podatkov,
4. zagotovljen mora biti natančen, popoln ter ustrezno zaščiten prenos podatkov,
5. zagotovljen mora biti reden nadzor nad pravilnostjo stalnih podatkov,
6. izpise podatkov potrdijo odgovorne osebe,
7. izpisi podatkov morajo biti opremljeni s časom in datumom izpisa ter navedbo osebe, ki ga je pripravila,
8. zagotovljena morata biti sprotna izdelava rezervnih kopij ključnih podatkov in programske opreme ter njihovo ustrezno shranjevanje na primerni dislocirani lokaciji,
9. zagotovljene morajo biti fizične in logične kontrole dostopa do programske in strojne opreme ter evidenca vseh dostopov, vpogledov oziroma sprememb podatkov in oseb, ki so dostopale, vpogledovale, vnašale ali spreminjale podatke,
10. ključnim delom informacijskega sistema mora biti zagotovljeno ustrezno neprekinjeno napajanje, ki omogoča varen zaključek dela,
11. izdelani morajo biti načrti in postopki za obnovitev informacijskega sistema (računalniške in programske opreme, podatkov in telekomunikacij) ob izrednih razmerah oziroma izpadih sistema ali delov sistema ter postopki za poslovanje v takšnih razmerah.
(2) Upravljavec z internim aktom določi osebe, ki imajo pravico do dostopa, vpogleda, vnosa in sprememb podatkov, ter nivo njihovih pravic.
(3) Upravljavec mora v svojem poslovanju smiselno upoštevati slovenski standard SIST BS 7799-2:2003 Sistemi za upravljanje varovanja informacij – Specifikacija z napotki za uporabo, ki ga izdaja Slovenski inštitut za standardizacijo oziroma drug pooblaščeni organ.
(4) Krizni načrt in načrt neprekinjenega poslovanja morata predvidevati vzpostavitev in delovanje informacijskega sistema na ustrezni rezervni lokaciji, ki je ločena od lokacije sedeža upravljavca, in sicer v rokih in na način, ki omogočajo čimprejšnjo vzpostavitev in delovanje informacijskega sistema na način, da le-ta deluje zanesljivo in pošteno.
6. DOKUMENTACIJA
28. člen
(dokumentacijske zahteve)
(1) Upravljavec mora zagotoviti dokumentiranje pomembnih elementov sistema upravljanja.
(2) Stopnja podrobnosti dokumentacije mora biti sorazmerna z značilnostmi dokumentiranega gradiva.
(3) Upravljavec mora zagotoviti varnost, popolnost in ažurnost dokumentacije.
7. POROČANJE AGENCIJI
29. člen
(poročanje o izpostavljenosti tveganjem)
Če nastopijo dejstva ali okoliščine, zaradi katerih nastane pomembna izpostavljenost tveganjem oziroma se ta pomembno poveča, in o drugih pomembnih dejstvih, ki bi lahko pomembno vplivala na varnost in zanesljivost delovanja sistema za vodenje centralnega registra oziroma upravljanje poravnalnega sistema, mora upravljavec o tem nemudoma obvestiti Agencijo.
8. KONČNA DOLOČBA
30. člen
(uveljavitev sklepa)
Ta sklep začne veljati naslednji dan po objavi v Uradnem listu Republike Slovenije.
Št. 281-1/41-49/2007
Ljubljana, dne 24. oktobra 2007
EVA 2007-1611-0184
Predsednik sveta
Agencije za trg vrednostnih papirjev
dr. Miha Juhart l.r.
Priloga I: Splošni standardi upravljanja z operativnim tveganjem
1. Obravnava operativnega tveganja
Upravljavec mora zagotoviti upravljanje in ocenjevanje
pomembnega operativnega tveganja vsaj enkrat letno.
Upravljavec mora zagotoviti takojšnjo analizo vzrokov
realiziranih pomembnih izgub iz operativnega tveganja. Pomembna
izguba iz operativnega tveganja mora biti opredeljena v politikah
prevzemanja tveganj in upravljanja s tveganji.
Upravljavec mora zagotoviti, da sta o pomembnih izgubah ter
izpostavljenostih iz operativnega tveganja obveščena uprava
upravljavca ter višje vodstvo upravljavca. Poročilo mora
vključevati vsaj opis vrste izgube iz operativnega tveganja,
najpomembnejše vzroke za realizacijo škodnih dogodkov, obseg
izgube ter seznam izvedenih ukrepov. Če je potrebno, mora uprava
upravljavca odločiti, ali je treba sprejeti dodatne ukrepe za
obvladovanje operativnega tveganja in jih določiti. Upravljavec
mora zagotoviti spremljanje uresničevanja sprejetih ukrepov za
obvladovanje operativnega tveganja.
2. Krizni načrt in načrt neprekinjenega poslovanja
Upravljavec mora vzpostaviti krizni načrt in načrt
neprekinjenega poslovanja za primer delovanja v pogojih hudih
motenj poslovanja. Načrt neprekinjenega poslovanja je dokument,
ki vključuje postopke zagotavljanja neprekinjenega poslovanja pri
pomembnih procesih in sistemih. Krizni načrt je sestavni del
načrta neprekinjenega poslovanja ter določa tehnične in
organizacijske ukrepe za ponovno vzpostavitev delovanja ter
zmanjšanja posledic motenj poslovanja.
Načrt neprekinjenega poslovanja mora ob nastopu hudih motenj
poslovanja zagotoviti, da so pomožne zmogljivosti za nadaljevanje
poslovnih dejavnosti čim prej na razpolago. Krizni načrt mora ob
nastopu hudih motenj poslovanja v primernem časovnem obdobju
zagotoviti ponovno vzpostavitev normalnega delovanja motenih
dejavnosti upravljavca.
Načrt neprekinjenega poslovanja in krizni načrt morata
vključevati tudi opis komunikacijskih tokov, ki se uporabljajo v
pogojih hudih motenj poslovanja.
Upravljavec mora zagotoviti, da so z načrtom neprekinjenega
poslovanja in kriznim načrtom seznanjeni odgovorni zaposleni.
Upravljavec mora zagotoviti redno testiranje načrta
neprekinjenega poslovanja in kriznega načrta z namenom
ocenjevanja njihove učinkovitosti in primernosti. O rezultatih
testiranja morata biti obveščena uprava in višje vodstvo
upravljavca.
Upravljavec mora zagotoviti redno ažuriranje načrta
neprekinjenega poslovanja in kriznega načrta zaradi zagotavljanja
njune skladnosti s trenutnimi poslovnimi dejavnostmi, notranjimi
procesi in poslovnimi strategijami.