Uradni list

Številka 73
Uradni list RS, št. 73/2009 z dne 21. 9. 2009
Uradni list

Uradni list RS, št. 73/2009 z dne 21. 9. 2009

Kazalo

3221. Sklep o plačilnih sistemih, stran 9875.

Na podlagi 1., 2. in 3. točke 179. člena Zakona o plačilnih storitvah in sistemih (Uradni list RS, št. 58/09) ter v skladu z 31. členom Zakona o Banki Slovenije (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo) izdaja Svet Banke Slovenije
S K L E P
o plačilnih sistemih
1. člen
(vsebina sklepa)
Ta sklep določa podrobnejša pravila glede:
1. kriterijev za opredelitev pomembnega plačilnega sistema v skladu s 151. členom Zakona o plačilnih storitvah in sistemih (Uradni list RS, št. 58/09, v nadaljevanju ZPlaSS),
2. zahtev za obvladovanje finančnih, operativnih in drugih tveganj v plačilnem sistemu v skladu s 6. točko drugega odstavka 157. člena ZPlaSS,
3. vsebine, oblike, načina in rokov za poročanje o delovanju plačilnih sistemov v skladu s petim odstavkom 162. člena ZPlaSS.
2. člen
(opredelitve pojmov)
Pojmi, uporabljeni v tem sklepu, imajo enak pomen kot v ZPlaSS.
1. Kriteriji za opredelitev pomembnega plačilnega sistema
3. člen
(kriteriji za opredelitev pomembnega plačilnega sistema)
Pomemben plačilni sistem iz 151. člena ZPlaSS je plačilni sistem, ki izpolnjuje najmanj enega od naslednjih kriterijev:
1. Banka Slovenije ga uporablja za izvajanje plačilnih transakcij iz naslova denarne politike Eurosistema;
2. glede na druge plačilne sisteme, za katere se uporablja slovensko pravo, obdeluje najvišjo skupno vrednost plačilnih transakcij;
3. uporablja se za poravnavo denarnih terjatev in obveznosti udeležencev poravnalnega sistema za poravnavo poslov s finančnimi instrumenti;
4. uporablja se za poravnavo denarnih terjatev in obveznosti udeležencev iz naslova udeležbe v drugih plačilnih sistemih;
5. obdeluje večinoma plačilne transakcije v znesku nad 50.000 EUR;
6. obdeluje večinoma plačilne transakcije v znesku do 50.000 EUR in pri tem:
– obdeluje vsaj 25% delež tovrstnih plačil v državi in
– morebitne motnje v delovanju plačilnega sistema lahko pomembno vplivajo na tekoče izvajanje plačilnih transakcij v državi ali na zmanjšanje zaupanja uporabnikov plačilnih storitev v varnost in učinkovitost izvajanja plačilnih transakcij.
2. Zahteve za obvladovanje finančnih, operativnih in drugih tveganj v plačilnem sistemu
4. člen
(splošne zahteve za obvladovanje tveganj)
(1) Pravila plačilnega sistema morajo določati pravice in obveznosti udeležencev plačilnega sistema v zvezi z ugotavljanjem, ocenjevanjem, obvladovanjem in spremljanjem finančnih, operativnih in drugih tveganj v plačilnem sistemu ter pravice in odgovornosti udeležencev, zlasti upravljavca plačilnega sistema, v normalnih in izrednih razmerah.
(2) Upravljavec plačilnega sistema mora v sodelovanju z drugimi udeleženci plačilnega sistema izdelati strategijo in politiko upravljanja s tveganji v plačilnem sistemu. Strategija upravljanja s tveganji je dokument ali zbir dokumentov, ki vključujejo najmanj cilje, splošna načela oziroma usmeritve za upravljanje s tveganji in pristop k upravljanju s posameznimi tveganji. Politika upravljanja s tveganji je dokument ali zbir dokumentov, ki vključujejo najmanj metodologijo za ugotavljanje, merjenje oziroma ocenjevanje in spremljanje tveganj ter organizacijska pravila izvajanja procesa upravljanja s tveganji.
(3) Strategija in politika upravljanja s tveganji v plačilnem sistemu morata zajeti vsa finančna, operativna in druga tveganja v plačilnem sistemu.
(4) Upravljavec plačilnega sistema mora v sodelovanju z drugimi udeleženci plačilnega sistema redno izvajati ocene tveganj v plačilnem sistemu na podlagi sprejete metodologije za ugotavljanje, merjenje, ocenjevanje, obvladovanje in spremljanje tveganj. Ocene tveganj in ukrepi za njihovo obvladovanje morajo biti dokumentirani, udeleženci plačilnega sistema pa morajo biti z njimi seznanjeni.
(5) Upravljavec plačilnega sistema mora preko izvajanja nadzora nad udeleženci plačilnega sistema zagotoviti, da udeleženci plačilnega sistema izpolnjujejo pogoje za udeležbo v plačilnem sistemu in spoštujejo pravila plačilnega sistema v delu, ki zadeva obvladovanje tveganj, ter v primeru kršitev ukrepati v skladu s pravili plačilnega sistema.
5. člen
(strokovni organ)
Za namen skupnega oziroma usklajenega obvladovanja tveganj morajo udeleženci plačilnega sistema oblikovati strokovni organ, ki potrjuje strategijo in politiko upravljanja s tveganji v plačilnem sistemu in obravnava ocene tveganj v plačilnem sistemu.
2.1. Zahteve za obvladovanje finančnih tveganj
6. člen
(finančna tveganja)
Finančna tveganja v plačilnem sistemu so tveganja, da poravnava v plačilnem sistemu ne bo izvedena zaradi nezmožnosti enega ali več udeležencev plačilnega sistema, da izpolnijo svoje denarne obveznosti iz naslova predloženih nalogov za poravnavo v plačilnem sistemu. Finančno tveganje se lahko pojavi v obliki kreditnega ali likvidnostnega tveganja.
7. člen
(identifikacija finančnih tveganj v pravilih plačilnega sistema)
V pravilih plačilnega sistema morajo biti natančno opredeljena pravila za kliring in poravnavo denarnih terjatev in obveznosti med udeleženci plačilnega sistema v normalnih in izrednih razmerah tako, da so jasno identificirana finančna tveganja, prisotna v sistemu in pri udeležencih.
8. člen
(obvladovanje finančnih tveganj v neto poravnalnem sistemu)
(1) Če se v plačilnem sistemu poravnava izvaja s postopkom netiranja (v nadaljevanju: neto poravnalni sistem), mora imeti tak plačilni sistem oblikovana pravila in postopke za obvladovanje finančnih tveganj, ki zagotavljajo zaključek poravnave neto denarnih obveznosti in terjatev udeležencev tudi v primeru, ko posamezen udeleženec zaradi okoliščin, ki so nastale po trenutku nepreklicnosti nalogov za poravnavo v neto poravnalnem sistemu, ni zmožen poravnati njegove neto denarne obveznosti.
(2) Pravila in postopki za zagotavljanje zaključka poravnave neto denarnih obveznosti in terjatev morajo biti skladni z obliko in organizacijo plačilnega sistema ter ne smejo ogrožati likvidnosti in solventnosti udeležencev oziroma povzročati nerazumno visokih stroškov.
9. člen
(pravila in postopki v neto poravnalnem sistemu)
(1) S pravili in postopki za obvladovanje finančnih tveganj v neto poravnalnem sistemu morajo biti opredeljeni zlasti:
1. oblika in način zagotavljanja sredstev za pokrivanje nekrite neto denarne obveznosti posameznega udeleženca plačilnega sistema;
2. način izračuna obveznosti posameznega udeleženca plačilnega sistema iz naslova zagotavljanja sredstev za pokrivanje nekrite neto denarne obveznosti;
3. ukrepi v odnosu do udeleženca plačilnega sistema, ki ni izpolnil svojih obveznosti iz naslova poravnave neto denarne obveznosti;
4. operativni postopki za primer realizacije finančnih tveganj, vključno z navedbo vloge in odgovornosti upravljavca in drugih udeležencev plačilnega sistema.
(2) Operativni postopki v primeru realizacije finančnih tveganj morajo biti dokumentirani in preizkušeni, da se preveri njihova izvedljivost in usposobijo izvajalci teh postopkov na strani upravljavca in drugih udeležencev plačilnega sistema.
10. člen
(postopki za primer insolventnosti udeleženca ali podobnega postopka zoper udeleženca plačilnega sistema)
Pravila za obvladovanje finančnih tveganj v plačilnem sistemu morajo določati tudi postopke pri upravljavcu in drugih udeležencih plačilnega sistema v primeru začetka postopka zaradi insolventnosti ali drugega postopka ali ukrepa pristojnega organa zoper udeleženca plačilnega sistema, ki izključuje ali omejuje izvršitev nalogov tega udeleženca. Omenjeni postopki morajo biti preizkušeni tako na strani upravljavca kot tudi na strani drugih udeležencev plačilnega sistema.
11. člen
(obveznosti upravljavca v zvezi z vodenjem poravnalnih računov)
(1) Upravljavec plačilnega sistema, ki vodi poravnalne račune, mora zagotoviti, da se denarna sredstva udeležencev plačilnega sistema, namenjena poravnavi denarnih terjatev in obveznosti iz naslova udeležbe v plačilnem sistemu, uporabijo izključno za ta namen, in da so jasno ločena od denarnih sredstev upravljavca plačilnega sistema.
(2) V primeru, če upravljavec plačilnega sistema, ki vodi poravnalne račune udeležencev, na teh računih udeležencem omogoča prekoračitev stanja ali jim kako drugače zagotavlja denarna sredstva v obliki posojila za namen poravnave denarnih obveznosti v zvezi z udeležbo v plačilnem sistemu, mora upravljavec zagotoviti, da takšno posojilo ni krito z viri sredstev, ki jih upravljavec plačilnega sistema prejme od udeležencev plačilnega sistema v zvezi z opravljanjem storitev upravljanja plačilnega sistema.
2.2. Zahteve za obvladovanje operativnih tveganj
12. člen
(operativna tveganja)
Operativna tveganja so tveganja, ki izhajajo iz delovanja tehnične in informacijske opreme, zaposlenih ter organizacijskih postopkov pri upravljavcu in drugih udeležencih plačilnega sistema.
13. člen
(pravila o obvladovanju operativnih tveganj in njihovo spoštovanje)
(1) V pravilih o obvladovanju operativnih tveganj morajo biti natančno opredeljeni in dokumentirani cilji, politike, ustrezni ukrepi in odgovornosti upravljavca in drugih udeležencev plačilnega sistema na področju zagotavljanja varnosti, zanesljivosti in neprekinjenega delovanja plačilnega sistema, ob upoštevanju ustreznih standardov na tem področju. Pri tem je treba upoštevati vse relevantne komponente plačilnega sistema, pri upravljavcu in drugih udeležencih plačilnega sistema, ki vplivajo na varnost, zanesljivost in neprekinjeno delovanje plačilnega sistema.
(2) Upravljavec in drugi udeleženci plačilnega sistema morajo zagotoviti sledenje izpolnjevanja ciljev in ukrepov na področju zagotavljanja varnosti, zanesljivosti in neprekinjenega delovanja plačilnega sistema ter ukrepati v primeru odklonov.
14. člen
(zagotavljanje varnosti in zanesljivosti)
(1) Upravljavec plačilnega sistema mora zagotoviti varne in zanesljive rešitve (tehnična oprema, zaposleni, organizacija, storitve zunanjih izvajalcev) za posredovanje nalogov za poravnavo udeležencev plačilnega sistema, kliring, netiranje, obveščanje udeležencev plačilnega sistema ter izvajanje postopkov v zvezi s poravnavo in postopkov v primeru realizacije finančnih tveganj v skladu s pravili plačilnega sistema. Upravljavec plačilnega sistema navedene faze podrobneje opredeli v operativnih navodilih za udeležence plačilnega sistema. Operativna navodila opredeljujejo in pojasnjujejo vloge in način sodelovanja udeležencev v plačilnem sistemu in jim omogočajo razumevanje operativnih tveganj, ki zanje izhajajo iz sodelovanja v sistemu.
(2) Upravljavec in drugi udeleženci plačilnega sistema z medsebojnim sporazumom določijo raven kakovosti storitev v okviru plačilnega sistema, ki jih zagotavlja upravljavec plačilnega sistema. Sporazum mora vsebovati kvantitativna in kvalitativna merila, na podlagi katerih je možno oceniti ustreznost kakovosti zadevnih storitev.
(3) Upravljavec plačilnega sistema mora zagotoviti dnevno spremljanje delovanja plačilnega sistema, beleženje in ukrepanje ob nepredvidenih dogodkih, analizo teh dogodkov in ukrepe na osnovi te analize.
(4) V primeru uvajanja sprememb v podpori oziroma v delovanju plačilnega sistema morajo biti spremembe dokumentirane in testirane.
15. člen
(interna operativna navodila in drugi dokumenti)
Upravljavec in drugi udeleženci plačilnega sistema morajo v pisni obliki pripraviti interna operativna oziroma delovna navodila, pravilnike in opise procesov za izvajanje storitev v zvezi z upravljanjem plačilnega sistema in v zvezi z udeležbo v plačilnem sistemu. Zaposleni pri upravljavcu oziroma udeležencih plačilnega sistema morajo biti seznanjeni z vsebinami dokumentov, ki so pomembne za njihovo delo.
16. člen
(nadomestne rešitve in postopki)
(1) Upravljavec in drugi udeleženci plačilnega sistema morajo zagotoviti ustrezne nadomestne rešitve in postopke za zagotavljanje neprekinjenega delovanja plačilnega sistema, da se zagotovi pravočasen zaključek dnevnih obdelav tudi v primeru nedelovanja osnovnih rešitev oziroma postopkov, zaradi česar je onemogočeno oziroma prekinjeno normalno delovanje plačilnega sistema (izredne razmere).
(2) Nadomestne rešitve in postopki za zagotavljanje neprekinjenega delovanja plačilnega sistema morajo biti dokumentirani. Zadevna dokumentacija mora biti ažurna in mora vsebovati zlasti:
1. opredelitev kritičnih funkcij plačilnega sistema (vključno s funkcijami, ki jih zagotavljajo zunanji izvajalci) in procesov v okviru teh funkcij;
2. opredelitev ciljev glede zagotavljanja neprekinjenega delovanja plačilnega sistema (ciljni časi vzpostavitve ponovnega delovanja kritičnih funkcij);
3. opis nadomestnih rešitev in postopkov (tehnična oprema, zaposleni, procesi, storitve zunanjih izvajalcev);
4. načrt za zagotavljanje neprekinjenega delovanja, ki mora določati rešitve za zagotavljanje neprekinjenega delovanja oziroma nadomestne rešitve v primeru različnih scenarijev izrednih razmer, vključno z opredelitvijo postopkov za zagotavljanje neprekinjenega delovanja in odgovornih oseb za njihovo izvajanje ter časovnih okvirov za okrevanje bistvenih sistemov in procesov;
5. opredelitev kriterijev za aktiviranje načrta za zagotavljanje neprekinjenega delovanja;
6. opredelitev odgovornih oseb oziroma organov, načina in postopkov sprejemanja odločitev v izrednih razmerah in poti komuniciranja, vključno z kontaktnimi podatki ključnih zaposlenih pri upravljavcu in drugih udeležencih plačilnega sistema ter zunanjih izvajalcih.
(3) Nadomestne rešitve in postopki za zagotavljanje neprekinjenega delovanja morajo biti redno testirani, zaposleni, ki jih izvajajo, pa za to ustrezno usposobljeni. Testiranje mora slediti metodologiji, ki vključuje dokumentiran proces izvedbe testiranja (določitev obsega testiranja glede na kritičnost, cilji testiranja, udeleženci testiranja, scenarij testiranja, analize in poročanje o izvedbi testiranj in o odkritih napakah vodstvu).
17. člen
(informiranost udeležencev plačilnega sistema)
Upravljavec plačilnega sistema mora seznaniti druge udeležence plačilnega sistema s postopki, pravili in navodili glede obvladovanja operativnih tveganj, ki se nanašajo tudi na druge udeležence plačilnega sistema, ter jih vnaprej obvestiti o vseh spremembah teh postopkov, pravil in navodil.
2.3. Zahteve za upravljavca plačilnega sistema
18. člen
(sistem upravljanja in sistem notranjih kontrol)
(1) Upravljavec plačilnega sistema mora vzpostaviti in zagotavljati zanesljiv sistem upravljanja in sistem notranjih kontrol z naslednjimi medsebojno povezanimi elementi:
1. organizacijsko strukturo,
2. proces upravljanja s tveganji iz naslova opravljanja storitev upravljanja plačilnega sistema,
3. sistem notranjih kontrol.
(2) Upravljavec plačilnega sistema mora zagotoviti redno pregledovanje in razvoj lastnega sistema upravljanja.
2.3.1. Organizacijska struktura
19. člen
(vzpostavitev organizacijske strukture in pretok informacij)
(1) Upravljavec plačilnega sistema mora vzpostaviti jasno organizacijsko strukturo, ki temelji na natančno opredeljenih, preglednih in doslednih notranjih razmerjih glede odgovornosti.
(2) Organizacijska struktura upravljavca plačilnega sistema mora omogočati učinkovito komunikacijo in sodelovanje na vseh organizacijskih ravneh, vključno z ustreznim pretokom informacij navzgor in navzdol. Pretok informacij navzgor je ustrezen, če omogoča posameznim vodstvenim ravnem dostop do informacij, ki so pomembne za sprejemanje poslovnih odločitev ter odločitev glede upravljanja s tveganji. Pretok informacij navzdol je ustrezen, če omogoča zaposlenim dostop do znanj, ki so pomembna za izpolnjevanje njihovih pristojnosti in nalog.
20. člen
(razmejitev pristojnosti in nalog ter obravnava nasprotij interesov)
(1) Organizacijska struktura mora temeljiti na ustrezni razmejitvi pristojnosti in nalog med vsemi zaposlenimi, vključno z vsemi vodstvenimi ravnmi. Razmejitev pristojnosti in nalog je ustrezna, če:
1. omejuje in preprečuje nastanek nasprotij interesov,
2. zagotavlja transparenten in dokumentiran proces sprejemanja vodstvenih odločitev.
(2) Nasprotja interesov, ki izjemoma nastanejo zaradi pomanjkanja kvalificiranih zaposlenih, morajo biti pravočasno ugotovljena ter predmet rednih in neodvisnih pregledov, ki jih izvaja služba notranje revizije.
21. člen
(kadri)
(1) Upravljavec plačilnega sistema mora zagotoviti zadostno število kvalificiranih zaposlenih glede na potrebe svojega organizacijske strukture, aktivnosti v zvezi z storitvami upravljanja plačilnega sistema ter izpostavljenosti tveganjem. Usposobljenost in izkušnje zaposlenih morajo ustrezati njihovim pristojnostim in odgovornostim ter zahtevnosti nalog, ki jih opravljajo.
(2) Upravljavec plačilnega sistema mora zagotoviti zamenljivost ključnih zaposlenih. Odsotnost z delovnega mesta ali prekinitev delovnega razmerja s ključnim zaposlenim ne sme dolgoročno negativno vplivati na upravljanje s tveganji.
2.3.2. Proces upravljanja s tveganji iz naslova opravljanja storitev upravljanja plačilnega sistema
22. člen
(proces upravljanja s tveganji)
(1) Upravljavec plačilnega sistema mora vzpostaviti učinkovit proces upravljanja s tveganji iz naslova opravljanja storitev upravljanja plačilnega sistema. Proces upravljanja s tveganji vključuje:
1. postopke ugotavljanja, merjenja oziroma ocenjevanja, obvladovanja in spremljanja tveganj,
2. notranje poročanje o tveganjih.
(2) Upravljavec plačilnega sistema mora zagotoviti, da so pomembna tveganja v zvezi z opravljanjem storitev upravljanja plačilnega sistema zgodaj ugotovljena, celovito obravnavana, spremljana v okviru njegovih dnevnih dejavnosti ter pravočasno predstavljena ustreznim vodstvenim ravnem.
23. člen
(postopki ugotavljanja, merjenja oziroma ocenjevanja, obvladovanja in spremljanja tveganj)
(1) Postopki ugotavljanja tveganj morajo vključevati celovito in pravočasno prepoznavanje tveganj v zvezi z opravljanjem storitev upravljanja plačilnega sistema, ter analizo vzrokov za njihov nastanek. Ugotovljena tveganja morajo biti dokumentirana.
(2) Postopki merjenja oziroma ocenjevanja tveganj morajo vključevati izdelavo kvantitativnih in/ali kvalitativnih ocen za merljiva in/ali nemerljiva tveganja, ki jih je upravljavec plačilnega sistema ugotovil v postopku ugotavljanja tveganj. Ocene tveganj morajo biti dokumentirane.
(3) Upravljavec plačilnega sistema mora zagotoviti redno izvajanje postopkov ugotavljanja in merjenja oziroma ocenjevanja tveganj. Za namen vključevanja v proces upravljanja s tveganji morajo ti postopki omogočati zaznavo sprememb v obstoječih tveganjih in nastanka novih tveganj.
(4) Postopki obvladovanja tveganj morajo vključevati ukrepe in pravila za izvajanje ukrepov sprejemanja, zmanjševanja, razpršitve, prenosa in izognitve tveganjem, ki jih je upravljavec plačilnega sistema ugotovil in izmeril oziroma ocenil.
(5) Postopki spremljanja tveganj morajo vključevati pravila glede odgovornosti, pogostosti in načina spremljanja tveganj pri opravljanju storitev upravljanja plačilnega sistema.
24. člen
(uvajanje novih produktov ali sistemov)
(1) Upravljavec plačilnega sistema mora za namen upravljanja s tveganji opredeliti, kaj šteje za nov produkt ali sistem. Pomembna tveganja, ki izhajajo iz novega produkta ali sistema, morajo biti pravočasno in celovito obravnavana v procesu upravljanja s tveganji.
(2) Upravljavec plačilnega sistema mora pred uvedbo novega produkta ali sistema zagotoviti izdelavo analize pripadajočih tveganj. Analiza tveganj mora vključevati opis:
1. pomembnih tveganj, ki izhajajo iz uvedbe novega produkta ali sistema,
2. vpliva uvedbe novega produkta ali sistema na tveganja in na proces upravljanja s tveganji.
25. člen
(uporaba zunanjih izvajalcev)
(1) Če upravljavec plačilnega sistema uporablja zunanje izvajalce pri izvajanju storitev upravljanja plačilnega sistema, mora politika upravljanja s tveganji vključevati tudi politiko uporabe zunanjih izvajalcev. Ta politika mora vključevati najmanj naslednje elemente:
1. pristop upravljavca plačilnega sistema k uporabi zunanjih izvajalcev in zagotavljanju ustrezne kakovosti storitev,
2. osnovna načela oziroma usmeritve glede upravljanja s tveganji iz naslova uporabe zunanjih izvajalcev,
3. pristop k zagotavljanju neprekinjenega poslovanja v zvezi z dejavnostmi, predanimi v izvajanje zunanjim izvajalcem,
4. strategijo ukrepanja za primer pričakovane ali nepričakovane prekinitve pogodbenega razmerja z zunanjim izvajalcem.
(2) Upravljavec plačilnega sistema mora zagotoviti, da uporaba zunanjih izvajalcev ne oslabi izvajanja njegovih dejavnosti, procesa upravljanja s tveganji in sistema notranjih kontrol.
(3) Upravljavec plačilnega sistema mora organizirati uporabo zunanjih izvajalcev na način, ki mu omogoča nepretrgano spremljanje delovanja zunanjih izvajalcev ter upravljanje s tveganji, ki izhajajo iz uporabe zunanjih izvajalcev.
(4) Upravljavec plačilnega sistema mora imeti dokumentiran načrt uporabe zunanjih izvajalcev. Načrt mora vključevati naslednje elemente:
1. način upravljanja s tveganji iz naslova uporabe zunanjih izvajalcev,
2. zagotavljanje učinkovitega poročanja o tveganjih iz naslova uporabe zunanjih izvajalcev,
3. spremljanje skladnosti delovanja zunanjega izvajalca z veljavno zakonodajo in drugimi predpisi,
4. zagotavljanje vključenosti službe notranje revizije v pregledovanje ustreznosti uporabe in delovanja zunanjih izvajalcev.
(5) Upravljavec plačilnega sistema mora zagotoviti, da so pogodbene pravice ter obveznosti upravljavca plačilnega sistema in zunanjega izvajalca natančno opredeljene in razumljive. Pogodbene pravice upravljavca plačilnega sistema morajo vključevati možnost predčasne prekinitve pogodbenega razmerja z zunanjim izvajalcem v primeru kršitev pogodbenih obveznosti s strani zunanjega izvajalca. Pogodbene obveznosti zunanjega izvajalca morajo vključevati:
1. zaščito podatkov upravljavca plačilnega sistema,
2. skladnost delovanja zunanjega izvajalca z veljavno zakonodajo in drugimi predpisi,
3. popoln dostop upravljavca plačilnega sistema do vseh prostorov in podatkov zunanjega izvajalca in neomejeno pravico do pregleda teh prostorov in revizije teh podatkov.
(6) Zunanji izvajalec mora na temelju pogodbe o ravni kakovosti storitev zagotoviti z upravljavcem plačilnega sistema dogovorjeno raven kakovosti storitev. Pogodba o ravni kakovosti storitev mora vsebovati kvantitativna in kvalitativna merila, na podlagi katerih lahko zunanji izvajalec in banka ocenita ustreznost kakovosti zadevne storitve. Če raven kakovosti storitev ni v skladu s to pogodbo, mora upravljavec plačilnega sistema nemudoma sprejeti ustrezne korektivne ukrepe.
26. člen
(poročanje o tveganjih)
Upravljavec plačilnega sistema mora zagotoviti izdelavo rednih poročil o tveganjih, ki jih prevzema v okviru svojega poslovanja. Ta poročila morajo omogočiti sprejemanje vodstvenih odločitev glede ukrepov za obvladovanje tveganj ter spremljanje rezultatov teh ukrepov. V primeru nepričakovanega nastanka pomembne izpostavljenosti tveganjem mora upravljavec plačilnega sistema zagotoviti tudi izdelavo izrednih poročil o tveganjih.
2.3.3. Sistem notranjih kontrol
27. člen
(elementi sistema notranjih kontrol)
(1) Sistem notranjih kontrol vključuje:
1. notranje kontrole,
2. službo notranje revizije,
3. zagotavljanje usposobljenosti kadrov,
4. funkcijo zagotavljanja varnosti informacij.
(2) Sistem notranjih kontrol vključuje tudi funkcijo zagotavljanja skladnosti delovanja upravljavca plačilnega sistema s pravili plačilnega sistema in veljavnimi predpisi ter standardi, kodeksi in notranjimi akti. Funkcija zagotavljanja skladnosti delovanja upravljavca plačilnega sistema mora ugotavljati in ocenjevati tveganje skladnosti, kateremu je ali bi mu lahko bil upravljavec plačilnega sistema izpostavljen. Tveganje skladnosti je tveganje nastanka izgube zaradi zakonskih sankcij in ukrepov nadzornih organov, ki jih lahko upravljavec plačilnega sistema utrpi iz naslova namernega ali nenamernega neskladja z veljavno zakonodajo, standardi in kodeksi ter notranjimi akti.
28. člen
(notranje kontrole)
(1) Upravljavec plačilnega sistema mora vzpostaviti učinkovito strukturo notranjih kontrol, na katerih temelji izvajanje notranjih kontrolnih dejavnosti. Notranje kontrole vključujejo najmanj:
1. poročanje,
2. delovne postopke,
3. fizične kontrole.
(2) Bistvene ugotovitve notranjih kontrolnih dejavnosti ter pripadajoči ukrepi morajo biti ustrezno dokumentirani.
29. člen
(poročanje)
(1) Upravljavec plačilnega sistema mora zagotoviti notranje poročanje, ki poleg poročil o tveganjih vključuje tudi podatke o delovanju plačilnih sistemov v upravljanju upravljavca in podatke o skladnosti delovanja upravljavca plačilnega sistema s pravili plačilnega sistema ter z veljavno zakonodajo, standardi, kodeksi ter notranjimi akti.
(2) Notranje kontrolne dejavnosti na področju poročanja temeljijo na spremljanju poročil iz prvega odstavka tega člena s strani ustreznih vodstvenih ravni in vključujejo ugotavljanje morebitnih pomanjkljivosti in napak v poročilih ter drugih nepravilnosti v delovanju zaposlenih pri izdelavi poročil.
30. člen
(delovni postopki)
(1) Upravljavec plačilnega sistema mora zagotoviti vzpostavitev formalnih delovnih postopkov pri izvajanju vseh aktivnosti pri izvajanju storitev upravljanja plačilnega sistema.
(2) Delovni postopki iz prvega odstavka tega člena se morajo izvajati na podlagi pisnih navodil in usmeritev, ki vključujejo ustrezno dokumentirana delovna navodila, pravilnike in opise poslovnih procesov.
(3) Upravljavec plačilnega sistema mora zagotoviti ustrezno stopnjo podrobnosti navodil, pravilnikov oziroma opisov poslovnih procesov, vključno s pravili glede organizacijske in poslovno-operativne strukture, sistema dodeljevanja nalog, hierarhije sprejemanja odločitev, pristojnosti in odgovornosti zaposlenih ter izvajanja postopkov. Stopnja podrobnosti je odvisna od značilnosti, obsega in zapletenosti aktivnosti ter pripadajočih tveganj. V primeru sprememb aktivnosti ali pripadajočih procesov morajo biti navodila, pravilniki oziroma opisi poslovnih procesov ažurirani. Zaposleni morajo biti seznanjeni z vsebino tistih navodil in usmeritev, ki jih potrebujejo za izpolnjevanje vseh svojih delovnih nalog.
(4) Notranje kontrolne dejavnosti na področju postopkov vključujejo ugotavljanje kršitev in drugih nepravilnosti pri izvajanju delovnih postopkov.
31. člen
(fizične kontrole)
(1) Kjer je primerno, mora upravljavec plačilnega sistema vzpostaviti sistem fizičnih kontrol za omejevanje dostopa do premičnega in nepremičnega premoženja, ki ga uporablja v zvezi z izvajanjem storitev upravljanja plačilnega sistema, in za njegovo varovanje.
(2) Notranje kontrolne dejavnosti na področju fizičnih kontrol vključujejo fizične kontrole dostopa, izvajanje načela štirih oči ter redno popisovanje premičnega in nepremičnega premoženja, ki ga upravljavec plačilnega sistema uporablja v zvezi z izvajanjem storitev upravljanja plačilnega sistema, in dostopov do tega premoženja.
32. člen
(služba notranje revizije)
Služba notranje revizije mora zagotoviti neodvisno, redno ter celovito pregledovanje in ocenjevanje ustreznosti sistema upravljanja, vključno s pregledovanjem kvalitete notranjih kontrol.
33. člen
(zagotavljanje usposobljenosti kadrov)
(1) Upravljavec mora zagotoviti usposobljenost kadrov z vzpostavitvijo ustrezne kadrovske politike.
(2) Notranje kontrolne dejavnosti na področju kadrov vključujejo spremljanje zasedenosti delovnih mest, znanja in strokovnosti zaposlenih ter izvajanja izobraževanja, spremljanje števila zaposlenih za določen čas ter izvajanje nadzora zaposlenih glede izvajanja internih operativnih oziroma delovnih navodil in pravilnikov v zvezi z opravljanjem njihovih zadolžitev.
34. člen
(funkcija zagotavljanja varnosti informacij)
(1) Funkcija zagotavljanja varnosti informacij deluje na področju varovanja informacij in izvaja postopke varovanja informacijskih sistemov z vidika preprečevanja nepooblaščenega dostopa ali spremembe informacij v hrambi, obdelavi ali prenosu, vključno z ugotavljanjem in zmanjševanjem takih groženj ter dokumentiranjem izvedenih ukrepov.
(2) Upravljavec plačilnega sistema mora vzpostaviti strategijo razvoja informacijskih sistemov in politiko varnosti informacijskih sistemov. Politika varnosti informacijskih sistemov mora vključevati najmanj:
1. cilje pri zagotavljanju varnosti informacijskih sistemov;
2. načela in postopke za zaščito zaupnosti, neoporečnosti in razpoložljivosti informacij; »zaupnost informacij« pomeni, da je informacija dostopna samo pooblaščenim uporabnikom; »neoporečnost informacij« pomeni, da je informacija točna in popolna; »razpoložljivost informacij« pomeni, da imajo pooblaščeni uporabniki v potrebnem času zagotovljen dostop do informacij;
3. razdelitev odgovornosti glede varovanja informacijske tehnologije, informacij, shranjenih v informacijskih sistemih upravljavca plačilnega sistema, ter pripadajoče dokumentacije; »informacijska tehnologija« pomeni strojno in programsko opremo; »strojna oprema« pomeni opredmeteno računalniško in komunikacijsko opremo; »programska oprema« pomeni računalniške programe, postopke in pravila, ki zagotavljajo načrtovano operativnost strojne opreme.
(3) Notranje kontrolne dejavnosti glede informacijskih sistemov vključujejo:
1. pri izvajanju strategije razvoja informacijskih sistemov: ugotavljanje skladnosti s poslovnimi procesi, kvalitete projektnega načrtovanja, vključenosti ustreznih kadrov ter seznanjenosti različnih vodstvenih ravni s pripadajočo problematiko;
2. pri zagotavljanju varnosti informacijskih sistemov: logične in fizične kontrole pri dostopanju do informacijskih sistemov;
3. pri strojni opremi: ugotavljanje njene ustreznosti glede zahtev pripadajočih poslovnih procesov, notranjih in tehničnih standardov ter rednosti njenega vzdrževanja;
4. pri programski opremi: ugotavljanje njene ustreznosti in uporabe v poslovnih procesih v smislu izpolnjevanja zahtev uporabnikov ter ločevanja funkcij razvoja, vzdrževanja in uporabe programske opreme.
3. Poročanje o delovanju plačilnih sistemov
35. člen
(redno in izredno poročanje o delovanju plačilnih sistemov)
(1) Upravljavec plačilnega sistema poroča Banki Slovenije o delovanju plačilnega sistema, ki ga upravlja. Poročila upravljavca plačilnega sistema so redna (periodična) in izredna (ko nastopijo okoliščine, določene v tem sklepu).
(2) Redna poročila upravljavca plačilnega sistema so:
1. poročila o delovanju plačilnega sistema;
2. poročila o poslovanju upravljavca plačilnega sistema;
3. poročila o izvedenih testiranjih rednih in nadomestnih rešitev in postopkov;
4. poročila o rezultatih izvedenih ocen tveganj v plačilnem sistemu.
(3) Upravljavec plačilnega sistema pošilja Banki Slovenije tudi letni načrt aktivnosti na področju opravljanja testiranj rednih in nadomestnih rešitev in postopkov ter ocenjevanja tveganj v plačilnem sistemu.
(4) Izredna poročila upravljavca plačilnega sistema so:
1. poročila v primeru statusnih sprememb v zvezi z udeleženci plačilnega sistema, vključno s posrednimi udeleženci;
2. poročila v primeru pristopa novih udeležencev v plačilni sistem, izstopa ali izključitve udeležencev iz plačilnega sistema, vključno s posrednimi udeleženci;
3. poročila v primeru izpadov v delovanju plačilnega sistema oziroma njegovih udeleženk ter realiziranih finančnih tveganjih.
(5) Upravljavec plačilnega sistema pred začetkom izvajanja aktivnosti za uvedbo kakršnih koli sprememb v delovanju plačilnega sistema, ki bi lahko vplivale na obvladovanje tveganj po tem sklepu, pošlje Banki Slovenije načrt teh aktivnosti s podrobno vsebinsko opredelitvijo načrtovanih sprememb. Obveznost upravljavca plačilnega sistema po tem odstavku ne posega v obveznosti udeležencev plačilnega sistema v primeru sprememb pravil plačilnega sistema, kot je določeno v 160. členu ZPlaSS.
(6) Guverner Banke Slovenije izda navodilo, s katerim predpiše podrobnejšo vsebino, obliko ter način in roke za posredovanje poročil in informacij iz drugega do petega odstavka tega člena.
36. člen
(obveščanje o dogodkih)
Upravljavec plačilnega sistema mora Banko Slovenije nemudoma obvestiti o naslednjih dogodkih:
1. če je ogrožena likvidnost ali solventnost upravljavca plačilnega sistema;
2. če je upravljavec plačilnega sistema začel z obširnejšo prenovo informacijskih sistemov ali če je začel z razvojem nove ponudbe storitev, povezanih z opravljanjem storitev upravljanja plačilnega sistema, ki so pretežno podprte z informacijsko tehnologijo;
3. o drugih dogodkih, ki lahko vplivajo na upravljanje plačilnega sistema.
37. člen
(končna določba)
Ta sklep začne veljati 1. novembra 2009.
Ljubljana, dne 15. septembra 2009
Predsednik
Sveta Banke Slovenije
dr. Marko Kranjec l.r.