Opozorilo: Neuradno prečiščeno besedilo
predpisa predstavlja zgolj informativni delovni pripomoček, glede katerega
organ ne jamči odškodninsko ali kako drugače.
Neuradno prečiščeno besedilo Sklepa o
plačilnih sistemih obsega:
-
Sklep o plačilnih sistemih (Uradni list RS, št. 73/09 z dne 21. 9.
2009),
-
Sklep o spremembi Sklepa o plačilnih sistemih (Uradni list RS, št. 5/11
z dne 24. 1. 2011).
SKLEP
o plačilnih sistemih
(neuradno prečiščeno besedilo št. 1)
1. člen
(vsebina sklepa)
Ta sklep določa podrobnejša pravila glede:
1.
kriterijev za opredelitev pomembnega plačilnega sistema v skladu s 151.
členom Zakona o plačilnih storitvah in sistemih (Uradni list RS, št. 58/09, v
nadaljevanju ZPlaSS),
2.
zahtev za obvladovanje finančnih, operativnih in drugih tveganj v plačilnem
sistemu v skladu s 6. točko drugega odstavka 157. člena ZPlaSS,
3.
vsebine, oblike, načina in rokov za poročanje o delovanju plačilnih
sistemov v skladu s petim odstavkom 162. člena ZPlaSS.
2. člen
(opredelitve pojmov)
Pojmi, uporabljeni v tem sklepu, imajo enak
pomen kot v ZPlaSS.
1. Kriteriji za opredelitev pomembnega
plačilnega sistema
3. člen
(kriteriji za opredelitev pomembnega
plačilnega sistema)
Pomemben plačilni sistem iz 151. člena
ZPlaSS je plačilni sistem, ki izpolnjuje najmanj enega od naslednjih
kriterijev:
1.
Banka Slovenije ga uporablja za izvajanje plačilnih transakcij iz
naslova denarne politike Eurosistema;
2.
glede na druge plačilne sisteme, za katere se uporablja slovensko pravo,
obdeluje najvišjo skupno vrednost plačilnih transakcij;
3.
uporablja se za poravnavo denarnih terjatev in obveznosti udeležencev
poravnalnega sistema za poravnavo poslov s finančnimi instrumenti;
4.
uporablja se za poravnavo denarnih terjatev in obveznosti udeležencev iz
naslova udeležbe v drugih plačilnih sistemih;
5.
obdeluje večinoma plačilne transakcije v znesku nad 50.000 EUR;
6.
obdeluje večinoma plačilne transakcije v znesku do 50.000 EUR in pri
tem:
-
obdeluje vsaj 25% delež skupnega števila in/ali skupne vrednosti
tovrstnih plačil v vseh plačilnih sistemih, za katere se uporablja slovensko
pravo, in
-
morebitne motnje v delovanju plačilnega sistema lahko pomembno vplivajo
na tekoče izvajanje plačilnih transakcij v državi ali na zmanjšanje zaupanja
uporabnikov plačilnih storitev v varnost in učinkovitost izvajanja plačilnih
transakcij.
2. Zahteve za obvladovanje finančnih,
operativnih in drugih tveganj v plačilnem sistemu
4. člen
(splošne zahteve za obvladovanje tveganj)
(1) Pravila plačilnega sistema morajo
določati pravice in obveznosti udeležencev plačilnega sistema v zvezi z ugotavljanjem,
ocenjevanjem, obvladovanjem in spremljanjem finančnih, operativnih in drugih
tveganj v plačilnem sistemu ter pravice in odgovornosti udeležencev, zlasti
upravljavca plačilnega sistema, v normalnih in izrednih razmerah.
(2) Upravljavec plačilnega sistema
mora v sodelovanju z drugimi udeleženci plačilnega sistema izdelati strategijo
in politiko upravljanja s tveganji v plačilnem sistemu. Strategija upravljanja
s tveganji je dokument ali zbir dokumentov, ki vključujejo najmanj cilje,
splošna načela oziroma usmeritve za upravljanje s tveganji in pristop k
upravljanju s posameznimi tveganji. Politika upravljanja s tveganji je dokument
ali zbir dokumentov, ki vključujejo najmanj metodologijo za ugotavljanje,
merjenje oziroma ocenjevanje in spremljanje tveganj ter organizacijska pravila
izvajanja procesa upravljanja s tveganji.
(3) Strategija in politika upravljanja
s tveganji v plačilnem sistemu morata zajeti vsa finančna, operativna in druga
tveganja v plačilnem sistemu.
(4) Upravljavec plačilnega sistema
mora v sodelovanju z drugimi udeleženci plačilnega sistema redno izvajati ocene
tveganj v plačilnem sistemu na podlagi sprejete metodologije za ugotavljanje,
merjenje, ocenjevanje, obvladovanje in spremljanje tveganj. Ocene tveganj in
ukrepi za njihovo obvladovanje morajo biti dokumentirani, udeleženci plačilnega
sistema pa morajo biti z njimi seznanjeni.
(5) Upravljavec plačilnega sistema
mora preko izvajanja nadzora nad udeleženci plačilnega sistema zagotoviti, da
udeleženci plačilnega sistema izpolnjujejo pogoje za udeležbo v plačilnem
sistemu in spoštujejo pravila plačilnega sistema v delu, ki zadeva obvladovanje
tveganj, ter v primeru kršitev ukrepati v skladu s pravili plačilnega sistema.
5. člen
(strokovni organ)
Za namen skupnega oziroma usklajenega
obvladovanja tveganj morajo udeleženci plačilnega sistema oblikovati strokovni
organ, ki potrjuje strategijo in politiko upravljanja s tveganji v plačilnem
sistemu in obravnava ocene tveganj v plačilnem sistemu.
2.1. Zahteve za obvladovanje finančnih
tveganj
6. člen
(finančna tveganja)
Finančna tveganja v plačilnem sistemu so
tveganja, da poravnava v plačilnem sistemu ne bo izvedena zaradi nezmožnosti
enega ali več udeležencev plačilnega sistema, da izpolnijo svoje denarne
obveznosti iz naslova predloženih nalogov za poravnavo v plačilnem sistemu.
Finančno tveganje se lahko pojavi v obliki kreditnega ali likvidnostnega
tveganja.
7. člen
(identifikacija finančnih tveganj v
pravilih plačilnega sistema)
V pravilih plačilnega sistema morajo biti
natančno opredeljena pravila za kliring in poravnavo denarnih terjatev in
obveznosti med udeleženci plačilnega sistema v normalnih in izrednih razmerah
tako, da so jasno identificirana finančna tveganja, prisotna v sistemu in pri
udeležencih.
8. člen
(obvladovanje finančnih tveganj v neto
poravnalnem sistemu)
(1) Če se v plačilnem sistemu
poravnava izvaja s postopkom netiranja (v nadaljevanju: neto poravnalni
sistem), mora imeti tak plačilni sistem oblikovana pravila in postopke za
obvladovanje finančnih tveganj, ki zagotavljajo zaključek poravnave neto
denarnih obveznosti in terjatev udeležencev tudi v primeru, ko posamezen
udeleženec zaradi okoliščin, ki so nastale po trenutku nepreklicnosti nalogov
za poravnavo v neto poravnalnem sistemu, ni zmožen poravnati njegove neto
denarne obveznosti.
(2) Pravila in postopki za
zagotavljanje zaključka poravnave neto denarnih obveznosti in terjatev morajo
biti skladni z obliko in organizacijo plačilnega sistema ter ne smejo ogrožati
likvidnosti in solventnosti udeležencev oziroma povzročati nerazumno visokih
stroškov.
9. člen
(pravila in postopki v neto poravnalnem
sistemu)
(1) S pravili in postopki za
obvladovanje finančnih tveganj v neto poravnalnem sistemu morajo biti
opredeljeni zlasti:
1.
oblika in način zagotavljanja sredstev za pokrivanje nekrite neto
denarne obveznosti posameznega udeleženca plačilnega sistema;
2.
način izračuna obveznosti posameznega udeleženca plačilnega sistema iz
naslova zagotavljanja sredstev za pokrivanje nekrite neto denarne obveznosti;
3.
ukrepi v odnosu do udeleženca plačilnega sistema, ki ni izpolnil svojih
obveznosti iz naslova poravnave neto denarne obveznosti;
4.
operativni postopki za primer realizacije finančnih tveganj, vključno z
navedbo vloge in odgovornosti upravljavca in drugih udeležencev plačilnega
sistema.
(2) Operativni postopki v primeru
realizacije finančnih tveganj morajo biti dokumentirani in preizkušeni, da se
preveri njihova izvedljivost in usposobijo izvajalci teh postopkov na strani
upravljavca in drugih udeležencev plačilnega sistema.
10. člen
(postopki za primer insolventnosti
udeleženca ali podobnega postopka zoper udeleženca plačilnega sistema)
Pravila za obvladovanje finančnih tveganj v
plačilnem sistemu morajo določati tudi postopke pri upravljavcu in drugih
udeležencih plačilnega sistema v primeru začetka postopka zaradi insolventnosti
ali drugega postopka ali ukrepa pristojnega organa zoper udeleženca plačilnega
sistema, ki izključuje ali omejuje izvršitev nalogov tega udeleženca. Omenjeni
postopki morajo biti preizkušeni tako na strani upravljavca kot tudi na strani
drugih udeležencev plačilnega sistema.
11. člen
(obveznosti upravljavca v zvezi z vodenjem
poravnalnih računov)
(1) Upravljavec plačilnega sistema, ki
vodi poravnalne račune, mora zagotoviti, da se denarna sredstva udeležencev
plačilnega sistema, namenjena poravnavi denarnih terjatev in obveznosti iz
naslova udeležbe v plačilnem sistemu, uporabijo izključno za ta namen, in da so
jasno ločena od denarnih sredstev upravljavca plačilnega sistema.
(2) V primeru, če upravljavec
plačilnega sistema, ki vodi poravnalne račune udeležencev, na teh računih
udeležencem omogoča prekoračitev stanja ali jim kako drugače zagotavlja denarna
sredstva v obliki posojila za namen poravnave denarnih obveznosti v zvezi z
udeležbo v plačilnem sistemu, mora upravljavec zagotoviti, da takšno posojilo
ni krito z viri sredstev, ki jih upravljavec plačilnega sistema prejme od
udeležencev plačilnega sistema v zvezi z opravljanjem storitev upravljanja
plačilnega sistema.
2.2. Zahteve za obvladovanje operativnih
tveganj
12. člen
(operativna tveganja)
Operativna tveganja so tveganja, ki
izhajajo iz delovanja tehnične in informacijske opreme, zaposlenih ter
organizacijskih postopkov pri upravljavcu in drugih udeležencih plačilnega
sistema.
13. člen
(pravila o obvladovanju operativnih
tveganj in njihovo spoštovanje)
(1) V pravilih o obvladovanju
operativnih tveganj morajo biti natančno opredeljeni in dokumentirani cilji,
politike, ustrezni ukrepi in odgovornosti upravljavca in drugih udeležencev
plačilnega sistema na področju zagotavljanja varnosti, zanesljivosti in
neprekinjenega delovanja plačilnega sistema, ob upoštevanju ustreznih
standardov na tem področju. Pri tem je treba upoštevati vse relevantne
komponente plačilnega sistema, pri upravljavcu in drugih udeležencih plačilnega
sistema, ki vplivajo na varnost, zanesljivost in neprekinjeno delovanje
plačilnega sistema.
(2) Upravljavec in drugi udeleženci
plačilnega sistema morajo zagotoviti sledenje izpolnjevanja ciljev in ukrepov
na področju zagotavljanja varnosti, zanesljivosti in neprekinjenega delovanja
plačilnega sistema ter ukrepati v primeru odklonov.
14. člen
(zagotavljanje varnosti in zanesljivosti)
(1) Upravljavec plačilnega sistema
mora zagotoviti varne in zanesljive rešitve (tehnična oprema, zaposleni,
organizacija, storitve zunanjih izvajalcev) za posredovanje nalogov za
poravnavo udeležencev plačilnega sistema, kliring, netiranje, obveščanje
udeležencev plačilnega sistema ter izvajanje postopkov v zvezi s poravnavo in
postopkov v primeru realizacije finančnih tveganj v skladu s pravili plačilnega
sistema. Upravljavec plačilnega sistema navedene faze podrobneje opredeli v
operativnih navodilih za udeležence plačilnega sistema. Operativna navodila
opredeljujejo in pojasnjujejo vloge in način sodelovanja udeležencev v
plačilnem sistemu in jim omogočajo razumevanje operativnih tveganj, ki zanje
izhajajo iz sodelovanja v sistemu.
(2) Upravljavec in drugi udeleženci
plačilnega sistema z medsebojnim sporazumom določijo raven kakovosti storitev v
okviru plačilnega sistema, ki jih zagotavlja upravljavec plačilnega sistema.
Sporazum mora vsebovati kvantitativna in kvalitativna merila, na podlagi
katerih je možno oceniti ustreznost kakovosti zadevnih storitev.
(3) Upravljavec plačilnega sistema
mora zagotoviti dnevno spremljanje delovanja plačilnega sistema, beleženje in
ukrepanje ob nepredvidenih dogodkih, analizo teh dogodkov in ukrepe na osnovi
te analize.
(4) V primeru uvajanja sprememb v
podpori oziroma v delovanju plačilnega sistema morajo biti spremembe
dokumentirane in testirane.
15. člen
(interna operativna navodila in drugi
dokumenti)
Upravljavec in drugi udeleženci plačilnega
sistema morajo v pisni obliki pripraviti interna operativna oziroma delovna
navodila, pravilnike in opise procesov za izvajanje storitev v zvezi z
upravljanjem plačilnega sistema in v zvezi z udeležbo v plačilnem sistemu.
Zaposleni pri upravljavcu oziroma udeležencih plačilnega sistema morajo biti
seznanjeni z vsebinami dokumentov, ki so pomembne za njihovo delo.
16. člen
(nadomestne rešitve in postopki)
(1) Upravljavec in drugi udeleženci
plačilnega sistema morajo zagotoviti ustrezne nadomestne rešitve in postopke za
zagotavljanje neprekinjenega delovanja plačilnega sistema, da se zagotovi
pravočasen zaključek dnevnih obdelav tudi v primeru nedelovanja osnovnih
rešitev oziroma postopkov, zaradi česar je onemogočeno oziroma prekinjeno
normalno delovanje plačilnega sistema (izredne razmere).
(2) Nadomestne rešitve in postopki za
zagotavljanje neprekinjenega delovanja plačilnega sistema morajo biti
dokumentirani. Zadevna dokumentacija mora biti ažurna in mora vsebovati zlasti:
1.
opredelitev kritičnih funkcij plačilnega sistema (vključno s funkcijami,
ki jih zagotavljajo zunanji izvajalci) in procesov v okviru teh funkcij;
2.
opredelitev ciljev glede zagotavljanja neprekinjenega delovanja
plačilnega sistema (ciljni časi vzpostavitve ponovnega delovanja kritičnih
funkcij);
3.
opis nadomestnih rešitev in postopkov (tehnična oprema, zaposleni,
procesi, storitve zunanjih izvajalcev);
4.
načrt za zagotavljanje neprekinjenega delovanja, ki mora določati
rešitve za zagotavljanje neprekinjenega delovanja oziroma nadomestne rešitve v
primeru različnih scenarijev izrednih razmer, vključno z opredelitvijo
postopkov za zagotavljanje neprekinjenega delovanja in odgovornih oseb za
njihovo izvajanje ter časovnih okvirov za okrevanje bistvenih sistemov in
procesov;
5.
opredelitev kriterijev za aktiviranje načrta za zagotavljanje
neprekinjenega delovanja;
6.
opredelitev odgovornih oseb oziroma organov, načina in postopkov
sprejemanja odločitev v izrednih razmerah in poti komuniciranja, vključno z
kontaktnimi podatki ključnih zaposlenih pri upravljavcu in drugih udeležencih
plačilnega sistema ter zunanjih izvajalcih.
(3) Nadomestne rešitve in postopki za
zagotavljanje neprekinjenega delovanja morajo biti redno testirani, zaposleni,
ki jih izvajajo, pa za to ustrezno usposobljeni. Testiranje mora slediti
metodologiji, ki vključuje dokumentiran proces izvedbe testiranja (določitev
obsega testiranja glede na kritičnost, cilji testiranja, udeleženci testiranja,
scenarij testiranja, analize in poročanje o izvedbi testiranj in o odkritih
napakah vodstvu).
17. člen
(informiranost udeležencev plačilnega
sistema)
Upravljavec plačilnega sistema mora
seznaniti druge udeležence plačilnega sistema s postopki, pravili in navodili
glede obvladovanja operativnih tveganj, ki se nanašajo tudi na druge udeležence
plačilnega sistema, ter jih vnaprej obvestiti o vseh spremembah teh postopkov,
pravil in navodil.
2.3. Zahteve za upravljavca plačilnega
sistema
18. člen
(sistem upravljanja in sistem notranjih
kontrol)
(1) Upravljavec plačilnega sistema
mora vzpostaviti in zagotavljati zanesljiv sistem upravljanja in sistem
notranjih kontrol z naslednjimi medsebojno povezanimi elementi:
1.
organizacijsko strukturo,
2.
proces upravljanja s tveganji iz naslova opravljanja storitev
upravljanja plačilnega sistema,
3.
sistem notranjih kontrol.
(2) Upravljavec plačilnega sistema
mora zagotoviti redno pregledovanje in razvoj lastnega sistema upravljanja.
2.3.1. Organizacijska struktura
19. člen
(vzpostavitev organizacijske strukture in
pretok informacij)
(1) Upravljavec plačilnega sistema
mora vzpostaviti jasno organizacijsko strukturo, ki temelji na natančno
opredeljenih, preglednih in doslednih notranjih razmerjih glede odgovornosti.
(2) Organizacijska struktura
upravljavca plačilnega sistema mora omogočati učinkovito komunikacijo in
sodelovanje na vseh organizacijskih ravneh, vključno z ustreznim pretokom
informacij navzgor in navzdol. Pretok informacij navzgor je ustrezen, če
omogoča posameznim vodstvenim ravnem dostop do informacij, ki so pomembne za
sprejemanje poslovnih odločitev ter odločitev glede upravljanja s tveganji.
Pretok informacij navzdol je ustrezen, če omogoča zaposlenim dostop do znanj,
ki so pomembna za izpolnjevanje njihovih pristojnosti in nalog.
20. člen
(razmejitev pristojnosti in nalog ter
obravnava nasprotij interesov)
(1) Organizacijska struktura mora
temeljiti na ustrezni razmejitvi pristojnosti in nalog med vsemi zaposlenimi,
vključno z vsemi vodstvenimi ravnmi. Razmejitev pristojnosti in nalog je
ustrezna, če:
1.
omejuje in preprečuje nastanek nasprotij interesov,
2.
zagotavlja transparenten in dokumentiran proces sprejemanja vodstvenih
odločitev.
(2) Nasprotja interesov, ki izjemoma
nastanejo zaradi pomanjkanja kvalificiranih zaposlenih, morajo biti pravočasno
ugotovljena ter predmet rednih in neodvisnih pregledov, ki jih izvaja služba
notranje revizije.
21. člen
(kadri)
(1) Upravljavec plačilnega sistema
mora zagotoviti zadostno število kvalificiranih zaposlenih glede na potrebe
svojega organizacijske strukture, aktivnosti v zvezi z storitvami upravljanja
plačilnega sistema ter izpostavljenosti tveganjem. Usposobljenost in izkušnje
zaposlenih morajo ustrezati njihovim pristojnostim in odgovornostim ter
zahtevnosti nalog, ki jih opravljajo.
(2) Upravljavec plačilnega sistema
mora zagotoviti zamenljivost ključnih zaposlenih. Odsotnost z delovnega mesta
ali prekinitev delovnega razmerja s ključnim zaposlenim ne sme dolgoročno
negativno vplivati na upravljanje s tveganji.
2.3.2. Proces upravljanja s tveganji iz naslova opravljanja
storitev upravljanja plačilnega sistema
22. člen
(proces upravljanja s tveganji)
(1) Upravljavec plačilnega sistema
mora vzpostaviti učinkovit proces upravljanja s tveganji iz naslova opravljanja
storitev upravljanja plačilnega sistema. Proces upravljanja s tveganji vključuje:
1.
postopke ugotavljanja, merjenja oziroma ocenjevanja, obvladovanja in
spremljanja tveganj,
2.
notranje poročanje o tveganjih.
(2) Upravljavec plačilnega sistema
mora zagotoviti, da so pomembna tveganja v zvezi z opravljanjem storitev
upravljanja plačilnega sistema zgodaj ugotovljena, celovito obravnavana,
spremljana v okviru njegovih dnevnih dejavnosti ter pravočasno predstavljena
ustreznim vodstvenim ravnem.
23. člen
(postopki ugotavljanja, merjenja oziroma
ocenjevanja, obvladovanja in spremljanja tveganj)
(1) Postopki ugotavljanja tveganj
morajo vključevati celovito in pravočasno prepoznavanje tveganj v zvezi z
opravljanjem storitev upravljanja plačilnega sistema, ter analizo vzrokov za
njihov nastanek. Ugotovljena tveganja morajo biti dokumentirana.
(2) Postopki merjenja oziroma
ocenjevanja tveganj morajo vključevati izdelavo kvantitativnih in/ali
kvalitativnih ocen za merljiva in/ali nemerljiva tveganja, ki jih je
upravljavec plačilnega sistema ugotovil v postopku ugotavljanja tveganj. Ocene
tveganj morajo biti dokumentirane.
(3) Upravljavec plačilnega sistema
mora zagotoviti redno izvajanje postopkov ugotavljanja in merjenja oziroma
ocenjevanja tveganj. Za namen vključevanja v proces upravljanja s tveganji
morajo ti postopki omogočati zaznavo sprememb v obstoječih tveganjih in
nastanka novih tveganj.
(4) Postopki obvladovanja tveganj
morajo vključevati ukrepe in pravila za izvajanje ukrepov sprejemanja,
zmanjševanja, razpršitve, prenosa in izognitve tveganjem, ki jih je upravljavec
plačilnega sistema ugotovil in izmeril oziroma ocenil.
(5) Postopki spremljanja tveganj
morajo vključevati pravila glede odgovornosti, pogostosti in načina spremljanja
tveganj pri opravljanju storitev upravljanja plačilnega sistema.
24. člen
(uvajanje novih produktov ali sistemov)
(1) Upravljavec plačilnega sistema
mora za namen upravljanja s tveganji opredeliti, kaj šteje za nov produkt ali
sistem. Pomembna tveganja, ki izhajajo iz novega produkta ali sistema, morajo
biti pravočasno in celovito obravnavana v procesu upravljanja s tveganji.
(2) Upravljavec plačilnega sistema
mora pred uvedbo novega produkta ali sistema zagotoviti izdelavo analize
pripadajočih tveganj. Analiza tveganj mora vključevati opis:
1.
pomembnih tveganj, ki izhajajo iz uvedbe novega produkta ali sistema,
2.
vpliva uvedbe novega produkta ali sistema na tveganja in na proces
upravljanja s tveganji.
25. člen
(uporaba zunanjih izvajalcev)
(1) Če upravljavec plačilnega sistema
uporablja zunanje izvajalce pri izvajanju storitev upravljanja plačilnega
sistema, mora politika upravljanja s tveganji vključevati tudi politiko uporabe
zunanjih izvajalcev. Ta politika mora vključevati najmanj naslednje elemente:
1.
pristop upravljavca plačilnega sistema k uporabi zunanjih izvajalcev in
zagotavljanju ustrezne kakovosti storitev,
2.
osnovna načela oziroma usmeritve glede upravljanja s tveganji iz naslova
uporabe zunanjih izvajalcev,
3.
pristop k zagotavljanju neprekinjenega poslovanja v zvezi z dejavnostmi,
predanimi v izvajanje zunanjim izvajalcem,
4.
strategijo ukrepanja za primer pričakovane ali nepričakovane prekinitve
pogodbenega razmerja z zunanjim izvajalcem.
(2) Upravljavec plačilnega sistema
mora zagotoviti, da uporaba zunanjih izvajalcev ne oslabi izvajanja njegovih
dejavnosti, procesa upravljanja s tveganji in sistema notranjih kontrol.
(3) Upravljavec plačilnega sistema
mora organizirati uporabo zunanjih izvajalcev na način, ki mu omogoča
nepretrgano spremljanje delovanja zunanjih izvajalcev ter upravljanje s
tveganji, ki izhajajo iz uporabe zunanjih izvajalcev.
(4) Upravljavec plačilnega sistema
mora imeti dokumentiran načrt uporabe zunanjih izvajalcev. Načrt mora
vključevati naslednje elemente:
1.
način upravljanja s tveganji iz naslova uporabe zunanjih izvajalcev,
2.
zagotavljanje učinkovitega poročanja o tveganjih iz naslova uporabe zunanjih
izvajalcev,
3.
spremljanje skladnosti delovanja zunanjega izvajalca z veljavno
zakonodajo in drugimi predpisi,
4.
zagotavljanje vključenosti službe notranje revizije v pregledovanje
ustreznosti uporabe in delovanja zunanjih izvajalcev.
(5) Upravljavec plačilnega sistema
mora zagotoviti, da so pogodbene pravice ter obveznosti upravljavca plačilnega
sistema in zunanjega izvajalca natančno opredeljene in razumljive. Pogodbene
pravice upravljavca plačilnega sistema morajo vključevati možnost predčasne
prekinitve pogodbenega razmerja z zunanjim izvajalcem v primeru kršitev
pogodbenih obveznosti s strani zunanjega izvajalca. Pogodbene obveznosti
zunanjega izvajalca morajo vključevati:
1.
zaščito podatkov upravljavca plačilnega sistema,
2.
skladnost delovanja zunanjega izvajalca z veljavno zakonodajo in drugimi
predpisi,
3.
popoln dostop upravljavca plačilnega sistema do vseh prostorov in
podatkov zunanjega izvajalca in neomejeno pravico do pregleda teh prostorov in
revizije teh podatkov.
(6) Zunanji izvajalec mora na temelju
pogodbe o ravni kakovosti storitev zagotoviti z upravljavcem plačilnega sistema
dogovorjeno raven kakovosti storitev. Pogodba o ravni kakovosti storitev mora
vsebovati kvantitativna in kvalitativna merila, na podlagi katerih lahko
zunanji izvajalec in banka ocenita ustreznost kakovosti zadevne storitve. Če
raven kakovosti storitev ni v skladu s to pogodbo, mora upravljavec plačilnega
sistema nemudoma sprejeti ustrezne korektivne ukrepe.
26. člen
(poročanje o tveganjih)
Upravljavec plačilnega sistema mora zagotoviti
izdelavo rednih poročil o tveganjih, ki jih prevzema v okviru svojega
poslovanja. Ta poročila morajo omogočiti sprejemanje vodstvenih odločitev glede
ukrepov za obvladovanje tveganj ter spremljanje rezultatov teh ukrepov. V
primeru nepričakovanega nastanka pomembne izpostavljenosti tveganjem mora
upravljavec plačilnega sistema zagotoviti tudi izdelavo izrednih poročil o
tveganjih.
2.3.3. Sistem notranjih kontrol
27. člen
(elementi sistema notranjih kontrol)
(1) Sistem notranjih kontrol
vključuje:
1.
notranje kontrole,
2.
službo notranje revizije,
3.
zagotavljanje usposobljenosti kadrov,
4.
funkcijo zagotavljanja varnosti informacij.
(2) Sistem notranjih kontrol vključuje
tudi funkcijo zagotavljanja skladnosti delovanja upravljavca plačilnega sistema
s pravili plačilnega sistema in veljavnimi predpisi ter standardi, kodeksi in
notranjimi akti. Funkcija zagotavljanja skladnosti delovanja upravljavca
plačilnega sistema mora ugotavljati in ocenjevati tveganje skladnosti, kateremu
je ali bi mu lahko bil upravljavec plačilnega sistema izpostavljen. Tveganje
skladnosti je tveganje nastanka izgube zaradi zakonskih sankcij in ukrepov
nadzornih organov, ki jih lahko upravljavec plačilnega sistema utrpi iz naslova
namernega ali nenamernega neskladja z veljavno zakonodajo, standardi in kodeksi
ter notranjimi akti.
28. člen
(notranje kontrole)
(1) Upravljavec plačilnega sistema
mora vzpostaviti učinkovito strukturo notranjih kontrol, na katerih temelji
izvajanje notranjih kontrolnih dejavnosti. Notranje kontrole vključujejo najmanj:
1.
poročanje,
2.
delovne postopke,
3.
fizične kontrole.
(2) Bistvene ugotovitve notranjih
kontrolnih dejavnosti ter pripadajoči ukrepi morajo biti ustrezno
dokumentirani.
29. člen
(poročanje)
(1) Upravljavec plačilnega sistema
mora zagotoviti notranje poročanje, ki poleg poročil o tveganjih vključuje tudi
podatke o delovanju plačilnih sistemov v upravljanju upravljavca in podatke o
skladnosti delovanja upravljavca plačilnega sistema s pravili plačilnega
sistema ter z veljavno zakonodajo, standardi, kodeksi ter notranjimi akti.
(2) Notranje kontrolne dejavnosti na
področju poročanja temeljijo na spremljanju poročil iz prvega odstavka tega
člena s strani ustreznih vodstvenih ravni in vključujejo ugotavljanje
morebitnih pomanjkljivosti in napak v poročilih ter drugih nepravilnosti v
delovanju zaposlenih pri izdelavi poročil.
30. člen
(delovni postopki)
(1) Upravljavec plačilnega sistema
mora zagotoviti vzpostavitev formalnih delovnih postopkov pri izvajanju vseh
aktivnosti pri izvajanju storitev upravljanja plačilnega sistema.
(2) Delovni postopki iz prvega
odstavka tega člena se morajo izvajati na podlagi pisnih navodil in usmeritev,
ki vključujejo ustrezno dokumentirana delovna navodila, pravilnike in opise
poslovnih procesov.
(3) Upravljavec plačilnega sistema
mora zagotoviti ustrezno stopnjo podrobnosti navodil, pravilnikov oziroma
opisov poslovnih procesov, vključno s pravili glede organizacijske in poslovno‑operativne
strukture, sistema dodeljevanja nalog, hierarhije sprejemanja odločitev,
pristojnosti in odgovornosti zaposlenih ter izvajanja postopkov. Stopnja
podrobnosti je odvisna od značilnosti, obsega in zapletenosti aktivnosti ter
pripadajočih tveganj. V primeru sprememb aktivnosti ali pripadajočih procesov
morajo biti navodila, pravilniki oziroma opisi poslovnih procesov ažurirani.
Zaposleni morajo biti seznanjeni z vsebino tistih navodil in usmeritev, ki jih
potrebujejo za izpolnjevanje vseh svojih delovnih nalog.
(4) Notranje kontrolne dejavnosti na
področju postopkov vključujejo ugotavljanje kršitev in drugih nepravilnosti pri
izvajanju delovnih postopkov.
31. člen
(fizične kontrole)
(1) Kjer je primerno, mora upravljavec
plačilnega sistema vzpostaviti sistem fizičnih kontrol za omejevanje dostopa do
premičnega in nepremičnega premoženja, ki ga uporablja v zvezi z izvajanjem
storitev upravljanja plačilnega sistema, in za njegovo varovanje.
(2) Notranje kontrolne dejavnosti na
področju fizičnih kontrol vključujejo fizične kontrole dostopa, izvajanje
načela štirih oči ter redno popisovanje premičnega in nepremičnega premoženja,
ki ga upravljavec plačilnega sistema uporablja v zvezi z izvajanjem storitev
upravljanja plačilnega sistema, in dostopov do tega premoženja.
32. člen
(služba notranje revizije)
Služba notranje revizije mora zagotoviti
neodvisno, redno ter celovito pregledovanje in ocenjevanje ustreznosti sistema
upravljanja, vključno s pregledovanjem kvalitete notranjih kontrol.
33. člen
(zagotavljanje usposobljenosti kadrov)
(1) Upravljavec mora zagotoviti
usposobljenost kadrov z vzpostavitvijo ustrezne kadrovske politike.
(2) Notranje kontrolne dejavnosti na
področju kadrov vključujejo spremljanje zasedenosti delovnih mest, znanja in
strokovnosti zaposlenih ter izvajanja izobraževanja, spremljanje števila
zaposlenih za določen čas ter izvajanje nadzora zaposlenih glede izvajanja
internih operativnih oziroma delovnih navodil in pravilnikov v zvezi z
opravljanjem njihovih zadolžitev.
34. člen
(funkcija zagotavljanja varnosti
informacij)
(1) Funkcija zagotavljanja varnosti
informacij deluje na področju varovanja informacij in izvaja postopke varovanja
informacijskih sistemov z vidika preprečevanja nepooblaščenega dostopa ali
spremembe informacij v hrambi, obdelavi ali prenosu, vključno z ugotavljanjem
in zmanjševanjem takih groženj ter dokumentiranjem izvedenih ukrepov.
(2) Upravljavec plačilnega sistema
mora vzpostaviti strategijo razvoja informacijskih sistemov in politiko
varnosti informacijskih sistemov. Politika varnosti informacijskih sistemov
mora vključevati najmanj:
1.
cilje pri zagotavljanju varnosti informacijskih sistemov;
2.
načela in postopke za zaščito zaupnosti, neoporečnosti in
razpoložljivosti informacij; »zaupnost informacij« pomeni, da je informacija
dostopna samo pooblaščenim uporabnikom; »neoporečnost informacij« pomeni, da je
informacija točna in popolna; »razpoložljivost informacij« pomeni, da imajo
pooblaščeni uporabniki v potrebnem času zagotovljen dostop do informacij;
3.
razdelitev odgovornosti glede varovanja informacijske tehnologije,
informacij, shranjenih v informacijskih sistemih upravljavca plačilnega
sistema, ter pripadajoče dokumentacije; »informacijska tehnologija« pomeni
strojno in programsko opremo; »strojna oprema« pomeni opredmeteno računalniško
in komunikacijsko opremo; »programska oprema« pomeni računalniške programe, postopke
in pravila, ki zagotavljajo načrtovano operativnost strojne opreme.
(3) Notranje kontrolne dejavnosti
glede informacijskih sistemov vključujejo:
1.
pri izvajanju strategije razvoja informacijskih sistemov: ugotavljanje
skladnosti s poslovnimi procesi, kvalitete projektnega načrtovanja,
vključenosti ustreznih kadrov ter seznanjenosti različnih vodstvenih ravni s
pripadajočo problematiko;
2.
pri zagotavljanju varnosti informacijskih sistemov: logične in fizične
kontrole pri dostopanju do informacijskih sistemov;
3.
pri strojni opremi: ugotavljanje njene ustreznosti glede zahtev
pripadajočih poslovnih procesov, notranjih in tehničnih standardov ter rednosti
njenega vzdrževanja;
4.
pri programski opremi: ugotavljanje njene ustreznosti in uporabe v
poslovnih procesih v smislu izpolnjevanja zahtev uporabnikov ter ločevanja
funkcij razvoja, vzdrževanja in uporabe programske opreme.
3. Poročanje o delovanju plačilnih
sistemov
35. člen
(redno in izredno poročanje o delovanju
plačilnih sistemov)
(1) Upravljavec plačilnega sistema
poroča Banki Slovenije o delovanju plačilnega sistema, ki ga upravlja. Poročila
upravljavca plačilnega sistema so redna (periodična) in izredna (ko nastopijo
okoliščine, določene v tem sklepu).
(2) Redna poročila upravljavca
plačilnega sistema so:
1.
poročila o delovanju plačilnega sistema;
2.
poročila o poslovanju upravljavca plačilnega sistema;
3.
poročila o izvedenih testiranjih rednih in nadomestnih rešitev in
postopkov;
4.
poročila o rezultatih izvedenih ocen tveganj v plačilnem sistemu.
(3) Upravljavec plačilnega sistema
pošilja Banki Slovenije tudi letni načrt aktivnosti na področju opravljanja
testiranj rednih in nadomestnih rešitev in postopkov ter ocenjevanja tveganj v
plačilnem sistemu.
(4) Izredna poročila upravljavca
plačilnega sistema so:
1.
poročila v primeru statusnih sprememb v zvezi z udeleženci plačilnega
sistema, vključno s posrednimi udeleženci;
2.
poročila v primeru pristopa novih udeležencev v plačilni sistem, izstopa
ali izključitve udeležencev iz plačilnega sistema, vključno s posrednimi
udeleženci;
3.
poročila v primeru izpadov v delovanju plačilnega sistema oziroma
njegovih udeleženk ter realiziranih finančnih tveganjih.
(5) Upravljavec plačilnega sistema
pred začetkom izvajanja aktivnosti za uvedbo kakršnih koli sprememb v delovanju
plačilnega sistema, ki bi lahko vplivale na obvladovanje tveganj po tem sklepu,
pošlje Banki Slovenije načrt teh aktivnosti s podrobno vsebinsko opredelitvijo
načrtovanih sprememb. Obveznost upravljavca plačilnega sistema po tem odstavku
ne posega v obveznosti udeležencev plačilnega sistema v primeru sprememb pravil
plačilnega sistema, kot je določeno v 160. členu ZPlaSS.
(6) Guverner Banke Slovenije izda
navodilo, s katerim predpiše podrobnejšo vsebino, obliko ter način in roke za
posredovanje poročil in informacij iz drugega do petega odstavka tega člena.
36. člen
(obveščanje o dogodkih)
Upravljavec plačilnega sistema mora Banko
Slovenije nemudoma obvestiti o naslednjih dogodkih:
1.
če je ogrožena likvidnost ali solventnost upravljavca plačilnega
sistema;
2.
če je upravljavec plačilnega sistema začel z obširnejšo prenovo
informacijskih sistemov ali če je začel z razvojem nove ponudbe storitev,
povezanih z opravljanjem storitev upravljanja plačilnega sistema, ki so
pretežno podprte z informacijsko tehnologijo;
3.
o drugih dogodkih, ki lahko vplivajo na upravljanje plačilnega sistema.
Sklep o plačilnih sistemih (Uradni list RS,
št. 73/09)
vsebuje naslednjo končno določbo:
»37. člen
(končna
določba)
Ta sklep začne veljati 1. novembra
2009.«.
Sklep o spremembi Sklepa o plačilnih sistemih
(Uradni list RS, št. 5/11) vsebuje naslednjo končno določbo:
»2. člen
Ta sklep začne veljati osmi dan po objavi v
Uradnem listu Republike Slovenije.«.