15.12.2000 Vedlegg 9

Publisert under: Regjeringen Stoltenberg I

Utgiver: Finansdepartementet

Status: Ferdigbehandlet

Høringsfrist:

1. FORSKRIFT OM KLARGJØRING AV KONTROLLANSVAR, DOKUMENTASJON OG BEKREFTELSE AV DEN INTERNE KONTROLL 1997 06 20 NR 1057

2. FORSKRIFT OM BRUK AV INFORMASJONSTEKNOLOGI (IT) 1992 12 16 NR 1157

Kredittilsynet har vurdert behovet for å gi regler om intern kontroll for børser og autoriserte markedsplasser jf lovutkastets § 3-4 og § 6-8 første ledd annet strekpunkt. Kredittilsynet har også vurdert dette i forhold til oppgjørssentraler, jf verdipapirhandelloven

kapittel 6, jf Kredittilsynsloven § 1 nr 13 og § 4 første ledd nr 1 (og ny nr 2,se under).

§ 3-4 Internkontroll

Lovutkastet § 3-4 lyder:

"Styret skal fastsette retningslinjer for internkontroll, og forvisse seg om at internkontrollen etableres, gjennomføres og dokumenteres på en forsvarlig måte i samsvar med styrets retningslinjer og pålegg. Kredittilsynet kan gi nærmere regler om gjennomføringen av internkontroll.

Daglig leder skal sørge for at internkontroll etableres og gjennomføres i henhold til lov og forskrifter, samt styrets retningslinjer og pålegg."

§ 6-8 Øvrige bestemmelsers anvendelse for autoriserte markedsplasser

Lovutkastets § 6-8 første ledd lyder:

"Følgende regler for børsvirksomhet i denne lov kommer tilsvarende til anvendelse for autoriserte markedsplasser:

- § 3-4 om internkontroll"

I lovutkastet foretas bla følgende endringer i Kredittilsynsloven, (endringer er understreket):

§ 1 første ledd nr. 10 skal lyde:

(Tilsyn etter denne lov føres med:)

"10. Børser og autorisert markedsplass."

§ 4 første ledd nr. 2 skal lyde:

(Tilsynet kan pålegge de institusjoner det har tilsyn med:)

"2. å innrette sin internkontroll etter de bestemmelser tilsynet fastsetter,"

Kredittilsynets vurderinger:

Etter lovutkastet får Kredittilsynet tilsyn med børser og autoriserte markedsplasser. I medhold av Kredittilsynsloven § 1 nr 13 har Kredittilsyn tilsyn med oppgjørssentraler.

Etter gjeldende børslov § 2-2 første ledd nr 2 har børsrådet en kontrollfunksjon overfor børsstyret, børsdirektørens ledelse og virksomheten, herunder en kontroll av internkontrollen og børsens it-systemer.

Gjeldende rett pålegger forretningsbanker, sparebanker, livsforsikringsselskaper, skadeforsikringsselskaper, verdipapirforetak, forvaltningsselskaper for verdipapirfond, Verdipapirsentralen og oppgjørssentraler i hht lov om verdipapirhandel kap 6 å ha en forsvarlig internkontroll. Viktige bestemmelser om denne interne kontrollen for disse virksomhetene er samlet i en felles forskrift, forskrift om klargjøring av kontrollansvar, dokumentasjon og bekreftelse av den interne kontroll 1997 06 20 nr 1057 (internkontrollforskriften).

Bruk av informasjonsteknologi er for forretningsbanker, sparebanker, livs- og skadeforsikringsselskaper, Bankenes Betalingssentral og Verdipapirsentralen regulert i Forskrift om bruk av informasjonsteknologi (IT) av 1992 12 16 (IT-forskriften). Ved en inkurie er IT-forskriften ikke tidligere uttrykkelig gjort gjeldende for oppgjørssentraler, slik det ble gjort med internkontrollforskriften, og dette foreslås inntatt ved forslaget her.

Begge forskriftene er vedlagt.

Internkontrollforskriften

Børser og autoriserte markedsplasser har en sentral funksjon i verdipapirmarkedene. Alvorlig svikt i tilliten til eller funksjonen i slike foretak vil kunne medføre betydelige skadevirkninger i verdipapirmarkedene, og typisk langt større skadevirkninger enn tilsvarende svikt i for eksempel et enkelt verdipapirforetak. På denne bakgrunn er det etter Kredittilsynets vurdering nødvendig at det gis regler om intern kontroll for børser og autoriserte markedsplasser.

Internkontrollforskriften har i hovedsak fungert tilfredsstillende for de foretak den er gjort gjeldende for. Dens bestemmelser er nærmere definert gjennom den praksis som er fulgt i og overfor disse foretakene. Etter Kredittilsynets vurdering er den anvendelig og tilstrekkelig også for børs og regulerte markeder.

Kredittilsynet gjør oppmerksom på at det planlegges en mer generell revisjon av internkontrollforskriften, men at dette vil bli fremmet som separat sak senere.

Kredittilsynet foreslår at forskriften gjøres gjeldende også for børs og autorisert markedsplass.

IT-forskriften

Oslo Børs er i dag i utpreget grad avhengig av IT-systemer. I Ot prp s 56 sier departementet seg enig med utvalgets oppfatning om at børser har et særlig risikomoment i sin bruk av IT, herunder det elektroniske handelssystem og ansvar for levering av markeds- og kursinformasjon.

Kredittilsynet legger til grunn at børser og autoriserte markedsplasser i fremtiden i betydelig grad vil være basert på bruk av IT-systemer. Større feil eller et sammenbrudd i de regulerte markedenes IT-systemer vil kunne medføre betydelige skadevirkninger i verdipapirmarkedet og for tilliten til de regulerte markedene. Tilsvarende gjelder etter Kredittilsynets vurdering langt på vei også for oppgjørssentraler.

Forskriftens primære formåler å sikre at IT-systemene er forsvarlige ut fra virksomheten og de risiki den er eksponert for, ved blant annet å sikre at IT–systemer anskaffes, utvikles, drives, vedlikeholdes og avvikles på en ordnet og betryggende måte. Tilsvarende som for internkontrollforskriften vil det bero på den konkrete virksomhet hva som kreves for å oppfylle bestemmelsene. Sett i sammenheng med de betydelige skadevirkninger feil ved IT-systemene kan få for markedene er det etter Kredittilsynets vurdering et klart behov for at det gis bestemmelser om IT-systemer også for børser og regulerte markeder, samt for oppgjørssentraler.

IT-forskriften har etter Kredittilsynets vurdering fungert uten mangler av betydning for de virksomheter den gjelder for, og Kredittilsynet anser dens bestemmelser egnet og tilstrekkelige også for regulerte markeder og oppgjørssentraler. Kredittilsynet foreslår derfor at IT-forskriftens anvendelsesområde utvides til også å gjelde børs, autorisert markedsplass og oppgjørssentraler.

Kredittilsynet gjør oppmerksom på at Kredittilsynet på grunnlag av en sårbarhetsanalyse som forventes å foreligge i 2. kvartal 2001, vil vurdere behovet for en mer generell revisjon av IT-forskriften.

Endringer som foreslås i forskriftene:

Hjemmelshenvisningen i begge forskriftenes innledninger utvides med børsloven § 3-4 første ledd og § 6-8 første ledd annet strekpunkt.

Hjemmelshenvisningen i IT-forskriften utvides i tillegg fra Kredittilsynsloven § 4 nr 1 til § 4 nr 1 og nr 2. Videre utvides teksten i innledningen i forskriften til også å gjelde børser og autoriserte markedsplasser, og oppgjørssentraler iht verdipapirhandelloven kapittel 6.

Hjemmelshenvisningen i internkontrollforskriften endres fra en generell henvisning til Kredittilsynetsloven § 4 til § 4 nr 1 og nr 2. Endringen forutsetter at endringen i § 4 nr 2 blir vedtatt slik den lyder i lovutkastet.

Teksten i § 1-1 (forskriftens virkeområde) i internkontrollforskriften utvides til også å omfatte børs og autorisert markedsplass.

UTKAST TIL ENDRINGER I

1. FORSKRIFT OM KLARGJØRING AV KONTROLLANSVAR, DOKUMENTASJON OG BEKREFTELSE AV DEN INTERNE KONTROLL

OG I

2. FORSKRIFT OM BRUK AV INFORMASJONSTEKNOLOGI (IT) AV 1992 16 12 NR 1157

Nr 1. Utkast til endringer i forskrift om klargjøring av kontrollansvar, dokumentasjon og bekreftelse av den interne kontroll av 1997.06.20.nr.1057. (Internkontrollforskriften)

Innledningen skal lyde:

Fastsatt av Kredittilsynet den 20. juni 1997 med hjemmel i lov 7. desember 1956 nr. 1 om tilsynet for kredittinstitusjoner, forsikringsselskaper og verdipapirhandel m.v. (Kredittilsynet) § 4 nr 1 og 2 og børsloven § 3-4 og § 6-8 første ledd annet strekpunkt.

Kapittel 1.

§ 1-1 Forskriftens virkeområde
Forskriften gjelder for forretningsbanker, sparebanker, livsforsikringsselskaper, skadeforsikringsselskaper, verdipapirforetak, forvaltningsselskaper for verdipapirfond, Verdipapirsentralen og oppgjørssentraler i hht lov om verdipapirhandel kap 6, og for børs og autorisert marked i hht børsloven.

Nr 2. Utkast til endringer i forskrift om bruk av informasjonsteknologi (IT) av 1992.12.16.nr.1157

Forskrift om bruk av informasjonsteknologi (IT).

Fastsatt av Kredittilsynet 16. desember 1992 med hjemmel i lov av 7. desember 1956 nr. 1 om tilsynet for kredittinstitusjoner, forsikringsselskaper og verdipapirhandel m.v. (Kredittilsynet) p§ 4 nr. 1 og 2, og børsloven § 3-4 første ledd annet punktum og § 6-8 første ledd annet strekpunkt.

Denne forskrift gjelder for norske forretningsbanker, sparebanker, livs–/skade-forsikringsselskaper, Bankenes BetalingsSentral og Verdipapirsentralen ,oppgjørssentral i hht verdipapirhandelloven kap 6, og børs og autorisert markedsplass i hht børsloven § 3-4 første ledd annet punktum og § 6-8 første ledd annet strekpunkt.

Denne endringsforskriften trer i kraft fra xxxx 2001.

VEDLEGG