Ga naar het hele artikel - IT

Commentaren

Transcriptie

Ga naar het hele artikel - IT
Artikel
IT control framework bij tradingorganisaties
Hoe kan een IT control framework bijdragen aan de governance-structuur
van een tradingorganisatie?
Ivo Bolderhey en Maarten van Gerner
De meeste mensen associëren trading veelal met een
snelle dynamische wereld waar grote bedragen in
omgaan en waar met Fingerspitzengefühl grote winsten worden behaald of nog grotere verliezen worden
geleden. Uit berichtgeving over incidenten met grote
financiële gevolgen valt op te maken dat IT-systemen
kennelijk een rol hebben gespeeld. In dit artikel wordt
een schets gegeven van tradingorganisaties en de
basisprincipes van het traden, hoe risico’s van trading
ontstaan en worden beheerst, en hoe een IT control
framework kan bijdragen aan deze risicobeheersing.
Drs. I.A.J. (Ivo) Bolderhey RE RA en ing. M. (Maarten) van Gerner zijn
werkzaam bij de subserviceline Technology and Security Risk Services van
Ernst & Young Advisory en zijn als specialist betrokken bij assurance- en
advieswerkzaamheden bij trading organisaties. Dit artikel is geschreven
op persoonlijke titel en vertegenwoordigt niet noodzakelijkerwijs het
standpunt van Ernst & Young.
W
at is trading en waarom doet een organisatie
aan trading?
Trading is kort gezegd het aan- en/of verkopen van financiele instrumenten of grondstoffen met als doel het innemen
van posities om zodoende bijvoorbeeld (prijs)risico te beperken of de behoefte aan een bepaalde grondstof veilig te stellen. Trading wordt gedaan door professionals die voor een
financiële instelling of een producent werken. De tradingactiviteiten vinden plaats op beurzen waarbij voor het overgrote deel sprake is van schermenhandel. De traditionele
beursvloer (open outcry) verdwijnt meer en meer. Belangrijke kenmerkende begrippen van trading zijn: snelheid,
creativiteit en de gedrevenheid. Succesvolle traders kunnen
zeer aanzienlijke bonussen (per trade en over het gehele
jaar) behalen. Dus naast voordeel voor de organisatie waarvoor de trader werkt, is er ook sprake van persoonlijk voordeel. Trading is veelal schermenhandel waarbij vraag en
aanbod via computersystemen bij elkaar worden gebracht en
verder is het, met uitzondering van de handel in grondstoffen (commodities), een ‘papieren’ business waarbij de
kopende partij niets tastbaars in handen krijgt. Door dit alles
lijkt het vakgebied omgeven met een zweem van mystiek.
Trading kan worden gedaan met financiële instrumenten,
zoals aandelen, obligaties, opties of andere derivaten en op
de goederentermijnmarkt met commodities of futures.
Commodities zijn goederen, veelal grondstoffen zoals olie,
graan, elektriciteit, ijzererts en dergelijke. Futures zijn daarvan afgeleide instrumenten die naar hun aard vergelijkbaar
zijn met opties: het is een recht om tegen bepaalde van tevoren vastgestelde voorwaarden te kopen of te verkopen.
Eveneens kan dit recht net als bij opties worden gekocht,
waarmee de koper het recht verkrijgt, dan wel verkocht
waarmee de tegenpartij een recht verleend wordt en dus een
verplichting voor de verkoper ontstaat.
Waarom doet een organisatie aan trading? Ten onrechte
wordt vaak gedacht dat trading uitsluitend draait om winst
maken en om die reden wordt trading in een adem genoemd
met speculatie. Voorbeelden van trading zijn:
• Posities afdekken: een bedrijf dat steenkool als grondstof
gebruikt wil het risico van fluctuerende inkoopprijzen verminderen. Door op de termijnmarkt steenkool te kopen,
is de prijs voor langere tijd vastgelegd. Een bedrijf dat zijn
22 | de EDP-Auditor nummer 3 | 2008
resultaten rapporteert in euro’s wil geen valutarisico lopen
over kasstromen in US dollars en koopt of verkoopt dollars zodra bekend is dat deze ontvangen zullen gaan
worden. Hierdoor is onmiddellijk de tegenwaarde in
euro’s bekend en wordt geen koersrisico gelopen.
• Arbitrage: hierbij worden prijsverschillen die optreden
tussen twee of meer markten benut door middel van
gelijktijdige deals. De hypothese van de efficiënte markt,
die deze verschillen uitsluit, blijkt niet altijd op te gaan.
Dit kan allerlei oorzaken hebben. Zo is het mogelijk dat
de reële rente wordt beïnvloed door (inschatting) van
inflatie. Of omdat er bij commodity trading een fysieke
component is: opslag- en transportkosten spelen mede een
rol. Het verschil met speculatie is dat bij speculatie bewust
open posities worden ingenomen: nu kopen in de hoop
om op een later tijdstip tegen een gunstigere prijs te verkopen, zonder dat deze posities voortkomen uit de eigen
behoeften van de organisatie en waarbij vraag en aanbod
niet in evenwicht zijn.
• In opdracht van klanten: vermogensbeheerders en fondsbeheerders die met geld van derden dat zij onder beheer hebben
een zo goed mogelijk resultaat proberen te behalen.
Board
Finance & control
Front-office
wordt gelegd. Een veel gebruikt argument hierbij is dat preventieve controles het korte moment waarop een winstmogelijkheid zich voordoet voorbij laten gaan. Hetzij omdat in
de tussentijd de koers zich verder heeft ontwikkeld, hetzij
omdat een andere partij ‘in het gat gesprongen is’. Echter,
de risico’s die samenhangen met trading kunnen door zowel
preventieve als repressieve maatregelen worden geadresseerd. Bij voorkeur ontwerpen tradingorganisaties deze
maatregelen in een samenhangend geheel in een zogenoemd
control framework. Hierin worden zowel procedurele maatregelen opgenomen als maatregelen die in of met behulp
van applicaties worden afgedwongen. Hieronder volgt een
analyse van enkele beheersingsmaatregelen van een aantal
voor de hand liggende risico’s.
Mandaten en tradingstrategie
Voor het uitvoeren van de trades gelden spelregels, vastgelegd in een tradingstrategie. Deze is bedoeld om inherent
met trading verbonden risico’s te beperken. Aan de hand
van deze strategie worden regels en mandaten voor traders
opgesteld. Hierbij moet worden gedacht aan welke instrumenten zijn toegestaan, limieten per instrument waarmee
een trader handelt, limieten per tegenpartij waarmee gehandeld mag worden, limieten per valuta, limieten per land, et
cetera. Traders die buiten hun mandaat handelen worden
rogue traders genoemd (zie kader).
Risk management
Mid-office
Back-office
Figuur 1: Gesimplificeerde weergave van een tradingorganisatie
Risico’s en risicobeheersing bij trading
Traders kunnen zowel inkopen als verkopen. Dit doorbreekt
de klassieke functiescheiding in een handelsorganisatie zoals
Starreveld die voor ogen had. Traders hebben direct toegang tot de in de meeste gevallen zeer dynamische markt,
waardoor de nadruk op detectieve en repressieve controls
Functiescheiding tussen trading en de administratieve afwikkeling
Vanwege het feit dat bij een trader de in- en verkoopfunctie
in één hand zit, is een tradingorganisatie zodanig ingericht,
dat er functiescheiding is tussen de dealers (frontoffice) en
de administratieve afwikkeling in mid- of backoffice. Iedere
trade wordt aan de tegenpartij bevestigd. Traders leggen
hun deals vast in een tradingapplicatie, de primaire registratie. Dit proces wordt ook wel deal capturing genoemd.
Functiescheiding tussen frontoffice en mid/backoffice moet
voorkomen dat dealers hun eigen trades goedkeuren. Omdat
Rogue trading
Een rogue trader is een bevoegde medewerker die ongeautoriseerde trades doet namens zijn werkgever.
De meest voorkomende variant is ongeautoriseerde financial trading, zie onderstaand overzicht van de bekendste rogue traders.
Rogue trading bevindt zich in een grijs gebied tussen civiel en strafrecht, want de overtreder is wettelijk gezien een werknemer
maar hij sluit overeenkomsten af namens zijn werkgever waar hij niet toe bevoegd is.
Overzicht van de grootste rogue trading verliezen:
Naam
Verlies
Instelling
Markt
Nick Leeson, 1995
£827 miljoen
Barings Bank
Nikkei index futures
6.5 jaar
Toshihide Iguchi, 1995
£557 miljoen
Resona Holdings
US Treasury bonds
4 jaar
Yasuo Hamanaka, 1996
$2.6 miljard
Sumitomo Corporation
Copper
8 jaar
John Rusnak, 2002
£350 miljoen
Allied Irish Banks
FX options
7.5 jaar
Luke Duffy, Oct 03 - Jan 04
AU$360 miljoen
National Australia Bank
FX options
16 jaar
Jérôme Kerviel, 2006 - 2008
$7.2 miljard
Société Générale
European stock index futures
In onderzoek
(De grootste en bekendste rogue traders. bron: Wikipedia)
23 | de EDP-Auditor nummer 3 | 2008
Gevangenisstraf
van alle trades bevestigingen worden ontvangen (door een
andere afdeling dan de traders in de frontoffice) kan hiermee
tevens de volledigheid van de primaire registratie worden
vastgesteld.
“Bank A”
Koopt 100 aandelen “Bedrijf C“
Opgave ter bevestiging
“Bank B”
Aanvraag voor overschrijving van
100 aandelen naar “Bank A”
Custodian
(Beheert Portefeuille)
Figuur 2: Gesimplificeerde weergave van het trade proces.
Risk management bewaakt de posities en de limieten
Risk management is een aparte afdeling binnen de organisatie, die op basis van de dagelijkse geproduceerde resultatenrekening onder andere bewaakt:
• Hoe de tradingresultaten zich ontwikkelen.
• Dat individuele traders binnen het afgesproken mandaat
blijven.
• Dat het kredietrisico per counterparty niet wordt overschreden.
• Wat de marktrisico’s van gemaakte trades zijn en hoe de
markt zich ontwikkelt.
Bij het beoordelen van risico’s dient te worden bedacht dat
de menselijke factor een rol kan spelen: wanneer een trader
opvalt die in het verleden al enkele succesvolle deals heeft
gesloten, zal de Risk Management-afdeling geneigd zijn
deze trader te vertrouwen en wordt bij afwijkende cijfers
hoogstwaarschijnlijk niet direct ingegrepen door het management.
Extern toezicht voor financial trading
Naast interne risicobeheersing, vindt voor trading in financiele instrumenten ook toezicht door externe partijen plaats.
In Nederland zijn dat de AFM (Autoriteit Financiële Markten, toezichthouder op het gedrag van deelnemers in de
financiële markten, waaronder: financiële dienstverleners,
beurzen, bemiddelaars en accountants) en DNB (De Nederlandse Bank). Deze toezichthouders stellen kwalitatieve en
kwantitatieve eisen.
Rol van IT-systemen
Heden ten dage is het onmogelijk om zonder IT-systemen
te handelen. Niet alleen zijn bij de meeste beurzen de beursvloeren vervangen door schermenhandel, ook bij deal capturing, waardering van deals en risk management spelen ITsystemen een rol.
Het gebruik van een allesomvattende applicatie voor het
gehele tradingproces is echter nog geen gemeengoed. Een
voordeel van een dergelijke applicatie is dat dit zorgt voor
meer overzicht en het mogelijk is de trade van begin tot eind
te volgen. Toch worden dergelijke applicaties niet veel toe-
gepast. Deels omdat deze applicaties nauwelijks op de markt
zijn omdat het bijvoorbeeld erg complex is om een administratie inclusief waardering van valutadeals te integreren met
realtime informatie over kasstromen. Verder kunnen deals
van een dermate grote complexiteit zijn dat voor de vastlegging daarvan gespecialiseerde applicaties gebruikt moeten
worden. Dit is vooral het geval bij samengestelde deals,
waarbij risico’s voor de organisatie worden beperkt door een
mix van instrumenten en/of looptijden. Ook waarderingsvraagstukken die samenhangen met het gebruik van International Accounting Standard 39 over Financial Instruments
worden vaak in afzonderlijke applicaties afgehandeld. En
daar waar applicaties niet in alle informatiebehoeften voorzien of niet naadloos op elkaar aansluiten, wordt binnen tradingorganisaties traditioneel gebruik gemaakt van spreadsheets met alle bijbehorende risico’s van fouten, bewuste of
onbewuste datamanipulatie. Geïntegreerde systemen met
Straight Through Processing maken controle gemakkelijk(er)
en rapportages kunnen rechtstreeks uit de applicatie worden
ontleend. Overigens moet de complexiteit (en dus de controleerbaarheid) van dergelijke applicaties niet worden
onder- respectievelijk overschat.
IT control framework
Iedere organisatie, ongeacht of zij zich met trading bezig
houdt of niet, regelt een deel van het control framework via
de IT-systemen en applicaties. Onderstaand schema geeft de
samenhang van de maatregelen weer.
Classification of controls
Automated
Controls
Manual
Controls
(Purely) Manual
Controls
Manual
Prevent
IT-Dependent
Manual Controls
Application
Controls
Manual
Detect
IT Generals Controls
Figuur 3: De relaties tussen IT general controls, Application Controls
en IT Dependent Manual Controls
IT general controls
IT general controls hebben tot doel om gebruikers in staat
te stellen te vertrouwen op de resultaten van gegevensverwerking in hun applicaties. Hierdoor wordt als het ware een
‘schil’ rondom de IT-systemen en applicaties gecreëerd met
als doel dat uitsluitend geautoriseerde gebruikers toegang
hebben tot de applicatie met rechten die passen bij hun
taken. Ook worden er uitsluitend geautoriseerde en geteste
wijzigingen in productie genomen. IT general controls
vormen de randvoorwaarde voor effectieve application controls en IT dependent manual controls, zoals ook in figuur
3 aangegeven is.
24 | de EDP-Auditor nummer 3 | 2008
Application controls
Binnen applicaties kunnen geprogrammeerde validaties
worden gebruikt in de vorm van application controls die
‘automatisch’ zekerheid bieden dat ongeoorloofde acties
niet of in ieder geval niet onopgemerkt uitgevoerd kunnen
worden. In tradingapplicaties kunnen voor traders harde of
zachte limieten worden ingesteld per transactie, per portfolio, per beurs, per instrument en/of per tegenpartij. De
limieten kunnen worden afgeleid van de richtlijnen van het
management, de Risk Management-afdeling, het tradersmandaat en dergelijke.
IT dependent manual controls
IT dependent manual controls zijn handmatige beheersingsmaatregelen die afhankelijk zijn van geautomatiseerde
gegevensverwerking in de applicaties. Een voorbeeld voor
tradingorganisaties is een controle op fouten en overschrijdingen met behulp van een rapport dat door een applicatie
gegenereerd wordt, zoals uitzonderingsrapportages, positierapporten en dergelijke. Het is overigens van belang dat dergelijke controlewerkzaamheden in functiescheiding worden
uitgevoerd. Deze controls horen dus niet in de frontoffice
thuis.
Het IT control framework wordt sterker, naarmate er meer
gebruik wordt gemaakt van preventieve controls. Een nadelig effect van een dergelijke framework is dat de in trading
omgevingen gewenste flexibiliteit in meer of mindere mate
wordt weggenomen.
Toepassing bij tradingorganisaties
Gelet op de inherente risico’s van trading en het veelal
gefragmenteerde applicatielandschap, zijn de eisen die ons
inziens moeten worden gesteld aan het control framework,
en dus ook aan het IT control framework, strikt, en veelal
verdergaand dan bij een ander type activiteit. Dit geldt zowel
voor de opzet als de naleving van de procedures.
Veel tradingorganisaties hanteren een mandaat voor traders
en vertrouwen in belangrijke mate op controle achteraf door
middel van rapportages (zowel door applicaties gegenereerde als handmatige rapportages). Ten eerste kan men zich
afvragen of de kwaliteit van deze rapportages wel voldoet
aan daaraan te stellen eisen qua volledigheid, juistheid en/of
tijdigheid, maar bovenal hebben deze controls een detectief
karakter, waardoor corrigerende maatregelen wellicht te laat
komen.
De aard van tradingactiviteiten vraagt naar ons oordeel om
een aantal preventieve controls. Zowel op het gebied van IT
general controls als application controls. Vanuit de praktijk
hebben wij enkele aandachtspunten:
Voor logische toegangsbeveiliging:
• Functiescheiding tussen front-, mid- en backoffice functies, dient door middel van logische toegangsbeveiliging
van applicaties te worden afgedwongen. Hiermee wordt
voorkomen dat traders hun eigen trades kunnen accorderen en kan door het matchen van bevestigingen met de
geregistreerde trades de volledigheid worden gecontroleerd.
• In een autorisatiematrix dient voor alle medewerkers vastgelegd te worden wat hun bevoegdheden zijn. Deze
matrix omvat niet één maar alle in aanmerking komende
applicaties binnen het tradingproces. De matrix moet vervolgens één-op-één toegepast worden in de onderscheiden applicaties.
• Wanneer een trader in of uit dienst gaat of bijvoorbeeld
vanwege uitbreiding van zijn takenpakket andere rechten
in een systeem moet krijgen, zal dit tijdig, door middel
van een eenduidige procedure, moeten gebeuren. Hier
moet in ieder geval de direct leidinggevende van de
gebruiker goedkeuring verlenen.
• In aanvulling op het bovenstaande punt moeten periodiek
alle logische toegangstabellen gecontroleerd worden. De
frequentie van deze controle is afhankelijk van de importantie van de applicatie maar is ten minste eenmaal per
jaar.
• Het instellen van complexiteitsregels en het frequent wijzigen van wachtwoorden voor applicaties en IT-systemen,
zodat triviale wachtwoorden niet mogelijk zijn en wordt
voorkomen dat wachtwoorden op andere wijze bekend
raken bij anderen.
• Het maandelijks controleren en analyseren van de logbestanden om ongeoorloofde acties op te sporen en daar
follow-up aan te geven.
• Het beheer van de database met static data (limieten etc.)
en transactiegegevens mag niet in handen zijn van reguliere gebruikers.
Voor change management zijn de volgende aandachtspunten van toepassing:
• Alleen wijzigingen in programmatuur die zijn getest en
goedgekeurd door applicatiebeheerders mogen in de productieomgeving worden opgenomen.
• Strikte scheiding tussen ontwikkel-, test- en productieomgeving. Ontwikkelaars behoren geen toegang te hebben
tot de productieomgeving.
• Indien ingrijpen in de productieomgeving gewenst is,
dienen hiervoor de gebruikelijke change managementprocedures te worden gevolgd. Als dit vanwege tijdskritische
oorzaken niet kan, dan moet een zogenoemde rode
envelop procedure worden gevolgd en moeten de activiteiten van de ontwikkelaar worden gelogd en achteraf
goedgekeurd worden.
Application controls zijn uitermate geschikt om beperkingen
die opgelegd worden door het tradingmandaat af te dwingen. Beperkingen die opgelegd kunnen worden zijn bijvoorbeeld een limiet op de waarde die een trader per transactie
maximaal mag uitgeven, of een limiet op het aantal transacties dat gedaan mag worden. Deze beperkingen kunnen
‘hard’ (geen trade mogelijk als de limieten worden overschreden) of ‘zacht’ (waarschuwing en mogelijk ook signalering bij Risk Management-afdeling via specifieke rapporta-
25 | de EDP-Auditor nummer 3 | 2008
ges) worden afgedwongen. Met het gebruik van application
controls wordt weliswaar de in tradingomgevingen gewenste
flexibiliteit in meer of mindere mate weggenomen, maar hier
komt preventieve zekerheid voor in de plaats. Dit maakt de
risicobeheersing van de organisatie sterker.
Niets nieuws onder de zon?
Na lezing van de voorgaande analyse en aanbevelingen
bekruipt menigeen wellicht het gevoel dat er geen nieuws
wordt verkondigd. Recent onderzoek door Cyber-Ark wijst
uit dat 42 procent van alle organisaties (niet specifiek tradingorganisaties) hun wachtwoorden nooit wijzigen, terwijl
Gartner in een recent rapport heeft geconcludeerd dat bij
heel veel organisaties missiekritische applicaties open staan
door het gebruik van permanente administrator of superuser
wachtwoorden. EDP-auditors verkondigen herhaaldelijk de
boodschap om de logische toegangsbeveiliging, change
management- en incidentprocedures zorgvuldig te documenteren en regelmatig te toetsen. De vraag is echter of
deze boodschap wel door de organisaties wordt begrepen.
Hoewel niet specifiek door ons onderzocht, kunnen we aan
de hand van informatie uit openbare bronnen concluderen
dat zowel bij de incidenten bij Barings als bij Société Générale sprake was van een situatie waarbij:
- De IT general controls niet effectief waren in die zin dat
organisatorische functiescheidingen niet in de applicaties
waren afgedwongen. Traders hadden de mogelijkheid om
een fictief bedrijf, een fictieve tegenpartij of het boekingschema aan te passen waardoor bepaalde deals op een tussenrekening werden geboekt.
- Men geen application controls in tradingapplicaties had
ingeregeld voor de in de tradingmandaten afgesproken
limieten. Hierdoor hadden grote posities, overschrijding
van limieten per tegenpartij en dergelijke voorkomen
kunnen worden.
- Voor de detectieve controles uitgevoerd door Risk Management geen adequate follow-up heeft plaatsgevonden.
Zowel bij Barings als bij Société Générale kan bovendien
worden getwijfeld aan de mate van controlebewustzijn, of in
geval van Barings – waar trading een nieuwe activiteit was –
deskundigheid van het management.
maatregelen. Zo moeten strak ingeregelde logische toegangbeveiligingsprocedures voorkomen dat functiescheidingen
doorbroken worden en wordt geregeld dat alle changes en
andere ingrepen in de productieomgeving volgens een vaste
procedure lopen. Preventieve application controls zorgen
ervoor dat tradersmandaten nageleefd worden. Met de
detectieve IT dependent manual controls wordt vervolgens
toezicht gehouden op de uitkomsten van het tradingproces.
En uiteraard moet de organisatie adequaat follow-up geven
aan gesignaleerde afwijkingen. En zo kan IT bijdragen aan
de beheersing van risico’s bij tradingorganisaties c.q. kunnen
incidenten worden voorkomen. Nick Leeson heeft in een
commentaar op de Societe Generale gebeurtenissen gezegd:
‘[Rogue trading] is probably a daily occurrence amongst
the financial markets’. Dus wie van mening is dat het allemaal zo’n vaart niet loopt, adviseren wij de krant te blijven
lezen. ■
Conclusie
Risicobeheersing in een tradingomgeving vraagt om specifieke aandacht. Trading is een specialistisch vakgebied dat
door het gebrek aan fysieke stromen weinig tastbaar is. Risicobeheersing wordt bemoeilijkt door gecompliceerde instrumenten die hetzij worden vastgelegd in een complex geïntegreerd IT-systeem, dan wel in een verzameling applicaties en
spreadsheets met elk een specifiek doel.
Beheersing van risico’s bij tradingactiviteiten vereist control
bewustzijn van het management en dit moet ook in de organisatie door het management worden uitgedragen. Een control framework met een nadrukkelijke rol voor IT vervult
hierbij een belangrijke rol. In het IT control framework
wordt gebruik gemaakt van een mix van algemeen bekende
26 | de EDP-Auditor nummer 3 | 2008