MiFID heeft tot doel beleggers te beschermen en financiële

Artikel

MiFID: zelfs bij ‘business as usual’ verandert veel IT processen van beleggingsondernemingen wijzigen door implementatie van EU Richtlijn Ivo Bolderhey en Floris IJpeij

Wie denkt dat marktwerking alleen iets is voor politici en marketeers, zal verrast opkijken van nieuwe Europese regelgeving, die binnenkort in Nederland van kracht wordt. Na het tijdperk van de milleniumbug en de introductie van de euro is er voor iedereen die betrokken is bij de IT van beleggingsondernemingen weer iets om mee aan de slag te gaan. Vanaf 1 novem-

M

iFID heeft tot doel beleggers te beschermen en financiële markten efficiënter te maken. Om dit te bereiken zijn eisen opgesteld over de wijze van bedrijfuitoefening en over de informatie die daarover aan beleggers en toezichthouders moet worden verstrekt. Dit grijpt rechtstreeks en waarschijnlijk diep in op de IT-omgeving van beleggingsondernemingen al zal in voorkomende gevallen deels gebruik kunnen worden gemaakt van aanpassingen ten behoeve van Sarbanes-Oxley en Basel II regelgeving.

ber 2007 wordt in Nederland nieuwe Europese wetgeving voor beleggingsondernemingen van kracht: 1

de Markets in Financial Instruments Directive (MiFID) .

De richtlijn is van toepassing op beleggingsondernemingen. Dit begrip is ruimer gedefinieerd dan voorheen, en omvat ondernemingen die financiële diensten uitvoeren voor derden of op professionele basis beleggingsactiviteiten ondernemen. Voorbeelden zijn: commissionairs, effectenmakelaars, vermogensbeheerders, hedge funds en commodity traders. Gemeenschappelijk kenmerk is dat zij in opdracht van derden op markten handelen in financiële instrumenten als aandelen, obligaties, opties, warrants, commodities, futures, etc. MiFID introduceert concurrentie voor de bestaande effectenbeurzen door introductie van de nieuwe handelsvormen Systematic Internalisation en Multilateral Trading Facility. Systematic Internalisation houdt in dat een beleggingsonderneming die zowel aan- als verkooporders van hetzelfde financiele instrument op hetzelfde moment op de beurs wil aanbieden, deze orders eerst intern probeert te matchen. Een Multilateral Trading Facility is een handelsplatform opgericht door een aantal partijen met als doel om onderling financiële instrumenten te verhandelen. In mei 2007 is in het Verenigd Koninkrijk onderzocht of beleggingsondernemingen verwachten op tijd klaar te zijn voor de ingangsdatum van 1 november 2007. Uit dit onderzoek bleek dat 60% verwacht niet op tijd klaar te zijn.2

Drs I.A.J. (Ivo) Bolderhey RE RA en drs F. (Floris) IJpeij RE CISSP zijn werkzaam bij Ernst & Young EDP Audit en zijn als specialist betrokken bij de assurance- en advieswerkzaamheden bij financiële instellingen. Zij maken deel uit van de multi-disciplinaire MiFID/Wft werkgroep van Ernst & Young en Holland Van Gijzen Advocaten, waarin samengewerkt wordt met specialisten op het gebied van Risk Management, Compliance en wet- en regelgeving. Dit artikel is geschreven op persoonlijke titel en vertegenwoordigt niet noodzakelijkerwijs het standpunt van Ernst & Young.

CobiT als hulpmiddel De strategische keuze om al dan niet van nieuwe handelsmogelijkheden gebruik te maken is in eerste instantie een beslissing van de ‘business’. De IT gevolgen van MiFID zijn aanzienlijk, zelfs wanneer geen gebruik wordt gemaakt van de nieuwe handelsfaciliteiten. Vanzelfsprekend zal de IT-impact van MiFID per beleggingsinstelling afhankelijk zijn van factoren zoals het business model, reeds gedane investeringen (in enterprise data, common systems, flexibele architectu-

24 | de EDP-Auditor nummer 3 | 2007

Als voorbereiding voor de activiteiten voor het domein Plan and Organise is in dit artikel in kaart gebracht op welke wijze MiFID de Business Requirements en de IT Resources beinvloedt. Met behulp van deze analyse kan verder invulling worden gegeven aan de processen in dit domein. De concrete invulling daarvan is afhankelijk van de specifieke situatie van een beleggingsonderneming.

8ki_d[iiH[gk_h[c[dji

"USINESS 0ROCESSES

#ONCEPTS

#LIENT

#LIENT #LASSIFICATION

0RE TRADE

#LIENT/RDER (ANDLING

%XECUTION

"EST%XECUTION

0OST TRADE

0OST 4RADE $ISCLOSURE 4RANSACTION 2EPORTING

2EPORTING

F[efb[

?d\hWijhkYjkh[

FheY[ii[i

7ffb_YWj_edi

?JFheY[ii[i

:ecW_di

?d\ehcWj_ed

[ i _jo [i dYo j_Wb _jo X_b_jo _WdY _b_jo h b d [ [d X j_l \\_Y_ \_Z[ dj[] lW_bW ecf [b_W Y [ ; 9ed ? H 7 9 ;\\ 

Nagenoeg alle MiFID-concepten hebben raakvlakken met IT omdat zij rechtstreeks invloed hebben op de bedrijfsprocessen die door applicaties en/of door IT infrastructuur worden ondersteund. Dit kan gepresenteerd worden door koppeling met de (sterk gesimplificeerde) operationele processen van een fictieve beleggingsonderneming, aangegeven met het grijze vlak.

$ATA2ETENTION

CobiT onderscheidt de volgende 4 domeinen: 1 Plan and Organise 2 Acquire and Implement 3 Deliver and Support 4 Monitor and Evaluate

/UTSOURCING

Om inzichtelijk te maken welke gevolgen de ‘business problems’ hebben voor de IT omgeving van een beleggingsonderneming is gekozen voor CoBIT vanwege de inmiddels uitgebreidde toepassing als open standaard voor goede IT control en IT governance.

• Efficiency: De voorziening van informatie via het optimale (meest productieve en voordelige) gebruik van middelen. • Confidentiality: de bescherming van gevoelige informatie van ongeautoriseerde openbaarmaking. • Integrity: de accuraatheid en volledigheid van informatie evenals de validiteit in context van bedrijfswaardes en verwachtingen. • Availability: Informatie is beschikbaar op het moment dat die benodigd is nu en/of in de toekomst voor bedrijfsprocessen, alsmede het waarborgen van de benodigde middelen en kennis. • Compliance: Het voldoen aan de wetten, regelgeving en contractuele verplichtingen waaraan het bedrijfsproces onderworpen is. • Reliability: Het voorzien van informatie aan het management voor het functioneren van de rechtspersoon en voor het uitoefenen van haar fiduciaire en governance verantwoordelijkheden.

#ONTINUITY

ren), en het algemene process maturity level. Voor de bespreking van aspecten in de vorm van concrete technologiëen, geldt dat technologiëen op zich geen oplossing zijn maar een hulpmiddel. In de woorden van P.J. Di Giammarino (co-chair van de MiFID IT group): ‘MiFID is a business problem [..] Technology-led arguments about what is needed for MiFID are doomed to failure’.3

-4&

0RE 4RADE 4RANSPARANCY

3)

0UBLIC&IRM 1UOTES

Deze fictieve beleggingsonderneming, die met zo min mogelijk aanpassingen MiFD compliant wenst te worden, is het uitgangpunt van de hierna gepresenteerde analyse.

7Yj_l_j_[i

i

hY[

ek [Y JH

?

Bron: CobiT mapping, Overview of International IT Guidance, IT Governance Institute, 2nd Edition.

Business Requirements De CobiT kubus onderscheidt voor Business Requirements de volgende kwaliteitsaspecten: • Effectiveness: Informatie is relevant en van belang voor het bedrijfsproces en is aangeleverd op een tijdige, correcte, consistente, en bruikbare wijze.

Client Classification Onder MiFID zijn beleggingsondernemingen verplicht klanten te categoriseren op basis van de inschatting die de klant heeft gemaakt van de kennis en ervaring omtrent beleggen (van particulier tot eligable counterparty: grote, specifiek aangewezen tegenpartij). Aan de verschillende categorieën kunnen verschillende niveaus van bescherming worden ontleend. De klanten moeten deze indeling bevestigen aan de onderneming. Deze indeling is geen vast gegeven: klanten kunnen op verzoek – dat overigens door de beleggingsonderneming kan

25 | de EDP-Auditor nummer 3 | 2007

Reliability

√

Compliance

√

Availability

Integrity

Client Classification

Confidentiality

Efficiency

Effectiveness

worden afgewezen – in een andere groep worden opgenomen. Dit kan per financieel instrument en zelfs per order worden aangegeven, zodat voor een individuele klant ten minste één, maar wellicht een aantal risicoprofielen bestaat. Belangrijk aandachtspunt is derhalve de integriteit van de data omdat klantgegevens veelal op verschillende afdelingen worden bijgehouden en bij de uitvoering van iedere regel van een klantorder zal moeten worden vastgesteld wat de in aanmerking komende classificatie is.

√

Wat doet een beleggingsonderneming? Een beleggingsonderneming beheert het vermogen van een derde. Deze ruime omschrijving omvat een veelheid aan verschijningsvormen. Het vermogen kan door een vermogensbeheerder van de beleggingsonderneming worden belegd (bijvoorbeeld een adviseur van een bank) of door de klant zelf (bijv. bij internetbeleggen). Voor iedere klant worden afspraken gemaakt over welke werkzaamheden worden uitgevoerd en welke vergoeding daar tegenover staat. Dit is het proces Client.

Client Order Handling Alle beleggingsondernemingen worden verplicht een eigen orderuitvoeringsbeleid (Client Order Handling) te formuleren als onderdeel van de Conduct of Business (CoB). Het doel van deze regels is het voor beleggers transparant maken van het totale proces waarin opdrachten worden uitgevoerd. Dit zijn dus zelf opgestelde kaders, rekening houdend met de MiFID-eisen voor de uitvoering van klantenorders. Een van de nieuwe eisen is dat orders van klanten zo snel mogelijk en zo goed mogelijk moeten worden uitgevoerd en afgehandeld. Dit heeft direct invloed op het gewenste niveau van beschikbaarheid en betrouwbaarheid, en actualiteit van de systemen die deze informatiestromen genereren. De beleggingsonderneming mag zelf invulling geven aan het begrip ‘zo snel mogelijk’. Voor de bewaking ligt voor de hand dat er een beheersingsmechanisme wordt ingericht dat continue volgt of aan deze eis wordt voldaan en bij verstoring zorgt voor uitwijk naar een ander systeem. Beleggingsondernemingen moeten bij de communicatie met klanten de volgende randvoorwaarden in acht nemen: • de informatie wordt aangeboden via een duurzaam medium; • de informatie die over de verschillende kanalen wordt verspreid is consistent; • de gepubliceerde informatie is betrouwbaar en wordt continu gecontroleerd op fouten; • de informatie (ten behoeve van het vastleggen van bewijsmateriaal) is volledig.

Op enig moment wordt, hetzij door de portefeuillemanager, hetzij door de cliënt zelf, een transactie geïnitieerd. In het proces Pre-trade worden de details van de transactie uitgewerkt. Hierbij gaat het onder andere om welk financieel instrument, koop of verkoop, tegen de op dat moment geldende koers of tegen limietkoers en eventuele andere voorwaarden. In het proces Execution wordt de order uitgevoerd door op een beurs een tegenpartij te zoeken die tegen dezelfde voorwaarden

Op de beleggingsonderneming rust een uitgebreide informatieplicht. Op het moment dat er voor de klant iets verandert aan het kader waarbinnen zijn transacties worden uitgevoerd, hetzij een wijziging van het orderuitvoeringsbeleid, hetzij een actualisering van het risicoprofiel van die klant, moet de klant hiervan op de hoogte worden gesteld. Daarnaast moeten nieuwe cliënten vooraf instemmen met het orderuitvoeringsbeleid.

een tegengestelde transactie wil doen. Beide partijen bevestigen de transactie aan elkaar. Bij effectentransacties vindt vervolgens clearing plaats. Effecten worden niet gehouden door de beleggers zelf maar door zogenoemde custodians. De nieuwe eigenaars moeten door deze custodians worden geregistreerd.

De wijzigingen op het gebied van client order handling hebben voornamelijk betrekking op een aanscherping van de regels inzake limietorders en verzamelorders.4 Limietorders welke niet direct uitgevoerd kunnen worden, dienen gepubliceerd te worden om andere marktdeelnemers te informeren.

Client Order Handling

√

√

Reliability

beleggingsonderneming een of meer processen outsourcen. Een

Compliance

continuïteit van de systemen en gegevensopslag. Ook kan een

Availability

neming maatregelen moet hebben getroffen op het gebied van

Integrity

Voor alle bovenstaande processen geldt dat de beleggingsonder-

Efficiency

voor de rapportering aan toezichthouders.

Effectiveness

tigd. Het proces Transaction reporting is een specifiek MiFID proces

Confidentiality

In het Post-trade proces wordt de transactie aan de cliënt beves-

√

√

√

√

vergaande vorm van outsourcing is Business Process Outsourcing (BPO) waarbij nagenoeg alle werkzaamheden in de processen Exection en Post-trade aan een derde partij worden overgedragen.

Best Execution Een belangrijk nieuw concept is ‘best execution’. Introductie van dit concept is een direct gevolg van het feit dat de

26 | de EDP-Auditor nummer 3 | 2007

√

√

√

Reliability

Compliance

Confidentiality

Availability

√

Integrity

Post-Trade Disclosure

Efficiency

Effectiveness

Compliance

Reliability

Transaction Reporting

Availability

Post-trade Disclosure MiFID vereist dat alle ondernemingen (de juiste) handelsinformatie binnen drie minuten na uitvoering van de order vrijgeven. Naast tijdigheid van publicatie hebben beleggingsondernemingen tevens de verplichting om consolidatie met vergelijkbare data van andere bronnen te faciliteren. Verder bestaan expliciete eisen aan de integriteit van post trade publicaties aan klanten, waaronder verificatie van genomen stappen ter waarborging van betrouwbaarheid van gepubliceerde informatie, evenals de monitoring en correctie van fouten in de rapportages. Tenslotte worden beschikbaarheideisen voor publicatie van post-trade informatie genoemd.

Integrity

√

Confidentiality

√

Efficiency

√

Vergelijkbaar aan posttrade rapportages, worden aan transactierapportages en aan de methode waarop deze totstandkomen, specifieke kwaliteitseisen gesteld. Deze eisen hebben betrekking op het waarborgen van de betrouwbaarheid en additioneel de confidentialiteit.

Effectiveness

Reliability

√

Compliance

√

Availability

Best Execution

Integrity

De elementen van de rapportage aan toezichthouders en elementen die genoemd worden in de rapportage aan klanten, moeten onderling consistent zijn. Voorts zal moeten worden nagegaan welke maatregelen nodig zijn om de continuïteit van verstrekking van deze rapportage te waarborgen. Hoewel er geen concrete invulling aan het begrip ‘tijdig’ is gegeven, kan uit de context worden afgeleid dat wanneer een periode vanaf drie minuten als uitstel wordt aangemerkt dit nagenoeg a tempo zal moeten gebeuren op systemen die nagenoeg continu beschikbaar zijn. De organisatie vult overigens zelf in wat zij in dit verband onder ‘tijdig’ verstaat en legt dit vast in de Conduct of Business.

Confidentiality

Een tweede aspect van best execution betreft het aan kunnen tonen dat het orderuitvoeringsbeleid goede waarborgen biedt voor beste uitvoering van de orders. Hierbij ligt het voor de hand dat beleggingsondernemingen de uitvoering zullen monitoren en waar nodig tekortkomingen verhelpen. Beheersingsaspecten die hierbij een rol spelen zijn beschikbaarheid, actualiteit, juistheid en volledigheid van de gegevens van de order zelf en alle informatie die daaraan ten grondslag ligt.

Efficiency

Transaction Reporting In Nederland houdt de Autoriteit Financiële Markten (AFM) toezicht op de financiële markten om o.a marktmanipulatie, handel met voorkennis tegen te gaan. De AFM heeft in (concept)verordeningen geformuleerd welke details van individuele financiële transacties, ook transacties die via een MTF of een SI zijn uitgevoerd, moeten worden gerapporteerd in een overigens door de beleggingsonderneming te kiezen formaat. In Annex 1 van the MiFID Implementing Directive 2004/39/EC wordt een opsomming gegeven van de inhoud van de transactierapportages, waaronder identificatie van rapporterende onderneming, instrument, handelsplatform, tijdstip en prijs. Bij buitenpropor tioneel grote orders kan uitstel worden verkregen, variërend van een paar minuten tot een dag. Momenteel is voor Nederland nog niet bekend welke marktpartijen gaan rapporteren aan de AFM.

Effectiveness

huidige gereguleerde markten als Euronext straks concurrentie zullen ondervinden van Sytematic Internalisers en van Multilateral Trading Facilities. Op flexible wijze zal voor iedere order(regel) gezocht moeten worden naar de best mogelijke deal op de in aanmerking komende markten, volgens de wensen van de klant die bij de orderuitvoering bekend zullen moeten zijn. Dit geeft een geheel nieuwe inhoud aan de begrippen efficiency en effectiviteit van de orderuitvoering. De prijs zal in de meeste gevallen van doorslaggevend belang zijn, maar ook andere factoren zijn denkbaar zoals snelheid en zekerheid van clearing. Beleggingsondernemingen zijn zelf verantwoordelijk voor het definiëren van het best execution beleid. Om zo goed mogelijk geïnformeerd te raken zullen beleggingsondernemingen data van verschillende aanbieders aankopen en deze consolideren in een standaardoverzicht.

√

√

√

√

√

Algemene concepten die het totale proces ondersteunen Er zijn een drietal MiFID concepten die alle processen van een beleggingsonderneming raken of die geen betrekking hebben op een specifiek proces: • continuity • outsourcing • data retention Deze concepten worden hierna toegelicht. Continuity

Beleggingsondernemingen moeten zorgen dat beleggingsdiensten zonder noemenswaardige onderbreking kunnen

27 | de EDP-Auditor nummer 3 | 2007

Reliability

√

Compliance

Integrity

√

Availability

Confidentiality

√

Efficiency

Effectiveness Outsourcing

Integrity

Availability

Compliance

√

√

√

Reliability

Confidentiality √

Client Classification Client Order Handling

√

√

Best Execution

√

√

Post-Trade Disclosure

√

√

Transaction Reporting

√

Data Retention

√

√ √

√

√

√

√

√

√

√

√

√

√

√

√

√

Continuity Outsourcing

Reliability

√

Compliance

√

Availability

Integrity

Samenvatting Business Requirements In de voorafgaande tekst zijn de eisen van MiFID besproken en uit de analyse blijkt dat er verschillende aspecten van de CobiT Business Requirements van toepassing zijn. In bijgaande tabel is deze samengevat.

Outsourcing

Als de uitvoering van operationele taken door een derde partij wordt overgenomen, moeten maatregelen worden getroffen die tot doel hebben het operationele risico te beperken. Omdat uitbesteding geen afbreuk mag doen aan de kwaliteit van de interne controle en geen belemmering mag vormen voor de werkzaamheden van toezichthouders (zowel AFM als DNB) blijft de beleggingsonderneming verantwoordelijk voor alle diensten die worden uitbesteed aan derden. De MiFID-eisen zullen derhalve moeten worden overgenomen in het uitbestedingscontract (service level agreement), bijvoorbeeld tijdige rapportage aan toezichthouders. De beleggingsonderneming zal de uitvoering van de werkzaamheden moeten monitoren en controleren.

Efficiency

Effectiveness Data Retention

Confidentiality

√

Dit zal resulteren in een nieuwe aanpak voor het onderhouden van data: de gegevens zullen een compleet overzicht laten zien van (1) een correcte behandeling van de cliënt, (2) een track record van beste executie, routing, clearing en settlement en (3) het afhandelen van disputen.

Efficiency

√

Reliability

Compliance

Continuity

Availability

Integrity

Confidentiality

Efficiency

Effectiveness

Deze hernieuwde afweging zal gevolgen hebben voor de aard en de frequentie van back-ups, voor de inrichting van data recovery- en uitwijkprocedures. Belangrijke datacommunicatieverbindingen (zoals naar de beurs of andere handelsplatformen) zullen wellicht dubbel moeten worden uitgevoerd. Alle overwegingen en de voorgestelde maatregelen hieromtrent kunnen in een business continuity plan worden vastgelegd. De verwachting is dat hogere eisen aan de fysieke beveiliging van serverruimtes en co-locations worden gesteld om de kans op uitval door waterschade, stroomuitval en dergelijke verder te beperken.

Bijvoorbeeld alle telefonische orders moeten minimaal een jaar bewaard worden. In dit verband moet ook aandacht worden besteed aan de wijze waarop prijsdata en transactiedata worden bewaard in verband met aantoonbaarheid van best execution eis.

Effectiveness

worden geleverd. Dit is momenteel al vereist volgens de Nadere Regelingen, zowel voor prudentieel toezicht door De Nederlandsche Bank (DNB) als voor gedragstoezicht door de AFM. Nieuw is wel dat de MiFID meer gedetailleerde en ook kwalitatieve eisen stelt, onder andere aan snelheid waarmee rapportages worden verstrekt. Deze nieuwe regels zullen een heroverweging noodzakelijk maken van de huidige invulling van het begrip IT-continuity.

√

√

√

√

√

√ √

√

De MiFID concepten raken alle verschillende aspecten van de business requirements. Vanwege het feit dat het om aanpassing aan wetgeving gaat, is de kolom compliance voor alle concepten ingevuld.

√

Data Retention

De regels onder de MiFID stellen verdergaande eisen aan de opslag van data. Afhankelijk van het type onderneming en het soort informatie geldt een termijn van één tot vijf jaar. 28 | de EDP-Auditor nummer 3 | 2007

IT Resources IT Resources vormen de tweede invalshoek van de CobiT kubus. 8ki_d[iiH[gk_h[c[dji

F[efb[

?d\hWijhkYjkh[

FheY[ii[i

7ffb_YWj_edi

?JFheY[ii[i

:ecW_di

?d\ehcWj_ed

[ o b_jo ii Yo _b_j b_WdY X_b_jo j_W _jo d d[ l[ \_Y_[ _Z[d j[]h W_bWX f _ _W j b c [Y ;\ ed\ ?d 7l 9e H[ ;\\ 9

7Yj_l_j_[i

i

hY[

ek [Y JH

?

hiervoor een koppeling aan te brengen tussen het CRM systeem en het orderexecutiesysteem. Zonder deze koppeling, zal tenminste dienen te worden ingeregeld dat traders voor het benodigde inzicht in klantclassificatie, de corresponderende leesrechten in CRM systemen hebben. Speciale aandacht dient besteed te worden aan de verplichting klanten te informeren over de classificatie, het verkrijgen van instemming van de klant, mogelijke klantverzoeken voor een andere classificatie, beslissingen van beleggingondernemingen over dergelijke verzoeken, en de wijze waarop het juiste niveau van bescherming wordt geboden. Vanuit de beleggingsonderneming betekent dit het inrichten van processen en systemen voor het bijhouden van gedetailleerde informatie. Als specifieke technologie worden hier document management en workflow systemen genoemd voor het traceren van klantcommunicatie en beheer van verplichte documentatie.

Over de people dimensie kan in algemene zin worden opgemerkt dat IT-personeel op de hoogte moet worden gebracht van de nieuwe eisen die aan de IT-omgeving worden gesteld. De zwaardere eisen stellen op hun beurt hogere eisen aan de deskundigheid van IT-personeel. Dit kan met name een knelpunt worden bij kleinere ondernemingen, bijvoorbeeld kleine vermogensbeheerders die één à twee medewerkers in dienst hebben voor IT-beheer. Verder zal moeten worden overwogen of het MiFID implementatieproject door eigen of door ingehuurd personeel wordt uitgevoerd.

People

Client Classification

Infrastructuur

Hierbij worden onderscheiden: • Applications: geautomatiseerde en handmatige processen die informatie verwerken; • Information: data die ingevoerd worden (in welke vorm dan ook), verwerkt en als output gepresenteerd door informatiesystemen, • Infrastructure: technologie, hardware, operating systems, DBMS, netwerk, etc. die het mogelijk maken om applicaties te laten draaien, • People: het personeel benodigd voor het plannen, organiseren, verkrijgen, implementeren, opleveren, ondersteunen, monitoren en evalueren van informatiesystemen en –diensten. Zij kunnen in dienst zijn, uitbesteed of ingehuurd, afhankelijk van de behoefte.

Information

IT Governance Institute, 2nd Edition.

Applications

Bron: CobiT mapping, Overview of International IT Guidance,

√

√

√

√

Client Order Handling Limietorders welke niet direct uitgevoerd kunnen worden, dienen gepubliceerd te worden om andere marktdeelnemers te informeren. Voor zover nog niet aanwezig dienen beleggingsondernemingen deze presentatielaag aan te brengen. Gezien de uitgebreide informatieplicht en benodigde instemming van de klant met het orderuitvoerings-beleid, kunnen (workflow) systemen naleving van deze verplichting ondersteunen. Hierbij valt te denken aan applicatieve controles die vóór uitvoering van een order nagaan of de vereiste toestemming aanwezig is en de vereiste informatieverstrekking heeft plaatsgevonden. Vanuit de randvoorwaarden voor communicatie met klanten (consistentie, betrouwbaarheid, volledigheid, etc) ligt het aanbieden van deze informatie vanuit één centrale bron hierbij voor de hand. Indien van verschillende bronnen gebruik wordt gemaakt kunnen ter bewaking van onderlinge consistentie geautomatiseerde consistentiecontroles worden toegepast.

29 | de EDP-Auditor nummer 3 | 2007

People

Client Order Handling

Infrastructuur

En klant kan, op verzoek, worden ingedeeld per type product en/of transactie. Het ligt derhalve voor de hand

Information

In de context van de vernieuwde classificatie-categorieen zullen beleggingsondernemingen de bestaande klanten opnieuw in moeten delen, waarvoor in de regel ook geautomatiseerde systemen worden aangepast.5

Applications

Client Classification

√

√

√

√

Best Execution De belangrijkste aanpassingen ten opzichte van de huidige functionaliteit van handelsapplicaties is de best execution eis. Volgens deze eis moeten beleggingsondernemingen orders van klanten op de best mogelijke manier uitgevoeren en dit moet achteraf ook aangetoond worden. Handelsapplicaties moeten nu in plaats van één overzicht met prijsinformatie in de vorm van bied- en laatkoersen en overige voorwaarden, een overzicht van alle in aanmerking komende handelsplatformen tonen. Een gedetailleerde audit trail van de ‘order life-cycle’ is nodig, inclusief alle prijsinformatie en overige voorwaarden van de niet gekozen handelsplatformen op het moment van de trade. Hierbij is een belangrijke rol weggelegd voor order management systemen (OMS), gekoppeld met marktdata feeds en algoritmische handelsystemen. De OMS moeten schaalbaar zijn zodat ze de toegenomen hoeveelheid informatie over de additionele handelsplatformen, volumes van prijsupdates, en transacties aankunnen. Een overstap naar een dergelijk geïntegreerd systeem kan een grootschalige systeemmigratie tot gevolg hebben. Voor decentrale, tussentijdse oplossingen kan (aanwezige) informatie in een koerssysteem en informatie in een handelssysteem gezamenlijk opnieuw worden beoordeeld. Bijvoorbeeld door middleware of door samenvoeging in een datawarehouse moet gelijktijdige opslag mogelijk worden gemaakt. Orderexecutie zal naar verwachting meer en meer volgens algoritmische handelsystemen worden uitgevoerd. Hierbij wordt de ‘beste’ uitvoering volgens van te voren ingestelde parameters automatisch bepaald. Uit ervaringen met Sarbanes Oxley implementatietrajecten is gebleken dat geprogrammeerde controles als sterker worden ervaren dan handmatige controles. Het is dan ook de verwachting dat steeds meer ondernemingen zullen overstappen op algoritmische

Wat is algorithmic trading? Algorithmic trading, ook wel algo, automated, black box of robo trading genaamd, is het gebruik van software waarin algoritmes zijn opgenomen die een beslissing nemen over bepaalde aspecten van een order zoals de timing, prijs of de te verhandelen hoeveelheid. Het wordt veelal gebruikt door pensioenfondsen en andere institutionele beleggers om aan- of verkopen op te delen in kleinere porties om zodoende koersschommelingen te beperken. Hedge

handelssystemen. De vraag blijft overigens wel of het algoritmisch handelen ook aantoonbaar het beste is of dat het fingerspitzengefühl van handelaren iets is dat automatisering niet kan overnemen. Beleggingsondernemingen zijn verantwoordelijk voor het aantonen van de naleving van het best execution beleid. Essentieel in deze context is de aanwezigheid van monitoring tools die dit proces bewaken. Als specifieke technologie wordt in deze context Business Activity Monitoring (BAM)7 vermeld, waarbij via dashboards inzicht in key perfomance indicators het monitoren van compliance processen plaats kan vinden. Voor wat betreft de eisen die aan de verzameling, aggregatie, historie en reconstructie van informatie worden gesteld, lijkt het voor de hand te liggen om gegevens centraal op te gaan slaan. Transactiedata moeten ten minste 5 jaar worden bewaard en moeten op verzoek direct voor de toezichthouder kunnen worden gereproduceerd op een zodanige wijze dat iedere fase van het orderverwerkingsproces kan worden getoond. Voor beleggingsondernemingen met vestigingen in meerdere landen en verschillende transactie- en backofficesystemen kan het oplossen van het probleem van verschillende business en data silo’s een belangrijke uitdaging vormen.8 Een mogelijke oplossingsrichting is het maken van een zogenoemde ‘golden copy’ van reference data binnen een centraal, robuust en schaalbaar datamanagementplatform over landsgrenzen en functies heen. Dergelijke ‘Enterprise Data Management’ systemen (EDM)9 verschillen van data warehouses vanwege additionele dataschoningsmaatregelen. De EDM’s moeten ook beschikken over een audit trail functionaliteit tussen de ‘golden copy’ en de locale data. Voordat implementatie van een dergelijk systeem zal worden overwogen zullen maatregelen op de korte termijn moeten worden getroffen, bijvoorbeeld in de vorm van data linkage. Hierbij worden onderlinge verwijzingen naar data in andere silo’s aangebracht. Op het gebied van informatie worden beleggings-ondernemingen geconfronteerd met veranderde datamodellen of -structuren, nieuwe of veranderde marktdatasystemen, en zullen nieuwe informatieuitwisselingsstandaarden moeten worden geadresseerd. Naar mate het aantal handelsfaciliteiten en het algoritmisch handelen uitbreidt, is een uitbreiding van marktdata te verwachten. Dit verhoogt de noodzaak van een adequaat proces rondom reference data management evenals de technische schaalbaarheid.

fondsen gebruiken algorithmic trading om op basis van electro-

transacties in 2006 op de London Stock Exchange op basis van algorithmic trading.6

Best Execution

30 | de EDP-Auditor nummer 3 | 2007

People

beurs met schermenhandel. Naar schatting was 40% van alle

Infrastructuur

volledig automatisch gehandeld worden, mits er sprake is van een

Information

ondersteuning aan een dealer worden aangeboden of er kan

Applications

nisch ontvangen informatie te handelen. Deze informatie kan ter

√

√

√

√

3TRAIGHT4HROUGH0ROCESSING $ATA6ENDOR

4RADINGPLATFORM

#LEARING3YSTEEM

3TRAIGHT4HROUGH &RONT/FFICE 0ROCESSING

"ACK/FFICE

)NVESTOR

#USTODIAN

'ENERAL,EDGER

2EGULATOR

Verder kan worden overwogen om meetsystemen te implementeren waarin de tijdigheid van publicatie van iedere gepubliceerde boodschap wordt bewaakt. Aanvullende procedures regelen de te nemen maatregelen voor het geval vertraging optreedt. Naast tijdigheid van publicatie hebben beleggingsondernemingen tevens de verplichting om consolidatie met vergelijkbare data van andere bronnen te faciliteren. In deze context vormt standaardisatie van zowel de inhoud van berichten als gebruikte protocollen een belangrijke randvoorwaarde c.q. uitdaging. Voor de interfaces tussen (interne) bronsystemen en de systemen die de handelsdata publiceren, is het van belang dat de message en transport protocollen compatible zijn. De genoemde eisen aan de integriteit van post trade publicaties aan klanten impliceren voor beleggings-ondernemingen een uitbreiding van de test- en acceptatieprocedures als onderdeel van het change management proces. Vanuit het oogpunt van betrouwbaarheid is naast beperkte toegang tot report generators tevens de beveiliging van de presentatielaag van belang. Voor situaties waar beleggings-ondernemingen publicatie van handelsinformatie uitbesteden aan externe service providers, dienen betrouwbaarheidseisen onderdeel uit maken van service management afspraken.

Infrastructuur

People

Post-Trade Disclosure

Information

Het verder automatiseren van het orderuitvoerings- en verwerkingsproces kan de efficiency van publicatie van informatie verhogen. Dit introduceert tegelijkertijd een belangrijk geautomatiseerd controlemiddel. Door middel van Straight Through Processing (STP), het automatisch verwerken van orders zonder menselijke interventie, kunnen orders worden afgestemd met de bevestiging van de tegenpartij en worden aangesloten met opgaven van een custodian (zie onderstaande figuur).

De beschikbaarheideisen voor publicatie van post-trade informatie introduceren de noodzaak van een ‘fault tolerant’ presentatielaag. Hierbij valt te denken aan het inbouwen van redundantie in systemen die de handelsdata publiceren en redundantie in de interfaces.

Applications

Post-trade Disclosure MiFID vereist dat alle bedrijven hun handels-informatie zo snel mogelijk, maar in ieder geval binnen drie minuten na uitvoering van de order vrijgeven. Gelet op de snelheid waarmee informatie voortaan moet worden gepubliceerd, is de geautomatiseerde controle op de betrouwbaarheid (aannemelijkheid) van de rapportages van belang, alsmede de continue beschikbaarheid van rapportagesystemen.

√

√

√

Transaction Reporting Beleggingsondernemingen moeten het effect van MiFID op bestaande rapportagesystemen evalueren. Zo moet worden nagegaan of de huidige handelssystemen alle relevante details vastleggen en of deze informatie exporteerbaar is. Ook ingetrokken transacties moeten worden gerapporteerd en voor alle transacties geldt dat de unieke geharmoniseerde code van het handelsplatform moet worden vermeld. De rapportage dient zo snel mogelijk te worden aangeleverd. Hierdoor zullen organisaties de voorkeur geven aan het automatisch genereren van rapportages op transactieniveau. De voornaamste uitdaging ligt op het vlak van het aanpassen van systemen om aan de toezichthouder (of wellicht toezichthouders) te kunnen rapporteren.10 Hierbij is het van belang onderscheid te maken tussen de aan te leveren informatie, de totstandkoming ervan, en de wijze van aanlevering aan de toezichthouders. Beleggingsondernemingen kunnen besluiten om de publicatie van transactierapportages uit te besteden aan externe service providers, eventueel in combinatie met pre- of post trade transparancy reporting. Vergelijkbaar met post-trade reporting geldt voor deze situaties dat kwaliteitseisen onderdeel dienen uit te maken van service level management afspraken. Vergelijkbaar aan posttrade rapportages, worden aan transactierapportages en aan de methode waarop deze totstandkomen, specifieke kwaliteitseisen gesteld. Deze eisen hebben betrekking op het waarborgen van de betrouwbaarheid en additioneel de vertrouwelijkheid. Tevens dienen mechanismen aanwezig te zijn voor identificatie en correctie van fouten in de transactie logs. Voor de impact die de kwaliteitseisen rondom betrouwbaarheid hebben wordt verwezen naar de paragraaf over posttrade disclosure. Voor de additionele eisen rondom vertrouwelijkheid van transactie rapportages kunnen zowel organisatorische (data classificatie, need to know principe) als technische (logische toegangsbeveiliging, lijn-encryptie) beheersmaatregelen genomen worden.

31 | de EDP-Auditor nummer 3 | 2007

People

√

Infrastructuur

√

Information

People

√

Samenvatting IT Resources In onderstaande tabel zijn de MiFID eisen samengevat met de CobiT IT-Resources.

Applications

Infrastructuur

Transaction Reporting

Information

Applications

Beleggingsondernemingen dienen preventieve maatregelen te nemen voor tijdig herstel van rapportages in geval van systeemfouten. Deze beschikbaarheideisen introduceren de noodzaak van redundantie in zowel de rapportagesystemen als in de corresponderende interfaces met de toezichthouder(s). Voorts moeten maatregelen genomen worden op infrastructuurniveau ten behoeve van de authenticatie van de toezichthouders.

Client Classification

√

√

√

√

Client Order Handling

√

√

√

√

Best Execution

√

√

√

√

Post-Trade Disclosure

√

√

√

Transaction Reporting

√

√

√

√

√

Continuity

Overige factoren

Outsourcing

Continuity

Beleggingsondernemingen zijn verplicht om een adequate business continuity policy op te stellen, op regelmatige basis de effectiviteit hiervan te evalueren, en adequate maatregelen te treffen om tekortkomingen te adresseren. Outsourcing

Daar waar de beleggingsonderneming sterk afhankelijk is van derden, bijvoorbeeld bij Business Process Outsourcing, zal aanvullende zekerheid moeten worden verkregen dat de MiFID-eisen daadwerkelijk zijn geoperationaliseerd. Hiertoe kan een zogenoemde SAS 70-verklaring uitkomst bieden. Data Retention

Infrastructuur

People

Continuity

Information

Applications

Beleggingsondernemingen moeten de huidige opslagcapaciteit en de netwerkcapaciteit evalueren om vast te stellen dat zij de toename van dataopslag kunnen verwerken. Een aandachtspunt in dit verband is traceerbaarheid. De lange bewaarperiode kan een grote invloed hebben op de mogelijkheid een individueel gegeven na langere tijd terug te vinden. Het is zeer wel denkbaar dat binnen de bewaartermijn van vijf jaar gebruik wordt gemaakt van de diensten van andere softwareleveranciers, andere standaarden van toepassing zijn of vanuit andere locaties wordt gewerkt, of dat wellicht de gehele infrastructuur vervangen is.

√

√

Outsourcing Data Retention

√ √

√

Data Retention

√ √

√

De MiFID concepten raken alle aspecten van IT-Resources. De concepten Client order handling en Best Execution hebben (grote) impact op de applicaties. Vrijwel alle concepten zullen aanpassingen in de IT-infrastructuur tot gevolg hebben en zoals reeds eerder is aangegeven zal ook terdege aandacht moeten worden besteed aan het aspect personeel. Conclusie De invoering van MiFID verandert de financiële markten aanzienlijk door transparantie-eisen en vergroting van de efficiëntie van financiële markten. Door de verruimde definitie van beleggingsondernemingen zullen meer ondernemingen onder toezicht van AFM en DNB komen te staan. Hoe de MiFID concepten vertaald worden in beleid van een beleggingsonderneming is primair de keuze van het management. Informatietechnologie is in dit keuzeproces een cruciale ondersteunende factor, maar geen doel op zich. In dit artikel is een eerste aanzet gegeven voor de analyse van de IT-gevolgen bij zoveel mogelijk ongewijzigd beleid. Hierbij is CobIT als hulpmiddel gebruikt en kan worden geconclueerd dat: • de business requirements vrijwel zonder uitzondering een hoog IT-gehalte hebben, dat wil zeggen dat uitsluitend met behulp van informatiesystemen aan de eisen kan worden voldaan. • uit de analyse van IT-Resources blijkt dat deze aanpassingen in applicaties, IT-infrastructuur, en informatieverwerking, talrijk en ingrijpend zijn. De concrete uitwerking van deze analyse zal per onderneming verschillen. Wat echter vast staat is dat het implementatietraject op 1 november 2007 afgerond dient te zijn daar

32 | de EDP-Auditor nummer 3 | 2007

deze datum in wetgeving is vastgelegd. En zo draagt marktwerking bij aan de invulling van de agenda van de CIO in de komende maanden. ■

4 AFM - Markets in Financial Instruments Directive (MiFID).

N0ten

6 Wikipedia: Algortihmic trading.

3 Have you understood the impact of MiFID on your 2006 IT budget? Author: P.J. Di Giammarino, www.company-i.com/iwire01/mifid.cfm. 5 AFM - Markets in Financial Instruments Directive (MiFID).

1 De Ministerraad heeft in mei 2007 ingestemd met een Wetsvoorstel van de Minister van Financiën voor de implementatie van MiFID in Nederlandse wetgeving. Dit zal naar verwachting gebeuren door een

7 Bearing Point (Alan Jenkins and Murat Erder), The Technical Implications of MiFID With A Focus on Sell-Side Firms, White Paper 2006.

uitbreiding van de Wet op het financieel toezicht. Vanwege het ont-

8 The MiFID IT challenge, finextra.com.

breken van definitieve Nederlandse wetgeving is in dit artikel uitge-

9 GoldenSource Corporation (Paul Kennedy), Will Enterprise Data Management Delever the Competitive Edge for MiFID? GTnews

gaan van de tekst van de Richtlijn zoals die door de Europose Commissie is uitgebracht en van de toelichtingen van het Committee

14 May 2007. 10 AFM. Transaction Reporting Mifid art. 25 Consultation & Information

of European Securitues Regulators (CESR). 2 Preparing IT for MiFID, the Benefits of Business Process Management

Session.

Software. Wendy Cohen. GTnews 14 May 2007.

ADVERTE NTI E

33 | de EDP-Auditor nummer 3 | 2007