Artikel
IT control framework bij tradingorganisaties Hoe kan een IT control framework bijdragen aan de governance-structuur van een tradingorganisatie?
Ivo Bolderhey en Maarten van Gerner
De meeste mensen associëren trading veelal met een snelle dynamische wereld waar grote bedragen in omgaan en waar met Fingerspitzengefühl grote winsten worden behaald of nog grotere verliezen worden geleden. Uit berichtgeving over incidenten met grote financiële gevolgen valt op te maken dat IT-systemen kennelijk een rol hebben gespeeld. In dit artikel wordt een schets gegeven van tradingorganisaties en de basisprincipes van het traden, hoe risico’s van trading ontstaan en worden beheerst, en hoe een IT control framework kan bijdragen aan deze risicobeheersing.
Drs. I.A.J. (Ivo) Bolderhey RE RA en ing. M. (Maarten) van Gerner zijn werkzaam bij de subserviceline Technology and Security Risk Services van Ernst & Young Advisory en zijn als specialist betrokken bij assurance- en advieswerkzaamheden bij trading organisaties. Dit artikel is geschreven op persoonlijke titel en vertegenwoordigt niet noodzakelijkerwijs het standpunt van Ernst & Young.
W
at is trading en waarom doet een organisatie aan trading? Trading is kort gezegd het aan- en/of verkopen van financiele instrumenten of grondstoffen met als doel het innemen van posities om zodoende bijvoorbeeld (prijs)risico te beperken of de behoefte aan een bepaalde grondstof veilig te stellen. Trading wordt gedaan door professionals die voor een financiële instelling of een producent werken. De tradingactiviteiten vinden plaats op beurzen waarbij voor het overgrote deel sprake is van schermenhandel. De traditionele beursvloer (open outcry) verdwijnt meer en meer. Belangrijke kenmerkende begrippen van trading zijn: snelheid, creativiteit en de gedrevenheid. Succesvolle traders kunnen zeer aanzienlijke bonussen (per trade en over het gehele jaar) behalen. Dus naast voordeel voor de organisatie waarvoor de trader werkt, is er ook sprake van persoonlijk voordeel. Trading is veelal schermenhandel waarbij vraag en aanbod via computersystemen bij elkaar worden gebracht en verder is het, met uitzondering van de handel in grondstoffen (commodities), een ‘papieren’ business waarbij de kopende partij niets tastbaars in handen krijgt. Door dit alles lijkt het vakgebied omgeven met een zweem van mystiek. Trading kan worden gedaan met financiële instrumenten, zoals aandelen, obligaties, opties of andere derivaten en op de goederentermijnmarkt met commodities of futures. Commodities zijn goederen, veelal grondstoffen zoals olie, graan, elektriciteit, ijzererts en dergelijke. Futures zijn daarvan afgeleide instrumenten die naar hun aard vergelijkbaar zijn met opties: het is een recht om tegen bepaalde van tevoren vastgestelde voorwaarden te kopen of te verkopen. Eveneens kan dit recht net als bij opties worden gekocht, waarmee de koper het recht verkrijgt, dan wel verkocht waarmee de tegenpartij een recht verleend wordt en dus een verplichting voor de verkoper ontstaat. Waarom doet een organisatie aan trading? Ten onrechte wordt vaak gedacht dat trading uitsluitend draait om winst maken en om die reden wordt trading in een adem genoemd met speculatie. Voorbeelden van trading zijn: • Posities afdekken: een bedrijf dat steenkool als grondstof gebruikt wil het risico van fluctuerende inkoopprijzen verminderen. Door op de termijnmarkt steenkool te kopen, is de prijs voor langere tijd vastgelegd. Een bedrijf dat zijn
22 | de EDP-Auditor nummer 3 | 2008
resultaten rapporteert in euro’s wil geen valutarisico lopen over kasstromen in US dollars en koopt of verkoopt dollars zodra bekend is dat deze ontvangen zullen gaan worden. Hierdoor is onmiddellijk de tegenwaarde in euro’s bekend en wordt geen koersrisico gelopen. • Arbitrage: hierbij worden prijsverschillen die optreden tussen twee of meer markten benut door middel van gelijktijdige deals. De hypothese van de efficiënte markt, die deze verschillen uitsluit, blijkt niet altijd op te gaan. Dit kan allerlei oorzaken hebben. Zo is het mogelijk dat de reële rente wordt beïnvloed door (inschatting) van inflatie. Of omdat er bij commodity trading een fysieke component is: opslag- en transportkosten spelen mede een rol. Het verschil met speculatie is dat bij speculatie bewust open posities worden ingenomen: nu kopen in de hoop om op een later tijdstip tegen een gunstigere prijs te verkopen, zonder dat deze posities voortkomen uit de eigen behoeften van de organisatie en waarbij vraag en aanbod niet in evenwicht zijn. • In opdracht van klanten: vermogensbeheerders en fondsbeheerders die met geld van derden dat zij onder beheer hebben een zo goed mogelijk resultaat proberen te behalen. Board
Finance & control
Front-office
wordt gelegd. Een veel gebruikt argument hierbij is dat preventieve controles het korte moment waarop een winstmogelijkheid zich voordoet voorbij laten gaan. Hetzij omdat in de tussentijd de koers zich verder heeft ontwikkeld, hetzij omdat een andere partij ‘in het gat gesprongen is’. Echter, de risico’s die samenhangen met trading kunnen door zowel preventieve als repressieve maatregelen worden geadresseerd. Bij voorkeur ontwerpen tradingorganisaties deze maatregelen in een samenhangend geheel in een zogenoemd control framework. Hierin worden zowel procedurele maatregelen opgenomen als maatregelen die in of met behulp van applicaties worden afgedwongen. Hieronder volgt een analyse van enkele beheersingsmaatregelen van een aantal voor de hand liggende risico’s. Mandaten en tradingstrategie
Voor het uitvoeren van de trades gelden spelregels, vastgelegd in een tradingstrategie. Deze is bedoeld om inherent met trading verbonden risico’s te beperken. Aan de hand van deze strategie worden regels en mandaten voor traders opgesteld. Hierbij moet worden gedacht aan welke instrumenten zijn toegestaan, limieten per instrument waarmee een trader handelt, limieten per tegenpartij waarmee gehandeld mag worden, limieten per valuta, limieten per land, et cetera. Traders die buiten hun mandaat handelen worden rogue traders genoemd (zie kader).
Risk management
Mid-office
Back-office
Figuur 1: Gesimplificeerde weergave van een tradingorganisatie
Risico’s en risicobeheersing bij trading Traders kunnen zowel inkopen als verkopen. Dit doorbreekt de klassieke functiescheiding in een handelsorganisatie zoals Starreveld die voor ogen had. Traders hebben direct toegang tot de in de meeste gevallen zeer dynamische markt, waardoor de nadruk op detectieve en repressieve controls
Functiescheiding tussen trading en de administratieve afwikkeling
Vanwege het feit dat bij een trader de in- en verkoopfunctie in één hand zit, is een tradingorganisatie zodanig ingericht, dat er functiescheiding is tussen de dealers (frontoffice) en de administratieve afwikkeling in mid- of backoffice. Iedere trade wordt aan de tegenpartij bevestigd. Traders leggen hun deals vast in een tradingapplicatie, de primaire registratie. Dit proces wordt ook wel deal capturing genoemd. Functiescheiding tussen frontoffice en mid/backoffice moet voorkomen dat dealers hun eigen trades goedkeuren. Omdat
Rogue trading Een rogue trader is een bevoegde medewerker die ongeautoriseerde trades doet namens zijn werkgever. De meest voorkomende variant is ongeautoriseerde financial trading, zie onderstaand overzicht van de bekendste rogue traders. Rogue trading bevindt zich in een grijs gebied tussen civiel en strafrecht, want de overtreder is wettelijk gezien een werknemer maar hij sluit overeenkomsten af namens zijn werkgever waar hij niet toe bevoegd is. Overzicht van de grootste rogue trading verliezen: Naam
Verlies
Instelling
Markt
Nick Leeson, 1995
£827 miljoen
Barings Bank
Nikkei index futures
6.5 jaar
Toshihide Iguchi, 1995
£557 miljoen
Resona Holdings
US Treasury bonds
4 jaar
Yasuo Hamanaka, 1996
$2.6 miljard
Sumitomo Corporation
Copper
8 jaar
John Rusnak, 2002
£350 miljoen
Allied Irish Banks
FX options
7.5 jaar
Luke Duffy, Oct 03 - Jan 04
AU$360 miljoen
National Australia Bank
FX options
16 jaar
Jérôme Kerviel, 2006 - 2008
$7.2 miljard
Société Générale
European stock index futures
In onderzoek
(De grootste en bekendste rogue traders. bron: Wikipedia) 23 | de EDP-Auditor nummer 3 | 2008
Gevangenisstraf
van alle trades bevestigingen worden ontvangen (door een andere afdeling dan de traders in de frontoffice) kan hiermee tevens de volledigheid van de primaire registratie worden vastgesteld.
“Bank A”
Koopt 100 aandelen “Bedrijf C“
Opgave ter bevestiging
“Bank B”
Aanvraag voor overschrijving van 100 aandelen naar “Bank A”
Custodian (Beheert Portefeuille)
Figuur 2: Gesimplificeerde weergave van het trade proces.
Risk management bewaakt de posities en de limieten
Risk management is een aparte afdeling binnen de organisatie, die op basis van de dagelijkse geproduceerde resultatenrekening onder andere bewaakt: • Hoe de tradingresultaten zich ontwikkelen. • Dat individuele traders binnen het afgesproken mandaat blijven. • Dat het kredietrisico per counterparty niet wordt overschreden. • Wat de marktrisico’s van gemaakte trades zijn en hoe de markt zich ontwikkelt. Bij het beoordelen van risico’s dient te worden bedacht dat de menselijke factor een rol kan spelen: wanneer een trader opvalt die in het verleden al enkele succesvolle deals heeft gesloten, zal de Risk Management-afdeling geneigd zijn deze trader te vertrouwen en wordt bij afwijkende cijfers hoogstwaarschijnlijk niet direct ingegrepen door het management. Extern toezicht voor financial trading
Naast interne risicobeheersing, vindt voor trading in financiele instrumenten ook toezicht door externe partijen plaats. In Nederland zijn dat de AFM (Autoriteit Financiële Markten, toezichthouder op het gedrag van deelnemers in de financiële markten, waaronder: financiële dienstverleners, beurzen, bemiddelaars en accountants) en DNB (De Nederlandse Bank). Deze toezichthouders stellen kwalitatieve en kwantitatieve eisen. Rol van IT-systemen Heden ten dage is het onmogelijk om zonder IT-systemen te handelen. Niet alleen zijn bij de meeste beurzen de beursvloeren vervangen door schermenhandel, ook bij deal capturing, waardering van deals en risk management spelen ITsystemen een rol. Het gebruik van een allesomvattende applicatie voor het gehele tradingproces is echter nog geen gemeengoed. Een voordeel van een dergelijke applicatie is dat dit zorgt voor meer overzicht en het mogelijk is de trade van begin tot eind te volgen. Toch worden dergelijke applicaties niet veel toe-
gepast. Deels omdat deze applicaties nauwelijks op de markt zijn omdat het bijvoorbeeld erg complex is om een administratie inclusief waardering van valutadeals te integreren met realtime informatie over kasstromen. Verder kunnen deals van een dermate grote complexiteit zijn dat voor de vastlegging daarvan gespecialiseerde applicaties gebruikt moeten worden. Dit is vooral het geval bij samengestelde deals, waarbij risico’s voor de organisatie worden beperkt door een mix van instrumenten en/of looptijden. Ook waarderingsvraagstukken die samenhangen met het gebruik van International Accounting Standard 39 over Financial Instruments worden vaak in afzonderlijke applicaties afgehandeld. En daar waar applicaties niet in alle informatiebehoeften voorzien of niet naadloos op elkaar aansluiten, wordt binnen tradingorganisaties traditioneel gebruik gemaakt van spreadsheets met alle bijbehorende risico’s van fouten, bewuste of onbewuste datamanipulatie. Geïntegreerde systemen met Straight Through Processing maken controle gemakkelijk(er) en rapportages kunnen rechtstreeks uit de applicatie worden ontleend. Overigens moet de complexiteit (en dus de controleerbaarheid) van dergelijke applicaties niet worden onder- respectievelijk overschat. IT control framework Iedere organisatie, ongeacht of zij zich met trading bezig houdt of niet, regelt een deel van het control framework via de IT-systemen en applicaties. Onderstaand schema geeft de samenhang van de maatregelen weer.
Classification of controls
Automated Controls
Manual Controls
(Purely) Manual Controls
Manual Prevent
IT-Dependent Manual Controls
Application Controls
Manual Detect
IT Generals Controls
Figuur 3: De relaties tussen IT general controls, Application Controls en IT Dependent Manual Controls
IT general controls IT general controls hebben tot doel om gebruikers in staat te stellen te vertrouwen op de resultaten van gegevensverwerking in hun applicaties. Hierdoor wordt als het ware een ‘schil’ rondom de IT-systemen en applicaties gecreëerd met als doel dat uitsluitend geautoriseerde gebruikers toegang hebben tot de applicatie met rechten die passen bij hun taken. Ook worden er uitsluitend geautoriseerde en geteste wijzigingen in productie genomen. IT general controls vormen de randvoorwaarde voor effectieve application controls en IT dependent manual controls, zoals ook in figuur 3 aangegeven is.
24 | de EDP-Auditor nummer 3 | 2008
Application controls Binnen applicaties kunnen geprogrammeerde validaties worden gebruikt in de vorm van application controls die ‘automatisch’ zekerheid bieden dat ongeoorloofde acties niet of in ieder geval niet onopgemerkt uitgevoerd kunnen worden. In tradingapplicaties kunnen voor traders harde of zachte limieten worden ingesteld per transactie, per portfolio, per beurs, per instrument en/of per tegenpartij. De limieten kunnen worden afgeleid van de richtlijnen van het management, de Risk Management-afdeling, het tradersmandaat en dergelijke. IT dependent manual controls IT dependent manual controls zijn handmatige beheersingsmaatregelen die afhankelijk zijn van geautomatiseerde gegevensverwerking in de applicaties. Een voorbeeld voor tradingorganisaties is een controle op fouten en overschrijdingen met behulp van een rapport dat door een applicatie gegenereerd wordt, zoals uitzonderingsrapportages, positierapporten en dergelijke. Het is overigens van belang dat dergelijke controlewerkzaamheden in functiescheiding worden uitgevoerd. Deze controls horen dus niet in de frontoffice thuis. Het IT control framework wordt sterker, naarmate er meer gebruik wordt gemaakt van preventieve controls. Een nadelig effect van een dergelijke framework is dat de in trading omgevingen gewenste flexibiliteit in meer of mindere mate wordt weggenomen. Toepassing bij tradingorganisaties Gelet op de inherente risico’s van trading en het veelal gefragmenteerde applicatielandschap, zijn de eisen die ons inziens moeten worden gesteld aan het control framework, en dus ook aan het IT control framework, strikt, en veelal verdergaand dan bij een ander type activiteit. Dit geldt zowel voor de opzet als de naleving van de procedures. Veel tradingorganisaties hanteren een mandaat voor traders en vertrouwen in belangrijke mate op controle achteraf door middel van rapportages (zowel door applicaties gegenereerde als handmatige rapportages). Ten eerste kan men zich afvragen of de kwaliteit van deze rapportages wel voldoet aan daaraan te stellen eisen qua volledigheid, juistheid en/of tijdigheid, maar bovenal hebben deze controls een detectief karakter, waardoor corrigerende maatregelen wellicht te laat komen. De aard van tradingactiviteiten vraagt naar ons oordeel om een aantal preventieve controls. Zowel op het gebied van IT general controls als application controls. Vanuit de praktijk hebben wij enkele aandachtspunten: Voor logische toegangsbeveiliging: • Functiescheiding tussen front-, mid- en backoffice functies, dient door middel van logische toegangsbeveiliging van applicaties te worden afgedwongen. Hiermee wordt voorkomen dat traders hun eigen trades kunnen accorderen en kan door het matchen van bevestigingen met de
geregistreerde trades de volledigheid worden gecontroleerd. • In een autorisatiematrix dient voor alle medewerkers vastgelegd te worden wat hun bevoegdheden zijn. Deze matrix omvat niet één maar alle in aanmerking komende applicaties binnen het tradingproces. De matrix moet vervolgens één-op-één toegepast worden in de onderscheiden applicaties. • Wanneer een trader in of uit dienst gaat of bijvoorbeeld vanwege uitbreiding van zijn takenpakket andere rechten in een systeem moet krijgen, zal dit tijdig, door middel van een eenduidige procedure, moeten gebeuren. Hier moet in ieder geval de direct leidinggevende van de gebruiker goedkeuring verlenen. • In aanvulling op het bovenstaande punt moeten periodiek alle logische toegangstabellen gecontroleerd worden. De frequentie van deze controle is afhankelijk van de importantie van de applicatie maar is ten minste eenmaal per jaar. • Het instellen van complexiteitsregels en het frequent wijzigen van wachtwoorden voor applicaties en IT-systemen, zodat triviale wachtwoorden niet mogelijk zijn en wordt voorkomen dat wachtwoorden op andere wijze bekend raken bij anderen. • Het maandelijks controleren en analyseren van de logbestanden om ongeoorloofde acties op te sporen en daar follow-up aan te geven. • Het beheer van de database met static data (limieten etc.) en transactiegegevens mag niet in handen zijn van reguliere gebruikers. Voor change management zijn de volgende aandachtspunten van toepassing: • Alleen wijzigingen in programmatuur die zijn getest en goedgekeurd door applicatiebeheerders mogen in de productieomgeving worden opgenomen. • Strikte scheiding tussen ontwikkel-, test- en productieomgeving. Ontwikkelaars behoren geen toegang te hebben tot de productieomgeving. • Indien ingrijpen in de productieomgeving gewenst is, dienen hiervoor de gebruikelijke change managementprocedures te worden gevolgd. Als dit vanwege tijdskritische oorzaken niet kan, dan moet een zogenoemde rode envelop procedure worden gevolgd en moeten de activiteiten van de ontwikkelaar worden gelogd en achteraf goedgekeurd worden. Application controls zijn uitermate geschikt om beperkingen die opgelegd worden door het tradingmandaat af te dwingen. Beperkingen die opgelegd kunnen worden zijn bijvoorbeeld een limiet op de waarde die een trader per transactie maximaal mag uitgeven, of een limiet op het aantal transacties dat gedaan mag worden. Deze beperkingen kunnen ‘hard’ (geen trade mogelijk als de limieten worden overschreden) of ‘zacht’ (waarschuwing en mogelijk ook signalering bij Risk Management-afdeling via specifieke rapporta-
25 | de EDP-Auditor nummer 3 | 2008
ges) worden afgedwongen. Met het gebruik van application controls wordt weliswaar de in tradingomgevingen gewenste flexibiliteit in meer of mindere mate weggenomen, maar hier komt preventieve zekerheid voor in de plaats. Dit maakt de risicobeheersing van de organisatie sterker. Niets nieuws onder de zon? Na lezing van de voorgaande analyse en aanbevelingen bekruipt menigeen wellicht het gevoel dat er geen nieuws wordt verkondigd. Recent onderzoek door Cyber-Ark wijst uit dat 42 procent van alle organisaties (niet specifiek tradingorganisaties) hun wachtwoorden nooit wijzigen, terwijl Gartner in een recent rapport heeft geconcludeerd dat bij heel veel organisaties missiekritische applicaties open staan door het gebruik van permanente administrator of superuser wachtwoorden. EDP-auditors verkondigen herhaaldelijk de boodschap om de logische toegangsbeveiliging, change management- en incidentprocedures zorgvuldig te documenteren en regelmatig te toetsen. De vraag is echter of deze boodschap wel door de organisaties wordt begrepen. Hoewel niet specifiek door ons onderzocht, kunnen we aan de hand van informatie uit openbare bronnen concluderen dat zowel bij de incidenten bij Barings als bij Société Générale sprake was van een situatie waarbij: - De IT general controls niet effectief waren in die zin dat organisatorische functiescheidingen niet in de applicaties waren afgedwongen. Traders hadden de mogelijkheid om een fictief bedrijf, een fictieve tegenpartij of het boekingschema aan te passen waardoor bepaalde deals op een tussenrekening werden geboekt. - Men geen application controls in tradingapplicaties had ingeregeld voor de in de tradingmandaten afgesproken limieten. Hierdoor hadden grote posities, overschrijding van limieten per tegenpartij en dergelijke voorkomen kunnen worden. - Voor de detectieve controles uitgevoerd door Risk Management geen adequate follow-up heeft plaatsgevonden. Zowel bij Barings als bij Société Générale kan bovendien worden getwijfeld aan de mate van controlebewustzijn, of in geval van Barings – waar trading een nieuwe activiteit was – deskundigheid van het management.
maatregelen. Zo moeten strak ingeregelde logische toegangbeveiligingsprocedures voorkomen dat functiescheidingen doorbroken worden en wordt geregeld dat alle changes en andere ingrepen in de productieomgeving volgens een vaste procedure lopen. Preventieve application controls zorgen ervoor dat tradersmandaten nageleefd worden. Met de detectieve IT dependent manual controls wordt vervolgens toezicht gehouden op de uitkomsten van het tradingproces. En uiteraard moet de organisatie adequaat follow-up geven aan gesignaleerde afwijkingen. En zo kan IT bijdragen aan de beheersing van risico’s bij tradingorganisaties c.q. kunnen incidenten worden voorkomen. Nick Leeson heeft in een commentaar op de Societe Generale gebeurtenissen gezegd: ‘[Rogue trading] is probably a daily occurrence amongst the financial markets’. Dus wie van mening is dat het allemaal zo’n vaart niet loopt, adviseren wij de krant te blijven lezen. ■
Conclusie Risicobeheersing in een tradingomgeving vraagt om specifieke aandacht. Trading is een specialistisch vakgebied dat door het gebrek aan fysieke stromen weinig tastbaar is. Risicobeheersing wordt bemoeilijkt door gecompliceerde instrumenten die hetzij worden vastgelegd in een complex geïntegreerd IT-systeem, dan wel in een verzameling applicaties en spreadsheets met elk een specifiek doel. Beheersing van risico’s bij tradingactiviteiten vereist control bewustzijn van het management en dit moet ook in de organisatie door het management worden uitgedragen. Een control framework met een nadrukkelijke rol voor IT vervult hierbij een belangrijke rol. In het IT control framework wordt gebruik gemaakt van een mix van algemeen bekende 26 | de EDP-Auditor nummer 3 | 2008
