Risico # Beheersingsmaatregel Element Fraudedrieho ek Operational Risk Categorie
1 Verplichte vakanties (Mandatory vacations): Het management heeft een verplichte vakantie periode ingesteld voor kritische functies waaronder traders, waarbij zij gedurende een periode van minimaal 10 werkdagen geen gebruik mogen maken van en geen toegang hebben tot trading systemen, zodat eventuele onregelmatigheden (bijv. in trading books, suspense accounts, reconciliatie, (niet geconfirmeerde) positie informatie, trade breaks etc) zichtbaar worden.
Gelegenheid - Human
Resources Risk
2 Trading / Risk limit breaches:
- Het management heeft duidelijke trading/ Risk/ P&L limieten vastgesteld. In trading mandaten is o.a. vastgesteld welke traders in bijv. welke boeken, producten, markten en met elke tegenpartijen mogen handelen.
- Een onafhankelijke control afdeling (bijv. Risk Management) voert monitoring uit op eventuele afwijkingen van het trading mandaat en limit breaches en rapporteert c.q. escaleert hierover richting management, die vervolgens mitigerende / disciplinerende maatregelen bepaalt en uitvaardigt aan traders.
Gelegenheid - Processing Risk - Human
Resources Risk - Organization Risk - Information Risk
3 Analyse van (ongerealiseerde) ”Profit en Loss” (P&L) en “Value at Risk” (VaR):
- Een onafhankelijk control afdeling (bijv. Risk Management) analyseert de (ongerealiseerde) Profit en Loss (P&L attributie) en VaR (per trader) en beoordeelt o.a. of er niet- gesettelde transacties in de boeken staan die bijv. tegen “off- market” rates gewaardeerd staan. Aan de hand van P&L attributie en VaR calculatie vindt analyse plaats van het onderliggend risico van de transacties (incl. long en short posities) en eventuele ABC trades.
- Tevens is voldoende aandacht voor en analyse van
Gelegenheid - Organisation Risk - Information Risk - Processing Risk
onregelmatige trading patronen, waarderingen van posities (m.n. exotische instrumenten of instrumenten waar geen of een illiquide markt voor is) en signalen over onregelmatigheden die door bijv. exchanges, brokers, clearing instellingen en custodians geadresseerd worden. - Risk Management rapporteert over de P&L attributie en VaR analyse (per trader) incl. eventuele onregelmatigheden richting verantwoordelijk management en evt. mitigerende maatregelen die getroffen dienen te worden.
4 Adequate inrichting en werking van confirmatie, settlement en reconciliatie processen:
- Het verantwoordelijk management dient adequate confirmatie, settlement en reconciliatie processen in te richten, welke onafhankelijk door Back Office effectief verricht worden om gaps en zwakheden in de interne beheersing te voorkomen en om breaks en ongebruikelijke patronen te identificeren (bij m.n. OTC Derivaten posities / exotische instrumenten) en op te lossen.
- Volledige reconciliatie van alle accounts, intern en extern, suspense accounts, gecorrigeerde P&L boekingen en kosten, het monitoren van openen en sluiten van accounts (incl. inactieve accounts).
- Daarnaast dient door de Back Office een adequate positie reconciliatie ingericht en uitgevoerd te worden tussen alle relevante Front Office, Risk Management en Back Office systemen.
Gelegenheid - Organisation Risk - Processing Risk - Information Risk
5 Adequate inrichting en werking van (Front Office) supervisie, organisatie structuur, functiescheiding en accountability & responsibility:
- De rollen, verantwoordelijkheden en supervisie activiteiten zijn duidelijk belegd en vastgelegd met betrekking tot de accountability van traders en aan wie zij dienen te rapporteren, zeker in die gevallen waar bijv. een matrix organisatie geldt (en verwarring kan ontstaan m.b.t. verantwoordelijkheden en verantwoording). - Het verantwoordelijk management zorgt voor een adequate controletechnische functiescheiding tussen Front Office, Mid-
Gelegenheid - Processing Risk - Human
Resources Risk - Organisation Risk - Information Risk
en Back Office en Risk Management, inclusief effectuering van deze functiescheiding d.m.v. logical acces control in de relevante systemen.
- Het verantwoordelijk management houdt voldoende supervisie over alle activiteiten van traders mede aan de hand van trading mandaten / authorized trading framework waarin o.a. is vastgesteld welke traders in bijv. welke boeken, producten, markten en met elke tegenpartijen mogen handelen.
- Daarnaast vindt door het verantwoordelijk management een duidelijke beoordeling plaats of elke trader over voldoende kennis / ervaring beschikt om bepaalde complexe instrumenten / trading strategieën te handelen
- Transacties mogen alleen via de trading room en gedurende trading hours verricht worden door traders. Tevens worden transacties via voice logging vastgelegd. - Legal requirements als gevolg van trading activiteiten met tegenpartijen, exchanges etc. zijn gedocumenteerd en vastgelegd in contracten / master agreements met deze partijen. Indien special arrangements (third party payments or prime brokerage services) met tegenpartijen zijn afgesproken is dit ook vastgelegd in contracten.
- Er is een duidelijke rolverdeling van specifieke aandachtsgebieden naar specifieke managers. Deze managers hebben frequente communicatie met traders over de trading activiteiten, zodat zij zich adequaat geïnformeerd laten worden door de betreffende traders over o.a. de integriteit van betreffende trading activiteiten.
- Het verantwoordelijk management houdt periodiek op een holistische wijze discussie en review sessies met traders, portfolio managers, risk managers (en andere relevante partijen over trading portfolios of (eigen) boek posities op een holistische basis, met specifieke focus op posities die atypisch lijken of niet bijdragen aan de trading strategie of cliënt mandaat. Specifieke aandacht gaat uit naar traders met grotere trading boeken of minder ervaring.
Compliance, Financial Risk, Credit en Operational Risk Management afdeling) voeren periodieke onafhankelijke trading reviews uit op de trading strategieën, business performance en het risico profiel. Onafhankelijke waardering en validatie van trading posities (incl. evt. hedging transacties) en post-trade analyse zijn daarbij van essentieel belang. Daarnaast is het van belang dat traders de trading strategie en trading mandaat volgen en dat de performance risk van elke trading strategie aligned is met het risico profiel van de organisatie. De uitkomsten van deze onafhankelijke holistische trading review worden in het Risk Committee besproken en geëvalueerd.
6 Beoordeling effectiviteit van bestaande internal controls (control testing):
Het verantwoordelijk management beoordeelt periodiek de effectiviteit van bestaande internal controls, zowel de handmatige als geautomatiseerde controls (control testing), die opgezet zijn om ongebruikelijke trading patronen en ongeautoriseerd handelen van een trader te detecteren.
Gelegenheid Processing Risk / IT Risk
7 Adequate toekenning en intrekking van rechten tot systemen, logische toegangsbeveiliging proces en adequate protectie van risk management informatie: - Het verantwoordelijk management zorgt voor een adequate password beveiliging tot systemen, incl. toekenning, intrekking en het control testing proces daarvan. Daarbij wordt specifiek aandacht geschonken aan interne medewerkers van Back Office en Risk Management (met specifieke kennis van Back Office en Risk Management processen en systemen) die een nieuwe functie krijgen als trader.
- Het verantwoordelijk management zorgt voor de protectie van informatie over (risk management) surveillance en monitoring systemen en procedures om ongeautoriseerd handelen te detecteren, zodat potentiële fraudeurs deze systemen niet kunnen omzeilen.
- Het verantwoordelijk management stelt (periodiek) vast dat toegekende rechten (incl. detailbeoordeling op toegang tot
Gelegenheid - Processing Risk - Human
Resources Risk - Organisation Risk - Information Risk
trading boeken) aan traders ook voldoen aan de business needs (need-to-act en need-to-know basis). Toegangsrechten voor Trading en post-trading functies mogen nooit gecombineerd worden.
8 Adequate compliance cultuur en adequate control functies. Adequate challenge cultuur en een effectieve tone from the top (benadrukken eerlijkheid, integriteit, accountability en “responsible risk-taking”):
Het verantwoordelijk management zorgt voor een adequate compliance cultuur / tone from the top, waarbij de nadruk ligt op eerlijkheid, integriteit, high professional standaard, accountability en responsible risk taking vastgelegd is in de Code of Conduct.
Daarbij worden o.a. de volgende beheersingsmaatregelen adequaat ingericht en uitgevoerd:
- Het stellen van een juiste balans tussen profitability drivers en (operational) risk culture / tolerance op verschillende levels in de organisatie, beginnend bij de front office.
- Het stellen van operational risk limieten op basis van key risk indicators, scorecards, alert levels etc. De doelstellingen en limieten zijn aligned met de risk strategie en overall risk appetite.
- Het verantwoordelijk management is zelf adequaat opgeleid met de juiste skillset om supervisie te houden over de traders en deze te challengen.
- Mid- en Back Office, Compliance, Risk Mangement en Audit afdelingen zijn adequaat opgeleid, onafhankelijk in hun functioneren en worden gestimuleerd de Front Office te challengen.
- Issues (bijv. verdachte transacties door traders en anomalieën) die door Mid- / Back Office, Compliance, Risk Management en Audit medewerkers gesignaleerd worden, moeten onafhankelijk gerapporteerd kunnen worden en vervolgens adequaat opgevolgd en opgelost worden.
- "Open-door policy" om incidenten te melden, zonder angst voor consequenties, zodat verliezen tijdig gerapporteerd
Druk, Rationalisatie & Gelegenheid - Organisation Risk - Human Resources Risk - Information Risk
worden door traders aan verantwoordelijk management om (niet gerealiseerde en onverwachte) verliezen te limiteren en damage control te kunnen verrichten.
- Internal Control afdelingen worden adequaat gecompenseerd voor de rol die van hen verwacht wordt. - Incentives en compensation van traders en supervisors zijn op een zodanige wijze gestructureerd dat deze aligned zijn met responsible en professional behaviour / responsible risk-taking en het risicoprofiel van de organisatie.
- Duidelijke standaarden en procedures over zakelijke relaties tussen traders en hun tegenpartijen, inclusief dilemma en awareness trainingen.
- Focus op afwijkingen (mede n.a.v. geconstateerde verdachte transacties en overige anomalieen), bijv. veranderingen in lifestyle van medewerkers (onverklaarbare groei in welvaart), review / surveillance van persoonlijke en familiaire beleggingen en accounts en het verzamelen en reviewen van beschikbare email, telefoon logs en andere communicaties (zoals text messages of social netwerk activiteiten).
- Daarnaast is een klokkenluidersregeling ingesteld om eventuele vermoedens van trading fraude te melden.
9 "Full Picture" Monitoring via geaggregeerde Management Information:
- Het verantwoordelijk management waarborgt dat Management Informatie adequaat geaggregeerd en gerapporteerd (door bijv. data migratie of middleware producten) wordt zodat voldoende inzicht is in de handelsactiviteiten (instrumenten en markten) en de risk en performance van elk individuele trader.
- Daarnaast worden eventuele signalen buiten het internal framework, die ontvangen worden van bijv. exchanges, toezichthouders, tegenpartijen, custodians etc. adequaat geanalyseerd, onafhankelijk van traders en betrokken in de Management Information. Inclusief eventuele escalatie naar verantwoordelijk management bij vaststelling van onregelmatigheden.
Gelegenheid - IT Risk
- Processing Risk - Information Risk
10 Adequate margining, collateralisation en cash management processen:
Het verantwoordelijk management zorgt voor een adequate reconciliatie tussen margin / collateral calls enerzijds en de posities in de boeken anderzijds. De bruto en netto cashflows worden in de context van de trader mandaat, posities en gerapporteerde P&L geplaatst, geanalyseerd en afgestemd met een onafhankelijk control functie (die verantwoordelijk is voor verificatie van P&L en waarderingsprocessen).
Gelegenheid - Processing Risk - Information Risk - Organisation Risk
11 Adequate systeem audit trail & documentatie:
Het verantwoordelijk management zorgt voor een adequate (IT) systeem audit trail en documentatie waarmee voldoende inzicht kan worden verkregen op handelingen die verband houden met de trading transacties. Bijv. alle (relevante) (trading) posities, cash flows, profits en losses, margins en collateral calculaties en alle relevante wijzigingen hierop.
Gelegenheid - Processing Risk - Information Risk /