First Line of Defense:
- Onvoldoende supervisie van de Exchange Traded Funds Desk: bij de hand-over van de Desk van de ene naar de andere Divisie is bewust gekozen voor een gefaseerde transfer. Hierdoor ontstond veel onduidelijkheid over rollen en verantwoordelijkheden.
- Onvoldoende supervisie en opvolging door management van gemelde issues.
- Onvoldoende analyse van oorzaken van significante toename netto inkomsten: de netto inkomsten in 2010 bedroegen $ 9 miljoen. In het eerste kwartaal van 2011 bedroeg de netto inkomsten $ 21 miljoen en in het tweede kwartaal $ 56 miljoen. De toename in inkomsten was verschillende keren meer toegenomen dan de toename van de risk limit van de betreffende desk. Desk lijnmanagement heeft geen navraag en onderzoek gedaan naar de oorzaken hiervan.
- Doorbreking van desklimieten zonder duidelijke onderzoek dan wel opvolging door Supervisors / Desk lijnmanagement.
- Geen onderzoek en opvolging bij vaststelling reconciliatie breaks: Desk lijnmanagement werd door Operations geïnformeerd dat er in het reconciliatie proces verschillende breaks (late boekingen van external futures transacties en eenzijdige internal transacties) waren vastgesteld. Desk lijnmanagement heeft geen nader navraag bij trader gedaan, dan wel nader onderzoek ingesteld naar de oorzaken (hoe en waarom). De ongeautoriseerde transacties kwamen terug als reconciliatie verschillen, maar werden niet nader onderzocht door junior personeel.
- Systeem failures: UBS ontwikkelde een Supervisor Control Portal (SCP) voor risk control supervisie doeleinden, welke detailinzicht verschafte in de Profit en loss ontwikkeling, risk reports en review reports m.b.t. cancelled, amended en late transacties. De SCP werd gevoed door trading desk deal capturing systemen en de Front Office risk systemen. SCP had een aantal fundamentele deficiencies:
o Het risk review report met cancelled, amended en late Exchange Traded Funds (ETF) transacties werd naar de vorige desk supervisor verstuurd die geen supervisie verantwoordelijkheid meer over de desk had.
o De report functionaliteit bevatte lange tijd onjuiste informatie m.b.t. future trades. o Het report met future transacties werd alleen naar traders op de Desk verstuurd en
werd daarom niet goedgekeurd door verantwoordelijk Desk Supervisory Management.
o Het SCP systeem genereerde veel verschillende alerts die niet nader geflagged of nader onderzocht werden door het verantwoordelijk management dan wel Operations.
- Meer faciliterende rol van Operations dan een specifieke risk control mandaat: Operations had geen challenge rol, maar een meer logistieke support rol en werkte nauw samen met Front Office om verschillen op te lossen op basis van verklaringen van traders in plaats van de challenge en control based functie om na te gaan of de verschafte verklaringen wel correct waren.
- Ondermijning van de risk control functie van Operations:
o Meerdere Mid-Office medewerkers hadden aspiraties om in de Front Office te werken, waardoor een kritische houding en effectieve controlfunctie onder druk kwam te staan.
o De Desk genereerde door de tijd heen veel breaks op de controls die uitgevoerd werden door de Operations. Daardoor bestond de indruk bij met name junior personeel dat dit gebruikelijk was en daarom werden deze breaks niet verder onderzocht.
Second Line of Defense:
De Finance Divisie (Product Control)
- Niet adequaat challengen en escaleren van Profit en Loss suspensie: de Product Control afdeling kon aanpassingen doen aan de profit en loss naar aanleiding van booking errors, timing verschillen bij trade vastlegging en uitgestelde pricing. De trader communiceerde deze naar de Product Control afdeling. Deze correcties werden niet seperaat vermeld in de dagelijkse profit en loss report. Profit en loss suspensies bedroegen $ 1,6 miljard tot augustus 2011. Deze suspensies werden niet adequaat gechallenged en geëscaleerd door de (junior) product controller.
- Geen analyse en nader onderzoek naar de significante Desk profitability door Product Control: Product Control deed geen gedetailleerd onderzoek naar de oorzaken (analyse van driver en grootte van onderliggende intra-day posities) van de significante Desk profitability.
- Geen analyse en nader management review naar onderliggende activiteiten en oorzaken bij niet gesubstantieerde, verouderde, twijfelachtige items die resulteerde uit het Global Balance Sheet Ownership en verificatie proces: Bij bespreking van een break van CHF 209 miljoen in het Finance London Operational Risk Committee werd geconcludeerd dat er geen bedragen “at risk” waren.
De Risk Divisie:
- Geen effectieve implementatie en werking van aanvullende beheersmaatregelen op door Operational Risk Control vastgestelde control weaknesses: Naar aanleiding van het significante Rogue Trading Incident bij Société Générale in 2008 voerde Operational Risk Control een Rogue Trader Review uit op de kans van een mogelijk significante verlies als gevolg van ongeautoriseerd handelen. Operational Risk Control concludeerde dat er geen control deficiencies waren die stelselmatige geëxploiteerd konden worden, maar dat er wel een aantal control weakness areas waren. Deze zijn vervolgens onvoldoende effectief geïmplementeerd, echter Second Review door Operational Risk Control concludeerde dat dit wel het geval was.
Third Line of Defense:
- Group Internal Audit identificeerde verschillende issues, maar kwalificeerde deze als “below significant” en medium risk: De issues werden als “other” gekwalificeerd , en werden daarmee:
o niet geëscaleerd naar (Executive) Board Risk en Audit Committees.
o gesloten op basis van verstrekt bewijsmateriaal in plaats van substantieel test basis. Alle issues werden tot tevredenheid van Group Internal Audit in juni 2010 gesloten.
- Group Internal Audit kwalificeerde een issue in juli 2011 als “significant” en “Senior Leadership Action Required” echter de deadline voor actie was 31 december 2011: Op het moment dat ongeautoriseerde trading werd geconstateerd op 22 september 2011 was de deadline van de betreffende actie nog niet gerealiseerd. Het issue betrof het vaststellen van verantwoordelijkheden tussen Equities en Operations Management om de volledigheid van het SCP systeem met alerts te beoordelen, inclusief focus op late, cancelled en amended trades.