MiFID heeft tot doel beleggers te beschermen en financiële

Transcriptie

1 Artikel MiFID: zelfs bij business as usual verandert veel IT processen van beleggingsondernemingen wijzigen door implementatie van EU Richtlijn Ivo Bolderhey en Floris IJpeij Wie denkt dat marktwerking alleen iets is voor politici en marketeers, zal verrast opkijken van nieuwe Europese regelgeving, die binnenkort in Nederland van kracht wordt. Na het tijdperk van de milleniumbug en de introductie van de euro is er voor iedereen die betrokken is bij de IT van beleggingsondernemingen weer iets om mee aan de slag te gaan. Vanaf 1 november 2007 wordt in Nederland nieuwe Europese wetgeving voor beleggingsondernemingen van kracht: de Markets in Financial Instruments Directive (MiFID) 1. MiFID heeft tot doel beleggers te beschermen en financiële markten efficiënter te maken. Om dit te bereiken zijn eisen opgesteld over de wijze van bedrijfuitoefening en over de informatie die daarover aan beleggers en toezichthouders moet worden verstrekt. Dit grijpt rechtstreeks en waarschijnlijk diep in op de IT-omgeving van beleggingsondernemingen al zal in voorkomende gevallen deels gebruik kunnen worden gemaakt van aanpassingen ten behoeve van Sarbanes-Oxley en Basel II regelgeving. De richtlijn is van toepassing op beleggingsondernemingen. Dit begrip is ruimer gedefinieerd dan voorheen, en omvat ondernemingen die financiële diensten uitvoeren voor derden of op professionele basis beleggingsactiviteiten ondernemen. Voorbeelden zijn: commissionairs, effectenmakelaars, vermogensbeheerders, hedge funds en commodity traders. Gemeenschappelijk kenmerk is dat zij in opdracht van derden op markten handelen in financiële instrumenten als aandelen, obligaties, opties, warrants, commodities, futures, etc. MiFID introduceert concurrentie voor de bestaande effectenbeurzen door introductie van de nieuwe handelsvormen Systematic Internalisation en Multilateral Trading Facility. Systematic Internalisation houdt in dat een beleggingsonderneming die zowel aan- als verkooporders van hetzelfde financiele instrument op hetzelfde moment op de beurs wil aanbieden, deze orders eerst intern probeert te matchen. Een Multilateral Trading Facility is een handelsplatform opgericht door een aantal partijen met als doel om onderling financiële instrumenten te verhandelen. In mei 2007 is in het Verenigd Koninkrijk onderzocht of beleggingsondernemingen verwachten op tijd klaar te zijn voor de ingangsdatum van 1 november Uit dit onderzoek bleek dat 60% verwacht niet op tijd klaar te zijn. 2 Drs I.A.J. (Ivo) Bolderhey RE RA en drs F. (Floris) IJpeij RE CISSP zijn werkzaam bij Ernst & Young EDP Audit en zijn als specialist betrokken bij de assurance- en advieswerkzaamheden bij financiële instellingen. Zij maken deel uit van de multi-disciplinaire MiFID/Wft werkgroep van Ernst & Young en Holland Van Gijzen Advocaten, waarin samengewerkt wordt met specialisten op het gebied van Risk Management, en wet- en regelgeving. Dit artikel is geschreven op persoonlijke titel en vertegenwoordigt niet noodzakelijkerwijs het standpunt van Ernst & Young. CobiT als hulpmiddel De strategische keuze om al dan niet van nieuwe handelsmogelijkheden gebruik te maken is in eerste instantie een beslissing van de business. De IT gevolgen van MiFID zijn aanzienlijk, zelfs wanneer geen gebruik wordt gemaakt van de nieuwe handelsfaciliteiten. Vanzelfsprekend zal de IT-impact van MiFID per beleggingsinstelling afhankelijk zijn van factoren zoals het business model, reeds gedane investeringen (in enterprise data, common systems, flexibele architectu- 24 de EDP-Auditor nummer

2 ren), en het algemene process maturity level. Voor de bespreking van aspecten in de vorm van concrete technologiëen, geldt dat technologiëen op zich geen oplossing zijn maar een hulpmiddel. In de woorden van P.J. Di Giammarino (co-chair van de MiFID IT group): MiFID is a business problem [..] Technology-led arguments about what is needed for MiFID are doomed to failure. 3 Om inzichtelijk te maken welke gevolgen de business problems hebben voor de IT omgeving van een beleggingsonderneming is gekozen voor CoBIT vanwege de inmiddels uitgebreidde toepassing als open standaard voor goede IT control en IT governance. CobiT onderscheidt de volgende 4 domeinen: 1 Plan and Organise 2 Acquire and Implement 3 Deliver and Support 4 Monitor and Evaluate Als voorbereiding voor de activiteiten voor het domein Plan and Organise is in dit artikel in kaart gebracht op welke wijze MiFID de Business Requirements en de IT Resources beinvloedt. Met behulp van deze analyse kan verder invulling worden gegeven aan de processen in dit domein. : De voorziening van informatie via het optimale (meest productieve en voordelige) gebruik van middelen. : de bescherming van gevoelige informatie van ongeautoriseerde openbaarmaking. : de accuraatheid en volledigheid van informatie evenals de validiteit in context van bedrijfswaardes en verwachtingen. : Informatie is beschikbaar op het moment dat die benodigd is nu en/of in de toekomst voor bedrijfsprocessen, alsmede het waarborgen van de benodigde middelen en kennis. : Het voldoen aan de wetten, regelgeving en contractuele verplichtingen waaraan het bedrijfsproces onderworpen is. : Het voorzien van informatie aan het management voor het functioneren van de rechtspersoon en voor het uitoefenen van haar fiduciaire en governance verantwoordelijkheden. Nagenoeg alle MiFID-concepten hebben raakvlakken met IT omdat zij rechtstreeks invloed hebben op de bedrijfsprocessen die door applicaties en/of door IT infrastructuur worden ondersteund. Dit kan gepresenteerd worden door koppeling met de (sterk gesimplificeerde) operationele processen van een fictieve beleggingsonderneming, aangegeven met het grijze vlak. De concrete invulling daarvan is afhankelijk van de specifieke situatie van een beleggingsonderneming. Bron: CobiT mapping, Overview of International IT Guidance, IT Governance Institute, 2nd Edition. Business Requirements De CobiT kubus onderscheidt voor Business Requirements de volgende kwaliteitsaspecten: : Informatie is relevant en van belang voor het bedrijfsproces en is aangeleverd op een tijdige, correcte, consistente, en bruikbare wijze. Deze fictieve beleggingsonderneming, die met zo min mogelijk aanpassingen MiFD compliant wenst te worden, is het uitgangpunt van de hierna gepresenteerde analyse. Client Classification Onder MiFID zijn beleggingsondernemingen verplicht klanten te categoriseren op basis van de inschatting die de klant heeft gemaakt van de kennis en ervaring omtrent beleggen (van particulier tot eligable counterparty: grote, specifiek aangewezen tegenpartij). Aan de verschillende categorieën kunnen verschillende niveaus van bescherming worden ontleend. De klanten moeten deze indeling bevestigen aan de onderneming. Deze indeling is geen vast gegeven: klanten kunnen op verzoek dat overigens door de beleggingsonderneming kan 25 de EDP-Auditor nummer

3 worden afgewezen in een andere groep worden opgenomen. Dit kan per financieel instrument en zelfs per order worden aangegeven, zodat voor een individuele klant ten minste één, maar wellicht een aantal risicoprofielen bestaat. Belangrijk aandachtspunt is derhalve de integriteit van de data omdat klantgegevens veelal op verschillende afdelingen worden bijgehouden en bij de uitvoering van iedere regel van een klantorder zal moeten worden vastgesteld wat de in aanmerking komende classificatie is. Wat doet een beleggingsonderneming? Een beleggingsonderneming beheert het vermogen van een derde. Deze ruime omschrijving omvat een veelheid aan verschijningsvormen. Het vermogen kan door een vermogensbeheerder van de beleggingsonderneming worden belegd (bijvoorbeeld een adviseur van een bank) of door de klant zelf (bijv. bij internetbeleggen). Voor iedere klant worden afspraken gemaakt over welke werkzaamheden worden uitgevoerd en welke vergoeding daar tegenover staat. Dit is het proces Client. Op enig moment wordt, hetzij door de portefeuillemanager, hetzij door de cliënt zelf, een transactie geïnitieerd. In het proces Pre-trade worden de details van de transactie uitgewerkt. Hierbij gaat het onder andere om welk financieel instrument, koop of verkoop, tegen de op dat moment geldende koers of tegen limietkoers en eventuele andere voorwaarden. In het proces Execution wordt de order uitgevoerd door op een beurs een tegenpartij te zoeken die tegen dezelfde voorwaarden een tegengestelde transactie wil doen. Beide partijen bevestigen de transactie aan elkaar. Bij effectentransacties vindt vervolgens clearing plaats. Effecten worden niet gehouden door de beleggers zelf maar door zogenoemde custodians. De nieuwe eigenaars moeten door deze custodians worden geregistreerd. In het Post-trade proces wordt de transactie aan de cliënt bevestigd. Het proces Transaction reporting is een specifiek MiFID proces voor de rapportering aan toezichthouders. Voor alle bovenstaande processen geldt dat de beleggingsonderneming maatregelen moet hebben getroffen op het gebied van continuïteit van de systemen en gegevensopslag. Ook kan een beleggingsonderneming een of meer processen outsourcen. Een vergaande vorm van outsourcing is Business Process Outsourcing (BPO) waarbij nagenoeg alle werkzaamheden in de processen Exection en Post-trade aan een derde partij worden overgedragen. Client Classification Client Order Handling Alle beleggingsondernemingen worden verplicht een eigen orderuitvoeringsbeleid (Client Order Handling) te formuleren als onderdeel van de Conduct of Business (CoB). Het doel van deze regels is het voor beleggers transparant maken van het totale proces waarin opdrachten worden uitgevoerd. Dit zijn dus zelf opgestelde kaders, rekening houdend met de MiFID-eisen voor de uitvoering van klantenorders. Een van de nieuwe eisen is dat orders van klanten zo snel mogelijk en zo goed mogelijk moeten worden uitgevoerd en afgehandeld. Dit heeft direct invloed op het gewenste niveau van beschikbaarheid en betrouwbaarheid, en actualiteit van de systemen die deze informatiestromen genereren. De beleggingsonderneming mag zelf invulling geven aan het begrip zo snel mogelijk. Voor de bewaking ligt voor de hand dat er een beheersingsmechanisme wordt ingericht dat continue volgt of aan deze eis wordt voldaan en bij verstoring zorgt voor uitwijk naar een ander systeem. Beleggingsondernemingen moeten bij de communicatie met klanten de volgende randvoorwaarden in acht nemen: de informatie wordt aangeboden via een duurzaam medium; de informatie die over de verschillende kanalen wordt verspreid is consistent; de gepubliceerde informatie is betrouwbaar en wordt continu gecontroleerd op fouten; de informatie (ten behoeve van het vastleggen van bewijsmateriaal) is volledig. Op de beleggingsonderneming rust een uitgebreide informatieplicht. Op het moment dat er voor de klant iets verandert aan het kader waarbinnen zijn transacties worden uitgevoerd, hetzij een wijziging van het orderuitvoeringsbeleid, hetzij een actualisering van het risicoprofiel van die klant, moet de klant hiervan op de hoogte worden gesteld. Daarnaast moeten nieuwe cliënten vooraf instemmen met het orderuitvoeringsbeleid. De wijzigingen op het gebied van client order handling hebben voornamelijk betrekking op een aanscherping van de regels inzake limietorders en verzamelorders. 4 Limietorders welke niet direct uitgevoerd kunnen worden, dienen gepubliceerd te worden om andere marktdeelnemers te informeren. Client Order Handling Best Execution Een belangrijk nieuw concept is best execution. Introductie van dit concept is een direct gevolg van het feit dat de 26 de EDP-Auditor nummer

4 huidige gereguleerde markten als Euronext straks concurrentie zullen ondervinden van Sytematic Internalisers en van Multilateral Trading Facilities. Op flexible wijze zal voor iedere order(regel) gezocht moeten worden naar de best mogelijke deal op de in aanmerking komende markten, volgens de wensen van de klant die bij de orderuitvoering bekend zullen moeten zijn. Dit geeft een geheel nieuwe inhoud aan de begrippen efficiency en effectiviteit van de orderuitvoering. De prijs zal in de meeste gevallen van doorslaggevend belang zijn, maar ook andere factoren zijn denkbaar zoals snelheid en zekerheid van clearing. Beleggingsondernemingen zijn zelf verantwoordelijk voor het definiëren van het best execution beleid. Om zo goed mogelijk geïnformeerd te raken zullen beleggingsondernemingen data van verschillende aanbieders aankopen en deze consolideren in een standaardoverzicht. Een tweede aspect van best execution betreft het aan kunnen tonen dat het orderuitvoeringsbeleid goede waarborgen biedt voor beste uitvoering van de orders. Hierbij ligt het voor de hand dat beleggingsondernemingen de uitvoering zullen monitoren en waar nodig tekortkomingen verhelpen. Beheersingsaspecten die hierbij een rol spelen zijn beschikbaarheid, actualiteit, juistheid en volledigheid van de gegevens van de order zelf en alle informatie die daaraan ten grondslag ligt. Post-trade Disclosure MiFID vereist dat alle ondernemingen (de juiste) handelsinformatie binnen drie minuten na uitvoering van de order vrijgeven. Naast tijdigheid van publicatie hebben beleggingsondernemingen tevens de verplichting om consolidatie met vergelijkbare data van andere bronnen te faciliteren. Verder bestaan expliciete eisen aan de integriteit van post trade publicaties aan klanten, waaronder verificatie van genomen stappen ter waarborging van betrouwbaarheid van gepubliceerde informatie, evenals de monitoring en correctie van fouten in de rapportages. Tenslotte worden beschikbaarheideisen voor publicatie van post-trade informatie genoemd. Best Execution Post-Trade Disclosure Transaction Reporting In Nederland houdt de Autoriteit Financiële Markten (AFM) toezicht op de financiële markten om o.a marktmanipulatie, handel met voorkennis tegen te gaan. De AFM heeft in (concept)verordeningen geformuleerd welke details van individuele financiële transacties, ook transacties die via een MTF of een SI zijn uitgevoerd, moeten worden gerapporteerd in een overigens door de beleggingsonderneming te kiezen formaat. In Annex 1 van the MiFID Implementing Directive 2004/39/EC wordt een opsomming gegeven van de inhoud van de transactierapportages, waaronder identificatie van rapporterende onderneming, instrument, handelsplatform, tijdstip en prijs. Bij buitenpropor tioneel grote orders kan uitstel worden verkregen, variërend van een paar minuten tot een dag. Momenteel is voor Nederland nog niet bekend welke marktpartijen gaan rapporteren aan de AFM. De elementen van de rapportage aan toezichthouders en elementen die genoemd worden in de rapportage aan klanten, moeten onderling consistent zijn. Voorts zal moeten worden nagegaan welke maatregelen nodig zijn om de continuïteit van verstrekking van deze rapportage te waarborgen. Hoewel er geen concrete invulling aan het begrip tijdig is gegeven, kan uit de context worden afgeleid dat wanneer een periode vanaf drie minuten als uitstel wordt aangemerkt dit nagenoeg a tempo zal moeten gebeuren op systemen die nagenoeg continu beschikbaar zijn. De organisatie vult overigens zelf in wat zij in dit verband onder tijdig verstaat en legt dit vast in de Conduct of Business. Vergelijkbaar aan posttrade rapportages, worden aan transactierapportages en aan de methode waarop deze totstandkomen, specifieke kwaliteitseisen gesteld. Deze eisen hebben betrekking op het waarborgen van de betrouwbaarheid en additioneel de confidentialiteit. Transaction Reporting Algemene concepten die het totale proces ondersteunen Er zijn een drietal MiFID concepten die alle processen van een beleggingsonderneming raken of die geen betrekking hebben op een specifiek proces: continuity outsourcing data retention Deze concepten worden hierna toegelicht. Continuity Beleggingsondernemingen moeten zorgen dat beleggingsdiensten zonder noemenswaardige onderbreking kunnen 27 de EDP-Auditor nummer

5 worden geleverd. Dit is momenteel al vereist volgens de Nadere Regelingen, zowel voor prudentieel toezicht door De Nederlandsche Bank (DNB) als voor gedragstoezicht door de AFM. Nieuw is wel dat de MiFID meer gedetailleerde en ook kwalitatieve eisen stelt, onder andere aan snelheid waarmee rapportages worden verstrekt. Deze nieuwe regels zullen een heroverweging noodzakelijk maken van de huidige invulling van het begrip IT-continuity. Deze hernieuwde afweging zal gevolgen hebben voor de aard en de frequentie van back-ups, voor de inrichting van data recovery- en uitwijkprocedures. Belangrijke datacommunicatieverbindingen (zoals naar de beurs of andere handelsplatformen) zullen wellicht dubbel moeten worden uitgevoerd. Alle overwegingen en de voorgestelde maatregelen hieromtrent kunnen in een business continuity plan worden vastgelegd. De verwachting is dat hogere eisen aan de fysieke beveiliging van serverruimtes en co-locations worden gesteld om de kans op uitval door waterschade, stroomuitval en dergelijke verder te beperken. Outsourcing Als de uitvoering van operationele taken door een derde partij wordt overgenomen, moeten maatregelen worden getroffen die tot doel hebben het operationele risico te beperken. Omdat uitbesteding geen afbreuk mag doen aan de kwaliteit van de interne controle en geen belemmering mag vormen voor de werkzaamheden van toezichthouders (zowel AFM als DNB) blijft de beleggingsonderneming verantwoordelijk voor alle diensten die worden uitbesteed aan derden. De MiFID-eisen zullen derhalve moeten worden overgenomen in het uitbestedingscontract (service level agreement), bijvoorbeeld tijdige rapportage aan toezichthouders. De beleggingsonderneming zal de uitvoering van de werkzaamheden moeten monitoren en controleren. Continuity Bijvoorbeeld alle telefonische orders moeten minimaal een jaar bewaard worden. In dit verband moet ook aandacht worden besteed aan de wijze waarop prijsdata en transactiedata worden bewaard in verband met aantoonbaarheid van best execution eis. Dit zal resulteren in een nieuwe aanpak voor het onderhouden van data: de gegevens zullen een compleet overzicht laten zien van (1) een correcte behandeling van de cliënt, (2) een track record van beste executie, routing, clearing en settlement en (3) het afhandelen van disputen. Samenvatting Business Requirements In de voorafgaande tekst zijn de eisen van MiFID besproken en uit de analyse blijkt dat er verschillende aspecten van de CobiT Business Requirements van toepassing zijn. In bijgaande tabel is deze samengevat. Data Retention Client Classification Client Order Handling Best Execution Post-Trade Disclosure Transaction Reporting Continuity Outsourcing Data Retention De MiFID concepten raken alle verschillende aspecten van de business requirements. Vanwege het feit dat het om aanpassing aan wetgeving gaat, is de kolom compliance voor alle concepten ingevuld. Outsourcing Data Retention De regels onder de MiFID stellen verdergaande eisen aan de opslag van data. Afhankelijk van het type onderneming en het soort informatie geldt een termijn van één tot vijf jaar. 28 de EDP-Auditor nummer

6 IT Resources IT Resources vormen de tweede invalshoek van de CobiT kubus. hiervoor een koppeling aan te brengen tussen het CRM systeem en het orderexecutiesysteem. Zonder deze koppeling, zal tenminste dienen te worden ingeregeld dat traders voor het benodigde inzicht in klantclassificatie, de corresponderende leesrechten in CRM systemen hebben. Speciale aandacht dient besteed te worden aan de verplichting klanten te informeren over de classificatie, het verkrijgen van instemming van de klant, mogelijke klantverzoeken voor een andere classificatie, beslissingen van beleggingondernemingen over dergelijke verzoeken, en de wijze waarop het juiste niveau van bescherming wordt geboden. Vanuit de beleggingsonderneming betekent dit het inrichten van processen en systemen voor het bijhouden van gedetailleerde informatie. Als specifieke technologie worden hier document management en workflow systemen genoemd voor het traceren van klantcommunicatie en beheer van verplichte documentatie. Bron: CobiT mapping, Overview of International IT Guidance, IT Governance Institute, 2nd Edition. Hierbij worden onderscheiden: : geautomatiseerde en handmatige processen die informatie verwerken; : data die ingevoerd worden (in welke vorm dan ook), verwerkt en als output gepresenteerd door informatiesystemen, Infrastructure: technologie, hardware, operating systems, DBMS, netwerk, etc. die het mogelijk maken om applicaties te laten draaien, : het personeel benodigd voor het plannen, organiseren, verkrijgen, implementeren, opleveren, ondersteunen, monitoren en evalueren van informatiesystemen en diensten. Zij kunnen in dienst zijn, uitbesteed of ingehuurd, afhankelijk van de behoefte. Over de people dimensie kan in algemene zin worden opgemerkt dat IT-personeel op de hoogte moet worden gebracht van de nieuwe eisen die aan de IT-omgeving worden gesteld. De zwaardere eisen stellen op hun beurt hogere eisen aan de deskundigheid van IT-personeel. Dit kan met name een knelpunt worden bij kleinere ondernemingen, bijvoorbeeld kleine vermogensbeheerders die één à twee medewerkers in dienst hebben voor IT-beheer. Verder zal moeten worden overwogen of het MiFID implementatieproject door eigen of door ingehuurd personeel wordt uitgevoerd. Client Classification In de context van de vernieuwde classificatie-categorieen zullen beleggingsondernemingen de bestaande klanten opnieuw in moeten delen, waarvoor in de regel ook geautomatiseerde systemen worden aangepast. 5 En klant kan, op verzoek, worden ingedeeld per type product en/of transactie. Het ligt derhalve voor de hand Client Order Handling Limietorders welke niet direct uitgevoerd kunnen worden, dienen gepubliceerd te worden om andere marktdeelnemers te informeren. Voor zover nog niet aanwezig dienen beleggingsondernemingen deze presentatielaag aan te brengen. Gezien de uitgebreide informatieplicht en benodigde instemming van de klant met het orderuitvoerings-beleid, kunnen (workflow) systemen naleving van deze verplichting ondersteunen. Hierbij valt te denken aan applicatieve controles die vóór uitvoering van een order nagaan of de vereiste toestemming aanwezig is en de vereiste informatieverstrekking heeft plaatsgevonden. Vanuit de randvoorwaarden voor communicatie met klanten (consistentie, betrouwbaarheid, volledigheid, etc) ligt het aanbieden van deze informatie vanuit één centrale bron hierbij voor de hand. Indien van verschillende bronnen gebruik wordt gemaakt kunnen ter bewaking van onderlinge consistentie geautomatiseerde consistentiecontroles worden toegepast. Client Classification Client Order Handling 29 de EDP-Auditor nummer

7 Best Execution De belangrijkste aanpassingen ten opzichte van de huidige functionaliteit van handelsapplicaties is de best execution eis. Volgens deze eis moeten beleggingsondernemingen orders van klanten op de best mogelijke manier uitgevoeren en dit moet achteraf ook aangetoond worden. Handelsapplicaties moeten nu in plaats van één overzicht met prijsinformatie in de vorm van bied- en laatkoersen en overige voorwaarden, een overzicht van alle in aanmerking komende handelsplatformen tonen. Een gedetailleerde audit trail van de order life-cycle is nodig, inclusief alle prijsinformatie en overige voorwaarden van de niet gekozen handelsplatformen op het moment van de trade. Hierbij is een belangrijke rol weggelegd voor order management systemen (OMS), gekoppeld met marktdata feeds en algoritmische handelsystemen. De OMS moeten schaalbaar zijn zodat ze de toegenomen hoeveelheid informatie over de additionele handelsplatformen, volumes van prijsupdates, en transacties aankunnen. Een overstap naar een dergelijk geïntegreerd systeem kan een grootschalige systeemmigratie tot gevolg hebben. Voor decentrale, tussentijdse oplossingen kan (aanwezige) informatie in een koerssysteem en informatie in een handelssysteem gezamenlijk opnieuw worden beoordeeld. Bijvoorbeeld door middleware of door samenvoeging in een datawarehouse moet gelijktijdige opslag mogelijk worden gemaakt. Orderexecutie zal naar verwachting meer en meer volgens algoritmische handelsystemen worden uitgevoerd. Hierbij wordt de beste uitvoering volgens van te voren ingestelde parameters automatisch bepaald. Uit ervaringen met Sarbanes Oxley implementatietrajecten is gebleken dat geprogrammeerde controles als sterker worden ervaren dan handmatige controles. Het is dan ook de verwachting dat steeds meer ondernemingen zullen overstappen op algoritmische Wat is algorithmic trading? Algorithmic trading, ook wel algo, automated, black box of robo trading genaamd, is het gebruik van software waarin algoritmes zijn opgenomen die een beslissing nemen over bepaalde aspecten van een order zoals de timing, prijs of de te verhandelen hoeveelheid. Het wordt veelal gebruikt door pensioenfondsen en andere institutionele beleggers om aan- of verkopen op te delen in kleinere porties om zodoende koersschommelingen te beperken. Hedge fondsen gebruiken algorithmic trading om op basis van electronisch ontvangen informatie te handelen. Deze informatie kan ter ondersteuning aan een dealer worden aangeboden of er kan volledig automatisch gehandeld worden, mits er sprake is van een beurs met schermenhandel. Naar schatting was 40% van alle transacties in 2006 op de London Stock Exchange op basis van algorithmic trading. 6 handelssystemen. De vraag blijft overigens wel of het algoritmisch handelen ook aantoonbaar het beste is of dat het fingerspitzengefühl van handelaren iets is dat automatisering niet kan overnemen. Beleggingsondernemingen zijn verantwoordelijk voor het aantonen van de naleving van het best execution beleid. Essentieel in deze context is de aanwezigheid van monitoring tools die dit proces bewaken. Als specifieke technologie wordt in deze context Business Activity Monitoring (BAM) 7 vermeld, waarbij via dashboards inzicht in key perfomance indicators het monitoren van compliance processen plaats kan vinden. Voor wat betreft de eisen die aan de verzameling, aggregatie, historie en reconstructie van informatie worden gesteld, lijkt het voor de hand te liggen om gegevens centraal op te gaan slaan. Transactiedata moeten ten minste 5 jaar worden bewaard en moeten op verzoek direct voor de toezichthouder kunnen worden gereproduceerd op een zodanige wijze dat iedere fase van het orderverwerkingsproces kan worden getoond. Voor beleggingsondernemingen met vestigingen in meerdere landen en verschillende transactie- en backofficesystemen kan het oplossen van het probleem van verschillende business en data silo s een belangrijke uitdaging vormen. 8 Een mogelijke oplossingsrichting is het maken van een zogenoemde golden copy van reference data binnen een centraal, robuust en schaalbaar datamanagement platform over landsgrenzen en functies heen. Dergelijke Enterprise Data Management systemen (EDM) 9 verschillen van data warehouses vanwege additionele dataschoningsmaatregelen. De EDM s moeten ook beschikken over een audit trail functionaliteit tussen de golden copy en de locale data. Voordat implementatie van een dergelijk systeem zal worden overwogen zullen maatregelen op de korte termijn moeten worden getroffen, bijvoorbeeld in de vorm van data linkage. Hierbij worden onderlinge verwijzingen naar data in andere silo s aangebracht. Op het gebied van informatie worden beleggings-ondernemingen geconfronteerd met veranderde datamodellen of -structuren, nieuwe of veranderde marktdatasystemen, en zullen nieuwe informatieuitwisselingsstandaarden moeten worden geadresseerd. Naar mate het aantal handelsfaciliteiten en het algoritmisch handelen uitbreidt, is een uitbreiding van marktdata te verwachten. Dit verhoogt de noodzaak van een adequaat proces rondom reference data management evenals de technische schaalbaarheid. Best Execution 30 de EDP-Auditor nummer

8 Post-trade Disclosure MiFID vereist dat alle bedrijven hun handels-informatie zo snel mogelijk, maar in ieder geval binnen drie minuten na uitvoering van de order vrijgeven. Gelet op de snelheid waarmee informatie voortaan moet worden gepubliceerd, is de geautomatiseerde controle op de betrouwbaarheid (aannemelijkheid) van de rapportages van belang, alsmede de continue beschikbaarheid van rapportagesystemen. Het verder automatiseren van het orderuitvoerings- en verwerkingsproces kan de efficiency van publicatie van informatie verhogen. Dit introduceert tegelijkertijd een belangrijk geautomatiseerd controlemiddel. Door middel van Straight Through Processing (STP), het automatisch verwerken van orders zonder menselijke interventie, kunnen orders worden afgestemd met de bevestiging van de tegenpartij en worden aangesloten met opgaven van een custodian (zie onderstaande figuur). Verder kan worden overwogen om meetsystemen te implementeren waarin de tijdigheid van publicatie van iedere gepubliceerde boodschap wordt bewaakt. Aanvullende procedures regelen de te nemen maatregelen voor het geval vertraging optreedt. Naast tijdigheid van publicatie hebben beleggingsondernemingen tevens de verplichting om consolidatie met vergelijkbare data van andere bronnen te faciliteren. In deze context vormt standaardisatie van zowel de inhoud van berichten als gebruikte protocollen een belangrijke randvoorwaarde c.q. uitdaging. Voor de interfaces tussen (interne) bronsystemen en de systemen die de handelsdata publiceren, is het van belang dat de message en transport protocollen compatible zijn. De genoemde eisen aan de integriteit van post trade publicaties aan klanten impliceren voor beleggings-ondernemingen een uitbreiding van de test- en acceptatieprocedures als onderdeel van het change management proces. Vanuit het oogpunt van betrouwbaarheid is naast beperkte toegang tot report generators tevens de beveiliging van de presentatielaag van belang. Voor situaties waar beleggings-ondernemingen publicatie van handelsinformatie uitbesteden aan externe service providers, dienen betrouwbaarheidseisen onderdeel uit maken van service management afspraken. De beschikbaarheideisen voor publicatie van post-trade informatie introduceren de noodzaak van een fault tolerant presentatielaag. Hierbij valt te denken aan het inbouwen van redundantie in systemen die de handelsdata publiceren en redundantie in de interfaces. Transaction Reporting Beleggingsondernemingen moeten het effect van MiFID op bestaande rapportagesystemen evalueren. Zo moet worden nagegaan of de huidige handelssystemen alle relevante details vastleggen en of deze informatie exporteerbaar is. Ook ingetrokken transacties moeten worden gerapporteerd en voor alle transacties geldt dat de unieke geharmoniseerde code van het handelsplatform moet worden vermeld. De rapportage dient zo snel mogelijk te worden aangeleverd. Hierdoor zullen organisaties de voorkeur geven aan het automatisch genereren van rapportages op transactieniveau. De voornaamste uitdaging ligt op het vlak van het aanpassen van systemen om aan de toezichthouder (of wellicht toezichthouders) te kunnen rapporteren. 10 Hierbij is het van belang onderscheid te maken tussen de aan te leveren informatie, de totstandkoming ervan, en de wijze van aanlevering aan de toezichthouders. Beleggingsondernemingen kunnen besluiten om de publicatie van transactierapportages uit te besteden aan externe service providers, eventueel in combinatie met pre- of post trade transparancy reporting. Vergelijkbaar met post-trade reporting geldt voor deze situaties dat kwaliteitseisen onderdeel dienen uit te maken van service level management afspraken. Vergelijkbaar aan posttrade rapportages, worden aan transactierapportages en aan de methode waarop deze totstandkomen, specifieke kwaliteitseisen gesteld. Deze eisen hebben betrekking op het waarborgen van de betrouwbaarheid en additioneel de vertrouwelijkheid. Tevens dienen mechanismen aanwezig te zijn voor identificatie en correctie van fouten in de transactie logs. Voor de impact die de kwaliteitseisen rondom betrouwbaarheid hebben wordt verwezen naar de paragraaf over posttrade disclosure. Voor de ad ditionele eisen rondom vertrouwelijkheid van transactie rapportages kunnen zowel organisatorische (data classificatie, need to know principe) als technische (logische toegangsbeveiliging, lijn-encryptie) beheersmaatregelen genomen worden. Post-Trade Disclosure 31 de EDP-Auditor nummer