Umsetzung innerhalb von 6 Monaten gefordert: Was gilt es zu beachten?
Automatisierte Handelsentscheidungen bestimmen zunehmend das Geschehen auf internationalen Finanzmärkten. Experten sehen den Anteil des algorithmischen Handels an Börsen-Orders mittlerweile bei 90 bis 95%. Nach den ESMA Leitlinien (Februar 2012) und dem deutschen Hochfrequenzhandelsgesetz (Mai 2013) adressiert daher nun auch die BaFin mit ihrem Rundschreiben 6/2013 explizit algorithmische Handelssysteme und formuliert darin ausführliche Anforderungen an deren Ausgestaltung, Betrieb und Kontrolle.
Anwendungsbereich und Umfang
Die neuen Vorschriften richten sich an Kreditinstitute und Finanzdienstleistungsinstitute, sowie zentrale Gegenparteien im Sinne des KWG, finden auf sämtliche Märkte (geregelte und ungeregelte), Handelsplattformen und OTC-Geschäfte Anwendung und umfassen sämtliche Handelsgeschäfte (unabhängig vom Kundenbezug). Eingeschlossen sind Systeme und Programme, die Auftragsparameter (Einleitung, Zeitpunkt, Preis, Menge) automatisch bestimmen (Algorithmushandel) oder unverbindliche Preisempfehlungen aussprechen. Zusätzliche Vorschriften betreffen Betreiber elektronischer Marktzugänge.
Als Konkretisierung der MaRisk (sowie MaComp) umfasst das Rundschreiben typischerweise alle wesentlichen Kernelemente des Risikomanagement-Systems im weiteren Sinne: Neben der Aufforderung nach einer ausführlichen Risikoinventur sowie nach angemessener Ausgestaltung des spezifischen Kontrollsystems und Notfallkonzepts erwachsen konkrete Anforderungen an die primären risikoorientierten Stabsabteilungen moderner Kreditinstitute (Compliance, Risikomanagement bzw. -controlling, Interne Revision).
Einrichtung und Betrieb
Vor Inbetriebnahme (und danach regelmäßig) sind Systeme und Programme (und sogar einzelne Algorithmen) einer Risikoinventur sowie ausführlichen Tests zu unterziehen: Aufgezählt werden explizit Stresstest gem. AT 4.3.3. MaRisk, Leistungssimulationen sowie Penetrationstest zur Ermittlung des Risikos durch Angriffe Dritter. Weil Änderungen in den Algorithmen sowie deren Einsatz auf neuen Plattformen als neue Produkte im Sinne des AT 8.1 MaRisk definiert werden, sind diese Analysen auch bei Änderungen bereits bestehender Systeme stets durchzuführen. Ebenso sind Software- und System-Updates vor Inbetriebnahme ausführlich zu prüfen.
Im Bereich der Notfallplanung werden alle Elemente eines zeitgemäßen Business Continuity Managements vorausgesetzt: Die Analyse und Dokumentation potentieller Stress-Szenarien umfasst dabei technische und marktbedingte Extremsituationen. Neben den üblichen Vorkehrungen im Bereich Business bzw. Desaster Recovery werden daher insbesondere ein ausreichender Kapazitätspuffer (und Skalierbarkeit) sowie geeignete Abschalt- und Ausschlussmechanismen vorausgesetzt.
Der laufende Betrieb ist gekennzeichnet durch extensive Anforderungen an die Überwachung:
- Das Limitsystem (Kontrahenten-, Emittenten-, Marktpreis-) sowie alle Aufträge sind in Echtzeit zu überwachen und mit automatischen Sperren bzw. Stornierungen zu versehen.
- Risiken aus Eventualverbindlichkeiten bei derivativen Finanzprodukten müssen in Echtzeit ermittelt werden.
- IT-Zugriffskontrollen sind regelmäßig zu überwachen.
- Die eindeutige Identifikation und Zuordnung von Algorithmen, Kunden und Aufträgen muss jederzeit möglich sein.
- Darüber hinaus fordert das Rundschreiben eine Überwachung „sämtlicher relevanter Handelsplattformen und Kapitalmarktsegmente, die aus Risikogesichtspunkten Einfluss auf die Risiken des Instituts haben.“
Auch die Dokumentationsanforderungen sind erheblich: Neben der typischen 5-jährigen Aufbewahrungsfrist für relevante Aufzeichnungen müssen zumindest für drei Monate alle (automatisch) getroffenen Handelsentscheidungen nachvollziehbar sein. Auch nicht ausgeführte Aufträge sind daher zunächst dokumentationspflichtig. Darüber hinaus sind alle Parameter verwendeter Algorithmen und Limite vollständig, verständlich und nachvollziehbar zu dokumentieren und um jährlich zu erstellende Validierungsberichte zu ergänzen. Auch die getroffenen Risikomanagement- bzw. Kontrollmaßnahmen sind zu dokumentieren.
Implikationen für das Risikomanagement bzw. -Controlling
Alle Aufträge sind vom Risikocontrolling in Echtzeit zu überwachen hinsichtlich Kredit-, Marktpreis- und Liquiditätsrisiken. Vorausgesetzt wird dabei eine Differenzierung nach:
- einzelnen Kunden oder Finanzinstrumenten,
- Gruppen von Kunden oder Finanzinstrumenten,
- Risiken von einzelnen Händlern, Handelsabteilungen oder eines gesamten Instituts sowie
- Handelsplattformen.
Daneben stellt die ausdrücklich geforderte Überwachung des Reputationsrisikos eine besondere Herausforderung dar: Das spezielle Reputationsrisiko im Zusammenhang mit Algorithmushandel beruht auf dem häufig vorgebrachten Vorwurf, ein erheblicher Teil der generierten Aufträge diene der Marktmanipulation. Tatsächlich existieren mittlerweile vielfältige bekannte Manipulations-techniken, die insbesondere von dem enormen Geschwindigkeitsvorsprung des High-Frequency-Tradings profitieren (für einen Überblick der Methoden s.u. Filimonov, 2013).
Implikationen für Compliance
Insofern steht das Reputationsrisiko im Algorithmushandel in engem Zusammenhang mit dem Compliance-Risiko. Das Compliance-Management-System muss dementsprechend geeignet sein, verdächtige Verhaltensweisen „zeitnah“ zu erkennen. Zu den geforderten Maßnahmen gehören
- Prüfung bereits vor Freigabe darauf, ob Algorithmen zur Marktmanipulation missbraucht werden könnten,
- „umfassende und lückenlose“ Überwachung durch Compliance-Mitarbeiter,
- Einrichtung automatisierter Warnsysteme zur Aufdeckung verdächtiger Verhaltensmuster sowie
- Regelmäßige Schulungen bzw. Sensibilisierung aller beteiligten Mitarbeiter.
Der Umgang mit diesbezüglichen Warnsignalen ist wiederum nachvollziehbar zu dokumentieren. Dies gilt sowohl für allgemein gültige Prüfpfade im Sinne interner Richtlinien als auch für die Aufzeichnung und Meldung konkreter Verdachtsfälle. Um einen angemessenen Umgang mit tatsächlichen Verdachtsmomenten zu gewährleisten, fordert die BaFin für die Compliance-Funktion zudem (analog zu den den MaComp) einen uneingeschränkten Zugang zu compliance-relevanten Informationen sowie eine angemessene Ausstattung hinsichtlich Budget und Autorität.
Implikationen für die Interne Revision
Letztlich sind alle genannten Kontrollen und Risikomanagement-Maßnahmen regelmäßigen unabhängigen Prüfungen zu unterziehen. Eine frühe Einforderung der geforderten Dokumentation über Systeme, Algorithmen, einbezogene Limitsysteme und integrierte Kontrollen sowie die Ergebnisse vorausgehender Analysen und regelmäßiger Validierungen sollte dabei eine geeignete Grundlage schaffen, um sich einen angemessenen Überblick über das bisweilen hochkomplexe Prüffeld rund um den Algorithmushandel zu verschaffen.
Die Anforderungen an das interne Überwachungssystem sind vielfältig und weitreichend. Wie gewohnt werden ausgelagerte Aktivitäten vollständig mit einbezogen: Verträge müssen daher mit entsprechenden Durchgriffsrechten ausgestattet werden. Weiterhin ist zu beachten, dass grundsätzlich auch alle Aufträge und Algorithmen Dritter, die auf Plattformen der Institute Anwendung finden, oder von diesen weitergeleitet werden, den gleichen umfänglichen Kontrollen unterliegen. Selbst für die Analyse der Kunden enthält das neue Rundschreiben einen restriktiven Pflichtkatalog.
Eine der größten Herausforderungen in der Einhaltung der neuen Vorschriften könnte daher darin bestehen, eine lückenlose und dennoch effiziente Koordination der vielfältigen Kontrollaktivitäten in den verschiedenen Verteidigungslinien der Institute zu gewährleisten. Vorausschauend agierende Revisionsabteilungen werden daher die Implementierungsprojekte zur Umsetzung der neuen Anforderungen möglichst von Beginn an kritisch begleiten.
Weiterführende Links:
Den Forbes-Artikel zur Gruppendiskussion mit HFT-Experten finden Sie hier.
