Tag: trade surveillance

Czy w praktyce banków, występuje outsourcing „marowski”?

Zagadnienia ogólne

Ile w praktyce banków w Polsce, na potrzeby niniejszych rozważań rozumianych przez pryzmat rynku finansowego, czyli banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, wyróżniamy „rodzajów” outsourcingu?

Na pierwszy rzut oka wydawać by się mogło, że mówimy o dwóch, względnie trzech „rodzajach” outsourcingu dla działalności banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi. W niniejszym krótkim opracowaniu postaram się jednak udowodnić, że de facto mówimy o czterech „rodzajach” takiego outsourcingu.

Rynek bankowy, jak każda inna branża, charakteryzuje się również branżowym słownictwem, mówimy zatem potocznie o tzw. outsourcingu bankowym[1], outsourcingu inwestycyjnym[2] czy outsourcingu chmurowym[3]. Uważam jednak, że w praktyce banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi możemy się spotkać także z outsourcingiem „marowskim” (na marginesie warto wskazać, że w praktyce banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, jeden system bądź aplikacja może wspierać tak wiele różnych procesów w banku, że znajdą zastosowanie przepisy w zakresie outsourcingu bankowego, outsourcingu inwestycyjnego czy komunikat w sprawie outsourcingu chmurowego). Ze względu na fakt, że wszystkie ww. trzy „rodzaje” outsourcingu wydają się być dobrze znane oraz opisane w literaturze, skupię się na outsourcingu „marowskim”, z odniesieniem do odpowiednich rodzajów outsourcingu o ile to będzie konieczne.

Outsourcing „marowski”

W systemie MAR[4] ustanawiany jest system, zwany potocznie z ang. trade surveillance. System tzw. „trade surveillance” został ustanowiony w art. 16 MAR – „Zapobieganie nadużyciom na rynku i ich wykrywanie”. Zgodnie z art. 16 ust. 2 MAR każda osoba zawodowo zajmująca się pośredniczeniem w zawieraniu transakcji lub wykonywaniu zleceń ustanawia i utrzymuje skuteczne rozwiązania, systemy i procedury wykrywania i powiadamiania o podejrzanych zleceniach i transakcjach. Jeżeli osoba ta poweźmie uzasadnione podejrzenie, że zlecenie lub transakcja dotycząca jakiegokolwiek instrumentu finansowego może stanowić wykorzystywanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych lub manipulacji na rynku, bez względu na to, czy takie zlecenie złożono lub taką transakcję wykonano w ramach systemu obrotu, czy poza nim, niezwłocznie powiadamia właściwy organ[5].

Dodatkowe wskazówki znaleźć można w przepisach Rozporządzenia Delegowanego Komisji (UE) 2016/957 z dnia 9 marca 2016 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 596/2014 w odniesieniu do regulacyjnych standardów technicznych dotyczących właściwych rozwiązań, systemów i procedur oraz formularzy powiadomienia stosowanych w celu zapobiegania praktykom stanowiącym nadużycie lub podejrzanym zleceniom i transakcjom, ich wykrywania i zgłaszania[6].

Zgodnie zatem z art. 2 ust. 1 wskazanego Rozporządzenia osoby zawodowo pośredniczące w zawieraniu transakcji lub wykonywaniu zleceń ustanawiają i utrzymują rozwiązania, systemy i procedury, które zapewniają skuteczne i ciągłe monitorowanie – do celów wykrywania i identyfikacji zleceń i transakcji, które mogłyby stanowić wykorzystanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych bądź manipulacji na rynku – wszystkich otrzymanych i przesłanych zleceń oraz wszystkich wykonanych transakcji oraz przesyłanie zgłoszeń STOR właściwym organom zgodnie z wymaganiami określonymi w wskazanym Rozporządzeniu.

Warto w tym miejscu zauważyć, że banki, o których mowa w art. 70 ust. 2 Ustawy o obrocie instrumentami finansowymi są traktowane na potrzeby systemu MAR także jako  osoby zawodowo pośredniczące w zawieraniu transakcji lub wykonywaniu zleceń, przy czym druga definicja jest o tyle szersza, że mieści w sobie także firmy inwestycyjne.

Zgodnie zatem z art. 3 ust. 1 wskazanego Rozporządzenia rozwiązania, systemy i procedury  umożliwiają analizę, indywidualną i porównawczą, wszelkich wykonanych transakcji oraz złożonych, zmienionych, anulowanych lub odrzuconych zleceń, przeprowadzonych w ramach podsystemów systemu obrotu oraz, w przypadku osób zawodowo pośredniczących w zawieraniu transakcji lub wykonywaniu zleceń, również poza systemem obrotu,  generują ostrzeżenia wskazujące na aktywność wymagającą dalszej analizy do celów wykrywania potencjalnego wykorzystywania informacji poufnych, manipulacji na rynku lub usiłowania wykorzystania informacji poufnych bądź manipulacji na rynku oraz obejmują pełen zakres działalności handlowej podejmowanej przez osoby, których to dotyczy.

Zgodnie z art. 3 ust. 3 wskazanego Rozporządzenia operatorzy rynku i firmy inwestycyjne prowadzące system obrotu, w stopniu, w jakim jest to odpowiednie i proporcjonalne w stosunku do skali, wielkości i charakteru ich działalności gospodarczej, stosują systemy oprogramowania i dysponują procedurami, które pomagają w zapobieganiu wykorzystywaniu informacji poufnych, manipulacjom na rynku i usiłowaniu wykorzystania informacji poufnych bądź manipulacji na rynku oraz w wykrywaniu tych czynności, zaś systemy i procedury, o których mowa powyżej, obejmują oprogramowanie umożliwiające opóźniony odczyt automatyczny oraz odtwarzanie i analizę danych arkusza zleceń, a oprogramowanie to musi mieć wystarczającą zdolność działania w środowisku handlu algorytmicznego.

Dodatkowo zgodnie z, odpowiednio, art. 3 ust. 4 i 5 wskazanego Rozporządzenia, osoby zawodowo pośredniczące w zawieraniu transakcji lub wykonywaniu zleceń, operatorzy rynku i firmy inwestycyjne prowadzące system obrotu wprowadzają i utrzymują rozwiązania i procedury, które zapewniają odpowiedni poziom analizy dokonywanej przez człowieka[7] w ramach monitorowania, wykrywania i identyfikacji transakcji i zleceń, które mogłyby stanowić wykorzystanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych bądź manipulacji na rynku oraz wprowadzają i utrzymują rozwiązania i procedury, które zapewniają odpowiedni poziom analizy dokonywanej przez człowieka również w ramach zapobiegania wykorzystywaniu informacji poufnych, manipulacjom na rynku lub usiłowaniu wykorzystania informacji poufnych bądź manipulacji na rynku.

Graficznie zatem wskazane procesy można by opisać w sposób następujący:

Co ciekawe na gruncie art. 3 ust. 7 wskazanego Rozporządzenia osoba zawodowo pośrednicząca w zawieraniu transakcji lub wykonywaniu zleceń (a więc i bank, o którym mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi) może, na mocy pisemnej umowy, przekazać osobie trzeciej („usługodawcy”) przeprowadzanie analizy danych, w tym danych dotyczących zleceń i transakcji, i generowanie ostrzeżeń niezbędnych tejże osobie do prowadzenia monitorowania, wykrywania i identyfikacji zleceń i transakcji, które mogłyby stanowić wykorzystanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych bądź manipulacji na rynku.

Oznacza to, że bank, o którym mowa w art. 70 ust. 2 Ustawy o obrocie instrumentami finansowymi może powierzyć innemu przedsiębiorcy wykonywanie analiz z zakresu trade surveillance (np. zakupić właściwe oprogramowanie analityczne, zapewniające pierwszy poziom analiz, zgodnie z grafiką powyżej).

Dodatkowo zgodnie z tym samym artykułem, zdanie drugie osoba przekazująca te funkcje (a więc i bank, o którym mowa w art. 70 ust. 2 Ustawy o obrocie instrumentami finansowymi) pozostaje w pełni odpowiedzialna za wywiązanie się ze wszystkich obowiązków spoczywających na niej na mocy omawianego Rozporządzenia i art. 16 MAR i spełnia przez cały czas następujące warunki:

  • w sposób ciągły zachowuje wiedzę specjalistyczną i zasoby niezbędne do oceny jakości świadczonych usług oraz adekwatności organizacyjnej usługodawców, do nadzoru nad przekazanymi usługami i do zarządzania rodzajami ryzyka związanego z przekazaniem tych funkcji;
  • ma bezpośredni dostęp do wszystkich istotnych informacji odnoszących się do analizy danych i generowania ostrzeżeń.

Co więcej umowa pisemna zawiera opis praw i obowiązków osoby przekazującej funkcje, o której mowa w akapicie pierwszym, oraz praw i obowiązków usługodawcy. Określa się w niej również powody, które umożliwiają osobie przekazującej wspomniane funkcje rozwiązanie takiej umowy.

Wydaje się zatem, że mówimy o odrębnym, od wcześniej powoływanych „rodzaju” outsourcingu –  outsourcingu „marowskim”. Nie oznacza to rzecz jasna, że dany system czy właściwe oprogramowanie analityczne, zapewniające pierwszy poziom analiz (zgodnie z grafiką powyżej) nie będzie jednocześnie mógł być traktowany jako outsourcing bankowy, outsourcing inwestycyjny czy, jeśli zajdą właściwe przesłanki wskazane w Komunikacie UKNF dotyczącym przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z dnia 233 stycznia 2020 r., także outsourcing chmurowy.

Jednakże, co wydaje się być istotne, sam outsourcing „marowski” nie wiąże się poza wskazanymi wyżej obowiązkami, z notyfikacją czy zgodą właściwego organu nadzoru oraz aż tak restrykcyjnymi, jak np. dla outsourcingu inwestycyjnego, wymogami co do umowy z dostawcą etc.

[1] Na podstawie ustawy z dnia 29 sierpnia 1997 prawo bankowe, Dz.U.2021.2439 t.j. z dnia 2021.12.28.

[2] Na podstawie przepisów ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (Dz.U.2022.861 t.j. z dnia 2022.04.21) oraz przepisów Rozporządzenia Delegowanego Komisji (UE) 2018/565 z dnia 25 kwietnia 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do wymogów organizacyjnych i warunków prowadzenia działalności przez firmy inwestycyjne oraz pojęć zdefiniowanych na potrzeby tej dyrektywy (Dziennik Urzędowy Unii Europejskiej z dnia 31.03.2017 r., L 87/1).

[3] Na podstawie Komunikatu Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z dnia 23 stycznia 2020 r., https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf [dostęp: lipiec 2022 r.].

[4] Dyrektywa Parlamentu Europejskiego i Rady 2014/57/UE z dnia 16 kwietnia 2014 r. w sprawie sankcji karnych za nadużycia na rynku (dyrektywa w sprawie nadużyć na rynku) (Dziennik Urzędowy Unii Europejskiej z dnia 12.06.2014 r., L 173/179) oraz Rozporządzenie Parlamentu Europejskiego i Rady dnia 16 kwietnia 2014 r. w sprawie nadużyć na rynku (rozporządzenie w sprawie nadużyć na rynku) oraz uchylające dyrektywę 2003/6/WE Parlamentu Europejskiego i Rady i dyrektywy Komisji 2003/124/WE, 2003/125/WE i 2004/72/WE (Dziennik Urzędowy Unii Europejskiej z dnia 12.06.2014 r., L 173/1 ze zm.).

[5] Zob. więcej G. Włodarczyk, System trade surveillance dla osób zawodowo zajmujących się pośredniczeniem w zawieraniu transakcji lub wykonywaniu zleceń – wprowadzenie, Compliance&MiFID (2016 r.) https://compliancemifid.files.wordpress.com/2021/05/trade-surveillance-pod-mar-dla-osob-zawodowo-zajmujacych-sie-posredniczeniem-w-zawieraniu-transakcji-lub-wykonywaniu-zlecen-e28093-czesc-pierwsza-wprowadzenie.pdf [dostęp: lipiec 2022 r.] oraz G. Włodarczyk, Trade surveillance (pod MAR) – okoliczności wskazujące na zachowania manipulacyjne związane z wprowadzaniem w błąd oraz utrzymaniem cen – część pierwsza, Compliance&MiFID (2016 r.) https://compliancemifid.files.wordpress.com/2021/05/trade-surveillance-pod-mar-dla-osob-zawodowo-zajmujacych-sie-posredniczeniem-w-zawieraniu-transakcji-lub-wykonywaniu-zlecen-e28093-czesc-pierwsza-wprowadzenie.pdf [dostęp: lipiec 2022 r.].

[6] Dziennik Urzędowy Unii Europejskiej z dnia 17 czerwca 2016 r., L 160/1.

[7] Przyjmuje się, choć nie wynika to z systemu MAR, że zadania takie wykonuje zwyczajowo funkcja compliance, ze względu na fakt, że ustanowienia systemów trade surveillance w obszarze I-ej linii obrony, jednostek zawierających transakcje na instrumentach finansowych może budzić uzasadnione wątpliwości („Nemo iudex in causa sua”).

Najnowszy Market Watch (69) a trade (orders) surveillance

Najnowszy Market Watch FCA, tym razem nr 69 z 17 maja 2022 r. koncentruje się na kwestiach związanych z MAR (odpowiednio UK MAR) zatem tematyką market abuse, tym razem także o market abuse surveillance (order & trade surveillance).

FCA wskazuje, co powinno być praktyką także w bankach i firmach inwestycyjnych w Polsce, w przypadku systemów i metodyk order & trade surveillance (więcej o tym, czym jest trade surveillance w MAR dla banków i firm inwestycyjnych pisałem TU i TU), że właściwa metodyka powinna być wynikową scenariuszy manipulacyjnych oraz instrumentów finansowych. Dla firm inwestycyjnych i banków w Polsce, w przypadku tzw. scenariuszy manipulacyjnych (zachowań, które mogą być uznane za manipulację) kluczowy jest Załącznik I do Rozporządzenia MAR oraz Rozporządzenie Delegowane Komisji (UE) 2016/957 z dnia 9 marca 2016 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 596/2014 w odniesieniu do regulacyjnych standardów technicznych dotyczących właściwych rozwiązań, systemów i procedur oraz formularzy powiadomienia stosowanych w celu zapobiegania praktykom stanowiącym nadużycie lub podejrzanym zleceniom i transakcjom, ich wykrywania i zgłaszania. Instrumenty finansowe rzecz jasna określone są w Ustawie z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi. Zatem przykładowa metodyka w postaci tabelarycznej mogłaby wyglądać następująco (jest to oczywiście absolutnie abstrakcyjna tabela):

Scenariusze manipulacyjne vs instrumenty finansowe (+ SPOT)Wash tradeFront runningPing Orders
FX SPOTTAKTAKTAK
FX FWDTAKTAKTAK
Obligacja skarbowaTAKTAKNIE

Właściwe ujęcie metodyczne wszystkich scenariuszy manipulacyjnych wynikających z ww. aktów w zestawieniu z wszystkimi instrumentami finansowymi (plus FX SPOT) oferowanymi przez firmę inwestycyjną czy bank pozwala na właściwe zarządzenie kwestiami market abuse w instytucji.

W takiej praktyce można posiłkować się także innymi dokumentami np. FX Global Code w wersji z 2021 r., czy starszymi dokumentami CESR –  Level 3 – First set of CESR guidance and information on the common operation of the DirectiveLevel 3 – Second set of CESR guidance and information on the common operation of the Directive to the market, Third set of CESR guidance and information on common operation of the Directive to the market.

Wydaje się, na co wskazuje także FCA, że lepszym i dokładniejszym podejściem jest wskazywanie na ryzyko i analizowanie nie tyle całego MAR w zestawieniu z AML (kategoria ogólna), nie MAR na zasadzie „manipulacja i wykorzystanie informacji poufnej”, ale właśnie na rozbijanie analiz „scenariusz vs. instrument finansowy”, uwzględniając także takie podkategorie zachowań jak np. layering i spoofing czy wash trading i ramping. Warto zauważyć, że takie analizy powinny dotyczyć wszystkich typów rynków na których działa bank, czy firma inwestycyjna.

FCA wskazuje także, że w bardzo wielu podmiotach monitorowanie i analizy są mocno niekompletne lub bardzo ogólne (w Polsce podobnie). Algorytmy scenariuszy manipulacyjnych nie powinny być ogólne, aplikowalne dla każdego typu instrumentu finansowego, ale właściwie skalibrowane (inna może być kalibracja wash trade dla FX SPOT, a inna dla polskich obligacji skarbowych na rynku hurtowym) dla konkretnych instrumentów finansowych, w tym powinna odbywać się analiza fałszywych alarmów (tzw. false positive). FCA zaznacza również, z czym należy się zgodzić i co powinno być stosowane przez firmy inwestycyjne i banki w Polsce, że stosowanie wspólnego progu kwotowego (w szczególności na rynkach OTC) w swoich scenariuszach manipulacyjnych (alertach) dla wszystkich typów instrumentów finansowych, może skutkować trudnościami z zapewnieniem skutecznego monitorowania.

Jak wspomniałem wyżej, w takim przypadku próg może być ustawiony zbyt wysoko lub zbyt nisko dla niektórych instrumentów (przykład obligacji skarbowej vs. FX SPOT) lub może generować wysoki poziom „szumu” (alarm jest kalibrowany do najbardziej wrażliwego z instrumentów).

Kilka nieprawidłowości, na które wskazuje FCA (które nie powinny mieć miejsca także w firmach inwestycyjnych i bankach w Polsce):

– kalibrowanie scenariuszy manipulacyjnych dla wykorzystania informacji poufnej wyłącznie do 24 godzin przed publikacją informacji poufnej, bez uwzględnienia całego okresu „życia” informacji poufnej;

– nie branie pod uwagę wszystkich transakcji w tym anulowanych czy modyfikowanych;

– brak przeglądu rozwiązań w celu zapewnienia ich skuteczności (parametry, logikę alarmów itp);

– niedokładne procedury, w tym zbyt mało szczegółowe, niejasne, nie zawierające przykładów, wytycznych;

– braku nadzoru w przypadku outsourcingu analizy zachowań manipulacyjnych;

– powierzenie monitorowania i odpowiedzialności za order & trade surveillance pracownikom pierwszej linii (jednostek biznesowych) zamiast funkcji compliance (konflikt interesów – nemo iudex in causa sua);

Cały FCA Market Watch nr 69: TUTAJ.