Sunday, September 25, 2011

Compliance


Nhân vụ một rogue trader của UBS làm ngân hàng này lỗ $2b trong vòng 3 tháng, một bạn hỏi tôi về qui trình internal control tại công ty tôi đang làm việc. Thực ra công ty tôi và các fund manager khác thuộc  buy side, nghĩa là chỉ thực hiện investment activities chứ không phải vừa đầu tư vừa làm dịch vụ tài chính (broker, market maker...) như UBS nên bản chất của internal control khác với UBS. Nói chung buy side ít bị rủi ro về rogue trading hơn sell side vì buy side phải thực hiện transaction thông qua brokers nên coi như được thêm một lớp "bảo vệ" nữa. Hơn nữa buy side có nghĩa vụ báo cáo lời lỗ hàng tuần/tháng, thậm chí hàng ngày, cho khách hàng nên trừ khi cả công ty cố tình lừa đảo như trường hợp Madoff thì khó một trader có thể giấu được lỗ quá một chu kỳ báo cáo.

Trong một buy side firm, internal control thường được giao cho một bộ phận back office gọi là compliance desk/section. Thường một trader có risk limit cho một sản phẩm của mình (vd một portfolio hay một fund), có thể là limit với VaR hoặc phổ biến hơn là leverage limit. Trước khi trade, trader phải kiểm tra xem mình đã vượt risk limit hay chưa bằng một software quản lý risk. Nếu đã vượt thì trader phải hiệu chỉnh portfolio/strategy để điều chỉnh risk xuống hoặc phải xin phép supervisor tạm thời vượt limit. Tuy nhiên những tác vụ này hoàn toàn do traders tự giác nên về mặt lý thuyết các công ty phải dựa vào compliance desk để kiểm tra lại. Thông thường compliance desk kiểm tra số sách của trader vào cuối ngày và đưa ra cảnh báo nếu có ai đó phạm limit. Bên cạnh số liệu do trader ghi nhận trong trading book của họ, compliance desk còn sử dụng số liệu do broker cung cấp (thường cũng được tổng kết vào cuối ngày). Nếu có sai lệch giữa 2 nguồn thì compliance cũng cảnh báo và có thể sẽ recommend tạm thời cấm trader giao dịch đến khi tìm ra lý do sai lệch (lỗi phổ biến nhất là typos, dư hoặc thiếu một số không :-)).

Bên cạnh back office của mình, các investment fund lớn có thể thuê một bên thứ ba (thường là custodian firm - nơi cung cấp dịch vụ quản lý và lưu giữ assets) tính lời lỗ (P&L) cho từng portfolio/fund theo một chu kỳ nhất định (tuần/tháng). Khi nhận được số liệu P&L này compliance desk sẽ đối chiếu với số liệu tính theo trading book của các traders để xem có bị sai lệch (nhiều) không. Nếu có sai sót lớn hoặc sai sót có tính hệ thống (luôn positive hoặc luôn negative) thì compliance cũng cảnh báo và executives sẽ yêu cầu trader/back office giải trình. Ngoài việc kiểm định P&L, compliance desk còn có thể kiểm định cả cashflow do custodian báo cáo so với theoretical cashflow tính theo trading book (P&L là stock value còn cashflow là flow value). Tuy nhiên phương pháp này không phổ biến vì rất khó tính chính xác theoretical cashflow.

Bản chất của một fund manager là cầm tiền của người khác đi đầu tư, do vậy lời lỗ do market là điều client phải chấp nhận. Tuy nhiên nếu lời lỗ do rogue trading gây ra thì fund manager sẽ phải bồi thường cho clients (kể cả trường hợp rogue trading có lời client cũng có thể kiện phạt manager). Bởi vậy không như UBS, hay SocGen/Barings, compliance desk của các fund managers rất ít khi mắc sai lầm để lọt lưới rogue trading. Một nguyên tắc khá quan trọng mà cả UBS và SocGen đã phạm phải là promote một nhân viên từ back office/compliance desk lên bộ phận trading. Những người đã từng làm việc ở compliance desk có thể sẽ biết những kẽ hở trong qui trình giám sát compliance hoặc lợi dụng quan hệ cá nhân với những nhân viên compliance khác. Nhiều investment funds lớn thậm chí còn tách trading desk (front office) và compliance/performance desk (back office) ra các địa điểm khác nhau (hay ở 2 tầng khác nhau trong một building).

Note: trong một investment fund một khái niệm rất dễ bị nhầm lẫn với compliance desk là risk manager. Compliance desk thuộc back office thực hiện chức năng internal control, chủ yếu là ngăn ngừa rogue trading (compliance risk). Risk manager thuộc front office quản lý việc theo dõi market (external) risk và đưa ra những qui trình nhằm hạn chế market risk (vd collateral, stoploss, hedging...).


9 comments:

  1. Anh Giang oi, anh co the cho biet ten Fund ma anh dang quan ly khong ( Fund code, website .. etc .. )?, em muon tim hieu, de dau tu. Cam on anh.

    ReplyDelete
  2. @Anonymous: Công ty của tôi tên là Tactical Global Management, website tại đây. Tuy nhiên như hầu hết website của các hedge fund bạn chỉ có thể access thông tin nếu là client. Công ty của tôi chỉ nhận institutional client, nếu bạn muốn tìm hiểu/đầu tư thì email cho marketing team trên website.

    ReplyDelete
  3. Thứ ba tuần vừa rồi qua việc công bố kế hoạch hoán đổi trái phiếu, FED đang mời mọi người xơi cơm "short T-Bond" ( T-Bond down, yield up ), em đang đợi hôm nay nó dội lại pullback một tí rồi lên thuyền short. FED mời chẳng lẽ chê. Anh Giang thấy sao?

    ReplyDelete
  4. @Ngan Ha: Tôi không phải trader nên không có lời khuyên "lướt sóng" cho bạn được. Nhưng nếu bạn có hedging cho position của mình (long một maturity khác) bạn có thể thực hiện duration neutral strategy để giảm market risk. Ngoài ra vì Fed đang cố gắng twist yield curve nên bạn có thể bet bằng butterfly strategy (long short+long ends vs short the middle hoặc ngược lại) tùy view của bạn có nghĩ rằng market overreact hay không.

    ReplyDelete
  5. Cám ơn vì bài viết về hoạt động của fund's compliance. Có hai câu hỏi
    1. Nếu một fund sử dụng brokers và custodian firms thì fund có khả năng bị lộ trading strategy. Liệu brokers và custodian firms phải chứng minh cho khách hàng như thế nào để khách hàng yên tâm sử dụng dịch vụ. Ví dụ là Renaissance Technology bỏ custodian firm là Morgan Stanley khi MS mở PDT by Muller. Mới kết thúc xong cuốn The Quants: How a New Breed of Math Whizzes Conquered Wall Street and Nearly Destroyed It.
    2. Theo bác kể trên thì Rogue Trading do con người thì phải bồi thường. nếu nhỡ Morgan Stanley PDT viết chương trình bị lỗi bug. Chương trình trade sai gây lỗ. Sao chưa đọc thấy investors đòi bồi thường gì cả. hay là do PDT black box bị sai khi khủng hoảng 2008 nên investors bỏ qua.

    ReplyDelete
  6. @Daniel N:
    1. Brokers/custodian có nghĩa vụ giữ bí mật cho clients, tất nhiên trên lý thuyết. Trên thực tế vấn đề front running (brokers lợi dụng strategy của client) luôn làm đau đầu giới quản lý (SEC, FSA...). Những investment banks lớn thường phải tách brokerage xa khỏi asset management để tránh bị client nghi ngờ.

    Với custodian thông tin họ lưu giữ thường có delay nên không là vấn đề lớn lắm.

    2. Tôi không rõ cụ thể vụ việc của MS thế nào, còn với rogue trading thì luôn bị coi là breach of compliance và manager phải chịu trách nhiệm bồi thường. Riêng với vấn đề software, các IMA (thỏa thuận đầu tư với client) thường có qui định "reasonably tested", nghĩa là vẫn chấp nhận có errors miễn là không phải deliberately.

    ReplyDelete
  7. Em nghĩ có system kiểm soát được từ front office, đến back office + fund accounting để chắc là mọi thứ sẽ khớp với nhau; cộng với so sánh đối chiếu với báo cáo của custodian firms. Về operations ở investment bank/fund management company sẽ chia làm 3 mảng: front office (dealing), back office (settlement, accounting), middle office - thường ở những công ty lớn hơn (monitoring, analysis, compliance, risk managment). Tùy công ty lớn nhỏ, thường có 2 mảng chính là front với back office thôi (có khi back không làm accounting mà lại có accounting riêng). Còn compliance thì hoạt động song song để kiểm tra hoạt động trading này. Internal audit (kiểm toán nội bộ) cũng có kiểm tra nhưng thường là theo định kỳ, một năm vài lần thôi.

    Thông thường thì các công ty lớn mới sử dụng hệ thống IT và thường bao gồm nhiều system liên kết với nhau (mỗi bộ phận có 1 system khác nhau). Tất nhiên, công ty to nào cũng có procedure, hệ thống, quy trình cụ thể, nhưng lý do là vẫn có những lỗ hổng trong hệ thống kiểm soát nên vẫn có thể bị nhân viên khai thác. Những trường hợp rogue trading thường nằm trong dạng này, đa phần là nhân viên back office được chuyển sang front office làm nên họ biết và khai thác lỗ hổng trong hệ thống kiểm tra ở back office và fund accounting.

    Về chuyện phải đi qua custodian thì (em nhớ mang máng nhưng không chắc) hình như có quy định là fund management company phải giữ tài sản ở custodian. Điều này cũng đúng thôi vì họ quản lý tài sản của nhà đầu tư (investor), bây giờ nếu họ giữ luôn tất cả những tài sản đó (share certificates, debentures chẳng hạn) thì ai sẽ kiểm tra được báo cáo của họ đây. Ở Việt Nam hình như cuối mỗi quý custodian cũng đồng thời phải báo cáo tài sản của fund họ quản lý lên cơ quan quản lý của Nhà nước (quên mất tên rồi), đồng thời với báo cáo của công ty quản lý quỹ.

    Xin lỗi comment nhiều tiếng Anh quá, em sẽ sửa dần! :D

    ReplyDelete
  8. @ynnguyen: No problem with "tiếng Anh", most people reading this blog don't mind those English terms, they value the knowledge you are sharing :-)

    ReplyDelete