29.1.08

Societe Generale: scarsa sensibilità alla sicurezza e controlli inefficaci

Davvero l'affaire Societe Generale sta assurgendo a parabola su come vengono spesso gestiti i controlli e la sicurezza all'interno delle banche.
Ebbene, come ben spiega il blog Duo&Co nei suoi articoli scritti da un ex-SG (il primo e il secondo) tutto cominciò quando Jérôme Kerviel venne assunto in Societe Generale nel 2000 all'interno del middle- e del back-office della banca.
Fino al 2005 si occupa di controllo dei rischi e dell’autorizzazione delle operazioni, guadagnandosi la fiducia dei colleghi.
Passa poi a occuparsi di arbitraggio sui derivati, ovvero, quell’attività che prevede di prendere posizioni sui mercati contemporaneamente sia puntando a un rialzo, sia a un ribasso, e cercando di guadagnare sul margine tra le due posizioni.
Ma Kerviel è fermamente convinto che i mercati saliranno, e quindi, al riparo del suo angolino, acquisisce posizioni al rialzo sugli indici Eurosoxx, Dax e Ftse, posizioni, quindi, unicamente in un senso, e non in due, come invece richiede la prassi.
Parallelemente però, allo scopo di salvaguardare la sua posizione - a tutti gli effetti speculativa - è necessario costruire una posizione inversa – e quindi fittizia – nei sistemi della banca, mostrando così che le operazioni del trader non sono a rischio.
E qui gli viene in aiuto la sua esperienza passata nel middle-office.
In ogni azienda ci sono settori dove, per ragioni di tempestività nelle operazioni, un dipendente lasci ai colleghi di fiducia l’accesso a un suo account con determinati privilegi, ad esempio, con la possibilità di autorizzare determinate operazioni (in realtà questo accade un po' in tutti gli ambiti di tutte le aziende, purtroppo...)
Normalmente, quando il collega effettua determinate operazioni in vece del titolare dell’account, lo informa dell’attività.
Il sistema interno del dipartimento che si occupa del trading dei derivati in Societe Generale si chiama Eliot: si tratta di un sistema estremamente sensibile e controllato da diverse entità di back- e middle-office.
Purtroppo, però, l'accesso è regolamentato solo da username e password: nessun criterio di autenticazione a due fattori (implementando, ad esempio, smartcard, token USB, impronta digitale, suono della voce, visura retinale, odore del testosterone, ecc).
Jerome Kerviel è cresciuto là dentro, per cui, grazie ai precedenti rapporti con i colleghi, ha accessi con privilegi che gli consentono di scavalcare il perimetro tra le aree definito da quell'approccio chiamato separazione dei ruoli (o in inglese, la segregation of duties), uno dei pilastri fondamentali di ogni metodologia di gestione del rischio.
La segregation of duties è una caratteristica delle organizzazioni che conducono attività con un rischio annesso e, in parole povere, prevede che chi esegue un'attività rischiosa sia un’entità diversa da chi la autorizza.
Nel nostro caso specifico, chi esegue l’attività, indipendentemente da quale essa sia, è il trader Kerviel. Chi la autorizza, dovrebbe essere il collega dei middle-office, che, ricevuta la segnalazione dell’attività - ovvero di una transazione in un solo senso, anziché di due transazioni di senso diverso - intraprende le opportune azioni di verifica.
In realtà, era lo stesso Kerviel che, con user e password del collega, autorizzava ogni movimento non caratterizzato da un movimento di copertura dei rischi.
SG acquista quindi dei contratti forward – simile al contratto future, ma trattato tra banche, anziché sui mercati - su Eurostoxx, Dax e Ftse
Arriva quindi la settimana critica in cui, dal 15 al 18 gennaio, i mercati finanziari subiscono ribassi pesantissimi, per cui le posizioni lunghe, cioè che puntano al rialzo, assunte da Kerviel gli provocano ingenti perdite.
Il 18 gennaio, un nuovo sistema di controllo, individua un movimento sospetto nei confronti di una controparte tedesca.
Il resto è storia recente...

Societe Generale, la banca che negli ultimi anni ha decretato la propria leadership proprio nel mercato dei derivati, si rivela ora un gigante dai piedi d’argilla.
Come può essere successo che un solo uomo potesse costituire una tale concentrazione di privilegi?
Contrariamente a quanto affermato nella prima ora, Kerviel non ha straordinarie capacità informatiche, ma piuttosto conosce molto bene il sistema autorizzativo delle transazioni e, terribile a dirsi, conosce le password di accesso a tale sistema.

Cosa manca quindi in SG?
Pochi, semplici elementi.
Innanzitutto manca una cultura della sicurezza, che, introdotta a tutti i livelli, conduca i dipendenti a comprendere che dare la propria password a un collega comporta dei rischi per l’azienda e per sé, e conduca gli amministratori dei sistemi informativi a costringere i dipendenti a cambiare password periodicamente, in modo che se malauguratamente capitasse che un dipendente dia una sua password a un collega, dopo un certo periodo tale password possa essere resa inutilizzabile.
Secondo elemento: l'implementazione delle prassi di sicurezza in specifiche procedure interne. Questo elemento è il più semplice da attuare e di certo sarà già presente in Societe Generale. Ma purtroppo emanare leggi senza avere un controllo efficiente non serve a nulla.
E quindi arriviamo al terzo elemento (peraltro, forse già introdotto recentemente e grazie al quale si è avuta segnalazione delle speculazioni selvagge di Kerviel): un sistema di segnalazione di posizioni non adeguate alle policy aziendali, ovvero non compliant, che non invii segnalazioni soltanto al personale di middle-office, ma che collezioni i dati per darli in pasto a controlli incrociati, sia automatizzati, sia presentabili al back-office, sia a un’entità di controllo.
Infine l'elemento più tecnologico: un'autenticazione a due fattori, che permetta cioè di determinare l'identità di un'utente che accede al sistema non solo tramite la conoscenza di nome utente e password, ma anche con il possesso di strumenti come smartcard o token usb con certificati, o mediante una scansione dell'impronta digitale.
Costano poco, aiutano molto.

25.1.08

Frode Société Générale: la debacle dei sistemi di controllo interno

I quotidiani francesi di stamane riportano alcuni dettagli di quella che è stata definita la più grande frode della storia della finanza internazionale.
Lo "straordinario talento" dietro a questa manova si chiama Jérôme Kerviel, 31 anni, diplomato all'università di Lione, titolare di un master in finanza dei mercati.
Nel corso del 2007, quello che sembrava a tutti gli effetti una persona senza doti particolari, aveva installato un sistema parallelo non individuabile nella sala mercati, che gli permetteva di mascherare le sue prese di rischio e di non far figurare le rischiose operazioni che spesso producevano perdite e richiedevano coperture.
Secondo Daniel Bouton, l'Amministratore Delegato della banca, Kerviel conosceva tutte le procedure di controllo interno alla banca, grazie alla sua precedente esperienza di 5 anni nelle funzioni di supporto di back-office e middle-office.

Secondo notizie de Le Parisien, l'autore della frode aveva in qualche modo elaborato una doppia contabilità che gli permetteva di svicolare tutti i controlli.
La sua attività consisteva nella vendita di prodotti finanziari e, all'occorrenza, di effettuare coperture su contratti a termine sugli indici borsistici europei, strumenti finanziari di cui Societe Generale è leader mondiale.
Naturalmente l'operatività su questi strumenti ad alto potere di leva finanziaria richiede severissimi criteri di controllo: ed è da lunedì che la commissione bancaria francese si trova presso gli uffici di SG per verificare il sistema dei controlli interni e per suggerire rimedi alle sue debolezze.

Come ci si è accorti della frode?
Venerdì sera, il superiore diretto di Kerviel è stato allertato che il trader aveva superato il limite di rischio regolamentare su un intermediario tedesco.

Ad ogni buon conto, sembra effettivamente incredibile che un buco del genere possa essere stato coperto per un anno intero, anche se il trader conosceva perfettamente il sistema dei controlli interno: quando le perdite raggiungono un certo livello, è necessario coprire la posizione: ma di norma si possono raggiungere eccezionalmente perdite di 200 milioni di euro, non di ben 5 miliardi!
Se questo risulterà vero, va da sé pensare che le procedure di controllo interno della banca sono gravemente insufficienti, e che non esistono opportuni strumenti software per il contenimento del rischio. Incredibilmente grave per una banca che, negli ultimi anni, si è costruita una solida immagine nella gestione degli strumenti finanziari a elevato livello di rischio.

Pare invece poco sensata la tesi per cui la banca stia utilizzando questo episodio per giustificare perdite ingenti dovute ad altre ragioni, come ad esempio l'esposizione sui mutui subprime: se così fosse, sarebbero i vertici bancari gli autori stessi della frode, e l'inevitabile esposizione ai successivi controlli della Commissione Bancaria lo dimostrerebbe.

E' invece tutto più semplice perché ascrivibile al talento del singolo e al fallimento degli eventuali sistemi di controllo posti in essere.
Conclusione: non siate mai soddisfatti dei vostri sistemi di controllo. Per quanto abbiate lavorato sodo, il rischio esisterà sempre.
Ma fate in modo che sia un rischio correttamente valutato e sostenibile.