Agentes bursátiles/por cuenta propia: el cumplimiento del Acceso directo al mercado continúa siendo una prioridad para los entes reguladores

Read

Si revisa las prioridades de los exámenes, las orientaciones, las acciones de cumplimiento y las comunicaciones normativas similares recientes de SEC y FINRA, notará un énfasis constante en una de las principales obligaciones para los agentes bursátiles/por cuenta propia que muchas veces se pasa por alto: el acceso directo al mercado.

Las obligaciones del acceso directo al mercado (ADM) por parte de los agentes bursátiles/por cuenta propia se describen en la Ley de la Bolsa de Valores, título 17 del CFR (Código de Regulaciones Federales), artículo 240.15c3-5, que establece varios requisitos para los agentes bursátiles/por cuenta propia con acceso al mercado. El acceso al mercado generalmente incluye al acceso a valores negociables en una bolsa o un sistema de comercio alternativo (ATS) como miembro/suscriptor (con algunas excepciones y salvedades).

Estas obligaciones se dividen en tres categorías:

  1. Controles de gestión de riesgo financiero
  2. Controles de gestión de riesgo regulatorio
  3. Procedimientos de cumplimiento (incluidas las obligaciones de certificación del CEO y las pruebas)

Si no se ha fijado con atención en su cumplimiento del acceso directo al mercado recientemente, quizás quiera revisar esta área del programa de cumplimiento de su empresa antes de que los entes reguladores lo hagan.

Controles de gestión de riesgo financiero

Dentro de la categoría de controles de gestión de riesgo financiero se incluyen dos obligaciones diferentes. Una es el establecimiento de los umbrales de crédito y capital apropiados, y la otra es la obligación de evitar el ingreso de pedidos erróneos.

Crédito/capital: Los agentes bursátiles/por cuenta propia a menudo están seguros de que los límites de crédito/capital de sus clientes son «razonables», pero este es solo un componente de un marco mucho mayor en el que la empresa debe estar preparada para demostrar su cumplimiento. Específicamente, los profesionales responsables del cumplimiento deberían preguntarse esto: ¿la empresa ha documentado de manera adecuada la metodología para llegar a estos límites? ¿Incluye esta metodología los factores considerados, las partes consultadas y la base sobre la cual dichos límites son apropiados? En caso de una solicitud de cambios provisionales o permanentes, ¿esta metodología sigue siendo razonable y se registra de la misma manera?

Recuerde que probablemente será analizado un planteamiento universal, así que asegúrese de que estos límites sean apropiados para los distintos tipos de clientes a los que brinda sus servicios y las líneas de negocio a las que se dedica.

FINRA también destacó varias fallas en los controles en las que los límites reales simplemente no se aplican o son fácilmente burlados. Quizás esta sea la razón por la cual el componente de pruebas en virtud de la norma 15c3-5 sea tan importante y puede ser valioso para la empresa.

Pedidos erróneos o duplicados: ¿Qué es un pedido erróneo? Toda vez que un usuario (un cliente o un representante registrado de una empresa) ingresa un pedido no intencionado (es decir, erróneo), ya sea porque hubo un error en el precio, en la cantidad de acciones o, incluso, en la seguridad propiamente dicha. En estos casos, se espera que la empresa identifique este pedido potencialmente erróneo o duplicado (dentro de lo razonablemente posible) y confirme la legitimidad (y el cumplimiento con otras obligaciones) antes de derivar o ejecutar ese pedido.

Esto no debe confundirse con «ejecuciones» y obligaciones asociadas erróneas de las bolsas que pueden surgir de dos pedidos legítimos y a menudo se deben a factores de terceros como divisiones de acciones, fallas en el sistema (bolsa, creadores de mercado, etc.), suspensión de cotización en bolsa u otros motivos que den lugar a discrepancias en el precio, la cantidad de acciones o similares, que con frecuencia resultarán en una ejecución que probablemente deba revertirse.

Hay varios controles que intentan asegurar que un pedido ingresado sea legítimo, incluidos controles de tamaño (cantidad de acciones y precio), impacto potencial en el mercado (volumen diario promedio), precio (pedidos limitados), pedidos duplicados y otros.

FINRA reconoce en efecto que puede ser un desafío equilibrar las necesidades de los clientes con el cumplimiento de esta obligación, como indicaron en su guía anterior. Después de todo, puede ser frustrante cuando un cliente quiere ingresar un pedido específico y este debe pausarse para la correspondiente verificación debido a la «posibilidad» de que el pedido sea erróneo. El tiempo que se pierde en esta verificación puede traer aparejadas importantes pérdidas para el cliente. Sin embargo, las empresas deben estar preparadas para demostrar que cuentan con los controles apropiados y que los parámetros establecidos son «razonables» para sus clientes y sus negocios.

Controles de gestión de riesgo regulatorio

Dentro de la categoría de controles de gestión de riesgo regulatorio se incluyen cuatro obligaciones diferentes:

  1. evitar pedidos que no cumplen con los requisitos normativos antes de su ingreso;
  2. evitar pedidos en los cuales el cliente tiene restricciones para comercializar;
  3. asegurarse de que la empresa cuente con controles de acceso en todos los sistemas de comercio y tecnología; y
  4. asegurarse de que los supervisores reciban informes de ejecución luego de la comercialización.  

Prevención antes del pedido: Esto puede parecer muy directo y, en efecto, la mayoría de los sistemas de gestión de pedidos (OMS) están diseñados para que se confirme el cumplimiento de las obligaciones normativas requeridas antes de permitir que se derive o ejecute un pedido; sin embargo, hay otras obligaciones normativas que pueden pasarse por alto, como asegurarse de que la empresa no acepte un pedido de mercado en una oferta pública inicial antes del comienzo de la comercialización en los mercados secundarios (Regla de FINRA 5131(d)(4)) o incluso varias reglas y obligaciones de las bolsas.  

Restricciones del cliente: Estas también pueden ser un desafío, ya que este control debe ser específico para varias cuentas. En particular, en el caso de empresas que usan solicitudes impresas o múltiples OMS, un cliente puede divulgar información que requiere que se apliquen restricciones sobre determinados valores, y la empresa debe confirmar que existe este control en toda la organización así como dentro de la lista de comercialización restringida de la misma empresa.  

Control de acceso: Estas obligaciones no solo son vitales en el cumplimiento con el acceso directo al mercado, sino también expectativas de seguridad informática normativa en su conjunto. En general, a mayor acceso, mayor riesgo. Y esta es un área fácil de pasar por alto. Por ejemplo, no es raro que las empresas con múltiples sistemas se den cuenta de que no se han rescindido aún los derechos de empleados reasignados o despedidos meses o incluso años después.  

Además, el control de acceso no solo tiene que ver con quién tiene acceso, sino también con qué nivel de acceso tiene cada persona. Por ejemplo, otorgarle a un operador privilegios administrativos en un ATS que le permitiría modificar parámetros de control, agregar usuarios nuevos, etc., puede estar sujeto a un análisis normativo exhaustivo y crear riesgos adicionales, incluido el fraude. El acceso debe ser apropiado según el rol y las responsabilidades de cada empleado.

Revisión posterior inmediata: Esta última obligación puede ser común en los entornos con OMS establecidos; no obstante, en los sistemas privados o empresas con múltiples ubicaciones, sistemas y controles, la empresa puede encontrar dificultades para hacer que esta información esté disponible «inmediatamente» según se requiera.

Consideraciones importantes sobre los controles de gestión de riesgo financiero y regulatorio

Muchos de los controles analizados anteriormente no están bajo el control exclusivo del agente bursátil/por cuenta propia, sino que se mantienen en un sistema tercerizado, como el sistema de gestión de pedidos de un ATS. En estas situaciones, FINRA les recuerda a los agentes bursátiles/por cuenta propia que la responsabilidad final en cuanto a estas obligaciones de acceso directo al mercado es de la empresa, y esta no puede ceder su responsabilidad a ningún tercero. Esto no quiere decir que las empresas no puedan confiar en estos controles, sino que deben recordar que tienen que controlar estas alertas y parámetros, y estar preparadas para demostrar con la debida diligencia que su confianza en dichos controles es razonable.

Obligaciones de cumplimiento

Las empresas de agentes bursátiles/por cuenta propia, en virtud de la norma sobre acceso directo al mercado, tienen la obligación de asegurar que prueban sus controles y procedimientos de supervisión relacionados con el ADM al menos una vez al año para estar preparadas para la certificación del CEO, que también debe realizarse anualmente. En inspecciones anteriores, FINRA halló que las pruebas inapropiadas se traducen en que el CEO carece de una base razonable sobre la cual certificar que sus procedimientos y controles de gestión de riesgo cumplieron con la norma. En consecuencia, los agentes bursátiles/por cuenta propia deben asegurarse de que las pruebas sean oportunas, exhaustivas, precisas y completas.

Las obligaciones de acceso directo al mercado pueden parecer abrumadoras, pero tener un enfoque metódico y proactivo contribuirá considerablemente a mitigar los riesgos asociados. Kaufman Rossin tiene amplia experiencia en cumplimiento de lo estipulado por FINRA y SEC, y puede ayudar a los agentes bursátiles/por cuenta propia a cumplir con sus obligaciones de ADM. Contáctese conmigo o con otro miembro de nuestro equipo de Servicios de Asesoría de Riesgos si desea obtener más información sobre cómo podemos ayudar a su empresa con estos y otros requisitos normativos.


Alex Egan, CAMS, is a Broker-Dealer & Investment Adviser Services Director at Kaufman Rossin, one of the Top 100 CPA and advisory firms in the U.S.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

We respect your personal information. Please review our Privacy Policy for more details.