私募股权和合规风险管理对冲基金

鉴于08年后的重大监管变化，经营另类基金管理业务已成为更具考虑性的战略事务。可以将其与战略的终极游戏国际象棋进行比较。为了遵守AIFMD，Dodd-Frank以及即将颁布的《欧洲MiFID II》和《通用数据保护条例》（GDPR），基金经理必须考虑两个方面，并确保他们的典当地位。一种错误的举动，使他们冒着面对最能形容为监管将军的风险。

伦敦RFA董事总经理George Ralph表示：“我认为AIFMD的实施对私募股权基金经理的影响最大。”“在此之前，对事情的监管要少得多，但是在过去三年中，AIFMD带来了许多挑战，例如更新内部组织的要求。因此，私人股本经理不得不更加强调合规性。”

那些在AUM规模较大的公司工作的人已经聘请首席合规官来应对在更严格的合规环境中的内部压力，以确保必要的流程和程序已经到位。

向更高合规性的转变更加强调了对清晰的风险管理框架的需求，其中技术风险是核心组成部分。技术的进步意味着，尽管合规性负担增加了，但可以通过内部或通过将其外包给可信赖的IT供应商来自动化和监控合规性负担。

拉尔夫指出，风险必须在董事会一级进行管理，为此，“您需要适当的人员来化解风险，以使董事会能够做出明智的决定”。

可能是公司接受风险是因为可能的影响很小，或者如果经理觉得自己无法完全减轻风险，则将其外包。

“我们与客户一起记录所有风险，并根据可能性与影响进行衡量。然后将它们划分优先级并分配给个人。然后，我们鼓励客户在每次董事会会议上讨论前五名或前十名风险，以及他们是否乐意将缓解措施保持原样，还是应该投资于另一种方法以降低可能性，”拉尔夫说。

根据他的经验，拉尔夫（Ralph）确认，从技术角度来看，多达50％的私募股权经理没有适当的风险管理流程。他们只是假设，无论其IT提供商是谁为他们做的。当然，一个人不能转移风险，因为这将放弃一个人的责任。“这是您的业务和风险。您不能外包它，而忘了它。”

Chris Thear是伦敦对冲基金Ledbury Capital Partners LLP的首席运营官兼首席财务官。

Thear在讨论监管如何改变运营格局时指出，这不仅仅是了解规则，还应根据技术熟练地按照规则行事。他称其为“合规操作”。

“您可以像我们一样聘请顾问，律师和合规顾问，以了解规则并了解您的规则。但是越来越多的是，您必须具备达到该要求的技术能力。

“例如，AIFMD和附件IV报告，这实际上是一个发送到GABRIEL的XML文件。那是一份技术报告，您越来越发现CCO的作用正在变得越来越技术化，更具操作性。您需要更多的技术素养，我认为这只会增加。Thear评论说，这是所有法规导致的关键变化，这是合规操作。

考虑ESMA下的卖空规则：在欧洲管辖范围内，监视交易的触发因素以及如何生成报告的方法是一致的。但是，您报告德国和英国的空头的方式可能在技术上有所不同。监管上的分歧给基金经理带来了挑战。企业需要更多的系统化流程。请参阅2016年7月3日在英国生效的《市场滥用法规》。进行贸易监督是一个系统的过程。

“人们谈论进行企业监管风险管理，我完全同意。除此之外，您还需要企业数据管理功能。”

当前，存在三种主要的合规风险，这些风险已成为所有另类基金经理的重点：MiFID II，GDPR，以及更广泛的网络风险。

MiFID II

《金融工具市场指令》（MiFID II）的第二版已于2018年1月3日生效，已撰写了大量文章，其技术性在本报告中无法涵盖。可以说，这可能需要基金经理对其系统，治理以及控制和程序进行重大更改。

首先要采取的准备步骤之一是，通过影响评估和差距分析，使基金经理清楚地了解该法规将如何对其产生影响，从而制定出详细的履约路线图。

制定实施项目计划并非易事，并且需要对公司各种职能进行联合分析。一些重点领域将围绕委员会，研究的使用以及研究的报酬如何；最佳执行义务；交易报告和记录保存；以及监管报告，数据管理和电话录音。

RFA致力于从技术角度帮助私募股权和对冲基金组织为这项法规做准备。拉尔夫说，有必要找出客户当前的通信和数据管理基础架构中的差距，确定数据保留要求，确定数据生命周期，以确定每个经理将在何处以及如何存储他们的数据，最后，“确定值得信赖的合作伙伴，可以按照新法规管理其基础架构。”

“我们”已经与客户讨论了如何帮助他们进行数据分类，以及他们将如何管理和报告有关语音和视频记录，手机记录的法规。如果它在某人的个人移动设备与他们的企业移动设备上，将如何管理？我们甚至有客户询问我们有关记录座机通信的信息。

“根据MiFID II，管理人员将不得不将这些记录的数据存储长达七年。大多数客户最多只能存储12个月的记录数据，因为它的成本过高。” Ralph解释说。

诚然，考虑到投资方式的本质，与经常交易的对冲基金经理相比，私募基金经理面临的数据管理挑战并不那么重要。拉尔夫（Ralph）认为，从IT角度来看，PE经理更关心可以带给谁的帮助，而不是担心报告的细节。“他们似乎不太担心MiFID II的影响。对于他们已经具备的结构和内部拥有的CCO，它们可能得到了很好的覆盖。” Ralph建议。

要求保持匿名的英国最知名的私募股权集团之一的IT和基础设施负责人指出，英国私募股权与风险投资协会（BVCA）出色地代表政府游说了监管机构私募股权投资管理公司，而且直到MiFID II的所有细节都已确定之前，很难确切知道它将如何影响私募股权集团。

“我确实认为MiFID II将使我们的工作变得更加透明。我们已经报告说自己就像一家上市公司。我们始终对季度和年度报告保持透明，但我认为，对于许多规模较小，秘密程度较高的私募股权公司而言，这将对其产生重大影响。”

在某些方面，引用电子通讯记录的MiFID II规则是FCA合规性规则COBS 11.8的扩展。具体而言，第11.8节涉及电话对话和电子通信的记录。正如拉尔夫（Ralph）上文所述，这将要求PE经理将存储数据的时间从六个月提高到最长七年。

“这是BVCA会游说监管机构的事情。作为私募股权投资管理公司，我们并没有像对冲基金那样真正地接收或执行客户订单，因此我们希望对此有所回落。无论哪种方式，如果确实发生，我们作为一家公司都需要做好准备。我们已制定了所有应急计划，并有适当的预算，以防万一。” PE经理确认。

对于对冲基金，它们是数据的创造者。这些内部数据源保存在公司内部的不同系统中，或由托管人保存。MiFID II将要求管理人员也将这些信息进行整理，使其达到监管要求的标准。

“例如，交易报告将有要求，包括有关谁做出交易决定，谁进行交易以及他们的个人详细信息的详细信息。因此，基金经理正在创建大量内部数据，因此必须具有企业标准数据管理功能。

“这是我们在Ledbury Partners密切关注的事情，创建了系统和流程来整理信息（包括来自彭博社和其他公司的高质量，标准化的外部数据以及内部数据源），并将所有信息整合在一起，以便我们能够数据的整个生命周期。这需要了解技术架构。” Thear重申了他先前关于“合规性运作”的观点。

他说，为了解决这个问题，莱德伯里采用了一种混合方法，将一流的现成系统与内部开发（例如专有数据库）相结合。“一旦正确构造了所有数据，应用覆盖应用程序来支持业务（例如监管报告），对我们来说非常有效。

“我们与第一层合规性和IT供应商建立了联系，为了给自己更多的运营杠杆，我们将某些功能以及强大的监督外包给了这些公司。例如，对于合规顾问，我们“已经开始对MiFID II进行GAP分析和风险评估，这将是一份不断发展的文件，” Thear说。

GDPR

GDPR将影响另类基金管理人以及所有相关业务，涉及他们如何分类，存储，管理和保护个人数据。

拉尔夫（Ralph）认为GDPR和MiFID II在记录交易活动方面存在冲突。举例来说，假设您与一位投资者举行了视频会议，讨论一种贸易想法，一项并购交易；不管是什么在讨论期间，投资者透露了一些个人信息：也许他们提到要去葡萄牙的度假屋。在那种情况下，GP将不得不销毁该内容，因为在GDPR下它被视为“敏感数据”。

“人们将不得不寻找删除敏感数据的方法，因为他们将不会征得客户的同意存储此类敏感数据。作为投资者，您也有权选择并指定希望公司保留的数据。这两个规定之间确实存在冲突。

“从风险角度来看，数据泄露对公司的影响是，根据其年度全球营业额，他们可能面临最高4％的罚款。拉尔夫说：“我一直向客户提出的要点是，现实的是，如果他们能够证明自己正在努力做到合规，就不会被罚款。”

从风险角度来看，PE企业需要考虑GDPR的两个主要因素。

首先，如果他们与严重依赖少数客户的利基服务提供商合作，并且其中一个客户端遭受破坏，因为他们是数据处理器，服务提供商将被处以其总收入的2％的罚款。 。该服务提供商可能只能获得相当于2％的利润，最终破产。

“如果他们托管您的任何数据，将带来业务风险。人们需要更多地考虑与他们合作的公司和可信赖的合作伙伴的财务稳定性，以及他们已经具备的安全要素。” Ralph强调。

第二个风险是更具政治性。正如Ralph所说：“目前，我们在信息保护方面受到信息专员办公室的管辖。GDPR生效后，ICO将向欧盟数据委员会报告。对于英国脱欧，我担心的是，欧盟数据委员会是否会开始将英国公司定位为一种惩罚，以表彰它们为榜样？这给GDPR带来了潜在的政治风险。”

对任何体育经理来说，最大的风险是声誉风险。

“我认为，对服务提供商的财务影响比对管理者的声誉风险要少关注。你不能为此付出任何代价。这使得管理声誉风险成为一个挑战。匿名消息人士说，这是您无法完全减轻的风险。

他们指出，GDPR不仅仅是一个技术项目，还涉及适当的流程和控制以及风险管理：“我认为，没有公司会完全符合GDPR的要求。这是你永远都不会去的必杀技。但是，实施控制和政策意味着，如果您遇到问题，并且受到监管机构的调查，则至少可以证明您已实施控制，与供应商之间的数据传输协议等。

即使GDPR也对数据处理者承担责任，“ LP也不在乎数据处理者是谁。”如果我是LP，那么我会去看数据控制器；保护他们的个人数据是他们的责任。

Thear确认Ledbury正在审查其交易对手的合同安排，特别是与作为数据处理者的IT合作伙伴：“我们将审视我们的IT资产，并确保我们将其锁定在数据泄漏方面。我认为要重点关注的一件大事是，如果发生数据泄露，在GDPR下后果将更加惨重。您将确保对您的数据进行安全加密，并根据需要知道这些数据。”

拉尔夫（Ralph）建议采取以下实际步骤来为GDPR做好准备并减轻涉及的风险：

网络风险

再次，媒体上已经写了很多关于网络攻击日益复杂的信息，最近由WannaCry和NotPetya勒索软件攻击所证明的这种攻击给全球网络带来了混乱。

在较高的层次上，另类基金经理应该认识到网络安全和GDPR是相同的：共同点是数据管理。

RFA最近获得了GCHQ的认证，可以对GDPR进行GAP分析，这是其现有网络安全认证的扩展。这意味着RFA已完全获得IASME治理标准的认证。

随着私募股权集团采用数字平台技术，它们越来越容易受到网络攻击。的确，就IT基础架构和必要的风险管理框架而言，许多公司仍然处于相对低调的位置，它们能够最好地保护他们免受网络犯罪的侵害。

“我们在私募股权领域所支持的公司倾向于不使用机构质量的技术；它们通常具有标准的垃圾邮件过滤技术，防火墙技术等。趋向于发生的事情是它们存在漏洞或恐慌，因此请他们咨询。从他们认识的人那里，然后那个人会推荐一个IT合作伙伴（例如RFA）。

“然后我们将进行GAP分析。那是当我们可能发现他们到处都是漏洞的时候，我们建议他们为保护自己而需要在技术上投入一些预算。私募股权经理信任他们的合作伙伴，并认为这是IT问题。但这不是。网络安全是一个商业问题，”拉尔夫强调。

匿名消息来源承认，随着网络威胁形势的增长，该集团用于信息安全的预算比例有所增加，这证实了高级管理层“更加意识到了风险”。

“我们还没有达到顶峰。网络攻击将越来越严重。如果您看一看这个行业，它的价值为3840亿美元（福布斯），而对于可能在网络防御上花费最多的美国政府来说，这一数字约为300亿美元。这些数字完全歪曲了。如果您作为企业，认为政府会帮助您，那您就错了。它们将帮助关键基础设施保持国家运转。他们说，如果您是一家私营企业，那么您就是“一个人”。

尽管私募股权投资经理可能会在内部投入时间和资源来发展强大的网络态势，但他们面临的独特挑战之一是，他们还必须考虑所投资基础公司的网络安全态势。

在这方面，RFA通过审核其PE客户的投资组合来提供帮助。拉尔夫（Ralph）确认，在去年进行的一次网络安全审核中，该公司对其投资组合中的46家公司进行了客户调查，其中大约有17家公司需要对其安全性进行升级。

“对于四到五家投资组合公司，我们完全替换了他们的IT供应商，因为他们不知道他们在做什么。其中一家投资组合公司甚至没有在其计算机上安装防病毒软件。

“我们的许多竞争对手根本没有参与审计投资组合公司。我们希望让客户更多地参与业务方面。名誉风险可以说比遭受网络破坏更糟。” Ralph断言。

如果一家投资组合公司遭到破坏，媒体首先会说的​​是“ X公司，由私人股本集团Y拥有”。那是关于网络风险必须考虑的声誉风险。

“我们必须审视我们的投资组合公司，并了解它们所处的业务领域，以及链上进一步发展的风险可能在我们肩上。

“逐步进入市场的是，当一名PE经理进行并购工作时，他们正在进行技术尽职调查，以查看目标公司的网络是否已经受到损害。您现在遇到的问题是，网络在首次受到攻击后180天可能遭到破坏。如果您购买了一家企业并且已经受到损害，则不能追溯向监管机构说：“这家公司在我们拥有它之前就已经受到损害”；您可以完全承担这种风险。

“这已成为我们最终尽职调查的重要组成部分。英国PE经理概述说，这是非常麻烦的，但您需要了解它，并将其作为100天计划的一部分加以解决。

毫无疑问，为了适应日益增长的法规，合规性已变得越来越受技术驱动。这样，这将技术风险引入组织。

私募股权组织需要确保他们具有适当的技术风险管理流程，不仅可以有效地运作，还可以对可能引起监管机构注意的任何事件迅速做出反应。

钉“ />

詹姆斯·威廉姆斯