Pembukaan 1 Agustus
Pada 1 Agustus 2012 pukul 9:30 pagi waktu bagian Timur, bel pembukaan Bursa Saham New York berbunyi sebagaimana biasanya. Dalam hitungan detik, pita konsolidasi mulai mencatat pesanan yang mengalir ke 154 saham tercatat NYSE yang paling aktif diperdagangkan, dan dalam waktu kurang dari satu menit pesanan-pesanan itu mulai berperilaku ganjil. Di pita konsolidasi maupun pada layar para spesialis di bilik Designated Market Maker, pola yang sama berulang dalam simbol-simbol yang terdampak โ sebuah bid diambil, sebuah offer dipukul, lalu hampir seketika muncul bid lain pada satu tick lebih tinggi, lalu lagi, lalu lagi. Pesanan itu berasal dari satu kode broker-dealer: NITE, simbol Knight Capital Americas, market-maker ekuitas ritel terbesar di Amerika Serikat.
Pada pagi 1 Agustus 2012 Knight merutekan sekitar lima belas hingga tujuh belas persen aliran pesanan ritel saham tercatat AS. Perusahaan ini merupakan rekanan grosir di balik TD Ameritrade, Scottrade, E*TRADE, dan sebagian besar pialang diskon regional. SMARS โ Smart Market Access Routing System โ adalah pipa produksi yang memutuskan ke mana setiap pesanan induk harus ditempatkan, pesanan anak mana yang akan ditembakkan, dan bagaimana harus bersikap ketika konfirmasi pengisian sebagian kembali dari venue. SMARS ditempatkan pada delapan server produksi di pusat data Knight di New Jersey. Pada pagi 1 Agustus, tujuh di antaranya menjalankan deployment yang dirilis pekan sebelumnya untuk mendukung Program Likuiditas Ritel baru NYSE. Satu di antaranya tidak (US Securities and Exchange Commission, 2013).
Pergerakan harga saham Knight Capital Group dari pagi itu nyaris merupakan catatan murni atas kegagalan teknis, sebab tidak ada faktor lain yang menggerakkan ekuitasnya. Perusahaan memulai sesi pada sekitar USD 10,33, menutup hari di sekitar USD 6,94, dan menutup hari berikutnya di sekitar USD 2,58 setelah unwind posisi ke Goldman Sachs dibukukan dan diumumkan sebelumnya. Pada akhir Agustus, ekuitas telah stabil di bawah USD 2,50 โ level yang sudah memperhitungkan dilusi pendanaan penyelamatan. Bentuk jejak harga itu, lebih daripada memo internal mana pun, menggambarkan apa yang dipikirkan pasar tentang peristiwa empat puluh lima menit pada pagi Rabu itu.
Power Peg dan Pengalihan Diam-Diam Sebuah Bit Flag
Penyebab teknis langsung dinamai dari sebuah rutin perangkat lunak yang tidak digunakan dalam produksi sejak 2003. Namanya Power Peg. Fungsi Power Peg yang awal, ditulis pada masa setelah krisis dotcom, adalah ikut serta dalam pesanan induk โ "mematok" (peg) serangkaian pesanan anak ke pasar pada harga yang bergerak bersama anak-anak pesanan yang lain, menghasilkan pengisian terhadap dirinya sendiri sebagai uji terkendali terhadap logika routing. Power Peg memiliki dua ciri khas. Pertama, secara desain rutin ini mengabaikan kuantitas kumulatif yang telah terisi. Pesanan anak yang kembali terisi tidak mengurangi sisa target pada induk. Kedua, Power Peg dikunci oleh satu bit flag dalam konfigurasi pesanan โ pada awalnya merupakan nilai dari parameter yang dilabeli dalam dokumentasi internal sebagai "cumulative quantity flag" untuk uji harness (Patterson, 2012).
Pada tahun 2003 flag yang relevan dipensiunkan dari perdagangan langsung. Namun, kode Power Peg tidak dihapus. Ia ditinggalkan dalam basis kode SMARS sebagai perancah uji yang dorman. Pada 2005 bit flag itu dialihfungsikan: sebuah fitur baru โ opsi routing "RLPRetail" โ diberi nilai flag yang sama, dengan asumsi bahwa Power Peg tidak akan pernah lagi dipanggil dan bahwa perancah di bawahnya telah dipangkas. Keputusan mengalihfungsikan sebuah bit flag dengan cara ini terlihat rasional di bawah tekanan tenggat pada suatu Selasa sore, dan menjadi fatal pada suatu Rabu pagi tujuh tahun kemudian.
Pada akhir Juli 2012 Knight menyiapkan rilis SMARS untuk menangani Program Likuiditas Ritel NYSE, yang dijadwalkan tayang pada 1 Agustus. RLP adalah inovasi kecil dalam struktur pasar โ memungkinkan pesanan yang ditandai sebagai ritel berinteraksi dengan perbaikan harga sub-sen di dalam NYSE, bukan hanya dengan market-maker grosir di luar bursa โ tetapi mengharuskan Knight memperbarui tabel routing SMARS dan logika penandaan pesanan. Rilis itu dibundel menjadi satu deployment yang dipasang secara manual oleh seorang teknisi senior pada kedelapan server SMARS antara Rabu 25 Juli dan Selasa 31 Juli. Tidak ada verifikasi pascadeployment yang otomatis. Pemasangan per host tidak memerlukan tanda tangan kedua dari insinyur lain. Catatan rilis tidak secara terpisah menyatakan bahwa kode baru, dengan mengubah cara penafsiran cumulative quantity flag, akan membangunkan Power Peg jika rutin itu masih ada.
Empat Puluh Lima Menit
Rincian kronologis pada tabel di bawah ini direkonstruksi dari perintah penyelesaian SEC tahun 2013 terhadap Knight Capital Americas, berkas penyelidikan FINRA, dan catatan post-mortem yang beredar di komunitas teknologi broker-dealer pada paruh kedua 2012. Waktu adalah US Eastern Daylight Time pada 1 Agustus 2012.
| Waktu | Peristiwa | Estimasi kerugian kumulatif |
|---|---|---|
| 04:30 | Pra-pasar: Teknisi Knight mengaktifkan kode routing RLP baru di produksi. Server SMARS kedelapan belum diperbarui; masih membawa rutin Power Peg dari 2003 | โ |
| 09:30:00 | Pasar dibuka. SMARS mulai menerima pesanan induk yang aktif untuk 154 simbol NYSE yang memenuhi syarat RLP. Tujuh server menanganinya dengan benar. Server kedelapan menafsirkan flag yang dialihfungsikan sebagai isyarat untuk rutin Power Peg yang dorman | USD 0 |
| 09:31 | Server kedelapan mulai menembakkan pesanan anak terhadap pesanan induk di memori tanpa mengurangi kuantitas tersisa. Volume pada nama-nama yang terdampak melonjak. Sekitar 8.000 pesanan per detik mulai masuk ke pita konsolidasi | ~USD 10 juta |
| 09:34 | Layar P&L internal mulai menunjukkan akumulasi posisi long yang anomali pada Wizzard Software (WZE), Reaktor (RKR), dan beberapa saham industri kapitalisasi menengah. Staf meja perdagangan mengeskalasi ke Operations Control Center | ~USD 30 juta |
| 09:45 | Eskalasi terkonfirmasi pertama ke manajemen risiko senior. Para insinyur mulai meninjau apa yang terjadi tetapi tidak dapat mengidentifikasi server SMARS mana yang menjadi sumbernya | ~USD 110 juta |
| 09:48 | Spesialis NYSE-LIFFE mulai menelepon Knight untuk menanyakan apakah aliran pesanan disengaja. Tim struktur pasar meminta pembatasan laju (rate limiting) di bursa tetapi tidak dapat menyelesaikan handshake operasional | ~USD 135 juta |
| 09:55 | Teknik Knight mencoba pemulihan: men-deploy ulang kode RLP baru ke server kedelapan untuk menimpa Power Peg. Skrip deployment โ yang dirancang untuk menjaga konsistensi โ justru menyebarkan keadaan yang berbug ke tujuh server lainnya, memperbesar masalah | ~USD 180 juta |
| 10:00 | Aliran pesanan terus melaju pada kecepatan puncak. NYSE menelepon eksekutif Knight menuntut tindakan. Pejabat risiko mulai meminta penghentian manual pada langganan data pasar SMARS | ~USD 260 juta |
| 10:10 | Knight membuat keputusan manual untuk menonaktifkan data pasar yang masuk ke SMARS. Tanpa pembaruan kuotasi, mesin routing berhenti menembakkan pesanan baru terhadap kuotasi yang sudah usang | ~USD 365 juta |
| 10:15 | Pesanan anak terakhir selesai. SMARS dimatikan. Buku posisi mencatat sekitar USD 3,5 miliar posisi long pada 80 saham dan USD 3,15 miliar short pada 74 saham, berjumlah sekitar USD 7 miliar eksposur nosional tak diinginkan dalam kira-kira 4 juta pesanan yang tereksekusi | ~USD 415 juta direalisasikan + mark terbuka |
Dalam empat puluh lima menit, Knight menjadi market-maker tanpa buku market-making โ perdagangannya merupakan akumulasi yang tidak ter-match, bukan penangkapan spread bid-offer. Kerugian yang direalisasikan saat Goldman Sachs melepaskan seluruh posisi pada hari berikutnya adalah sekitar USD 440 juta sebelum pajak (Patterson, 2012; Lewis, 2014).
Pengalaman di dalam Knight selama jendela itu, menurut semua catatan yang kemudian muncul, bukanlah manajemen krisis yang berkepala jernih. Lantai perdagangan di Jersey City riuh dan kian linglung. Seorang eksekutif Knight yang berada di lantai itu kemudian mengatakan kepada Wall Street Journal bahwa naluri pertama tim SMARS adalah bahwa mereka sedang diserang โ sebuah denial-of-service atau penyusupan pesanan jahat โ dan deployment ulang yang menyebarkan bug dilakukan ketika belum ada seorang pun yang memahami bahwa rutin Power Peg pada server kedelapan adalah sumbernya. Tindakan bersih-bersih itu memperdalam luka.
Rekanannya Adalah Goldman Sachs
Pada penutupan perdagangan 1 Agustus, Knight memegang buku posisi senilai sekitar USD 7 miliar dalam nilai absolut, dengan kerugian mark-to-market yang sudah berada di ratusan juta dolar bagian atas. Modal regulasi perusahaan โ berdasarkan aturan net capital SEC dan FINRA โ sekitar USD 365 juta. Di atas kertas, dan boleh dibilang secara nyata, Knight sudah insolven sebelum sesi tersebut ditutup, dan satu-satunya hal yang menahannya dari proses pembubaran regulasi paksa adalah bahwa selain segelintir eksekutif, tidak ada yang mengetahui besaran penuh posisi tersebut. Pemimpin eksekutif Knight Thomas Joyce, yang sedang memulihkan diri dari operasi lutut di rumahnya di Connecticut, diberi tahu besarannya melalui telepon sekitar pukul 11 pagi. Ia kembali ke Jersey City sore itu (Patterson, 2012).
Panggilan pertama Joyce, sebelum kepada regulator atau pendanaan penyelamatan, ditujukan ke meja ekuitas Goldman Sachs. Dalam hitungan jam Goldman setuju mengambil seluruh posisi dari buku Knight pada pagi berikutnya dengan haircut yang disepakati. Pengaturan itu menyelamatkan Knight dari likuidasi paksa di venue yang terfragmentasi โ likuidasi pada 154 nama yang sudah kacau akibat peristiwa itu akan menghasilkan harga pengisian jauh di bawah tingkat yang diterima Goldman. Kerugian realisasi USD 440 juta mencerminkan haircut yang ditarik Goldman. Tanpa pengaturan satu rekanan tunggal itu, angka kerugian yang dilaporkan pada 2 Agustus akan jauh lebih besar dan Knight akan memasuki sesi perdagangan kedua dalam keadaan gagal regulasi yang terbuka.
Aturan yang Baru Saja Ditulis SEC
Kegagalan Knight melanggar aturan yang difinalkan SEC pada 2010 dan baru sepenuhnya berlaku pada 2011, dengan penerapan bertahap sepanjang 2012. Aturan 15c3-5 โ Market Access Rule โ mengharuskan setiap broker-dealer yang memberikan akses ke bursa atau sistem perdagangan alternatif untuk memelihara kontrol risiko pra-perdagangan dan prosedur pengawasan yang memadai untuk mengelola risiko keuangan, regulasi, dan operasional dari akses tersebut. Aturan itu secara tegas mempertimbangkan kontrol terhadap pesanan keliru. Aturan ini ditulis sebagai tanggapan langsung atas flash crash Mei 2010, dan menjadi pasangan regulasi atas reformasi struktural yang dilacak dalam kisah Flash Crash. Rezim deployment Knight โ manual, tak terdokumentasi, tanpa verifikasi otomatis dan tanpa tanda tangan kedua โ tidak memenuhi standar itu (US Securities and Exchange Commission, 2013).
Perintah penegakan SEC tanggal 16 Oktober 2013, Release No. 70694, adalah tindakan pertama yang pernah diajukan berdasarkan Aturan 15c3-5. Perintah itu menemukan bahwa Knight melanggar aturan karena tidak memiliki prosedur tertulis yang memandu deployment perangkat lunak, tidak melakukan pengujian yang memadai atas kode RLP baru di lingkungan menyerupai produksi, tidak memiliki proses otomatis untuk mendeteksi pesanan keliru sebelum mencapai pita konsolidasi, dan tidak memiliki prosedur eskalasi terdokumentasi bagi staf teknik untuk melibatkan manajemen risiko senior ketika sebuah algoritma berperilaku abnormal. Knight, yang saat itu beroperasi sebagai KCG Holdings, membayar denda USD 12 juta tanpa mengakui atau menyangkal temuan. Perintah itu pendek โ 13 halaman โ tetapi luar biasa langsung dalam menjabarkan apa yang seharusnya berisi suatu kerangka kontrol risiko pra-perdagangan yang memadai (US Securities and Exchange Commission, 2013).
Sebuah penasehatan bersama CFTC-SEC tentang perdagangan otomatis yang terpisah, yang diterbitkan pada tahun yang sama, menggeneralisasi pelajaran itu ke berbagai kelas aset dan venue. Penasehatan tersebut menetapkan ekspektasi terhadap manajemen perubahan, kontrol versi kode sumber, persetujuan deployment, verifikasi otomatis lingkungan produksi, serta desain dan pengujian "kill switch" yang mampu menghentikan aliran pesanan keluar ketika ada tanda-tanda kelainan (CFTC-SEC Joint Advisory Committee, 2013). Penasehatan tersebut tidak memiliki kekuatan aturan, tetapi menjadi tolok ukur yang kemudian dipakai tim pemeriksa FINRA untuk menilai tata kelola teknologi broker-dealer.
Bagaimana Firma USD 1,5 Miliar Direkapitalisasi dalam Satu Akhir Pekan
Pada penutupan perdagangan 2 Agustus 2012, saham Knight telah kehilangan sekitar 75 persen dari nilai pra-peristiwa. Kapitalisasi pasar turun dari sekitar USD 1,5 miliar menjadi sekitar USD 290 juta dalam dua sesi. Pukulan P&L yang direalisasikan sebesar USD 440 juta lebih besar dari modal regulasi. Tanpa rekapitalisasi, Knight akan gagal memenuhi panggilan margin clearinghouse dalam hitungan hari. Sejak pagi 3 Agustus hingga sepanjang akhir pekan, konsorsium investor strategis dan firma pesaing menegosiasikan penggalangan modal darurat (Lewis, 2014).
Kesepakatan ditutup pada 6 Agustus 2012. Knight menerbitkan saham preferen konvertibel senilai USD 400 juta kepada sebuah kelompok yang terdiri atas Jefferies, Blackstone, Getco, Stifel, TD Ameritrade, dan partisipasi yang lebih kecil dari Stephens Inc. Syarat konversi mendiluasi pemegang saham yang ada sekitar tujuh puluh tiga persen. Pemegang saham konvertibel baru memiliki perwakilan dewan dan jalur jelas menuju kendali. Investasi dari Getco โ sebuah firma perdagangan frekuensi tinggi berbasis Chicago yang merupakan pesaing Knight dalam market-making grosir โ paling sarat secara strategis. Dalam tiga bulan, Getco mengumumkan merger dengan Knight, yang rampung pada Juli 2013 dan membentuk KCG Holdings. KCG beroperasi hingga April 2017, ketika Virtu Financial โ firma lain yang berakar HFT โ mengakuisisi KCG seharga USD 1,4 miliar tunai, menutup busur korporasi yang digerakkan oleh deployment 1 Agustus 2012.
Apa yang Dibangun Industri Setelahnya
Pelajaran prosedural menyebar dengan cepat. Dalam dua belas bulan setelah peristiwa Knight, para broker-dealer besar membenahi proses rilis perangkat lunak mereka. Verifikasi pra-deployment otomatis โ pemeriksaan yang membandingkan konfigurasi yang berjalan pada setiap host produksi dengan manifest yang diharapkan โ menjadi standar. Sebagian besar broker-dealer membangun prosedur kill switch terdokumentasi yang dapat menonaktifkan aliran pesanan keluar pada tingkat mesin FIX dengan satu pemicu tunggal, diaudit triwulanan. Beberapa firma memisahkan hak deployment sehingga tidak satu teknisi pun dapat menggulirkan kode ke produksi tanpa tanda tangan insinyur kedua, suatu pengaturan yang mencerminkan prinsip empat mata yang sejak lama dipersyaratkan pada penyelesaian back-office namun sebagian absen dalam teknik front-office hingga saat itu.
Bursa-bursa menambahkan kontrol pesanan keliru di tingkat firma anggota, melengkapi kerangka limit-up-limit-down per sekuritas yang dibangun setelah flash crash 2010. FINRA menerbitkan panduan pengawasan teknologi yang mencakup desain sistem perdagangan algoritmik, pemeliharaan inventaris kode produksi, kewajiban tinjauan independen tahunan atas siklus hidup pengembangan algoritma, dan dokumentasi setiap perubahan kode produksi sebagai peristiwa pengawasan formal. Auditor mulai memasukkan tata kelola deployment kode dalam pemeriksaan keuangan dan operasional broker-dealer.
Respons antar-firma tidak merata. Tinjauan staf SEC tahun 2014 menemukan bahwa mungkin sekitar enam puluh persen broker-dealer yang diperiksa telah menerapkan prosedur rilis terdokumentasi yang konsisten dengan aturan. Firma grosir yang aktif dalam market-making elektronik berada di depan kurva; pialang institusional tanpa eksposur frekuensi tinggi yang signifikan tertinggal. Arsitektur pengawasan yang dipercepat oleh peristiwa Knight terus disempurnakan, dan beberapa benang kebijakan yang membentang dari pascaperistiwa Knight juga tampak dalam narasi struktural skandal LIBOR, keruntuhan Barings, dan pelajaran risiko operasional yang lebih luas dari krisis keuangan 2008.
Empat Puluh Lima Menit sebagai Diagnostik Struktur Pasar
Cara paling instruktif untuk membaca peristiwa Knight Capital adalah memperlakukannya sebagai uji tekanan yang tidak disengaja terhadap pasar ekuitas AS pasca-Reg-NMS. Hasil uji itu cukup berat. Pita konsolidasi menyerap empat juta pesanan tak diinginkan tanpa kegagalan operasional. Mesin matching bursa tidak macet. Infrastruktur kliring menyelesaikan setiap perdagangan. Proses penyelesaian rampung pada T+3 tanpa perselisihan. Struktur pasar tangguh pada lapisan venue dan infrastruktur dengan cara yang, pada pagi yang berbeda di tahun yang sama, mungkin akan dibaca sebagai menenangkan.
Yang tidak diserap oleh struktur tersebut adalah kegagalan logika pembangkitan pesanan di satu firma anggota. Arsitektur dibangun atas asumsi bahwa penyedia akses pasar bertanggung jawab untuk tidak mengirim pesanan yang tidak ia maksudkan untuk dikirim. Ketika asumsi itu runtuh pada satu firma, sisa arsitektur tidak memiliki mekanisme bawaan untuk menangkap pesanan yang dihasilkan sebelum dicetak. Bursa melihat pesanan NITE, memvalidasinya terhadap aturan bid-offer, dan mencocokkannya. Tidak ada filter kedua di antara broker-dealer dan mesin matching yang dapat mendeteksi algoritma yang lepas kendali โ hanya kontrol pra-perdagangan broker-dealer itu sendiri, yang gagal dipelihara Knight. Celah itulah pelajaran strukturalnya, dan celah itulah yang dirancang untuk ditutup oleh Aturan 15c3-5.
Ada ironi kecil dalam pengaturan waktunya. Empat puluh lima menit peristiwa Knight nyaris persis sama dengan durasi flash crash Mei 2010 yang menjadi alasan ditulisnya aturan akses pasar SEC. Aturan itu sudah berlaku pada pagi 1 Agustus 2012. Knight belum patuh terhadapnya.
Thomas Joyce memberi penjelasan resminya kepada Wall Street Journal pada 3 Agustus. "Kami mengalami kerugian yang relatif signifikan akibat suatu masalah perangkat lunak," katanya. Ia tidak menyebut Power Peg. Ia tidak pernah menyebutnya. Pengajuan perusahaan selanjutnya menggambarkan peristiwa itu sebagai "masalah teknologi yang memengaruhi routing pesanan tertentu ke sekuritas tercatat NYSE", rumusan yang menangkap fakta operasional tanpa menyebut nama rutin tersebut. Perintah SEC 2013 adalah dokumen publik pertama yang menyebut nama kode dorman itu, kode yang sejak 2003 menanti seseorang, delapan tahun kemudian, untuk membalik bit flag yang tepat.
Terkait
Historical records Pelajari lebih lanjut tentang metodologi kami.