对于发生在2012年6月银行客户无法访问银行服务的IT故障,今天金融市场行为监管局( FCA )对苏格兰皇家银行( “RBS” ),National Westminster银行有限公司( “NatWest” )和Ulster银行有限公司( “Ulster Bank银行” ) (以下简称“银行” )进行了 4千2百万英镑的罚款。
FCA采取的这一行动针对银行未能把能够承受或尽量减少IT故障风险的弹性的IT系统落实到位。
此次IT事件的真正原因是软件兼容性问题,是由该银行未能在建立适当的系统和控制以识别和管理他们的IT风险而引发的。
此次IT故障的影响超过650万在英国的客户,并持续了几个星期。在这个期间的客户无法使用网上银行服务,无法从ATM机访问他们的帐户或者获得准确的帐户余额; 客户无法及时偿还贷款; 客户们把现金留在了境外; 该银行将不正确的信用和借记利息计入客户的账户,并且生成了不准确的银行对账单; 一些企业是无法兑现他们的工资或承诺,也无法完成他们的经审核账。
FCA执法和金融犯罪部的主管Tracey McDermott说:“现代银行业依赖于有效的,可靠的和灵活的IT系统。银行的故障意味着数以百万计的客户无法进行能让企业和人们的日常生活前进的银行交易。”
“由于在RBS集团内部多个层次对危险的识别和管理的故障导致了问题的出现,这是颠覆性的IT事件的结果,而其结果是让RBS的客户都暴露在这些风险中。我们希望所有的企业都在部署IT战略和政策时,将重点放在如何确保他们能够满足其客户的需求上。”
于2012年6月17日,技术服务(银行集团集中IT功能)通宵升级了处理更新客户帐户的软件。当它发现升级问题时,在没有先测试该行动所造成的后果的情况下决定卸载它。然而,技术服务没有意识到升级后的软件是不是与以前的版本相兼容。这引起了发生在2012年6月20日干扰客户使用银行信贷的能力的IT事件。
没有充分的测试程序来管理软件的变更;
没能识别运行客户账户更新的软件系统设计上的风险;
IT风险偏好和政策太有限制,因为它应该有更大的放在系统设计的重点,以抵御或减少破坏性事件的影响。
该事件不是银行未能在IT基础架构做出足够的投资的结果。RBS集团每年花费超过十亿英镑用于保持IT基础设施。FCA承认,自从IT事件以来,银行采取了显著措施来解决的在他们此前IT系统和控制的失败。
今天的罚款是第一次FCA和审慎监管局( PRA )采取联合执法行动。PRA已经罚了银行14000000英镑。
该银行同意在调查的早期阶段解决问题,因此,第1阶段的合格率要达到30 %。
IT事件发生后不久, FCA在2012年写信给主要零售银行的主席,要求他们找出他们认为在董事会层面评估和减轻他们接触到IT风险的步骤。FCA和PRA最近发起了第二个“Dear Chairman”演习,并再次寻求以评估银行管理他们接触到IT风险以及在何种程度上银行监管机构正式评估银行受技术故障对服务配套零售的经济功能产生的影响。
今天的决定反映了FCA确保银行所做的,从“业务连续性” (从破坏性事件中恢复),到“弹性” (确保银行业务最关键的客户可承受破坏性事件的影响,如软件和其他IT故障)文化转变的承诺。
FCA愿意承认从爱尔兰的爱尔兰中央银行收到的跨辖区合作,他们采取了自己就RBS Group的一个子公司Ulster Bank( ROI)IT故障的执法行动。
编者注:
2013年4月1日,金融行为管理局( FCA)开始负责监管所有金融机构的行为监管,这些并不是由审慎监管局( PRA )监管的。
FCA有保证相关市场运作良好的总体战略目标。为了支持这一点,有三个运营目标:以确保对消费者的适度保障;以保护和改善英国金融系统的完整性;并促进消费者的利益有效竞争。
