爱尔兰银行(Bank of Ireland)接受了爱尔兰央行2,450万欧元的罚款,原因是其IT系统存在一些缺陷,可能导致客户无法获得基本的银行服务。
这是监管机构有史以来对受监管公司IT系统故障开出的最大罚单,令阿尔斯特银行(Ulster Bank)在2014年一次重大系统故障后被迫支付的350万欧元罚款相形见绌。
尽管在Bank of Ireland故障时间范围内没有发生此类中断,但中央银行执法和反洗钱主管Séana Cunningham在今天上午的一份声明中表示,这些入侵可能会“对客户产生非常严重的影响”。
Bank of Ireland违规事件的持续时间(发生于2008年至2019年的11年期间),以及它们对客户和整个金融体系的潜在广泛影响,促使央行决定对Bank of Ireland处以爱尔兰法律允许的最高金额罚款。
该罚款最初设定为3,500万欧元,但由于Bank of Ireland接受了调查结果,因此减少了30%至2,450万欧元。
中央银行的一项调查发现,Bank of Ireland的三道防线——内部IT控制系统——都存在缺陷,这些系统旨在确保在发生重大故障或中断时服务的连续性。
Bank of Ireland承认违反了五项欧洲银行业监管规定,包括:
- 未能证明在重大资讯科技中断时确保服务连续性的能力。
- 没有有效的内部控制,以识别IT服务连续性框架的缺陷,并确保将其上报给高级管理层。
- 在IT服务的连续性方面,未能适当地与第三方IT服务供应商接触并监督其管理。
Cunningham说,2008年至2015年期间,该银行“多次”被第三方警告其系统存在缺陷。
然而,Bank of Ireland直到2015年才开始采取措施解决这些问题。
Cunningham说:“如果没有一个有效的IT服务连续性框架,重大的IT中断,特别是如果发生在银行,可能会对数百万依赖随时获得资金和服务来维持日常生活和业务运行的客户产生非常严重的影响。”
“考虑到Bank of Ireland提供的服务‘一直在运行’的性质,以及IT对其整个业务运营的关键作用,这些违规的程度和持续时间尤其严重。
“这些违规事件的影响意味着,如果发生严重的中断事件,投资委员会可能无法确保支付服务等关键服务的连续性。如果Bank of Ireland的关键服务中断,可能会对客户和金融系统造成不利影响。”
在2015年内部审计委员会对该行IT应急系统的缺陷提出担忧后,央行于2018年开始调查。
一份报告已提交给欧洲央行——Bank of Ireland的主要监管机构——得出结论称,爱尔兰央行需要进行进一步调查。
中央银行表示,监管机构的调查发现,该行系统存在“长期”缺陷。
考虑到由于网上银行的兴起,Bank of Ireland对IT的依赖“与该行业一样,每年都在增长”,这种情况“尤其严重”。
2016年,Bank of Ireland开始对其IT系统进行重大检修,称为欧米茄项目(Project Omega)。
但是,这项最初标价5,000亿欧元的计划面临着巨大的成本超支,在2018年价格翻了一倍多,达到14亿欧元。
根据该银行2020年年报的一份报告,去年,投资委员会总结称,其数字转型的某些方面“不够成熟”。
因此,Bank of Ireland不得不注销在这一过程中花费的1.36亿欧元。