Résumé

  • La panne de 2012 de RBS, NatWest et Ulster Bank appartient à un dossier de risque et de responsabilité car une défaillance du traitement par lot est devenue un événement de liquidité pour les clients, de paiements, de compensation et de confiance du public plutôt qu'un simple défaut technique de back-office.
  • Qui avait le contrôle pratique sur le risque de changement du traitement par lot, la récupération de l'état des paiements, la gestion des difficultés des clients, les rapports aux régulateurs, la résilience des plateformes héritées et les preuves que l'automatisation bancaire pouvait être réparée sans répercuter les coûts sur les clients?
  • Le communiqué de presse de la FCA àhttps://www.fca.org.uk/news/press-releases/fca-fines-rbs-natwest-and-ulster-bank-ltd-%C2%A342-million-it-failureset l'avis final àhttps://www.fca.org.uk/publication/final-notices/rbs-natwest-ulster-final-notice.pdfconstituent des preuves publiques directes: la FCA a infligé une amende de 42 millions de livres sterling aux banques, a constaté des violations des systèmes et contrôles du Principe 3, a identifié au moins 6,5 millions de clients britanniques directement affectés et a décrit les impacts sur les paiements, les soldes, les distributeurs automatiques, Bankline, les prêts, SWIFT, les intérêts, les relevés, les ordres permanents et la compensation.
  • Le dossier de la PRA àhttps://www.bankofengland.co.uk/news/2014/november/pra-fines-rbs-natwest-and-ulster-bankethttps://www.bankofengland.co.uk/-/media/boe/files/prudential-regulation/enforcement-notice/en201114.pdfest important car le régulateur prudentiel de la Banque d'Angleterre a infligé une amende de 14 millions de livres sterling aux banques et a traité l'incident comme un risque de sécurité et de solidité et de système de compensation, et non seulement un manquement de conduite.
  • Le règlement de la Central Bank of Ireland àhttps://www.centralbank.ie/docs/default-source/news-and-media/legal-notices/settlement-agreements/ulster-bank-ireland-limited.pdf?sfvrsn=6ajoute la dimension de la République d'Irlande: Ulster Bank Ireland a été condamnée à une amende de 3,5 millions d'euros pour des défaillances de gouvernance informatique, et la déclaration publique a indiqué qu'environ 600 000 clients avaient été privés de services bancaires.
  • Cet article traite les documents de la FCA, de la PRA, de la Bank of England, de la Central Bank of Ireland et des investisseurs de RBS/NatWest comme des preuves publiques directes, utilise The Guardian, Computer Weekly, Sky News et des documents parlementaires pour le contexte chronologique et d'impact, et utilise des publications sur la résilience opérationnelle pour le vocabulaire de contrôle ultérieur plutôt que des journaux de lots privés ou des documents de travail de personnel spécialisé.

Pourquoi ce cas appartient à un dossier de risque et de responsabilité

La panne de 2012 de RBS, NatWest et Ulster Bank appartient à un dossier de risque et de responsabilité car elle a brisé la séparation ordinaire entre l'automatisation du back-office et la vie bancaire publique. Un planificateur de lots est censé coordonner le traitement nocturne. Les clients ne le voient pas. Les employeurs ne le voient pas. Les prêteurs hypothécaires, les commerçants, les propriétaires, les bénéficiaires de prestations et les contreparties de paiement ne le voient pas.

Mais lorsque le traitement par lot échoue au sein d'un grand groupe bancaire, l'automatisation invisible devient visible sous forme de salaires manquants, de soldes erronés, de virements échoués, d'achats refusés, de files d'attente en agence, de pression sur les centres d'appels et d'incertitude quant à savoir qui peut dépenser de l'argent qui devrait déjà être disponible.

L'avis final de la FCA àhttps://www.fca.org.uk/publication/final-notices/rbs-natwest-ulster-final-notice.pdfest le document public central. Il indique que le mercredi 20 juin 2012, les clients ont constaté qu'ils ne pouvaient pas utiliser toutes les fonctionnalités de la banque en ligne pour accéder à leurs comptes ou obtenir des soldes précis aux distributeurs automatiques. Il enregistre ensuite des conséquences plus larges: les clients ne pouvaient pas tirer sur leurs prêts, transférer des paiements à des créanciers externes, y compris les sociétés de cartes de crédit et les fournisseurs de prêts hypothécaires, ou transférer de l'argent en utilisant les méthodes de paiement SWIFT. Plus tard, les clients ont constaté des intérêts créditeurs et débiteurs incorrects, des entrées de relevés en double, des enregistrements de transactions inexacts et des ordres permanents non traités à temps.

C'est pourquoi le cas n'est pas simplement une panne. C'est un cas de responsabilité de l'état des paiements. Un compte bancaire n'est pas seulement une ligne de base de données. C'est la capacité du client à payer son loyer, à recevoir son salaire, à retirer de l'argent, à finaliser un achat immobilier, à honorer sa paie, à rapprocher ses factures, à éviter les pénalités et à prouver qu'un paiement a eu lieu ou non. Lorsque la banque ne peut pas mettre à jour l'état des paiements de manière fiable, la vie financière du client devient dépendante de la file d'attente de récupération de la banque.

La question manifeste est donc pratique: qui avait le contrôle pratique sur le risque de changement du traitement par lot, la récupération de l'état des paiements, la gestion des difficultés des clients, les rapports aux régulateurs, la résilience des plateformes héritées et les preuves que l'automatisation bancaire pouvait être réparée sans répercuter les coûts sur les clients? Le dossier public pointe d'abord vers le groupe RBS et sa fonction centralisée de services technologiques, puis vers la gouvernance des risques d'entreprise, l'audit interne, la surveillance du conseil, les marques orientées clients et les régulateurs.

Les clients ont subi les conséquences, mais ils ne contrôlaient pas le planificateur de lots, la gouvernance des changements, la résilience du système ou les preuves de récupération.

La panne a commencé avant que les clients ne s'en aperçoivent

La forme publique de l'incident a commencé le 20 juin 2012, mais le dossier réglementaire situe la cause technique plus tôt. L'avis final de la PRA àhttps://www.bankofengland.co.uk/-/media/boe/files/prudential-regulation/enforcement-notice/en201114.pdfindique que la cause réelle était un problème de compatibilité logicielle entre une version mise à niveau d'un logiciel de planificateur de lots et une version précédente. Le problème de compatibilité s'est produit lorsque les services technologiques ont annulé une mise à niveau logicielle installée le dimanche 17 juin 2012. L'avis de la FCA décrit également la période pertinente pour les violations comme commençant le 1er août 2010, date d'un audit interne du groupe sur les processus de lots sur mainframe qui a identifié le risque de défaillance du planificateur de lots, et se terminant le 10 juillet 2012, lorsque la plupart des systèmes sont redevenus fonctionnels après l'incident.

Ces dates constituent l'épine dorsale de la responsabilité. Un changement échoué en juin 2012 a été le déclencheur. Un risque connu identifié en 2010 faisait partie du contexte de gouvernance. Les perturbations visibles pour les clients ont été découvertes lorsque l'état des comptes et des paiements n'a pas été mis à jour. La plupart des systèmes de RBS et NatWest ont été perturbés jusqu'au 26 juin 2012. La majorité des systèmes d'Ulster Bank l'ont été jusqu'au 10 juillet 2012. D'autres systèmes, notamment BankTrade et IFS, ont connu des perturbations qui ont duré jusqu'en juillet 2012.

Cette chronologie empêche une explication étroite. Le problème n'était pas simplement qu'un opérateur technique a effectué un mauvais changement. Les régulateurs ont constaté des défaillances dans les systèmes et les contrôles. La FCA a imposé une pénalité de 42 millions de livres sterling après remise de règlement. La PRA a imposé une pénalité de 14 millions de livres sterling après remise de règlement. La Central Bank of Ireland a séparément infligé une amende de 3,5 millions d'euros à Ulster Bank Ireland. Ces sanctions reflètent une défaillance de gouvernance, pas un simple bug ponctuel.

La chronologie de The Guardian en 2012 àhttps://www.theguardian.com/technology/2012/jun/25/how-natwest-it-meltdownet la couverture ultérieure de l'amende àhttps://www.theguardian.com/business/2014/nov/20/royal-bank-of-scotland-it-breakdown-56m-pounds-fineaident à montrer comment l'histoire publique a évolué d'un problème technique à un cas de gouvernance et réglementaire. Le reportage de Computer Weekly àhttps://www.computerweekly.com/news/2240162757/FSA-demands-review-of-RBS-software-failurea capturé la demande réglementaire précoce d'un examen, et son rapport de 2014 àhttps://www.computerweekly.com/news/2240235066/FCA-fines-Royal-Bank-of-Scotland-42m-for-IT-failurea enregistré le résultat de l'application.

Le traitement par lot est une infrastructure de la vie quotidienne

L'expression « planificateur de lots » peut donner l'impression que l'incident est lointain. Il n'était pas lointain. Les banques mettent généralement à jour les transactions du jour en soirée, et un planificateur de lots coordonne l'ordre dans lequel les données sous-jacentes à ces mises à jour sont traitées. Si cette coordination échoue, les soldes des comptes, les ordres permanents, les crédits, les débits, les intérêts, les relevés et les systèmes en aval peuvent se désaligner. Dans une banque de détail et commerciale, cela signifie que le travail de la nuit ne devient pas l'état financier fiable du lendemain.

L'avis de la FCA décrit des préjudices concrets. Les clients de détail ne pouvaient pas accéder à leurs comptes ou à des soldes précis. Certains n'étaient pas en mesure d'effectuer des paiements à des créanciers externes. Les clients à l'étranger ont été confrontés à des achats par carte de crédit refusés et n'avaient pas accès aux espèces. Les clients commerciaux ne pouvaient pas utiliser Bankline pour accéder à leurs comptes ou effectuer des paiements. Certains clients commerciaux ne pouvaient pas finaliser leurs comptes audités ou honorer leurs engagements salariaux.

Les non-clients ont été affectés car ils ne pouvaient pas recevoir d'argent des clients des banques et donc ne pouvaient pas honorer leurs propres engagements. À un niveau plus large, la capacité des banques à participer pleinement à la compensation a été affectée.

Ces faits expliquent pourquoi l'automatisation des logiciels d'entreprise est un sujet de responsabilité publique. Le processus automatisé est interne, mais les conséquences sont sociales. Un fichier de paie qui échoue pendant la nuit devient un problème de liquidité pour un ménage. Un ordre permanent qui n'est pas traité devient un problème pour un propriétaire, une société de services publics, une carte de crédit ou un prêt hypothécaire. Un échec de paiement d'entreprise devient un problème pour les fournisseurs, les employés et le fisc. Un problème de compensation devient une préoccupation pour le système financier.

Les mêmes faits expliquent pourquoi la continuité de service pour les PME est importante. Les grandes entreprises peuvent avoir des équipes de trésorerie, plusieurs relations bancaires, des réserves de liquidités et des gestionnaires de relations directs. Une petite entreprise peut avoir une seule exécution de paie, un seul login Bankline, un seul compte bancaire principal et des employés qui attendent leur salaire. Lorsque Bankline ou l'état des lots échoue, la petite entreprise devient la couche de support humain pour un défaut technologique de la banque.

Le chiffre de 6,5 millions n'est qu'un dénominateur

Les dossiers de la FCA et de la PRA identifient au moins 6,5 millions de clients britanniques directement affectés. Le communiqué de presse de la PRA àhttps://www.bankofengland.co.uk/news/2014/november/pra-fines-rbs-natwest-and-ulster-bankindique que 92 % des personnes directement touchées étaient des clients de détail et que l'incident a affecté la capacité des clients de détail à accéder à leurs comptes, des clients commerciaux à utiliser la banque en ligne, des clients d'autres institutions à recevoir des paiements et des banques à participer pleinement à la compensation. Cette ampleur suffit à elle seule à montrer l'importance.

Mais 6,5 millions n'est pas le seul dénominateur. Un autre dénominateur est le nombre de comptes dont les soldes, crédits, débits, intérêts, relevés ou ordres permanents étaient inexacts ou retardés. Un autre est le nombre de clients commerciaux incapables d'accéder à Bankline. Un autre est les non-clients qui n'ont pas reçu de paiements de clients affectés. Un autre est la charge de travail des agences et des centres d'appels.

Un autre est les cas de difficultés: des personnes à l'étranger sans espèces, des emprunteurs incapables de tirer sur leurs prêts, des achats immobiliers retardés, des paies manquées et des clients confrontés à des frais ou à l'anxiété liée au crédit. Un autre est le temps: perturbations majeures pour RBS et NatWest jusqu'au 26 juin, perturbations majeures pour Ulster Bank jusqu'au 10 juillet, et autres systèmes jusqu'en juillet.

Le règlement de la Central Bank of Ireland àhttps://www.centralbank.ie/docs/default-source/news-and-media/legal-notices/settlement-agreements/ulster-bank-ireland-limited.pdf?sfvrsn=6ajoute un autre dénominateur. Il indique qu'Ulster Bank Ireland a été condamnée à une amende de 3,5 millions d'euros et réprimandée pour des défaillances informatiques et de gouvernance qui ont entraîné la privation de services bancaires pour environ 600 000 clients. Le discours de la Central Bank of Ireland sur les enseignements de l'application des règles àhttps://www.centralbank.ie/news/article/%27enforcement-insights-attitudes-and-behaviours%27-derville-rowlandindique que la Central Bank a exigé un programme de réparation dans le cadre duquel l'entreprise avait payé environ 59 millions d'euros aux clients affectés. Ce dossier irlandais est important car l'incident du groupe RBS a traversé les frontières de marque et de juridiction.

La question du dénominateur est une question de responsabilité. Une banque peut dire que les systèmes sont de nouveau en ligne, mais les clients ont toujours besoin de corrections de paiement, de corrections d'intérêts, de corrections de doubles entrées, de protection du fichier de crédit, de traitement des réclamations, de remboursement des frais et de preuves claires que les paiements importants n'ont pas été perdus. Le temps de restauration technique n'est pas le même que le temps de réparation pour le client.

Les régulateurs ont traité l'incident à la fois comme un risque de conduite et un risque prudentiel

L'action double de la FCA et de la PRA est l'une des caractéristiques les plus importantes de l'affaire. La FCA a infligé une amende aux banques pour des défaillances de systèmes et de contrôles orientés conduite. La PRA leur a infligé une amende pour des défaillances de systèmes et de contrôles prudentiels. La PRA a déclaré que l'incident aurait pu menacer la sécurité et la solidité et, en dernier recours, avoir des effets néfastes sur la stabilité financière car il interférait avec les fonctions bancaires de base, avait un impact sur des tiers et risquait de perturber le système de compensation.

Cette double action est importante car elle empêche la banque de traiter la panne uniquement comme un problème de service client. Une panne de traitement des paiements dans un grand groupe bancaire peut affecter la sécurité et la solidité de la banque, la confiance du public, la participation à la compensation et les contreparties. Elle peut également nuire à des clients individuels et à des petites entreprises. Les deux niveaux sont réels.

Le communiqué de presse de la FCA àhttps://www.fca.org.uk/news/press-releases/fca-fines-rbs-natwest-and-ulster-bank-ltd-%C2%A342-million-it-failuresa déclaré que la banque moderne dépend de systèmes informatiques efficaces, fiables et résilients, et que les banques n'ont pas mis en place des systèmes et des contrôles adéquats pour identifier et gérer les risques informatiques. Le communiqué de presse de la PRA a déclaré que des systèmes et contrôles de gestion des risques informatiques correctement fonctionnels font partie intégrante de la sécurité et de la solidité. Ces déclarations ne sont pas décoratives. Elles font de la gouvernance informatique un contrôle bancaire réglementé.

Le document ultérieur de la Banque d'Angleterre sur la stabilité financière àhttps://www.bankofengland.co.uk/-/media/boe/files/financial-stability-paper/2024/operational-resilience-in-a-macroprudential-frameworkutilise l'incident de RBS comme exemple de la manière dont de petites causes racines, comme des mises à jour logicielles de routine, peuvent produire des impacts disproportionnés lorsque la résilience opérationnelle est faible. Ce document ultérieur n'est pas un dossier d'application de 2012, mais il montre la pertinence continue de l'incident dans la réflexion sur la résilience opérationnelle.

Le risque lié aux plateformes héritées est un problème de gouvernance, pas une excuse

Le dossier public pointe à plusieurs reprises vers les thèmes de l'héritage et de la gouvernance. Le communiqué de presse de la PRA a décrit un très mauvais héritage de résilience informatique et une gestion inadéquate des risques informatiques. L'avis final de la FCA décrit la fonction informatique centralisée du groupe, les trois lignes de défense, la gouvernance stratégique des risques informatiques, l'audit interne et les cadres politiques. L'essentiel n'est pas que les anciens systèmes sont intrinsèquement irresponsables. Les grandes banques exploitent nécessairement des plateformes complexes avec de longues histoires.

L'essentiel est que la complexité héritée élève le niveau d'exigence pour la gouvernance des changements, la cartographie des dépendances, les tests de récupération et la planification de l'impact client.

Une défaillance du planificateur de lots est prévisible dans le sens où tout planificateur critique devrait être traité comme une dépendance à fort impact. Le dossier réglementaire indique qu'un audit interne de 2010 avait identifié le risque de défaillance du planificateur de lots. Une fois qu'un risque a été identifié, la question de responsabilité devient ce que la banque en a fait. Le risque a-t-il été priorisé? Les contrôles ont-ils été testés? Les chemins de retour en arrière ont-ils été répétés? La gestion des risques a-t-elle remis en question les hypothèses technologiques?

Le conseil d'administration a-t-il compris l'impact client et de compensation d'une défaillance du planificateur? Les plans de continuité d'activité comprenaient-ils la réparation de l'état des paiements des clients plutôt que seulement la récupération du système?

Le contexte du rapport annuel est important ici. Les documents pour investisseurs de RBS/NatWest, y compris le rapport 2012 àhttps://investors.natwestgroup.com/~/media/Files/R/RBS-IR-V2/annual-reports/rbs-ca.pdfet le rapport 2014 àhttps://www.investors.rbs.com/~/media/Files/R/RBS-IR-V2/2014-reports/annual-report-2014.pdf, placent l'incident informatique dans un récit plus large de réparation de la banque après la crise financière et la restructuration. L'article n'utilise pas ces rapports comme preuves techniques privées. Il les utilise pour montrer que la résilience informatique, la confiance des clients, le risque opérationnel et l'investissement sont devenus des sujets d'intérêt pour les investisseurs.

L'héritage n'exonère pas. L'héritage est la raison pour laquelle la gouvernance doit être plus stricte. Si une plateforme ne peut pas tomber en panne sans retarder les salaires, les prestations, les prêts hypothécaires, les transferts internationaux et la participation à la compensation, alors la banque doit le savoir avant l'ouverture de la fenêtre de changement.

La gestion des difficultés des clients faisait partie de la réparation du système

Une panne bancaire n'est pas réparée lorsqu'un serveur redémarre. Elle est réparée lorsque les clients sont indemnisés et peuvent faire confiance à leur état financier. Cela signifie que la gestion des difficultés fait partie du dossier de contrôle. L'avis de la FCA enregistre des clients incapables d'accéder à des espèces à l'étranger, des paiements à des créanciers non effectués, l'indisponibilité de Bankline, des engagements salariaux manqués, des intérêts incorrects, des entrées de relevés en double et des ordres permanents retardés. Chaque catégorie nécessite un chemin de réparation différent.

Un client à l'étranger sans espèces a besoin d'un soutien immédiat en liquidités. Un ménage dont le paiement hypothécaire a échoué a besoin d'une protection contre les frais, les dommages au fichier de crédit et les actions du prêteur. Une petite entreprise incapable d'honorer sa paie a besoin d'un soutien de paiement urgent et d'une communication avec les employés. Un non-client qui n'a pas reçu d'argent d'un client RBS affecté a besoin d'un moyen d'être reconnu même s'il ne détient pas de compte RBS. Un client avec des entrées de relevés en double a besoin de rapprochement et d'assurance.

Un utilisateur commercial bloqué hors de Bankline a besoin de conseils de continuité.

La déclaration de règlement de RBS diffusée par les services d'information réglementaire àhttps://shareprices.com/rns/rbs-reaches-it-incident-settlement-hmfhvyze5clofd7/indique que la FCA et la PRA ont noté que RBS avait payé 70,3 millions de livres sterling en réparation aux clients britanniques et 460 000 livres sterling à des particuliers et des entreprises qui n'étaient pas clients. L'article traite cela comme une copie secondaire d'une déclaration de marché plutôt que comme une page de régulateur. Elle est toujours utile car elle montre que le préjudice causé aux non-clients a été reconnu dans le cadre de la réparation.

Le discours de la Central Bank of Ireland sur les enseignements de l'application des règles enregistre environ 59 millions d'euros de réparation aux clients d'Ulster Bank Ireland affectés. Ce chiffre fait le même point dans une autre juridiction. L'impact sur les clients ne s'est pas arrêté lorsque les soldes sont redevenus visibles. Les réparations, le traitement des réclamations, la correction des frais, la communication et la réparation de la réputation se sont poursuivis après la reprise technique.

La continuité du secteur public a été affectée par le biais des paiements ordinaires

Le manifeste inclut la continuité du secteur public, et l'événement RBS correspond car les banques font partie de l'infrastructure de paiement du public. L'incident a affecté les bénéficiaires de prestations, les paiements publics, les emprunteurs hypothécaires, la paie et les ménages. Il a également affecté la compensation, que la FCA a décrite comme fondamentale pour les marchés financiers. Le dossier Oireachtas àhttps://data.oireachtas.ie/ie/oireachtas/debateRecord/joint_committee_on_finance_public_expenditure_and_reform/2014-11-13/debate/mul%40/main.pdfmontre comment le dossier public et parlementaire irlandais a traité les conséquences d'Ulster Bank comme une question de responsabilité publique, et non simplement un différend privé entre banque et client.

La continuité du secteur public ne signifie pas que la banque était un organisme public. Cela signifie que l'infrastructure de paiement bancaire sous-tend la vie publique. Les salaires, les prestations, les transactions immobilières, les impôts, les fournisseurs et les petites entreprises comptent sur les banques pour mettre à jour l'état de manière fiable. Lorsque la banque fait défaut, les organismes publics et les tiers absorbent la pression. La reconnaissance des non-clients par l'avis de la FCA est importante car elle montre que le préjudice s'est étendu au-delà de la base de clients contractuels de la banque.

C'est aussi pourquoi les opérations en agence et en centre d'appels sont importantes. Lors d'une défaillance numérique et du traitement par lot, les agences physiques deviennent une infrastructure d'urgence. Le personnel doit gérer les clients qui ne peuvent pas voir leurs soldes, ont besoin d'espèces, ont des paiements manquants ou ont besoin d'assurance que les fichiers de crédit et les frais seront corrigés. Le plan de continuité de la banque doit inclure la couche humaine.

Il ne suffit pas d'avoir un plan de reprise technique si le personnel de première ligne ne dispose pas d'informations précises, de pouvoir discrétionnaire, de voies de soutien en liquidités et de voies d'escalade.

La couverture de Sky News àhttps://news.sky.com/story/rbs-fined-56m-for-it-meltdown-chaos-in-2012-10381877et la couverture de l'amende par The Guardian montrent comment l'attention du public s'est concentrée non seulement sur la cause technique mais sur les conséquences humaines. Ces reportages sont des sources secondaires, mais ils aident à préserver la mémoire publique de l'incident: les gens n'étaient pas en colère à propos d'un planificateur; ils étaient en colère de ne pas pouvoir utiliser leur argent.

Faits confirmés, inférences étayées et inconnues

Les faits publics confirmés incluent la pénalité de 42 millions de livres sterling de la FCA, la pénalité de 14 millions de livres sterling de la PRA et la pénalité de 3,5 millions d'euros de la Central Bank of Ireland. Les faits publics confirmés incluent au moins 6,5 millions de clients britanniques directement affectés, dont 92 % de clients de détail; perturbations majeures pour RBS et NatWest jusqu'au 26 juin 2012; perturbations majeures pour Ulster Bank jusqu'au 10 juillet 2012; et autres perturbations système jusqu'en juillet.

Les faits publics confirmés incluent également la conclusion des régulateurs selon laquelle la cause technique réelle était un problème de compatibilité logicielle impliquant un logiciel de planificateur de lots après l'annulation d'une mise à niveau.

Les faits confirmés d'impact client incluent l'incapacité d'accéder à toutes les fonctionnalités de la banque en ligne, des soldes ATM inexacts, l'incapacité de tirer sur les prêts, l'échec des transferts de paiement à des créanciers externes, des problèmes de transfert SWIFT, des intérêts incorrects, des entrées de relevés en double, des enregistrements de transactions inexacts, des ordres permanents non traités à temps, l'indisponibilité de Bankline, des problèmes de paiement commerciaux et un impact sur la participation à la compensation.

La déclaration publique du régulateur irlandais confirme qu'environ 600 000 clients d'Ulster Bank Ireland ont été privés de services bancaires.

L'inférence étayée inclut la conclusion selon laquelle la gouvernance des changements du traitement par lot, l'escalade de l'audit interne, l'efficacité des trois lignes de défense, le séquencement de la récupération, le rapprochement de l'état des paiements, l'exploitation d'urgence des agences et centres d'appels, la réparation des difficultés et l'investissement dans l'héritage au niveau du conseil étaient des surfaces de responsabilité centrales. Cette inférence découle des avis de la FCA et de la PRA, du règlement de la Central Bank et du cadre ultérieur de résilience opérationnelle.

Elle ne nécessite pas de revendiquer l'accès à des journaux de lots privés.

Des inconnues subsistent. Le public ne peut pas voir le rapport complet du personnel spécialisé, les documents complets d'audit interne, tous les tickets de changement, tous les dossiers de décision de retour en arrière, tous les journaux de lots, toutes les communications de commandement d'incident, toutes les décisions de difficulté en agence, toutes les réclamations clients, tous les calculs de réparation, toutes les discussions du conseil d'administration ou l'architecture précise de chaque système affecté.

Le public ne peut pas non plus déterminer à partir des seuls dossiers publics si chaque client a reçu une réparation assez rapidement ou si chaque amélioration de contrôle interne était durable.

Ces inconnues ne doivent pas être comblées par des reproches non étayés. Elles doivent être traitées comme l'ensemble de preuves qu'un dossier de responsabilité complet contiendrait. Les régulateurs avaient accès à plus de documents que le public, et leurs conclusions établissent la base de référence publique. Un article responsable s'arrête là où ce dossier s'arrête.

Ce que la réparation durable devrait prouver

Un dossier de réparation durable après l'incident RBS/NatWest devrait prouver en premier lieu les faits de contrôle des changements. Il devrait montrer qui a approuvé la mise à niveau du planificateur de lots, qui a approuvé le retour en arrière, quels tests de compatibilité ont été effectués, quel environnement de préproduction existait, quels risques connus ont été pris en compte, quels critères de retour en arrière ont été définis et qui avait l'autorité d'arrêter ou d'inverser le changement. Il devrait également montrer comment la conclusion de l'audit interne de 2010 a été suivie, escaladée, financée et clôturée.

Au niveau de l'architecture, le dossier devrait identifier les systèmes dépendant du traitement par lot: mises à jour des comptes clients, données de solde ATM, banque en ligne, Bankline, ordres permanents, tirages de prêts, transferts SWIFT, compensation, systèmes de négoce, systèmes de devises internationales, génération de relevés, calcul des intérêts et reporting en aval. Une banque ne peut pas gérer la résilience si elle ne sait pas quels services dépendent du planificateur.

Au niveau de la récupération, le dossier devrait montrer comment l'état des paiements a été reconstruit. Quelles transactions étaient en attente? Lesquelles étaient en double? Quels calculs d'intérêts étaient erronés? Quels ordres permanents ont échoué? Quels paiements commerciaux ont été bloqués? Quels non-clients ont manqué des fonds entrants? Comment la banque a-t-elle préservé les preuves tout en traitant l'arriéré? Comment a-t-elle distingué une instruction client réelle d'un artefact de récupération?

Au niveau client, le dossier devrait montrer les protocoles de difficultés, les autorisations en agence, les scripts de centre d'appels, les politiques de dispense de frais, la protection du fichier de crédit, les catégories d'indemnisation, les réclamations des non-clients, la gestion des clients vulnérables et le soutien aux clients professionnels. Le dossier de réparation devrait être vérifiable: qui était éligible, quelles preuves étaient requises, ce qui a été payé, combien de temps cela a pris et comment les litiges ont été résolus.

Au niveau de la gouvernance, le dossier devrait montrer la propriété du conseil, l'appétit pour le risque technologique critique, la priorisation des investissements, le défi de l'audit interne, la supervision des risques de deuxième ligne, l'assurance de troisième ligne, les recommandations du personnel spécialisé, les rapports aux régulateurs et la vérification post-incident. Les sanctions des régulateurs montrent qu'il s'agissait d'une défaillance des systèmes et des contrôles. La réparation durable doit donc prouver que les systèmes et les contrôles ont changé, et pas seulement que l'arriéré immédiat des lots a été traité.

Le cadre ultérieur de résilience opérationnelle nomme la discipline manquante

L'incident de 2012 est antérieur au régime ultérieur de résilience opérationnelle du Royaume-Uni, mais le cadre ultérieur aide à nommer la discipline que l'incident exigeait. La page de résilience opérationnelle de la FCA àhttps://www.fca.org.uk/firms/operational-resilienceindique que les entreprises devraient être capables de prévenir, adapter, répondre, se rétablir et apprendre des perturbations opérationnelles. La page de déclaration de surveillance de la Banque d'Angleterre et de la PRA àhttps://www.bankofengland.co.uk/prudential-regulation/publication/2021/march/operational-resilience-impact-tolerances-for-important-business-services-ssencadre les services d'activité importants et les tolérances d'impact. Ces documents ne sont pas des conclusions d'application concernant 2012. Ils sont le vocabulaire que les régulateurs ont formalisé plus tard.

Dans ce vocabulaire, les services affectés n'étaient pas « le planificateur de lots ». Les services d'activité importants étaient l'accès aux comptes, les paiements, le retrait d'espèces, la banque en ligne et commerciale, la participation à la compensation et le soutien client. La question de tolérance d'impact serait: combien de perturbations de ces services la banque pouvait-elle tolérer avant que les clients, les marchés et les tiers ne subissent un préjudice intolérable? Le dossier de 2012 montre que la réponse n'était pas simplement un pourcentage de disponibilité des serveurs.

La résilience opérationnelle exige également de cartographier les dépendances. Une banque doit savoir quelles personnes, processus, technologies, installations, informations et tiers soutiennent chaque service d'activité important. En 2012, la dépendance au planificateur de lots était suffisamment critique pour affecter des millions de clients et la participation à la compensation. Si une dépendance peut produire un tel impact, elle doit figurer dans la carte de résilience.

Le document macroprudentiel ultérieur de la Banque d'Angleterre fait le même point au niveau du système. Les changements de routine peuvent créer des impacts disproportionnés lorsque la résilience est faible. L'incident RBS est une étude de cas sur la manière dont un petit événement technique, au sein d'une grande institution de confiance, peut devenir une préoccupation publique de stabilité financière parce que le service est central et que le repli est inadéquat.

Le contrefactuel n'est pas une absence de défaillance, mais une défaillance limitée

Aucune grande banque ne peut promettre que des technologies complexes ne tomberont jamais en panne. Le contrefactuel est une défaillance limitée. Un changement compatible est testé avant la production. Un changement échoué est détecté rapidement. Un retour en arrière est sûr et complet. Les dépendances des lots sont cartographiées. Les services orientés clients se dégradent gracieusement. Le personnel de première ligne sait quoi dire aux clients. L'état des paiements est récupérable. Les clients peuvent obtenir des espèces d'urgence. Les utilisateurs commerciaux peuvent effectuer des paies urgentes. Les non-clients peuvent être reconnus.

Les dossiers de crédit sont protégés. Les régulateurs reçoivent des rapports précis. La réparation est rapide et documentée.

La défaillance limitée signifie également que la banque sait quels préjudices comptent le plus. Les salaires manquants, les prestations, les paiements hypothécaires, le loyer, la paie, les paiements fiscaux et les espèces pour les voyages à l'étranger ne sont pas la même chose qu'un transfert discrétionnaire de faible valeur retardé. La banque devrait trier l'impact par conséquence pour le client, pas seulement par file d'attente système. C'est la version humaine de la résilience opérationnelle.

L'événement RBS montre également pourquoi l'externalisation et la centralisation doivent être traitées avec des preuves plutôt qu'avec un slogan. Le dossier réglementaire se concentre sur les services technologiques centralisés du groupe RBS et les défaillances de gouvernance. Le débat public incluait des questions sur l'externalisation et l'investissement dans l'héritage. L'article ne fait pas d'affirmations non étayées sur la causalité de l'externalisation.

Le point confirmé est plus étroit et plus fort: le groupe bancaire avait le devoir de gouvernance pour les systèmes et contrôles utilisés pour gérer le risque informatique, indépendamment de la manière dont les équipes internes, les fournisseurs ou les lieux étaient organisés.

Le contrefactuel n'est donc pas une banque plus simple sans systèmes hérités. C'est une banque qui traite les systèmes hérités comme une infrastructure critique, finance la résilience en conséquence, répète les défaillances et peut dire la vérité aux clients rapidement lorsque quelque chose se casse.

La preuve de l'état des paiements est le centre du dossier de responsabilité

La preuve la plus importante dans cette affaire est l'état des paiements. Une banque peut communiquer qu'un incident technologique s'est produit, mais les clients doivent savoir si l'argent est arrivé, si l'argent est parti, si un prélèvement a échoué, si un ordre permanent a été dupliqué, si les intérêts ont été calculés correctement, si un tirage de prêt existe, si un paiement hypothécaire a atteint le prêteur et si une instruction de paiement sera réessayée. Ce ne sont pas des questions génériques de statut de service. Ce sont des questions de grand livre, de file d'attente, de rapprochement et de préjudice client.

Le dossier de preuves de la banque devrait donc être capable de rejouer les files d'attente affectées. Il devrait montrer quels lots ont été achevés, lesquels ont échoué, lesquels ont été partiellement traités, quelles transactions ont été mises en attente, lesquelles ont été rejouées, lesquelles ont été annulées, lesquelles ont été dupliquées et lesquelles ont été corrigées manuellement. Il devrait également montrer qui a autorisé chaque étape de récupération et comment la banque a empêché qu'une action de récupération ne crée un second préjudice.

Une récupération précipitée peut être aussi dommageable que la panne initiale si elle corrompt l'état des paiements.

Les clients avaient également besoin de preuves sous une forme utilisable. Une petite entreprise n'avait pas besoin d'une explication du planificateur avant la paie. Elle avait besoin de savoir si les salaires seraient payés, si les paiements de remplacement étaient sûrs, si des paiements en double se produiraient et si les employés recevraient une explication fiable. Un ménage n'avait pas besoin de la cause technique avant le jour du loyer ou du prêt hypothécaire. Il avait besoin de savoir si les frais de retard, les frais de découvert, les rapports de crédit et les plaintes des créanciers seraient protégés.

Un non-client attendant de l'argent d'un client affecté avait besoin d'un moyen d'accéder au processus de réparation de la banque.

C'est pourquoi l'indemnisation et la réparation ne peuvent pas être traitées comme de la bonne volonté après coup. La réparation fait partie de l'architecture de récupération. Si la défaillance technologique d'une banque crée des frais prévisibles, des paiements manqués, des intérêts perdus, des emprunts d'urgence, des perturbations commerciales ou une anxiété de crédit, le plan de réparation doit inclure comment ces préjudices seront identifiés et corrigés.

L'attention du dossier réglementaire aux clients affectés, aux clients commerciaux, aux non-clients et à la réparation montre que le périmètre de réparation était plus large que la restauration du système.

La continuité des opérations en première ligne est un contrôle technologique

L'incident RBS montre également que la préparation des agences et des centres d'appels n'est pas séparée de la résilience technologique. Lorsque l'accès numérique aux comptes et l'état des paiements échouent, les clients se tournent vers les agences, les téléphones, les gestionnaires de relations et les déclarations publiques. Ces employés deviennent la surface de contrôle visible. S'ils ne disposent pas d'informations précises, d'autorité et de voies d'escalade, la défaillance technologique de la banque devient une seconde défaillance de communication.

La continuité en première ligne devrait inclure une taxonomie claire de l'impact client. Le personnel devrait savoir quels cas nécessitent des espèces d'urgence, lesquels nécessitent un traçage des paiements, lesquels nécessitent des lettres aux créanciers, lesquels nécessitent une escalade commerciale, lesquels nécessitent un soutien aux clients vulnérables et lesquels nécessitent un traitement des réclamations des non-clients. La banque devrait également conserver les enregistrements des conseils donnés pendant l'incident, car des conseils incohérents peuvent créer un préjudice supplémentaire pour le client et des litiges ultérieurs.

Le même point s'applique au soutien commercial. La perturbation de Bankline n'est pas simplement une panne Web. Elle peut empêcher la paie, les paiements aux fournisseurs, les paiements fiscaux, les mouvements de trésorerie ou la clôture comptable. Un client commercial peut avoir besoin de facilités temporaires, d'un soutien manuel aux paiements, de lettres de confirmation ou d'une voie de soutien directe. Si la banque traite chaque personne affectée comme un utilisateur de détail générique, elle manque le rôle opérationnel que sa plateforme joue pour les petites et moyennes entreprises.

La préparation en première ligne protège également la propre récupération de la banque. Lorsque le personnel peut trier avec précision, les équipes techniques reçoivent de meilleurs signaux sur les services qui restent en panne et les groupes de clients qui sont confrontés à un préjudice immédiat. Lorsque le personnel ne peut pas trier, la direction de l'incident est submergée d'anecdotes, de réclamations en double et de pressions politiques. C'est pourquoi la planification de la résilience devrait connecter les cartes système avec les cartes de service client avant qu'une panne ne se produise.

La responsabilité du conseil commence avant la fenêtre de changement

Le conseil d'administration et la haute direction n'ont pas besoin d'approuver chaque travail par lots. Ils doivent s'assurer que le risque technologique critique est cartographié, financé, testé et contesté. La référence du dossier réglementaire à l'identification préalable du risque par l'audit interne est importante car elle montre que le risque n'était pas purement inconnaissable. Une fois qu'une dépendance critique a été identifiée, la direction doit décider si l'environnement de contrôle est acceptable et quel investissement est nécessaire pour réduire une exposition inacceptable.

La responsabilité du conseil commence donc avant la fenêtre de changement. Elle commence lorsque la banque définit quels services sont suffisamment importants pour nécessiter des preuves de résilience spéciales. Elle se poursuit lorsque la direction décide si les anciennes plateformes seront corrigées, remplacées, isolées ou surveillées plus étroitement. Elle inclut le choix de financer des environnements de test, d'automatiser le rapprochement, de répéter les rôles d'incident et de maintenir des solutions de repli en agence et en centre d'appels.

Elle inclut également la discipline de traiter le risque technologique comme un risque client et prudentiel plutôt que comme un centre de coûts opérationnels.

Après l'incident, la responsabilité du conseil se déplace vers la vérification. La direction devrait être capable de montrer non seulement que le défaut immédiat a été corrigé, mais que la conclusion de l'audit, le processus de changement, la carte des dépendances, le plan de récupération, le processus de réparation client et l'assurance du contrôle ont tous changé. Une sanction réglementaire peut forcer l'attention, mais une réparation durable nécessite que la banque prouve que le même mode de défaillance ne peut pas réapparaître via un autre changement ou une autre dépendance.

Cette preuve doit être pratique. Elle devrait inclure des résultats de tests, des exercices d'incident, une assurance indépendante, des mesures de résultats clients, des preuves de clôture des réparations et un engagement avec les régulateurs. Un comité technologique qui ne reçoit que des tableaux de bord de disponibilité manquera le risque d'état des paiements. Un conseil qui demande comment les clients vivraient un échec de lot et comment la banque saurait qui a été lésé est plus proche de la bonne question de contrôle.

La responsabilité suit le contrôle de l'état des paiements

La répartition finale de la responsabilité devrait suivre le contrôle de l'état des paiements. Les clients dépendaient de la banque pour maintenir des soldes de comptes précis, traiter les paiements, rendre les espèces disponibles, compenser les transactions et corriger les enregistrements. Les petites entreprises dépendaient de la banque pour soutenir la paie, les paiements aux fournisseurs et les services bancaires commerciaux. Les non-clients dépendaient des paiements entrants des clients affectés. Les régulateurs dépendaient de la banque pour exploiter des systèmes sûrs, sains et équitables.

La banque contrôlait les systèmes, la gouvernance et les preuves de récupération.

Les dossiers de la FCA, de la PRA et de la Central Bank of Ireland rendent la conclusion de responsabilité défendable. Les banques n'ont pas simplement subi une panne malheureuse. Les régulateurs ont constaté des systèmes et des contrôles inadéquats. L'incident a affecté des millions de clients, des tiers, la participation à la compensation et la confiance des clients. Des réparations et des amendes ont suivi. Les travaux ultérieurs sur la résilience opérationnelle ont transformé la même leçon en un vocabulaire réglementaire plus large.

La leçon durable est que l'automatisation bancaire doit être gouvernée comme une infrastructure publique même lorsqu'elle fonctionne de nuit en arrière-plan. Un planificateur de lots n'est pas un outil interne mineur si sa défaillance peut retarder les salaires, bloquer les prêts hypothécaires, perturber la paie des petites entreprises, entraver la compensation et laisser les clients à l'étranger sans espèces.

RBS et NatWest ont fait de la récupération du traitement par lot un test de responsabilité bancaire car l'événement a montré que la partie contrôlant la machinerie invisible contrôle également la capacité du public à utiliser l'argent lorsque la machinerie tombe en panne.

Cette leçon reste d'actualité alors que les banques déplacent davantage de services en ligne, ferment des agences, consolident des plateformes et s'appuient sur des contrôles automatisés. La banque numérique peut améliorer la commodité et réduire les coûts, mais elle augmente le devoir de prouver la résilience. Une banque qui demande aux clients et aux entreprises de faire confiance à des systèmes de paiement automatisés doit également prouver que les défaillances sont limitées, visibles, réversibles et réparées en plaçant les conséquences pour le client au centre du dossier.