Letzten Monat kündigte die FCA an, dass sie eine formelle Untersuchung des IT-Fehlers bei TSB einleiten würde, der am 22. April begann und dazu führte, dass etwa 1,9 Millionen Kunden von ihren Konten ausgesperrt wurden.
Die TSB wurde in der Presse an den Pranger gestellt, und jetzt, da eine behördliche Untersuchung angekündigt wurde, könnte es noch schlimmer kommen. Auch die Regierung ist nun involviert. Der Vorstandsvorsitzende Paul Pester wurde vor kurzem zusammen mit Miguel Montes, dem Chief Operating Officer der Muttergesellschaft der Bank, Sabadell, vom Treasury Select Committee des Parlaments befragt. Pester befindet sich nach wie vor in einer schwierigen Lage und einige haben in Frage gestellt, ob er sich an der Spitze der Bank halten kann. Er wurde von Andrew Bailey, dem Chef der FCA, kritisiert, der ihm vorwarf, eine allzu „optimistische Sichtweise“ des Zustands der TSB darzustellen und sagte, dass „größere Vorsicht sinnvoll gewesen wäre“. Die Vorsitzende des Ausschusses, Nicky Morgan, sagte in einem Brief an den TSB-Vorsitzenden Richard Meddings: „Der TSB-Vorstand sollte ernsthaft darüber nachdenken, ob Dr. Pesters Position als TSB-Chef tragfähig ist.“ Sie fügte hinzu, dass ihr Ausschuss „das Vertrauen in seine Fähigkeit verloren hat, die Probleme bei TSB umfassend und offen zu bewerten und sie im besten Interesse der Kunden zu lösen“. Aber während diejenigen, die nicht zu TSB gehören, vielleicht erleichtert sind, dass sie nicht die Leidtragenden sind, sollten Risikomanager beachten, dass die Aufsichtsbehörde der Ansicht ist, dass der Vorfall Auswirkungen auf den gesamten Bankensektor hat. Probleme bei der Übertragung
Die Probleme rührten daher, dass die Kundendaten von einem alten IT-System übertragen wurden, das vom früheren Eigentümer, der Lloyds Banking Group, kontrolliert wurde. Die neue Plattform, die von Sabadell entwickelt wurde, war nicht in der Lage, das Kundenvolumen zu verwalten, als sie in Betrieb ging. Jetzt, Wochen später, gibt es immer noch Probleme für einige Kunden und Betrüger haben es auf TSB-Kunden abgesehen – zwischen April und Mai gab es eine Verzehnfachung von Phishing. Bailey fügte hinzu, dass die FCA auch „unzufrieden mit der Kommunikation der TSB mit ihren Kunden“ war und sagte, dass die TSB den Anforderungen, die Kunden zu entschädigen, nicht schnell genug nachgekommen sei. Können also Lehren gezogen werden? Einige der Fragen, die zweifellos im Laufe der Untersuchung vertieft werden, sind die folgenden:
Wurde nicht ausreichend getestet?
Laut TSB betrafen die Fehler die Middleware des Systems, also die Technologie, die zwischen den kundenorientierten Computeranwendungen und den Backend-Datenbanken der Bank liegt. IBM, das mit der Behebung der Probleme beauftragt wurde, hat jedoch behauptet, dass die Tests unzureichend waren. Es wurde berichtet: „IBM hat keine Belege für die Anwendung einer Reihe strenger Kriterien für die Produktionsbereitschaft gesehen.“ Experten haben außerdem behauptet, dass die letzten Testphasen, die so genannten Proof of Concepts (PoCs), alle Technologie- und Planungsfehler aufgedeckt hätten. Es wird jedoch davon ausgegangen, dass die PoCs vor der vollständigen Freigabe nicht auf Testkonten oder möglicherweise auf Mitarbeiterkonten durchgeführt wurden.
Gab es zu wenig Callcenter-Mitarbeiter, um die Krise zu bewältigen?
Die Kunden sagten, dass sie mindestens 30 Minuten warten, um mit einem Mitarbeiter zu sprechen, und viele beschwerten sich dann, dass die Verbindung unterbrochen wurde. Es war auch fast unmöglich, das Betrugsteam zu erreichen.
Wie eng waren die Risikomanager mit dem Projekt verbunden?
Die Übertragung von Daten von Mainframes, die von den meisten Banken verwendet werden, in die Cloud oder auf einen neuen digitalen Server birgt viele Risiken. TSB hat versucht, etwa 1,3 Milliarden Kundendaten zu übertragen – ein riesiges Projekt. Es ist unklar, welche Notfallpläne vorhanden waren. Gibt es irgendetwas, das das Risikomanagement-Team realistischerweise hätte tun können? Es ist nicht bekannt, wie stark das Team für operationelle Risiken involviert war. Da es sich hier um einen sehr technischen Bereich handelt und die IT-Abteilung letztlich das Risiko trägt, könnte man argumentieren, dass der Einfluss des Risikomanagementteams der zweiten Reihe begrenzt ist. Bei einem so bedeutenden Upgrade wäre das Risikoteam jedoch sicherlich konsultiert worden, so dass sein Fachwissen in Bezug auf die Durchführung umfassender Risikobewertungen und Szenarienplanung genutzt worden wäre. Es zeigt sich, dass die Risikoverantwortlichen oft nicht wirklich verstehen, welches Risiko sie eingehen und welche Auswirkungen es auf das übrige Unternehmen hat, wenn etwas schief geht. Die Zeit wird zeigen, welche Auswirkungen die FCA-Untersuchung auf TSB haben wird. Aber egal, wie hoch die Strafe ausfällt, für die betroffenen Kunden wird das Vertrauen in ihre Bank stark erschüttert sein.
