Технологический стек Westpac подвергся новому изучению, поскольку обзор огромных сбоев в мониторинге транзакций банка за последнее десятилетие поставил под сомнение то, являются ли ИТ-платформы банка “лучшей практикой”.
Сегодня банк опубликовал отчет консультативной группы [pdf] по надзору совета директоров Westpac за обязательствами по финансовым преступлениям, а также краткое письмо от дочерней компании IBM Promontory после ее собственного заказного обзора.
Westpac обвиняется в нарушении правил борьбы с отмыванием денег 23 миллиона раз, в основном из-за того, что не подавала отчеты — называемые международными инструкциями по переводу средств или IFTIs — в AUSTRAC.
Уже было известно, что сбой произошел из-за плохо реализованного промежуточного программного обеспечения между пакетными системами и программным обеспечением мониторинга, а также из — за технических трудностей и сокращения персонала.
“Ограниченность ресурсов в соответствующей технологической команде повлияла на успешную реализацию проекта», — подтвердил Westpac в опубликованных сегодня документах.
“В 2011/12 году также наблюдалась высокая текучесть кадров, когда целая команда уходила в другую организацию.
“Потеря преемственности и специальных знаний, связанных с этими отклонениями, способствовала ошибкам реализации.”
В докладе консультативной группы говорится, что “событие воспламенения” для нарушений произошло в 2010 году.
“Относительно небольшой ИТ-проект, включающий обновление программного обеспечения и сложную сантехнику для подключения к другим системам, не был удовлетворительно завершен и привел к недостаткам нормативной отчетности, которые процессы контроля и сверки банка не могли обнаружить в течение нескольких лет”, — говорится в сообщении.
Консультативная группа заявила, что даже сейчас остаются открытыми вопросы, “вытекающие из этого обзора, заключаются в том, являются ли технологические платформы Westpac наилучшей практикой и какую роль они играют в способности Westpac справляться с обязательствами AML/CTF [по борьбе с отмыванием денег и финансированием терроризма]”.
Альтернативная точка зрения, предложенная в обзоре, заключается в том, что проблемы банка проистекают из того, как использовались ИТ — системы, а не из самих систем.
“Внутри страны также было известно, что для выполнения обязательств по соблюдению требований в области финансовых преступлений необходим анализ данных, касающихся миллионов транзакций, клиентов и банков-корреспондентов. Это означало, что ИТ-системы и то, как они используются, должны быть приспособлены к назначению”,-отметила консультативная группа.
“Нам говорят, что в ИТ-системы были вложены значительные ресурсы.
“Однако то, как эти системы использовались, возможно, препятствовало сбору данных, судебно-медицинскому анализу и нормативной отчетности.”
В поддержку этой точки зрения консультативная группа заявила, что система финансовых преступлений Westpac, Detica, была предметом стратегической программы, “начатой в 2015 году для модернизации и миграции четырех отдельных частей ИТ-системы Detica в единую глобальную платформу.”
“Цель состояла в том, чтобы позволить проводить скрининг в реальном времени и создать глобальную программу мониторинга транзакций”, — говорится в нем.
“Модернизацию планировалось провести в период 2016-2021 годов стоимостью 60 миллионов долларов.”
Ссылаясь на доклад консультативной группы, Westpac заявила в своем заявлении, что “неудача в отношении непредставления отчетности IFTIs произошла из-за сочетания технологий и человеческих ошибок, начиная с 2009 года.”
В целом консультативная группа нарисовала картину отсутствия опыта борьбы с финансовыми преступлениями в банке, недостаточной осведомленности о международных событиях в этой области и отсутствия информации, доводимой до сведения правления.
Однако он сказал, что ничего из этого не было преднамеренным.
“В целом, эта сага показывает, что основные грехи были упущениями, а не совершением”, — сказала консультативная группа.
“Обвинения AUSTRAC против банка включают вопросы, которые были неизвестны в то время руководству банка.
“Недостатки — такие как отсутствие отчетности IFTI или недостаточная должная осмотрительность банков-корреспондентов и конкретных клиентов — произошли глубоко в организации, и неразумно ожидать, что совет директоров должен их обнаружить.
“Правление полагается на информационные потоки от руководства, и именно содержание этих потоков было плохим. Информация (непреднамеренно) вводила в заблуждение и иногда опускалась.”
