从广州商行ATM案件看信息系统变更管理的重要性

http://blog.vsharing.com/itgov/A884502.html

 

   广州商业银行某支行ATM故障，一男子利用该故障恶意余款17万余元，被法院以盗窃罪判处无期徒刑（http://news.sina.com.cn/s/l/2007-12-17/013114534719.shtml）。近一段时间网上对于该案件的适用法律问题以及法院量刑是否过重有很多的讨论，但很少有人关注案件发生的根本原因。

    2006年4月21日下午5时，广电运通公司为广州商业银行进行ATM机系统升级后，位于广电运通集团楼下的离行式ATM机发生了异常。晚上许霆（案件主角）拿着存有175元的银行卡，在该ATM机准备取款100元时，由于多按了一个零，变成了取1000元。当他看到ATM机如数吐出1000元，并只扣1元的漏洞后，先后171次共取走17.5万元。据悉，该漏洞是4月24日早上由广州商业银行恒福支行ATM机管理中心的工作人员翻查监控记录时发现的。随后，该部门立刻通知广州商业银行总行并报案。

    ATM机系统肯定属于信息系统的范畴，对于这类关键信息系统的升级应该建立严格的变更管理制度及流程，在对系统进行变更升级前应针对实际情况制定测试方案，在升级完成后，以进行必要的测试以检查系统是否正常工作。对于ATM系统，生产厂商和维护厂商应该有比较科学、系统的测试用例，将可能出现的情形进行逐一测试，保证ATM机的正常工作。

   一个完整的信息系统变更流程应包括变更申请、变更批准、变更开发、变更测试、变更上线等阶段。系统的升级或者是因为功能变化、或者是因为要解决系统问题，根据变更原因的不同，变更申请一般可由业务部门或者科技部门提出，厂商（广电运通）主要是作为变更实施人，银行即使将某些工作外包，其管理责任也不能减轻。

   要提高银行等金融系统的信息系统内控管理水平，除了要求金融机构的高层管理者在内部大力倡导风险意识教育，加强内控体系建设，保证执行的有效性之外，监管机构的严厉监管作用更大。

   随着金融服务行业越来越多地被广大群众所认识，其服务水平的高低也影响到越来越多的人，希望金融服务机构能够提高自身管理水平，从而可以降低社会的整体管理成本。

（另一篇相关的）

“惹不起”的ATM机凸现银行管理缺陷

    2008年1月2日晚CCTV2报道了广州的ATM机恶意取款案的始末，电视专题的名称就是“惹不起”的ATM机（ http://vsearch.cctv.com/play.jsp?ref=CCTVCOM_20080102_2650513&kw=ATM%E6%9C%BA&db=forcctv&projectId=）。因为ATM机系统本身的软件缺陷，导致ATM机吐出了17万多人民币，而当事人却被广州中院以“盗窃金融机构罪”判处无期徒刑，剥夺政治权利终身，并没收个人全部财产。记者采访了此案的辩护律师、广州商行有关工作人员、有关法律专家等，大家都对银行这种处理问题的方式有些意见。

    城市商业银行作为特殊的企业，其各种业务开展都不同程度地收到监管部门的监管，由于企业自身的责任导致自己的财产受到损失，却要追究别人的法律责任，不只是何道理？设想如果我们去商场购物，因为收银员疏忽多找了钱，作为消费者的我们一般是没什么责任的，商场应该是采取合适的方式将多给的钱收回了事。难道银行能够将自身的过错转移到储户身上吗？！我们谁也不知道哪个ATM机出了问题，会把钱搞错，如果我们没经得住诱惑，把不该属于自己的钱拿走了，难道就得收到这样严厉的惩罚，甚至是无期徒刑？！这样的ATM机谁还敢用？！

    监管部门对于银行的监管要求日趋严格，但即使这样，近几年来银行系统的案件也是频发，银行并没有将自己放在一个服务提供者的位置去思考问题，某种程度上还是官僚组织，在这个案例中给人的感觉就是：我是老大，我想收拾你，你也没办法！消费者在我国大多数情况下还是弱者，无法有力地保护自身的权利。银行管理水平的提升将直接影响到其后续的竞争能力，从此案中银行应该从以下几个方面予以深刻的反思，改善管理水平。

    1、银行可以将部分设备的运行维护、系统开发外包给服务商，但是其监督职能不能因此放松，更不能外包。

    2、对于ATM机系统应该实行24小时监控，通过手机短信等方式及时将工作异常情况通知到相关负责人，提高事件的处置速度。

    3、外包服务商或者银行自身在进行变更上线前应进行必要的测试，保证机器运转正常。

    4、对设备的维护应该明确操作步骤，由两人进行操作，以避免操作错误。（此案中就是因为外包商维护工程师误操作导致的）

   另外，法院对此案的判决应具的法律条款上没有缺陷，但是在适用法律的准确性上值得商榷，刑法的有关条款也不适应目前的实际情况，“盗窃金融机构”一般是指内部人员监守自盗或者外部人员采取物理方式直接偷取现金，但是对于这种因为ATM机故障原因所造成的“盗窃”该如何适用法律，国家有关部门应该及时根据环境的发展适时出台司法解释。

    在此案中，广州商行是受害者，但是许霆也许是更大的受害者，银行方面也已经得到了外包服务商的赔偿，如何提高普通百姓的权利值得深思。。。