第153章“4.30”案件
4月30日,百府市支行计财部监管员张山炮利用光辉系统的漏洞及内控制度上的盲点,通过远程登录(telent)进行“虚存实取”操作,作案得逞,“4.30”案件发生。虽然事后及时发现并追回款项,没有给支行造成重大损失,但却把光辉系统存在的漏洞暴露无遗,留下了深刻的教训,敲响了警钟。张山炮的作案手段并不高明,他利用支行办公自动化网和生产网连通的管理漏洞,通过其担任支行九级主管的便利,用办公室电脑终端采用远程登陆方式以营业网点的柜员号进行虚存操作,并通过同伙在营业网点或atm“实取”,达到盗取银行资金的目的。
4月21日,张山炮的同伙人王阙、李德用假身份证分别在百府市支行辖下四个分理处及储蓄所开立了八个储蓄账户和借记卡。为了掩饰其虚假身份,避免暴露在柜台的监控探头下,王阙、李德在办理过程中分别戴着摩托车头盔,只有两个网点要求其摘下头盔,但没发现破绽。虚假开户成功使其顺利实施下一步的犯罪活动。
4月28日,张山炮开始实施其犯罪计划,分别向三个网点预约各取款46万元。
4月30日上午,张山炮利用3月份获取的三棵树分理处3个柜员柜员号和密码,通过远程登录成功进行了虚存操作,共做了15笔交易,每笔9.9万元,合计共148.5万元,将这笔款项存入其同伙开立的八个储蓄账户中的三个之中。
4月30日上午,就在张山炮进行虚存的同时,王阙和李德在各营业网点或atm上进行疯狂取款,并到预约网点取款。至5月1日上午,共进行了23笔交易,取款金额达116.5万元。
就在张山炮进行虚存的当天晚上,三棵树分理处在当天下班平账时发现账实不符,金额相差一百多万元,经连夜自查,第二天再与付款行联系核实取款情况后,立即将情况上报百府市支行行、六合市行。后经六合市行仔细分析和数据跟踪,4月30日至5月1日凌晨,陆祎带领有关人员将张山炮及其同伙成功抓获,并交公安机关处理。追回所有款项,没收犯罪分子所持的存折、借记卡及假身份证等。至此全案告破。
事后分析案情,在上述过程中张山炮及其同伙一共闯过了四“关”:一是以虚假身份证连续在八个网点开户而未被发现;二是百府市三棵树分理处柜员上“光辉系统”后仍使用通用密码,也就是继续使用“1111”密码,使张山炮得以顺利登录;三是电话预约取款时未提供户名以外的任何资料;四是借记卡没有反映其当天连续取款情况,因此无法阻止其连续取款一百多万元。
发生了“4.30”案件,反映了大谷银行在管理上、光辉系统程序控制上仍存在漏洞,也反映了基层一线员工安全防范意识薄弱,防假反假技能低下,因而无法理直气壮地与犯罪分子周旋,反而由于心理上本能的顾忌,一怕客户投诉,二怕得罪“大户”,三怕影响柜台业务,而放纵了犯罪分子。
管理上存在的三处漏洞,一是办公自动化网与生产网连接在一起。由于百府市支行的办公自动化网与生产网连接在一起,导致张山炮在办公室就可以登陆生产网,并利用所掌握的柜员号和密码,轻而易举地办理“虚存”操作,从而作案得逞。
二是犯罪分子办理借记卡开卡业务过程中,戴着摩托车头盔或帽子,但在八个网点中,只有二个网点柜员要求其摘除,其他网点柜员则熟视无睹,导致监控探头无法录下罪犯的外貌,事后甚至无法鉴别罪犯的身份。
三是多数网点未设立“预约取款登记簿”,详细记录客户姓名、账号、联系电话、取现金额、日期等,有的甚至只记录在纸条上,待客户取款后即扔掉,这也是导致案件发生的漏洞之一。
“光辉系统”程序控制上存在的五处漏洞,一是九级主管所有交易均为单人操作,并且没有打印任何资料,在网点各种报表上也没有任何反映。二是柜员密码使用通用密码,没有定期修改,系统也未做任何控制或约束。三是主管使用密码授权或者柜员凭密码签到时,有心人可以偷看到或从监控录像上看到。四是系统无预警功能,对于大量等额存取款,如9.95万等未做任何提示和处理,对当天存入、当天支取大额款项也未作任何提示。五是借记卡上对于当日累计取款超限额的,未显示或要求主管授权,无须出示身份证件,这是程序设计上的漏洞。
案发后,省行领导和有关处室多次开会研究,并到现场召开会议,分析发生案件的原因,研究业务过程存在的漏洞以及必须采取的补救措施,防止类似案件再次发生。
百府市支行已采取的整改措施
首先是加强网络管理。案发后,省行立即责成六合市行拨付专用设备,把办公自动化网和生产网分离。并对全省的网络情况进行检查,严格规定办公自动化网不得与生产网连通。
其次是加强九级主管的管理。针对案件中发现的九级主管管理上的空白点,三才省行对“光辉系统”的九级主管操作进行了修改,将九级主管的操作由单人操作改为双人操作;并增加打印“柜员管理流水清单”功能,要求九级主管操作必须打印相应的交易清单、报表,视同会计档案装订保管。
第三是加强开户管理,完善准入手续。从案件的作案手段看,作案人分别在支行八个营业网点开立八个储蓄存款帐户,但没有一个网点能辨认出作案人使用的是假身份证。这一方面说明了一线员工辨假能力不足,另一方面也说明了银行的制度仍需完善。因此,三才省行作出规定,每个营业网点必须配备一台身份证鉴别仪,对需要提供身份证件的业务,如开户业务等,均需三级主管或坐班主任复审身份证件的真伪,并规定各级检查部门将该项规定纳入检查范围。此外,要求客户办理业务过程不得戴头盔、帽子等物,以便于事后的调查取证。
第四是严格大额存、取款管理,完善控制手续。按照人民银行关于大额现金支取的有关规定,存款人一次性支取现金超过20万元(含)的,必须至少提前一天预约。案发前,柜员对大额取款虽然有登记预约情况,但登记内容不一,且操作不规范。为此,三才省行制订了《大额现金支取预约登记簿》,详细记录客户姓名、账号、联系电话、取现金额、日期等,并规定预约时必须先查询有关资料是否属实,帐户余额是否足够等,同时重新明确大额存、取和转账的审批权限。
第五是加强培训,提高员工识别证件真伪能力。由于目前有效身份证件还有军官证、护照等证件,不能完全依靠身份证鉴别仪器对所有证件进行确认,因此三才省行要求二级分行必须定期举办各种形式的有关身份证件的讲座和经验交流会,加深网点柜员对证件的认识,不断提高柜员辨别证件真伪能力。
同时,三才省行以百府市支行上报的报告为依据,呈报总行,希望总行修改完善“光辉系统”的部分功能。
一是改进柜员签到功能。目前系统操作柜员的签到采取密码输入方式进行,密码只有四位数字,极易给不法分子攻破,或通过偷窥、录像等方式获取。“4.30”案件中张山炮就是利用这种方式进入系统的,为避免案件的再次发生,建议总行尽快改造柜员的密码签到方式。
二是增加“行部签到”功能。比照“行部签退”需三级主管操作的要求,增加“行部签到”功能。营业机构需做了行部签到后其他柜员才能签到。这样可避免不法分子在非营业时间擅自进入系统进行犯罪活动。
三是开发取款累计功能。人民银行《商业银行服务价格管理暂行办法》和人民银行三才分行《关于印发<三才省现金支付管理实施办法>的通知》中规定:“‘大额’取款是指同一账户当日提取现金累计超过5万元(含5万元)人民币”。按照这一规定,建议系统增加对同一账户当日取款数额的累计功能,对累计超过5万元的应作校验证件的提示,要求出示身份证件,并增加授权交易,同时在输出凭证时应打印累计取款金额。
无错版本在69书吧读!6=9+书_吧首发本小说。
四是开发预警功能,对临界线下的多次等额存、取现,如每次4.5万或49.5万等,设置预警功能,对身份可疑客户可在系统上设置提示功能。
五是加强监督,提高对诸如空存实取之类案件事故的防查水平。鉴于“光辉系统”的特点,目前单靠翻传票和手工账簿已经难以发现重大违章违规问题,建议总行尽快增加“业务复核监督”功能,对网点每日账务通过上机录入进行比对、检查,达到发现问题、防弊堵漏的目的。
一个优秀的商业银行,规范化管理是非常重要的。希望通过进一步完善“光辉系统”的程序控制和制度建设,从根本上改变目前系统功能不完善、内控制度不健全的现象,使广大员工“不想、不敢、不能”去做违法犯罪行为,全行上下一心努力开拓、奋发向上,走向真正意义上的现代化商业银行。