2013年6月,北京某百貨公司財務人員核對賬目時發(fā)現(xiàn)其公司發(fā)行的購物充值卡出現(xiàn)金額異常巨大的退貨操作,調查后發(fā)現(xiàn)公司收銀領班胡某利用公司收銀系統(tǒng)中辦理退貨服務的系統(tǒng) 漏洞 ,兩年間共侵占公司營業(yè)收入五百多萬元。
據(jù)胡某回憶,2011年7月有一次她正在給客戶辦理退款業(yè)務時電腦突然死機,退款業(yè)務雖然辦理成功但數(shù)據(jù)并沒有上傳系統(tǒng),就因為這次偶然的機會胡某隨即動了歪心思。幾天后,胡某找到一張廢棄購物卡,將1 000元退到這張購物卡內,并迅速在電腦中刪除相關數(shù)據(jù)。胡某發(fā)現(xiàn)此后幾天核算部并沒發(fā)現(xiàn)這筆錯賬。一個月后,胡某再次以同樣手法試探性地分兩次轉出兩個5 000元,并以9.4折的價錢賣給“黃牛”。這三筆異常退款直到當年年底也沒被商場發(fā)現(xiàn),胡某的膽子這才大了起來。進入2013年后,她開始瘋狂作案,僅這年5月就退款209萬元,并用侵占來的錢在郊區(qū)購置了三套房產。
經(jīng)商場方調查,首次發(fā)生購物卡異常退款情況是在2011年7月,金額是1 000元,與胡某回憶一致。統(tǒng)計結果顯示,2011年7月至2013年5月胡某在擔任百貨公司收銀員領班期間,利用商場計算機系統(tǒng) 漏洞 ,通過辦理虛假退貨將資金轉入廢棄購物卡并從“黃牛”處套現(xiàn)的方式共非法侵占576萬元。
本案例中,胡某通過收銀系統(tǒng)進行辦理退貨,在短短22個月侵吞錢款達576萬元,平均每個月26萬元,平均每天8 700余元,如此大的金額,發(fā)生在一家商場一個收銀員身上,持續(xù)了近兩年時間而沒有被發(fā)覺,可見該企業(yè)在管理方面存在很大 漏洞 。這主要體現(xiàn)在以下幾個方面:
(一)收銀系統(tǒng)引入測試不嚴謹,存在重大設計缺陷。收銀員能在退款信息未成功上傳內部核算系統(tǒng)的情況下能辦理購物卡退款,說明收銀系統(tǒng)存在著重大的設計缺陷。
目前社會上的各商場、超市以及零售批發(fā)的賣場普遍都使用了收銀系統(tǒng),該系統(tǒng)的開發(fā)商也是各種各樣,參差不齊。而人們由于缺乏對信息系統(tǒng)安全性的基本認知,大多認為信息系統(tǒng)是便捷的、安全的、可靠的,殊不知信息系統(tǒng)帶來的不僅僅是方便,伴隨而來的也可能是巨大的威脅。如果在引入信息系統(tǒng)時未能對系統(tǒng)的安全性進行充分測試,那引入的系統(tǒng)就可能潛藏“不安全”因素,在日常使用過程中被“有心人”察覺后并加以利用,就必然會給單位帶來損失。再加之系統(tǒng)以外的管控不嚴格,該損失就會被放大N倍。本案例就是一個很典型也很深刻的例證。
對市場不成熟的產品或針對企業(yè)自身需求做過深度開發(fā)的系統(tǒng)產品,在引入時對于安全性的全面測試就顯得尤為重要,其中故障測試就應包含在內。本案例中的胡某發(fā)現(xiàn)設備故障帶來的“賺錢契機”就反映出該商場在引入收銀系統(tǒng)時未對系統(tǒng)安全性進行檢測,起碼也是測試不嚴謹。因此筆者建議,各單位希望通過引入系統(tǒng)帶來便捷性的同時,也能高度重視系統(tǒng)的安全性,主要應關注以下幾點:
(1)引入市場較為成熟的系統(tǒng),如方便的話可先去已使用該系統(tǒng)的單位進行實地考察,了解系統(tǒng)的使用情況;
(2)引入非成熟系統(tǒng)或確需進行二次開發(fā)的系統(tǒng),引入方在上線測試時要盡量聘請有檢測實力的第三方機構進行測試,如此可以有效保障系統(tǒng)的使用安全,防止系統(tǒng)開發(fā)單位有意或無意的設置系統(tǒng) 漏洞 。
此外,對收銀員在電腦系統(tǒng)內的修改權限也需進一步控制,絕不允許收銀員即使是領班能隨意刪除電腦內任何已生成數(shù)據(jù)。
(二)退貨流程不規(guī)范,未實際退貨就能辦理退款。
一般商場或超市的退貨,都要求先辦理退貨再辦理退款。這首先要求退回貨物的接受人員不能是收銀人員,而起碼應當是實物管理人員,這兩者應做到絕對的分離。貨物的接受人員在收到貨物后應仔細檢查包裝、商標等的完整性,以保證可以進行二次銷售,如因質量問題發(fā)生退貨的,應按廠家要求填寫質量問題記錄或其他。收銀人員應在見到收貨人員的簽字后方可辦理退款手續(xù)。
在本案例中,我們無法看到該商場的退貨事宜經(jīng)過了上述流程,即先需收貨人員驗收簽字確認后才能辦理退款,且該退貨小票也未能單獨保管并上交。這就為收銀人員隨意退款帶來了很大的便捷,因為無其他人員對其進行約束。更為安全和嚴格的控制應該是,辦理退款手續(xù)由收銀員發(fā)起,收銀員領班進行復核后通過刷卡、指紋或其他方式進行授權后方可辦理。當然也可以由收銀員將退貨單據(jù)統(tǒng)一收好后,交由中后臺統(tǒng)一辦理。
(三)退款路徑不控制,廢卡還能隨意接受退款。
在本案例中,胡某隨意找了若干廢卡,就將退款打至這些廢卡后再次出售。這是對退款路徑的控制不夠嚴格,才給予了胡某這樣的可趁之機。一般的商場或超市發(fā)生退貨,都會明確告訴買家,退款是按照當時購買商品的付款路徑“原路退回”,即付現(xiàn)金的退還現(xiàn)金,刷銀行卡的退還至原銀行卡,刷購物卡的退還至購物卡。如購物卡丟失,則應由中后臺辦理一張新購物卡退還至客戶。如此可以有效防范收銀人員隨意退款的現(xiàn)象。
(四)商場庫存商品日常盤點工作薄弱。
時隔22個月,發(fā)生了如此巨額的損失后商場方才察覺,我們有理由相信商場存貨日常盤點工作極其薄弱,還有很大的改進空間。我們認為該商場未足夠重視庫存商品財務賬、倉庫實物賬與倉庫實物三者間的核對工作。柜員在日常工作中對于在銷售時發(fā)現(xiàn)的賬實不符的現(xiàn)象也未及時上報、調查,導致胡某的行為未被即使發(fā)現(xiàn)。所以商場定期(每月)組織盤貨是十分必要的。
據(jù)胡某回憶,2011年7月有一次她正在給客戶辦理退款業(yè)務時電腦突然死機,退款業(yè)務雖然辦理成功但數(shù)據(jù)并沒有上傳系統(tǒng),就因為這次偶然的機會胡某隨即動了歪心思。幾天后,胡某找到一張廢棄購物卡,將1 000元退到這張購物卡內,并迅速在電腦中刪除相關數(shù)據(jù)。胡某發(fā)現(xiàn)此后幾天核算部并沒發(fā)現(xiàn)這筆錯賬。一個月后,胡某再次以同樣手法試探性地分兩次轉出兩個5 000元,并以9.4折的價錢賣給“黃牛”。這三筆異常退款直到當年年底也沒被商場發(fā)現(xiàn),胡某的膽子這才大了起來。進入2013年后,她開始瘋狂作案,僅這年5月就退款209萬元,并用侵占來的錢在郊區(qū)購置了三套房產。
經(jīng)商場方調查,首次發(fā)生購物卡異常退款情況是在2011年7月,金額是1 000元,與胡某回憶一致。統(tǒng)計結果顯示,2011年7月至2013年5月胡某在擔任百貨公司收銀員領班期間,利用商場計算機系統(tǒng) 漏洞 ,通過辦理虛假退貨將資金轉入廢棄購物卡并從“黃牛”處套現(xiàn)的方式共非法侵占576萬元。
本案例中,胡某通過收銀系統(tǒng)進行辦理退貨,在短短22個月侵吞錢款達576萬元,平均每個月26萬元,平均每天8 700余元,如此大的金額,發(fā)生在一家商場一個收銀員身上,持續(xù)了近兩年時間而沒有被發(fā)覺,可見該企業(yè)在管理方面存在很大 漏洞 。這主要體現(xiàn)在以下幾個方面:
(一)收銀系統(tǒng)引入測試不嚴謹,存在重大設計缺陷。收銀員能在退款信息未成功上傳內部核算系統(tǒng)的情況下能辦理購物卡退款,說明收銀系統(tǒng)存在著重大的設計缺陷。
目前社會上的各商場、超市以及零售批發(fā)的賣場普遍都使用了收銀系統(tǒng),該系統(tǒng)的開發(fā)商也是各種各樣,參差不齊。而人們由于缺乏對信息系統(tǒng)安全性的基本認知,大多認為信息系統(tǒng)是便捷的、安全的、可靠的,殊不知信息系統(tǒng)帶來的不僅僅是方便,伴隨而來的也可能是巨大的威脅。如果在引入信息系統(tǒng)時未能對系統(tǒng)的安全性進行充分測試,那引入的系統(tǒng)就可能潛藏“不安全”因素,在日常使用過程中被“有心人”察覺后并加以利用,就必然會給單位帶來損失。再加之系統(tǒng)以外的管控不嚴格,該損失就會被放大N倍。本案例就是一個很典型也很深刻的例證。
對市場不成熟的產品或針對企業(yè)自身需求做過深度開發(fā)的系統(tǒng)產品,在引入時對于安全性的全面測試就顯得尤為重要,其中故障測試就應包含在內。本案例中的胡某發(fā)現(xiàn)設備故障帶來的“賺錢契機”就反映出該商場在引入收銀系統(tǒng)時未對系統(tǒng)安全性進行檢測,起碼也是測試不嚴謹。因此筆者建議,各單位希望通過引入系統(tǒng)帶來便捷性的同時,也能高度重視系統(tǒng)的安全性,主要應關注以下幾點:
(1)引入市場較為成熟的系統(tǒng),如方便的話可先去已使用該系統(tǒng)的單位進行實地考察,了解系統(tǒng)的使用情況;
(2)引入非成熟系統(tǒng)或確需進行二次開發(fā)的系統(tǒng),引入方在上線測試時要盡量聘請有檢測實力的第三方機構進行測試,如此可以有效保障系統(tǒng)的使用安全,防止系統(tǒng)開發(fā)單位有意或無意的設置系統(tǒng) 漏洞 。
此外,對收銀員在電腦系統(tǒng)內的修改權限也需進一步控制,絕不允許收銀員即使是領班能隨意刪除電腦內任何已生成數(shù)據(jù)。
(二)退貨流程不規(guī)范,未實際退貨就能辦理退款。
一般商場或超市的退貨,都要求先辦理退貨再辦理退款。這首先要求退回貨物的接受人員不能是收銀人員,而起碼應當是實物管理人員,這兩者應做到絕對的分離。貨物的接受人員在收到貨物后應仔細檢查包裝、商標等的完整性,以保證可以進行二次銷售,如因質量問題發(fā)生退貨的,應按廠家要求填寫質量問題記錄或其他。收銀人員應在見到收貨人員的簽字后方可辦理退款手續(xù)。
在本案例中,我們無法看到該商場的退貨事宜經(jīng)過了上述流程,即先需收貨人員驗收簽字確認后才能辦理退款,且該退貨小票也未能單獨保管并上交。這就為收銀人員隨意退款帶來了很大的便捷,因為無其他人員對其進行約束。更為安全和嚴格的控制應該是,辦理退款手續(xù)由收銀員發(fā)起,收銀員領班進行復核后通過刷卡、指紋或其他方式進行授權后方可辦理。當然也可以由收銀員將退貨單據(jù)統(tǒng)一收好后,交由中后臺統(tǒng)一辦理。
(三)退款路徑不控制,廢卡還能隨意接受退款。
在本案例中,胡某隨意找了若干廢卡,就將退款打至這些廢卡后再次出售。這是對退款路徑的控制不夠嚴格,才給予了胡某這樣的可趁之機。一般的商場或超市發(fā)生退貨,都會明確告訴買家,退款是按照當時購買商品的付款路徑“原路退回”,即付現(xiàn)金的退還現(xiàn)金,刷銀行卡的退還至原銀行卡,刷購物卡的退還至購物卡。如購物卡丟失,則應由中后臺辦理一張新購物卡退還至客戶。如此可以有效防范收銀人員隨意退款的現(xiàn)象。
(四)商場庫存商品日常盤點工作薄弱。
時隔22個月,發(fā)生了如此巨額的損失后商場方才察覺,我們有理由相信商場存貨日常盤點工作極其薄弱,還有很大的改進空間。我們認為該商場未足夠重視庫存商品財務賬、倉庫實物賬與倉庫實物三者間的核對工作。柜員在日常工作中對于在銷售時發(fā)現(xiàn)的賬實不符的現(xiàn)象也未及時上報、調查,導致胡某的行為未被即使發(fā)現(xiàn)。所以商場定期(每月)組織盤貨是十分必要的。
樂發(fā)網(wǎng)超市批發(fā)網(wǎng)提供超市貨源信息,超市采購進貨渠道。超市進貨網(wǎng)提供成都食品批發(fā),日用百貨批發(fā)信息、微信淘寶網(wǎng)店超市采購信息和超市加盟信息.打造國內超市采購商與批發(fā)市場供應廠商搭建網(wǎng)上批發(fā)市場平臺,是全國批發(fā)市場行業(yè)中電子商務權威性網(wǎng)站。
本文內容整合網(wǎng)站:百度百科、知乎、淘寶平臺規(guī)則
本文來源: 【警惕】這個漏洞讓商場損失576萬元
