软件测试的系统审计方法和有向图算法在金融审计中的应用ppt课件

1、软件测试的系统审计方法和有向图算法在金融审计中的运用主讲人： 陈宇.概 述近年来，随着计算机审计的深化开展，成都特派办在传统的基于SQL的数据审计领域之外，扩宽思绪，积极地开展一些新的计算机审计尝试，尤其是在信息化程度高的金融领域获得了不错的效果。2007年，我办在2007年对中国人民财富保险公司的审计中，对某保险公司的信息系统尝试了初步的信息系统审计。2021年在对某商业银行的审计中，运用有向图的环查找算法，有效地处理了多家企业循环担保的分析和查找。 .保险公司信息系统审计初步尝试遇到的问题：数据量大，关键是每笔保单的金额偏小，这与银行的数据迥异。这一特点就决议了保险公司的取证最好从“面上而

2、不是从“点上取证。根据这一特点，审计人员从前后台同时着手，分析保险公司系统能够存在的破绽以及该破绽能够导致的问题。这样的益处是能到达较高的覆盖率，发现普遍性的问题，对保险公司加强管理堵塞破绽有益处。.保险公司信息系统根本架构保单录入子系统保单修正子系统保单注销子系统保单理赔子系统业务系统收费子系统减退费子系统报表子系统统计子系统财务系统数据传输接口.白盒测试白盒测试是软件测试中最常用的方法之一，其根本思想是把待测试的模块看做一个可以看到内部构造的“白盒子，设计测试用例覆盖一切分支，测试模块的功能性和强壮性。正确数据一正确输出正确数据二正确输出错误数据报错前往.对保单修正子系统进展白盒测试审计人

3、员从前台登录系统，录入了假设干张测试保单，然后尝试对这些保单的各个要素进展各种类型的修正。例一：修正保单的费率，随意上下浮保单费率，尤其是下浮到保监会规定的最低费率之下，看系统能否报错。例二：修正保单的保额。针对一些费率和保额有关的保险，随意添加或减少保额，看保险费率能否随之变化，相应的保费能否会随之改动。.发现破绽！我们在修正终保日期的环节发现了破绽！破绽为：可以对一张保单的终保日期进展随意修正，将保单的终保日期提早到当前日期之前！对此保险公司的系统竟然完全没有控制！例如：一张2007年1月1日至2007年12月31日的保单，竟然可以在2007年12月30日做修正，将保单的终保日期提早到20

4、07年1月2日 ！.修正终保日期破绽图示修正日期终保日期起保日期假设简单这样退保，等于将终保日期提早到修正日期。原终保日期能退出的保费.修正终保日期破绽图示修正日期起保日期终保日期系统破绽使得能把终保日期提早到修正生效日期之前原终保日期能退出的保费.到后台数据库中查询发现这一问题后，审计人员到白宣布公司后台数据库去查询一切终保日期早于修正生效日期，且有退保记录的保单。发现可以保单后延伸审计，发现该公司某支公司存在运用这种手法违规退保，套取保费数百万的犯罪现实，犯罪嫌疑人已被拘捕。审计后，保险公司针对该破绽打了补丁，及时堵塞了这一破绽。.对保单录入子系统进展白盒测试我们在对保单录入子系统进展白盒

5、测试的时候发现：车险保单在录入时可以将个人车辆的投保人录入为单位，从而享用更低的单位车团保险费率，对此系统无控制！有了这一发现后，审计人员在后台数据库中查询，发现了该公司在全国范围内有60余万份“个人用车保单是以“单位用车名义承保，直接导致少收保费约1.7亿元。延伸调查发现：很多保险公司以这种方法降低保费招徕客户，在保险市场上进展不正当竞争。 .针对接口进展黑盒测试保单录入子系统保单修正子系统保单注销子系统保单理赔子系统业务系统收费子系统减退费子系统报表子系统统计子系统财务系统数据传输接口.对数据传输接口进展黑盒测试审计人员对数据传输接口进展黑盒测试，首先在业务系统录入假设干测试保单，然后进展

6、修正、注销、退保等操作，看数据能否可以正确地传入财务系统。接下来审计人员在财务系统中对保单进展操作，比如删除保单缴费记录，注销保单等，看数据能否正确地传回业务系统。.发现破绽！我们发现该系统的数据传输是单向的！业务系统的数据可以从传输接口顺利而准确地传到财务系统；但对财务系统进展的操作那么不能反过来传输到业务系统。业务系统财务系统.破绽导致的问题发现这一破绽后，审计人员对业务系统和财务系统的保单进展了比对，发现了该公司的某分公司采用在财务系统中修正保单保费或退保的方式来实现“暗折，2006年年共违规批退保费6000余万元。比如有一家单位来对10辆车进展投保，这家公司在业务系统不能打折的情况下，

7、在财务系统中修正保费为应收保费的80%，实现八折的暗折！审计后，保险公司已针对该问题打了补丁。.对分公司和总公司数据传输接口的黑盒测试保险公司网络拓扑构造分公司前台省公司数据库效力器总公司数据库效力器.发现破绽！我们抽查了三家省公司，将他们效力器上的数据与总公司的数据进展了比对，发现存在不一致的地方！经过分析发现：省公司和总公司之间的数据传输接口只需简单的数据传送功能，在大量的数据传输时，对于能够发生的传输错误没有任何处置！进一步延伸调查，发现2006年的一切保单中，由于数据传输出错导致信息不符的保单有35045张，涉及金额4000余万元。 .我们的建议：参与校验和错误重传机制数据校验码省公司

8、数据库效力器总公司数据库效力器数据传输接口校验码正确数据校验码错误要求重传.跳出SQL的局限，找出多重循环担保在数据审计领域，我们在整合利用已有专家阅历的同时，也扩宽思绪，突破数据库构造化查询言语SQL的限制，积极尝试运用程序设计言语，利用数据发掘等先进的算法来进展更深度的数据分析。 比较典型的一个例子是我们利用有向图的环查找算法处理了N家企业N=2之间循环担保的问题。.循环担保问题描画循环担保，常见的有两家企业之间相互担保即A为B担保，B又为A担保和三家企业之间循环担保A为B担保，B为C担保，C为A担保的情况。循环担保的最终结果是担保落空，构成现实上的信誉放款，企业一旦无力归还贷款，贷款风险

9、全部由银行承当。 分析循环担保的专家阅历最先由京津冀办董永强同志提出，能很好地处理3家以内企业循环担保的问题。.已有方法中心是基于SQL的表自衔接贷款人 担保人A B A D B C C A D A 两家企业相互担保：Select *From 贷款表 as a, 贷款表 as bWhere a.贷款人=b.担保人 and a.担保人=b.贷款人三家企业循环担保：Select *From 贷款表 as a, 贷款表 as b, 贷款表 as cWhere a.贷款人=b.担保人 and b.贷款人=c.担保人 and c.贷款人=a.担保人B E .已有方法存在的缺乏已有的方法没有相应的数学模型

10、，导致其难以推行到三家以上企业循环担保的情况。已有的方法是基于SQL的，由于SQL本身的缺乏也导致该方法难以推行：两家企业相互担保要写一次代码，三家企业循环担保要重写一次代码，四家企业循环担保还要重写一次代码，且循环担保的企业越多，代码越复杂，出错的能够也越大。.处理方案：跳出SQL，首先建模针对已有方法存在的缺乏，我们对新方法的要求是：有良好的数学模型，便于推行到三家以上企业循环担保的情况。代码简单可复用。只运转一次就可以找出从两家相互担保到恣意多家循环担保的一切记录。不用由于循环担保的企业家数改动而修正代码。.运用有向图对担保关系建模图分为有向图和无向图两种，图的边是有方向的这种图称为有向

11、图，否那么为无向图。节点A节点B节点C节点A节点B节点C.运用有向图对担保关系建模我们将企业笼统为有向图的节点，每一家企业，无论是贷款人还是担保人，都用一个节点来表示。我们将担保关系笼统为从担保人指向贷款人的一条有向边。.有向图建模演示贷款人 担保人A B A D B C C A D A B E 节点A节点B节点D节点C节点E.循环担保问题转化为求环的问题查找循环担保实践上就转化为了在有向图中查找环回路或强连通子图。节点A节点B节点D节点C节点E该有向图中存在两个环A-B-C-AA-D-A.有向图中环的搜索算法在有向图中搜索环的算法常见的有两种：一种是深度优先搜索算法，一种是将图转换成矩阵后用Warshall算法。深度优先搜索算法是从图的一个节点开场，进展深度优先搜索，当回到开场的节点时就找到了