1對計算機系統的稽核及案例分析上海明鴻中小銀行培訓中心張老師2021.62引言：銀行信息平安面臨極大風險2006年4月20日上午10時56分，中國銀聯系統通信網絡和主機出現故障，造成轄內跨行交易全部中斷。這是2002年中國銀聯成立以來，首次全國性因系統故障造成的跨行交易全面癱瘓。此次故障涉及中國銀聯所屬的18個分公司，包括廣州、深圳、北京、上海、南京、天津、福建、廈門、云南、大連、青島等全國大局部地區，具體表現在ATM機不能跨行取款，POS機不能刷卡消費，網上跨行交易不成功。

3引言：銀行信息平安面臨極大風險4一、計算機系統的內部控制二、計算機稽核的主要內容三、計算機稽核的標準四、計算機稽核的流程和方法五、案例分析5一、計算機系統的內部控制二、計算機稽核的主要內容三、計算機稽核的標準四、計算機稽核的流程和方法五、案例分析6〔一〕計算機系統的內部控制〔1〕應用系統業務流程技術基礎架構一般流程控制7〔一〕計算機系統的內部控制〔2〕應用系統業務流程技術基礎架構一般流程控制一般流程控制評估被稽核應用系統的一般流程控制包含以下范圍：一般用戶帳號的創立，變更及刪除一般用戶權限的分配原那么系統特權用戶/管理員帳號的監管系統維護變更申請系統變更流程包括需求提交，分析，開發，測試，驗收及上線8〔一〕計算機系統的內部控制〔3〕應用系統業務流程技術基礎架構一般流程控制技術基礎架構控制評估被稽核應用系統的技術基礎架構包含以下范圍：后臺操作系統與數據庫物理環境與硬件內/外部網絡系統系統補丁開發，測試及安裝源代碼檢測網絡及系統入侵檢測系統災備恢復目標及實現方案9〔一〕計算機系統的內部控制〔4〕應用系統業務流程技術基礎架構一般流程控制應用及業務流程控制

評估被稽核應用系統與業務流程的以下范圍：-數據處理的準確及可靠性-內置應用控制的有效性-內置業務流程監控及報錯功能-業務流程變更對應用系統的影響10一、計算機系統的內部控制二、計算機稽核的主要內容三、計算機稽核的標準四、計算機稽核的流程與方法五、案例分析11目標:提供管理方向,支持信息平安1.信息科技治理〔PO1PO2〕二、計算機稽核的主要內容〔1〕12二、計算機稽核的主要內容〔1〕案例分析〔1〕案例一：從以下銀行的廣告語分析其戰略定位和對信息科技治理的內在要求：工行——“您身邊的銀行〞招商銀行——“因您而變〞農行——“大行德廣，伴您成長〞光大——“陽光在心，效勞在行〞1314目標：管理組織內的信息平安保證組織內部的信息處理平安及第三方對組織信息資產的訪問當組織內部的信息資產外包時，明確外包方的責任2.組織架構〔PO4〕二、計算機稽核的主要內容〔2〕15二、計算機稽核的主要內容〔2〕案例分析〔2〕案例二：

計算機組織設置中，哪些崗位或機構需要互斥？

16序號崗位/機構1崗位/機構2是否互斥1值班操作人員系統管理員2安全管理員系統管理員3系統開發人員系統維護人員4網絡管理員安全管理員5資料保管員安全管理員6科技部總經理個金部總經理7需求提出部門開發維護部門17目標:保證公司資產得到合理保護，確保信息資產受到相應等級的保護。 主要內容:建立資產的登記制度，包括硬件、軟件和信息產品定義信息體系結構〔PO2〕3.資產分類和管理〔PO2PO3DS9〕二、計算機稽核的主要內容〔3〕18將資產進行分類并標識注意:將資產進行分類并標識是進行風險評估的首要步驟數據分類和分級管理自動化的數據存貯和字典數據語法規那么數據所有權和關鍵性/平安性程度分類表述業務的信息模型企業信息體系結構標準信息二、計算機稽核的主要內容〔3〕19二、計算機稽核的主要內容〔4〕20管理配置〔DS9〕 資產的追蹤配置變更管理未授權軟件的檢查軟件存儲控制軟件和硬件相互關系和集成自動化工具的使用二、計算機稽核的主要內容〔5〕案例分析〔3〕21案例三：請看錄像，并答復以下問題：問題1：你認為瑞士匯豐客戶資料泄露可能發生在哪個環節？問題2：為防止信息資產泄露，你認為上述環節中需要實施哪些控制措施？問題3：假設你對某分行信息資產進行稽核，你準備如何檢查？訪談哪些人員?獲取哪些資料？22

4.人員平安〔PO7〕二、計算機稽核的主要內容〔6〕目標:

減少因人員過失、偷盜、舞弊和設施誤用帶來的損失確保用戶意識到信息平安威脅，并在日常工作中得到相應指導來支持公司的平安策略最大程度減少信息平安事件和誤操作帶來的損失，并吸取教訓主要內容:由于不經意或人員操作的意外事故帶來的數據和系統風險23二、計算機稽核的主要內容〔6〕24案例分析〔4〕案例分析〔4〕地點一：辦公室A，響

職員：你好，我是小王，這里是XX銀行信用卡部攻擊者：你好，我是負責銀行網絡支持的中國電信的李xx,最近全國爆發了大規模的木馬病毒，我們正在進行緊急排查，請問你們辦公室的網絡有沒有出現問題？職員：嗯，據我所知沒有。這里的網絡狀況良好。攻擊者：你能告訴我你的電腦所連接的端口的號碼嗎？職員：端口？攻擊者：就是在你電腦后面，在插網線的地方有注明端口號碼。職員：看到了，號碼是A123.攻擊者：請稍等，端口A123~~~~.好的，謝謝。記得有情況及通過時通知我們，我的是60123456，再見。25案例分析〔4〕地點二：此公司的網絡管理室，響網管：你好，科技部網絡管理員嗎？

攻擊者：你好，我是信用卡部的小王，我們正在接受銀監局的檢查，要求我們不能連接到互聯網，你可以暫時停止端口A123的互聯網訪問半個小時嗎？？

網管：好的，請稍等～～～，好了，已經暫時停止了。攻擊者：謝謝。26案例分析〔4〕2728目標:防止未經授權的訪問、損壞或干預業務系統防止業務系統遭受損失或中斷防止信息和信息系統設施的偷盜5.物理平安〔DS12〕二、計算機稽核的主要內容〔7〕29主要內容:在平安區域建立物理準入控制從物理上保護硬件設施不受偷盜保護網絡和通信線路不被竊聽保護設備不被任意移動或丟棄低調的外觀、來訪者陪同、抵御外部環境破壞等二、計算機稽核的主要內容〔7〕案例分析〔5〕問題:請大家找一下錄像中針對數據中心實施了哪些控制措施?請看錄像，并答復以下問題：問題1：NTT香港數據中心有哪些針對物理平安的控制措施？問題2：除了錄像中的措施外，還有哪些方面是金融行業數據中心應關注和防范的？問題3：假設你對某分行數據中心進行稽核，你準備如何檢查？

3031目標:確保信息處理系統的操作平安準確最大程度減少系統宕機風險;保護軟件和信息的完整性保證信息處理系統和通信的完整性及可用性確保網絡信息平安和對網絡根底架構的平安防止資產的損失和業務活動的中斷防止組織之間信息交換中出現的信息損失、改動或誤用6.通信及操作管理〔DS3，DS5〕二、計算機稽核的主要內容〔8〕32主要內容:病毒錯誤的軟件變更控制備份保持正確的訪問記錄系統文檔的平安磁介質的銷毀在傳輸與轉換中保護數據及數據的認證電子郵件的平安二、計算機稽核的主要內容〔8〕33管理性能和容量〔DS3〕可用性和性能需求自動的監控和報告模型工具容量管理資源的可用性硬件和軟件的性能/價格比變化 二、計算機稽核的主要內容〔9〕34系統平安〔DS5〕保密和隱私要求授權、鑒別和訪問控制用戶識別和授權特征描述文件需要才能有和需要才能知道原那么密鑰管理二、計算機稽核的主要內容〔10〕35二、計算機稽核的主要內容〔10〕案例分析〔6〕案例六：1999年3月26日，一種利用WORD宏功能入侵計算機的梅莉莎病毒爆發在短短3天時間內，有數十萬臺計算機受到了感染。該病毒說明電子郵件可以被用來迅速地在互聯網上傳播病毒，并導致成千上萬家公司的電腦系統中電子郵件泛濫成災，從而令其電子郵件和電腦網絡大受干擾，甚至全部不能使用。問題：1、該病毒使用的是什么攻擊模式？2、請說明病毒、木馬、蠕蟲的區別？3、為防止銀行計算機系統收到惡意代碼的攻擊，你應該提出什么稽核建議？36案例分析〔6〕攻擊的幾種方式：〔1〕Salami,〔2〕DataDiddling,

意味著在資料輸入系統之前、當時或之后，更改或增刪資料。〔3〕ExcessivePrivileges,由于管理不到位等原因，造成一些員工具有超出其工作所需的權限，從而造成權限的濫用；〔4〕PasswordSniffing,通過截獲網絡數據流的方式竊取計算機口令以到達非法進入計算機系統的目的；〔5〕IPSpoofing,使用他人的IP地址以到達欺騙的目的，使其破壞行為難以被發現。〔6〕DenialofService,也稱效勞拒絕攻擊。〔7〕DumpsterDiving,通過在被丟棄的廢物中搜尋的方式獲得有價值信息的行為，雖然不道德，但通常并不違反法律；〔8〕EmanationsCapturing,通過捕捉計算機系統泄漏的電磁信號到達獲取有價值信息的目的；機房進行電磁屏蔽〔9〕Wiretapping(Eavesdropping),通過竊聽通訊信號的方式非法獲得信息和數據；搭線竊聽，ATM線路〔10〕SocialEngineering,通過欺騙等詭計誘使他人泄漏或更改信息以到達侵入系統的目的；銀行卡詐騙，騙子打或發短信說某客37案例分析〔6〕病毒必須滿足兩個條件:1、它必須能自行執行。它通常將自己的代碼置于另一個程序的執行路徑中。2、它必須能自我復制。例如，它可能用受病毒感染的文件副本替換其他可執行文件。病毒既可以感染桌面計算機也可以感染網絡效勞器。蠕蟲病毒的前綴是：Worm。這種病毒的共有特性是通過網絡或者系統漏洞進行傳播，普通病毒需要傳播受感染的駐留文件來進行復制，而蠕蟲不使用駐留文件即可在系統之間進行自我復制。木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為Hack。木馬病毒的共有特性是通過網絡或者系統漏洞進入用戶的系統并隱藏，然后向外界泄露用戶的信息，而黑客病毒那么有一個可視的界面，能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現的，即木馬病毒負責侵入用戶的電腦，而黑客病毒那么會通過該木馬病毒來進行控制。從上面這些內容中我們可以知道，38案例分析〔6〕39木馬病毒案例分析〔6〕4041目標:控制對信息的訪問;防止未經授權訪問系統;確保網絡效勞的平安;防止未經授權對計算機的訪問;檢測非法訪問事件;使用移動計算和遠程網絡時確保信息平安.7.訪問控制二、計算機稽核的主要內容〔11〕42主要內容:如何將訪問控制運用在不同的系統中發布并使用密碼設置警報終端登錄失敗自動退出對終端的物理訪問軟件監控二、計算機稽核的主要內容〔11〕案例分析〔7〕43問題:你認為密碼泄露存在哪些可能?應如何預防?44目標:確保操作系統平安;防止應用系統中數據的遺失、更改或誤用；保護信息的秘密性、完整性和認證;保證IT工程和支持活動平安有序;確保系統開發軟件和數據的平安.主要內容:管理工程〔PO10〕工程的業務管理層發起人地位程序管理8.系統開發與維護〔PO10PO11〕二、計算機稽核的主要內容〔12〕45工程管理能力用戶參與任務細分、里程碑確定和階段審核責認的分配里程碑和可交付的嚴格追蹤費用和人力預算，平衡內部和外部資源質量保證方案和方法程序和工程風險評估從開發到運行的過渡二、計算機稽核的主要內容〔12〕46管理質量〔PO11〕質量文化的建立質量方案質量保證責任質量控制實務二、計算機稽核的主要內容〔13〕47系統開發生命周期方法程序和系統的測試及文檔質量保證檢查和報告最終用戶和質量保證人員的培訓及參與質量保證知識庫的開發按行業標準制定標準二、計算機稽核的主要內容〔13〕48案例分析〔8〕49

據了解，主犯方元今年25歲，學的是計算機專業，曾是樂購超市真北店資訊組組長。方元在工作中發現了超市收銀系統存在漏洞，于是便設計了攻擊性的補丁程序，可將超市銷售記錄的20%自動刪除。2004年6月至2005年8月期間，方元等人修改非法程序，于琪等人利用收銀員的工作便利，截留侵吞樂購超市3家門店營業款共計397萬余元。上述贓款由收銀員上交后，再按比例分成，涉案人員各得贓款數千元至數十萬元不等。案例分析〔8〕問題:如何確保計算機系統在開發和維護中的平安？50目標:應對業務活動的中斷，保證重要業務流程從災難性事件中恢復，減少災難帶來的負面效果。主要內容(DS4):危險程度分類可選擇程序9.業務持續性方案〔DS4〕二、計算機稽核的主要內容〔14〕51備份和恢復系統和有規律的測試及培訓監控和逐步升級過程內部和外部機構的責任業務持續性的激活、回退和恢復方案風險管理活動單點失敗的評估問題管理二、計算機稽核的主要內容〔14〕案例分析〔9〕52案例分析〔9〕業務持續性方案與災備：沒有進行定期的備份恢復性測試；沒有建立異地備份機制；沒有建立災備方案及定期測試；沒有合理的授權處理操作。535410.符合性〔PO8〕二、計算機稽核的主要內容〔15〕55主要內容(PO8):組織需求符合法律與合同條款法律、規章和合同追蹤法律和法規的開展對遵從性有規律的監測平安和人類環境改造學隱私知識產權二、計算機稽核的主要內容〔15〕56案例十：2021年中國人民銀行下發了銀辦發[2021]115號文?中國人民銀行辦公廳關于開展2021年全國商業銀行網上銀行信息平安現場檢查的通知?。檢查的目的是幫助商業銀行及時發現網上銀行信息平安的漏洞和風險隱患并有效開展整改工作，降低網銀平安事件發生概率。案例分析〔10〕57問題:現在領導要求你帶著一個稽核組先開展網上銀行的內部稽核工作，形成稽核報告，并在此根底上迎接人民銀行的檢查。請問你如何制定稽核方案？如何開展工作？58目標:確保有效途徑滿足用戶的需求;能夠有效支持業務過程;提供支持業務應用的適當平臺，滿足業務需求；檢驗和確認解決方案滿足預期的目標；使中斷、未經授權的變更和過失的可能性最小化。11.外包〔AI1，AI2，AI3，AI4，AI5，AI6〕二、計算機稽核的主要內容〔16〕59主要內容:確定自動化的解決方案〔AI1〕市場上可用的解決方案的認知獲取和實施方法用戶參與和大宗買進與企業和IT戰略的結合信息需求的定義可行性研究〔費用、收益、可選方案，等等〕功能性、可操作性、可接受性以及可支撐性需求符合信息體系結構本錢/效益的平安和控制供給商責任二、計算機稽核的主要內容〔16〕60獲取和維護應用軟件〔AI2〕功能性測試和驗收應用控制和平安要求文檔要求應用軟件生命周期企業信息體系結構系統開發生命周期方法人機接口程序包的用戶化定制二、計算機稽核的主要內容〔17〕61二、計算機稽核的主要內容〔18〕62二、計算機稽核的主要內容〔19〕63系統的安裝和鑒定〔AI5〕用戶和IT操作人員的培訓數據轉換反映真實環境的測試環境鑒定合格在實施之后的評價和反響最終用戶參與測試持續的質量改進方案業務持續性要求容量和吞吐量測量達成一致的驗收接受標準二、計算機稽核的主要內容〔20〕64管理變更〔AI6〕變更的識別分類、排列優先順序以及緊急事件程序影響的評估變更的授權版本發布的管理軟件的分發自動化工具的使用配置管理業務過程的重新設計二、計算機稽核的主要內容〔21〕65一、計算機系統的內部控制二、計算機稽核的主要內容三、計算機稽核的標準四、計算機稽核的流程與方法五、案例分析66三、計算機稽核的標準〔1〕1.ISO/IEC17799/BS7799：信息平安管理實用規那么ISO/IEC17799的前身為英國的BS7799標準，該標準由英國標準協會〔BSI〕于1995年2月提出、1995年5月修訂而成，并于1999年重新修改了該標準。BS7799分為兩個局部：BS7799-1，信息平安管理實施規那么；BS7799-2，信息平安管理體系標準。該標準為行業或者商業信息系統中識別一系列控制手段提供獨立的參考點,總共10個方面的內容，127個控制點67三、計算機稽核的標準〔2〕68CISA自1978年創立以來已獲逾60,000名專業人士取得資格，而CISM認可資格自2002年推出后已經獲10,000多名專業人士領取。ISACA于2021年設立了一項新的認可資格年設立了一項新的認可資格，名為「企業信息科技管治認證〔CGEIT〕」。三、計算機稽核的標準〔2〕69三、計算機稽核的標準〔3〕70COBIT實現可跟蹤的業績衡量，通過平衡記分卡可以在財務〔企業資源管理〕、客戶〔客戶關系管理〕、過程〔內部網，工作流工具〕、學習〔知識管理〕等方面維持平衡，評價企業目標的實現情況以及IT績效，并調整業務目標和IT戰略，進行持續的IT管理。三、計算機稽核的標準〔3〕71三、計算機稽核的標準〔3〕72COBIT框架措施：與業務保持聯系；采用通用過程模型的方式來組織IT活動；識別需要調節的重要IT資源；規定管理者應該考慮的控制目標三、計算機稽核的標準〔4〕73COBIT與IT治理有什么關系——提供管理工具來提升IT和衡量治理水平IT治理關注的領域戰略協調；價值交付；績效衡量；風險管理；資源管理。三、計算機稽核的標準〔5〕74IT治理方案與組織監控交付與支持采購與實施信息IT資源?信息平安監控與平安事件報告管理制度??信息系統監控制度??SAP系統監控制度??IT效勞水平管理制度??第三方效勞商管理制度??軟件開發管理制度??軟件變更管理制度??IT軟硬件采購管理制度?COBIT?第三方連接平安管理制度??問題處理管理制度?三、計算機稽核的標準〔6〕75COBIT框架和核心組件三、計算機稽核的標準〔7〕76域IT過程4個部分1PO策劃與組織PO1定義IT戰略計劃PO2定義信息架構PO3確定技術導向PO4定義IT過程、組織和關系PO5IT投資管理PO6溝通管理目的和方向PO7IT人力資源管理PO8質量管理PO9IT風險評估及管理PO10項目管理高級控制目標詳細控制目標管理指南成熟度模型2AI獲取與實施AI1識別自動化解決方案AI2獲得并維護應用軟件AI3獲得維護技術基礎設施AI4保障運行和使用AI5獲得IT資源AI6變更管理AI7安裝、授權解決方案和變更三、計算機稽核的標準〔8〕77域IT過程4個部分3DS交付與實施DS1定義與管理服務水平DS2第三方服務管理DS3性能與容量管理DS4確保連續服務DS5確保系統安全DS6確認并分配成本DS7用戶培訓DS8客戶輔助與建議DS9配置管理DS10問題與事件管理DS11數據管理DS12設備管理DS13操作管理高級控制目標詳細控制目標管理指南成熟度模型4ME監控與評價ME1監控流程ME2評估內部控制適合度ME3獲得獨立的保證ME4提供獨立審計三、計算機稽核的標準〔8〕78

三、計算機稽核的標準〔9〕COBIT4.1

2007年5月8日，ITGI發布COBIT4.1，它是COBITIT治理框架的最新版本。COBIT4.1是COBIT4.0框架的一種微調。COBIT4.1的更新包括提高了性能測量、改善了控制目標并且對商業和IT目標有了更好的定位。

79CobiT4.1補充了對執行概要局部的描述，對績效評價的解釋更為清晰，對IT目標、流程和活動目標這一瀑布式的每個局部都增加了評價標準，并且擴展了績效驅動因素和結果衡量標準之間的區別。結果的衡量標準〔KGI〕同時也是更高層級目標的驅動因素〔KPI〕。由于控制實踐和ValIT模型的開發，CobiT4.1同時還包括更完善的控制目標。

三、計算機稽核的標準〔9〕80

在控制目標這個層面，控制目標的定義也有所變化，變得更加貼合管理實踐。一些控制目標被重新定義和分組，以防止控制目標的交疊，使整個控制目標更加協調。在CobiT4.1中，AI5.4，AI5.5和AI5.6合并成了一個，AI7.9，AI7.10和AI7.11也合并成了一個。三、計算機稽核的標準〔9〕81

三、計算機稽核的標準〔10〕3.銀監會?商業銀行信息科技風險管理指引?

銀監會2021年3月發布?商業銀行信息科技風險管理指引?〔以下簡稱?管理指引?〕，原?銀行業金融機構信息系統風險管理指引?〔銀監發［2006］63號，以下簡稱原?指引?〕同時廢止。

82?管理指引?具有以下幾個特點：一是全面涵蓋商業銀行的信息科技活動，進一步明確信息科技與銀行業務的關系，對于認識和防范風險具有更加積極的作用；二是適用范圍由銀行業金融機構變為法人商業銀行，其他銀行業金融機構參照執行；三是信息科技治理作為首要內容提出，充實并細化了對商業銀行在治理層面的具體要求；三、計算機稽核的標準〔10〕83四是重點闡述了信息科技風險管理和內外部審計要求，特別是要求審計貫穿信息科技活動的整個過程之中；五是參照國際國內的標準和成功實踐，對商業銀行信息科技整個生命周期內的信息平安、業務連續性管理和外包等方面提出高標準、高要求，使操作性更強；六是加強了對客戶信息保護的要求。新?指引?共十一章七十六條，分為總那么，信息科技治理，信息科技風險管理，信息平安，信息系統開發、測試和維護，信息科技運行，業務連續性管理，外包，內部審計，外部審計和附那么等十一個局部。三、計算機稽核的標準〔10〕84一、計算機系統的內部控制二、計算機稽核的主要內容三、計算機稽核的標準四、計算機稽核的流程和方法五、案例分析85

稽核對象的定義——準確的定義被審系統對審計工作的成敗有決定性的影響。以網上銀行系統功能為例，可能被審計的系統功能如下：開帳戶轉帳網上支付網上查詢申請信用卡三、計算機稽核的流程和方法〔1〕86

計算機稽核的流程根據各風險的評級，可擬定以下對系統的信息需求：有效性(Effectiveness)運行效率(Efficiency)保密性(Confidentiality)完整性(Integrity)實時性(Availability)合規性(Compliance)可依賴性(Reliability)三、計算機稽核的流程和方法〔2〕87稽核流程1:識別系統特性硬件配備〔Hardware〕軟件配備〔Software〕系統接口及數據流向〔SysteminterfacesandInformationflow)業務數據與關鍵信息〔DataandInformation〕三、計算機稽核的流程和方法〔3〕88三、計算機稽核的流程和方法〔3〕89稽核流程2:考慮可能的威脅外部的攻擊〔如DenialofService〕非授權數據存取非授權操作崗位牽制缺乏人員操作失誤缺乏檢查和監督三、計算機稽核的流程和方法〔4〕90三、計算機稽核的流程和方法〔5〕91臨時帳號被起用〔GuestIDareenabled〕未及時安裝平安補丁〔Patchesforidentifiedflawsarenotinstalled〕人員牽制缺乏(Notenoughcontrol)未經過授權就操作(Unthorization)三、計算機稽核的流程和方法〔5〕92稽核流程4:分析控制措施控制手段/方法:系統功能控制〔TechnicalControl〕流程控制〔Non-technicalControl〕控制類別:事前防范〔PreventiveControls〕事后檢測〔DetectiveControls〕三、計算機稽核的流程和方法〔6〕93稽核流程5:風險評估后果評估描述高漏洞發生：（1）可能對主要有形資產和資源造成重大損失。（2）可能會使組織的業務進程嚴重受阻，聲譽受到嚴重消極影響，致使利益無法回收。中漏洞發生：（1）可能對有形資產和資源造成較大損失。（2）可能會使組織的業務進程以及利益回收受阻，聲譽受到消極影響。低漏洞發生：（1）可能對有形資產和資源造成損失。（2）可能明顯的影響組織的業務進程、聲譽以及利益回收。三、計算機稽核的流程和方法〔7〕94三、計算機稽核的流程和方法〔8〕95

稽核流程7：對稽核發現的整改及后續審計及時與審計對象溝通，落實審計發現；制定合理的整改方案，整改時間；制定針對審計發現的后續審計時間表。三、計算機稽核的流程和方法〔9〕96制定方案現場檢查人員組織角色分配選取輔助工具風險評估出具報告發現問