1、信息技術(shù)專項審計明顯增多。上世紀(jì)90年代中期，美國從事金融企業(yè)IT審計的人員有55％—70％的工作都是協(xié)助財務(wù)審計人員，到2000年這一比例下降到了50％以下。尤其是計算機(jī)“千年蟲”事件使人們深刻地意識到信息技術(shù)自身安全的重要性，在處理這一事件中，信息技術(shù)專項審計發(fā)揮了重要作用，得到了監(jiān)管者、董事會及管理者的高度重視。 IT審計已不是財務(wù)審計的配角，它已成為風(fēng)險管理的重要工具，成為金融企業(yè)有效實行IT治理的保證。

 

　　2、采用以風(fēng)險為基礎(chǔ)的審計方法。實行以風(fēng)險為基礎(chǔ)的審計前提是建立風(fēng)險評分系統(tǒng)，即參照美國注冊會計師協(xié)會、信息系統(tǒng)審計與控制協(xié)會（1SACA）、內(nèi)部審計協(xié)會（IIA）等組織所發(fā)布的業(yè)界標(biāo)準(zhǔn)或自身的經(jīng)驗，使用統(tǒng)一的方法對信息技術(shù)每個方面的風(fēng)險大小進(jìn)行評估打分，評出低、中、高或從1—5的數(shù)字風(fēng)險等級，一般為一年一次，但如果金融企業(yè)在IT方面經(jīng)歷了明顯的變化則需增加評估的次數(shù)。對每一領(lǐng)域?qū)徲嫷念l率與深度都由評估結(jié)果決定。從一個審計周期來看，高風(fēng)險、中等風(fēng)險、低風(fēng)險領(lǐng)域一般分別不超過12、24、36個月。以風(fēng)險為基礎(chǔ)的IT審計使審計人員能夠在對風(fēng)險全面監(jiān)控的基礎(chǔ)上集中審計資源于高風(fēng)險領(lǐng)域，確保了審計對風(fēng)險的控制質(zhì)量。

 

　　3、外包內(nèi)部IT審計比較常見。合理的IT審計外包既可以保證審計質(zhì)量又可以充分利用外部資源，解決內(nèi)部IT審計人員不足問題。美國金融企業(yè)通過采取三個方面的措施來降低外包IT內(nèi)審的風(fēng)險：一是保證外包者的獨立性。2002年的《薩班斯—奧克斯萊法案》禁止上市公司外部審計人員在實施財務(wù)報告審計的同時外包該公司內(nèi)審業(yè)務(wù)，聯(lián)邦存款保險公司要求總資產(chǎn)在5億以上的成員機(jī)構(gòu)，不管它們是否是上市公司均應(yīng)遵守該法案的這項規(guī)定，并鼓勵其他的金融企業(yè)遵守。二是對IT內(nèi)審?fù)獍邔嵭幸欢ǖ目刂?。明確指出任何關(guān)于本企業(yè)的信息都必須保密，如審計工作底稿的保存時間、變更服務(wù)合同的條件、向董事會和高級管理者報告的方式和頻率等。三是管理部門要做好充分準(zhǔn)備應(yīng)付合同執(zhí)行的意外情況，以防出現(xiàn)審計缺口。如合同的突然終止引起外包安排的結(jié)束等。

 

　　4、IT審計是金融企業(yè)控制技術(shù)服務(wù)提供商（TSP）的重要手段。金融企業(yè)的特長是經(jīng)營貨幣而不是信息技術(shù)，出于利用外部技術(shù)專家、降低成本、專注于發(fā)展自己的核心業(yè)務(wù)、解決IT人員不足等原因，美國金融企業(yè)外包部分或全部IT業(yè)務(wù)給TSP比較常見。對于有外包的金融企業(yè)，局限于內(nèi)部的IT審計已不能滿足安全需要，為了防止由于TSP內(nèi)部控制不善、技術(shù)競爭力不強(qiáng)、不能有效保護(hù)客戶信息等原因而帶給自己風(fēng)臉，企業(yè)要對TSP的信息技術(shù)及相關(guān)控制等實施嚴(yán)格的監(jiān)控，對TSP進(jìn)行IT審計是其重要手段。一般在合同中就應(yīng)明確對TSP有審計的權(quán)利，可以采用金融企業(yè)內(nèi)審人員直接審計、接受并審查由TSP審計人員提供的審計報告的方法，但最常用的是聘請獨立于金融企業(yè)與TSP的第三方審計人員實施對TSP的審計，要求第三方審計人員同時向TSP、本企業(yè)的管理層及內(nèi)部審計人員提供根據(jù)美國注冊會計師協(xié)會的SAS 70標(biāo)準(zhǔn)提出的審計報告。

 

　　5、IT審計功能是否健全是金融監(jiān)管當(dāng)局決定監(jiān)管關(guān)注程度的重要因素。負(fù)責(zé)制定對金融機(jī)構(gòu)實施聯(lián)邦檢查統(tǒng)一原則、標(biāo)準(zhǔn)和報告的聯(lián)邦金融機(jī)構(gòu)檢查委員會（FFIEC）早在1978年就制定了信息系統(tǒng)評級體系，1999年調(diào)整并更名為信息技術(shù)統(tǒng)一評級體系（URSIT），由綜合等級和四個成份等級構(gòu)成。綜合等級的評定基礎(chǔ)是四個成份等級，審計從1978年到現(xiàn)在一直排在四個成份等級之首，而且在1999年的調(diào)整中得到了進(jìn)一步加強(qiáng)。如果審計作用不充分，那么不管其他成份等級如何，其綜合等級只能是在3— 5之間，需引起特別監(jiān)管注意。同時IT審計的情況還可通過CAMELS評級體系中的管理等因素影響到監(jiān)管當(dāng)局對金融企業(yè)安全性與可靠性監(jiān)管關(guān)注程度。監(jiān)管的壓力迫使金融企業(yè)在IT內(nèi)審人員不足的情況下外包內(nèi)部審計以提高審計質(zhì)量。

 

　　6、IT審計與公司治理形成了良性互動關(guān)系。良好的公司治理為IT審計的發(fā)展提供了控制環(huán)境和制度基礎(chǔ)。董事會、高級管理者、審計管理部門、內(nèi)外部審計人員在審計過程中分工細(xì)致、責(zé)任明確。并保證了審計的獨立性。隨著金融企業(yè)對IT的依賴性越來越大，IT控制的作用越來越大，IT治理機(jī)制已成為落實公司治理的重要手段，IT審計也就成為實現(xiàn)IT與業(yè)務(wù)的匹配管理、IT價值貢獻(xiàn)管理、IT風(fēng)險管理、IT績效管理等的重要保證，花旗銀行等美國大金融企業(yè)已經(jīng)引進(jìn)或正在引進(jìn)IT治理機(jī)制，日益彰顯IT審計的重要性。