1、信息技術專項審計明顯增多。上世紀90年代中期，美國從事金融企業IT審計的人員有55％—70％的工作都是協助財務審計人員，到2000年這一比例下降到了50％以下。尤其是計算機“千年蟲”事件使人們深刻地意識到信息技術自身安全的重要性，在處理這一事件中，信息技術專項審計發揮了重要作用，得到了監管者、董事會及管理者的高度重視。 IT審計已不是財務審計的配角，它已成為風險管理的重要工具，成為金融企業有效實行IT治理的保證。

 

　　2、采用以風險為基礎的審計方法。實行以風險為基礎的審計前提是建立風險評分系統，即參照美國注冊會計師協會、信息系統審計與控制協會（1SACA）、內部審計協會（IIA）等組織所發布的業界標準或自身的經驗，使用統一的方法對信息技術每個方面的風險大小進行評估打分，評出低、中、高或從1—5的數字風險等級，一般為一年一次，但如果金融企業在IT方面經歷了明顯的變化則需增加評估的次數。對每一領域審計的頻率與深度都由評估結果決定。從一個審計周期來看，高風險、中等風險、低風險領域一般分別不超過12、24、36個月。以風險為基礎的IT審計使審計人員能夠在對風險全面監控的基礎上集中審計資源于高風險領域，確保了審計對風險的控制質量。

 

　　3、外包內部IT審計比較常見。合理的IT審計外包既可以保證審計質量又可以充分利用外部資源，解決內部IT審計人員不足問題。美國金融企業通過采取三個方面的措施來降低外包IT內審的風險：一是保證外包者的獨立性。2002年的《薩班斯—奧克斯萊法案》禁止上市公司外部審計人員在實施財務報告審計的同時外包該公司內審業務，聯邦存款保險公司要求總資產在5億以上的成員機構，不管它們是否是上市公司均應遵守該法案的這項規定，并鼓勵其他的金融企業遵守。二是對IT內審外包者實行一定的控制。明確指出任何關于本企業的信息都必須保密，如審計工作底稿的保存時間、變更服務合同的條件、向董事會和高級管理者報告的方式和頻率等。三是管理部門要做好充分準備應付合同執行的意外情況，以防出現審計缺口。如合同的突然終止引起外包安排的結束等。

 

　　4、IT審計是金融企業控制技術服務提供商（TSP）的重要手段。金融企業的特長是經營貨幣而不是信息技術，出于利用外部技術專家、降低成本、專注于發展自己的核心業務、解決IT人員不足等原因，美國金融企業外包部分或全部IT業務給TSP比較常見。對于有外包的金融企業，局限于內部的IT審計已不能滿足安全需要，為了防止由于TSP內部控制不善、技術競爭力不強、不能有效保護客戶信息等原因而帶給自己風臉，企業要對TSP的信息技術及相關控制等實施嚴格的監控，對TSP進行IT審計是其重要手段。一般在合同中就應明確對TSP有審計的權利，可以采用金融企業內審人員直接審計、接受并審查由TSP審計人員提供的審計報告的方法，但最常用的是聘請獨立于金融企業與TSP的第三方審計人員實施對TSP的審計，要求第三方審計人員同時向TSP、本企業的管理層及內部審計人員提供根據美國注冊會計師協會的SAS 70標準提出的審計報告。

 

　　5、IT審計功能是否健全是金融監管當局決定監管關注程度的重要因素。負責制定對金融機構實施聯邦檢查統一原則、標準和報告的聯邦金融機構檢查委員會（FFIEC）早在1978年就制定了信息系統評級體系，1999年調整并更名為信息技術統一評級體系（URSIT），由綜合等級和四個成份等級構成。綜合等級的評定基礎是四個成份等級，審計從1978年到現在一直排在四個成份等級之首，而且在1999年的調整中得到了進一步加強。如果審計作用不充分，那么不管其他成份等級如何，其綜合等級只能是在3— 5之間，需引起特別監管注意。同時IT審計的情況還可通過CAMELS評級體系中的管理等因素影響到監管當局對金融企業安全性與可靠性監管關注程度。監管的壓力迫使金融企業在IT內審人員不足的情況下外包內部審計以提高審計質量。

 

　　6、IT審計與公司治理形成了良性互動關系。良好的公司治理為IT審計的發展提供了控制環境和制度基礎。董事會、高級管理者、審計管理部門、內外部審計人員在審計過程中分工細致、責任明確。并保證了審計的獨立性。隨著金融企業對IT的依賴性越來越大，IT控制的作用越來越大，IT治理機制已成為落實公司治理的重要手段，IT審計也就成為實現IT與業務的匹配管理、IT價值貢獻管理、IT風險管理、IT績效管理等的重要保證，花旗銀行等美國大金融企業已經引進或正在引進IT治理機制，日益彰顯IT審計的重要性。