При выборе компании-аудитора необходимо четко понимать, что, когда и в каком виде получает организация в результате аудита. Будет ли это просто проверка соответствия с ответами «да/нет», будут ли предоставлены подробные рекомендации, каковы гарантии качества выполненных работ? Очень важным критерием, говорящим в пользу компании-аудитора, является ее признанная репутация в области информационной безопасности 
 
NBJ № 6(51), 2008 
«Кому доверить аудит», стр. 83–85

Аудит информационных технологий банка подразумевает объективный анализ его ИТ-инфраструктуры. Главным критерием при этом является соответствие инфраструктуры законодательным и нормативным документам, национальным и международным стандартам, а также функциональность программного и аппаратного обеспечения. Аудит информационных систем позволяет дать объективную оценку текущему состоянию функционирующих в кредитном учреждении АБС, выявить причины их неоптимального использования. 
Если несколько лет назад кредитные организации осуществляли ИТ-аудит, что называется, «в свободном режиме», то теперь он проводится периодически. Актуальность аудита резко возросла в связи с тем, что увеличилась зависимость кредитных организаций от ИТ, возникла прямая взаимосвязь между эффективностью деятельности банка и качеством используемых им информационных технологий.
Специалисты в области ИТ-аудита утверждают, что не может быть двух абсолютно одинаковых аудитов. Каждый проводится по своей схеме и должен отвечать тем задачам, для решения которых он предназначен. Зачастую банку-заказчику нет необходимости обследовать абсолютно всю ИТ-инфраструктуру, чтобы привести систему в соответствие со своими ожиданиями. Поэтому изначально кредитная организация должна определиться, каковы конечные цели того или иного проекта.
По мнению банковских экспертов, аудит ИТ-систем нужно проводить в нескольких случаях. Во-первых, при внедрении какого-либо крупного ИT-проекта внутри банка. В данном случае необходима экспертиза проектного решения со стороны независимой компании, имеющей опыт в данной области. Во-вторых, в связи с планируемым развитием бизнеса кредитной организации. Здесь нужно провести оценку возможности масштабирования существующего программно-аппаратного комплекса и оценку его соответствия перспективным задачам, выдвигаемым бизнесом. Третьей причиной проведения ИТ-аудита является возникновение проблем при функционировании программно-аппаратного комплекса. Целью подобного проекта является оценка критичных мест и получение рекомендаций по устранению проблем.
ИТ-аудит может состоять из аудита информационной системы, технологической инфраструктуры, информационной безопасности и аудита ИТ-подразделения. 
Отдельно хотелось бы сказать о столь актуальном в настоящее время аудите информационной безопасности банка. Он, как правило, включает в себя несколько составляющих. Во-первых, тест на проникновение, направленный на оценку защищенности организации от внешних атак из интернета. Во-вторых, оценку соответствия требованиям нормативных документов РФ по информационной безопасности (нормативным документам ФСТЭК, ФСБ, ГОСТ, федеральным законам), а также стандартам банковских систем (стандарта Банка России СТО БР ИББС и т.п.). В-третьих, рекомендации международных стандартов по информационной безопасности (ISO/IEC 27001:2005, группы стандартов NIST SP 800 и т.п.), рекомендации международных стандартов на информационные системы COBIT, ITIL/ITSM. Наконец, оценку соответствия требованиям Федерального закона «О персональных данных». 
Поставщик услуг по аудиту информационной безопасности должен вызывать у клиента прежде всего доверие, которое достигается исключительно высоким профессионализмом. 
Основными критериями выбора компании-аудитора являются независимость аудита, его полнота и компетентность. Иногда важным критерием выбора той или иной компании является известность ее бренда на рынке. Эксперты утверждают, что независимый аудит может быть проведен только тем поставщиком услуг, который не был вовлечен во внедрение мер по защите информации в данном банке.