现代社会对信息系统(Information System)的依赖越来越强,而信息系统自身结构、功能越来越复杂,因此它的稳定、安全、可靠变得越来越重要。在以审慎性为原则的审计工作中,也需要引入一种新的管理机制——IT审计,对信息系统的安全性、实施情况和投资成效等一系列层面,采取相应的审慎评估、指导和改进,防范信息系统的不正当使用、误操作、技术滥用等带来的危害。综合国内外学者的研究,IT审计是通过获取相关的证据,进而评价信息系统是否能够保证资产的安全、数据的完整以及资源使用的有效性的一个过程。可见,IT审计工作不仅需要对信息系统本身的健康性进行检查,还需要评估信息系统支持业务的有效性。但我国商业银行在与业务相挂钩的数据处理和流程管控的IT应用控制审计方面,尚缺乏可以借鉴的成熟经验。因此,开展商业银行IT应用控制审计的方法研究,对避免银行信息系统失效的风险具有一定的实际价值。本文主要对IT应用控制审计的方法展开了研究,并以福州某城市商业银行的商业汇票系统为例,对IT应用审计方法进行了验证。文章的主要内容是:首先从IT审计在现代公司治理中的重要性、IT审计及其应用控制的特点出发,分析IT审计不仅仅是针对信息系统及其环境本身(一般控制)做出评估,同时还应包含针对依仗信息系统运行的业务流程、活动和数据的准确性、有效性、完整性等(应用控制)做出评估;其次从国、内外IT应用控制审计存在差距的现状着手,梳理我国商业银行在此方面尚处于起步摸索层面的原因,得出需要探索一套行之有效的IT应用控制审计方法以供使用;接着从如何识别系统风险、找出风险控制对策、评测控制活动有效性三个方面来探讨IT应用控制审计的方法研究;最后运用研究的方法,从系统整体流程、输入控制、处理控制、输出控制等几个方面对具体的银行信息系统实施有效性评估,验证IT应用控制审计方法的可操作性。本文从理论和实践相结合的角度,探索出搭建一套具备较强可操作性的IT应用控制审计方法操作指南,用以评估商业银行重要业务系统风险控制的有效性。