金融行业信息系统审计方法与其他行业信息系统审计方法较为类似，就像我国传统医学中的中医问诊，其方法不外乎“望、闻、问、切”。进驻被审计单位后，首先要“望”，就是常说的观察法，通过观察，了解被审计单位信息系统运行所处的环境，审阅各种与之相关的规章制度，查看信息系统运维人员和用户的行为等。然后是“闻”，即听取被审计单位相关人员关于信息系统情况的介绍和报告。注意将之前看到的和听到的各种信息进行关联、对比，获得审计证据并证其真伪。之后是“问”，通常称之为面谈法，或者访谈法。审计人员需要根据审计内容和目标设计访谈问题，需要时编制调查问卷，要求当事人面谈或填写调查问卷，以获取审计证据。最后是“切”，就是动手操作，包括进行系统测试、漏洞扫描、数据测试、日志审计、代码审计、模拟（仿真）测试等。
　　
　　三、金融信息系统审计的发展方向
　　(一）从问题揭露型向风险导向型发展。金融行业的核心在于风险控制，信息系统审计不同于以往的业务，以往的业务审计往往以发现已经发生的损失，已经实施的舞弊和违规为目的，属于以损失为基础的审计，而信息系统审计则具有一定的事前性，其目的在于发现信息系统潜在的风险和漏洞以及可能发生的损失。这种目的上的变化要求信息系统审计不可能以损失为基础，而应该以风险为基础，因此，开展金融信息系统审计必须借鉴风险评估的方法，由对信息系统运行的合规性审计逐渐转变为风险导向型审计，这种以风险为基础的审计也是当前国际审计界通行的观念和做法，也是今后我国审计的发展方向。
　　（二）从特定时间段审计到信息系统生命周期审计。信息系统的生命周期可分为系统总体规划、系统分析、系统设计、系统实施与测试和系统运行维护几个阶段。金融行业信息系统往往“体积庞大、结构复杂”，立项时间长，投资额度大，测试运行时间久，生命周期比较漫长，信息系统生命周期直接关系着信息系统的质量，因此对信息系统的生命周期和相关文档进行审计也是金融信息系统的发展方向。