제 68 조 상업은행은 감사를 위임하는 과정에서 외부 감사기관이 본업의 하드웨어, 소프트웨어, 문서 및 데이터를 검사하여 정보기술에 존재하는 위험을 발견할 수 있도록 해야 한다. 단, 국가법, 규정, 규정 및 규범성 문서에 규정된 중요한 상업 및 기술 기밀 정보는 제외한다.
제 69 조 상업은행이 외부 감사를 실시하기 전에 외부 감사기관과 충분히 소통하여 감사 범위를 상세히 결정하고, 고의로 사실을 숨기거나 감사검사를 방해해서는 안 된다.
제 70 조 은감회와 파견기관은 필요에 따라 해당 자격을 갖춘 외부 감사기관을 지정하여 상업은행에 대한 정보기술 감사나 관련 검사를 실시할 수 있다. 외부 감사기관은 은감회나 그 파출기관의 위탁이나 인가에 따라 상업은행을 감사할 때 위탁서를 발행하고 위탁서에 규정된 범위에 따라 감사를 실시해야 한다.
제 71 조 외부 감사기관은 인가된 감사 보고서에 따라 은감회의 승인을 받은 후 은감회 및 파출기관이 발행한 검사 보고서와 동등한 효력을 지녔으며, 감사된 상업은행은 감사 보고서에 따라 시정 방안을 제출하고 정해진 시간 내에 시정을 실시해야 한다.
제 72 조 상업은행이 외부 감사기관에 외부 감사를 의뢰할 때, 기밀 유지 협정에 서명하고, 법규를 엄격히 준수하고, 본업의 영업 비밀과 정보기술 위험 정보를 지키도록 독촉해야 한다. 본업이 제공한 모든 서류를 무단으로 수정, 복제 또는 가져가는 것을 방지해야 한다.