外部审计方面，商业银行可以在符合法律、法规和监管要求的情况下，委托具备相应资质的外部审计机构进行信息科技外部审计。在委托审计过程中，应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查，以发现信息科技存在的风险，国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。在实施外部审计前应与外部审计机构进行充分沟通，详细确定审计范围。不应故意隐瞒事实或阻挠审计检查。选项D属于外部审计机构的责任。