商业银行决定信息科技内部审计范围和频率的依据不包括( )。
业务性质
信息科技战略
信息科技应用情况
信息科技风险评估结果
商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果决定信息科技内部审计范围和频率。