Externí auditoři
Externí audity IT jsou podle definice prováděny auditory a subjekty mimo auditovanou organizaci. V závislosti na velikosti organizace a rozsahu a složitosti auditu IT může externí audity provádět jeden auditor nebo tým. Obecně platí, že vztah mezi organizací a jejími externími auditory je obvykle navázán a řízen na úrovni subjektu – to znamená, že organizace využívají služeb externích firem nebo odborných organizací, které provádějí potřebný nebo požadovaný typ auditů IT. Tento typ vztahu je vyžadován u veřejně obchodovaných společností ve Spojených státech a mnoha dalších zemích na základě pravidel, která vyžadují, aby firmy, které provádějí audit těchto společností, byly registrovány nebo licencovány u státních orgánů dohledu, jako je Rada pro dohled nad účetnictvím veřejných společností (PCAOB) ve Spojených státech a členové Evropské skupiny orgánů dohledu nad auditory (EGAOB) v zemích Evropské unie. Veřejně obchodované společnosti jsou tedy omezeny ve výběru externích auditorských firem, ale díky požadavku, aby audity těchto společností prováděly pouze kvalifikované firmy (a kvalifikovaní pracovníci, kteří pro ně pracují), zajišťuje regulační struktura povinných auditů v mnoha zemích, že audity jsou prováděny konzistentním způsobem, který je v souladu s platnými zásadami, standardy a postupy.
Nezávislost auditora je důležitá jak pro interní, tak pro externí audity, ale v souvislosti s externím auditem je tato nezávislost často nejen vyžadována, ale i právně vynucována. Hlava II zákona Sarbanes-Oxley obsahuje ustanovení, která nařizují nezávislost jak firem provádějících audit, tak zaměstnanců těchto firem, kteří vedou auditorské zakázky v klientských organizacích. Konkrétně registrované firmy a jejich zaměstnanci, kteří se podílejí na provádění auditů v dané organizaci, nemohou této organizaci poskytovat neauditorské služby, jako je vedení účetnictví, návrh a implementace finančních systémů, pojistně-matematické služby, externí interní audity, manažerské funkce, investiční bankovnictví nebo poradenství, právní nebo znalecké služby nebo jakoukoli jinou činnost, kterou podle rozhodnutí PCAOB nelze provádět současně s externími auditorskými službami . V mnoha organizacích není neobvyklé ponechat si stejného externího auditora po mnoho let, proto byly přijaty předpisy SEC po přijetí Sarbanes-Oxleyho zákona, které vyžadují, aby externí auditorské firmy střídaly vedoucí pracovníky („partnery auditora“) nejméně každých pět let, což je zkrácení oproti maximálně sedmi letům před přijetím zákona (předpisy Evropského společenství podobně vyžadují střídání partnerů auditora každých sedm let).
Ačkoli firmy poskytující externí auditorské služby podléhají předpisům a dohledu na úrovni organizace, jednotliví auditoři provádějící externí audit musí obvykle prokázat odpovídající znalosti a zkušenosti a odpovídající kvalifikaci. Jedním z ukazatelů kvalifikace auditora jsou profesní osvědčení, zejména pokud konkrétní osvědčení odpovídají typu prováděného externího auditu. Mnoho certifikací, které jsou k dispozici auditorským odborníkům, má kromě prokázání odborných znalostí v dané oblasti prostřednictvím formálních zkoušek také značné požadavky na vyšší vzdělání a předchozí pracovní zkušenosti. Jak auditorské firmy, tak organizace, které si tyto firmy najímají k provádění externích auditů, kladou velký důraz na certifikované pracovníky, aby pomohly zajistit dostatečnou odbornou způsobilost, bezúhonnost a zkušenosti v dané oblasti. Vzhledem k úzkému propojení a překrývání předmětů finančních auditů a auditů IT v kontextu externích auditů se u zkušených externích auditorů často setkáváme s certifikací CPA (Certified Public Accountant) – udělovanou Americkým institutem certifikovaných účetních (AICPA). Mezi další běžné certifikace externích auditorů IT patří certifikace ISACA Certified Information Systems Auditor (CISA) a Certified in Risk and Information Systems Control (CRISC), GIAC Systems and Network Auditor (GSNA) od SANS Institute a ISO/IEC 27001 Lead Auditor. Tyto certifikace a organizace, které je spravují, jsou popsány v kapitole 10.
.