Eksterne revisorer
Eksterne it-revisioner udføres pr. definition af revisorer og enheder uden for den organisation, der er genstand for revisionen. Afhængigt af organisationens størrelse og it-revisionens omfang og kompleksitet kan eksterne revisioner udføres af en enkelt revisor eller af et team. Generelt etableres og forvaltes forholdet mellem en organisation og dens eksterne revisorer typisk på virksomhedsniveau – det vil sige, at organisationer engagerer eksterne firmaer eller professionelle organisationer, som udfører den type it-revisioner, der er behov for eller kræves. Denne type forhold er påkrævet for børsnoterede selskaber i USA og mange andre lande i henhold til regler, der kræver, at firmaer, der reviderer disse selskaber, skal være registreret eller have licens hos offentlige tilsynsorganer, såsom Public Company Accounting Oversight Board (PCAOB) i USA og medlemmerne af European Group of Auditors’ Oversight Bodies (EGAOB) i lande i Den Europæiske Union. Børsnoterede virksomheder er derfor begrænset i deres valg af eksterne revisionsfirmaer, men ved at kræve, at revisioner af sådanne virksomheder kun udføres af kvalificerede firmaer (og det kvalificerede personale, der arbejder for dem), sikrer den lovgivningsmæssige struktur for lovpligtig revision i mange lande, at revisioner udføres på en ensartet måde, der er i overensstemmelse med gældende principper, standarder og praksis.
Revisorers uafhængighed er vigtig for både intern og ekstern revision, men i forbindelse med ekstern revision er en sådan uafhængighed ofte ikke blot påkrævet, men også lovfæstet ved lov. Afsnit II i Sarbanes-Oxley Act indeholder bestemmelser, der kræver uafhængighed for både de revisionsfirmaer, der udfører revisioner, og de ansatte i disse firmaer, der leder revisionsopgaver i kundeorganisationer. Registrerede firmaer og deres ansatte, der er ansat til at udføre revisioner af en given organisation, må ikke yde ikke-revisionsrelaterede tjenester til denne organisation, f.eks. regnskabsføring, design og implementering af finansielle systemer, aktuarmæssige tjenester, outsourcede interne revisioner, ledelsesfunktioner, investeringsbankvirksomhed eller rådgivning, juridiske tjenester eller eksperttjenester eller andre aktiviteter, som PCAOB fastslår ikke kan udføres samtidig med eksterne revisionstjenester . I mange organisationer er det ikke ualmindeligt at beholde den samme eksterne revisor i mange år, så de regler, som SEC vedtog efter vedtagelsen af Sarbanes-Oxley Act, kræver, at eksterne revisionsfirmaer skifter ledende personale (“revisionspartnere”) mindst hvert femte år, hvilket er en reduktion fra maksimalt syv år før loven (EU’s regler kræver ligeledes rotation af revisionspartnere hvert syvende år).
Mens firmaer, der leverer eksterne revisionstjenester, er underlagt regler og tilsyn på organisationsniveau, skal individuelle revisorer, der udfører ekstern revision, typisk dokumentere tilstrækkelig viden og ekspertise samt passende kvalifikationer. Professionelle certificeringer er en indikator for revisorkvalifikationer, især når specifikke certificeringer svarer til den type ekstern revision, der udføres. Mange af de certificeringer, der er tilgængelige for revisorer, stiller betydelige krav om videregående uddannelse og tidligere erhvervserfaring ud over påvisning af faglig ekspertise gennem formelle eksamener. Både revisionsfirmaer og de organisationer, der engagerer sådanne firmaer til at udføre ekstern revision, lægger stor vægt på certificeret personale for at sikre tilstrækkelig kompetence, integritet og domænespecifik erfaring. På grund af den tætte forbindelse og det overlappende emne mellem finansielle revisioner og it-revisioner i forbindelse med ekstern revision ses certificeringen som Certified Public Accountant (CPA) – udstedt af American Institute of Certified Public Accountants (AICPA) – ofte blandt erfarne eksterne revisorer. Andre almindelige eksterne it-revisorcertifikater omfatter ISACA’s Certified Information Systems Auditor (CISA) og Certified in Risk and Information Systems Control (CRISC); GIAC Systems and Network Auditor (GSNA) fra SANS Institute; og ISO/IEC 27001 Lead Auditor. Disse certificeringer og de organisationer, der forvalter dem, er beskrevet i kapitel 10.