Externe Auditoren
Externe IT-Audits werden per Definition von Auditoren und Stellen außerhalb der zu auditierenden Organisation durchgeführt. Abhängig von der Größe der Organisation und dem Umfang und der Komplexität der IT-Prüfung können externe Prüfungen von einem einzelnen Prüfer oder einem Team durchgeführt werden. Im Allgemeinen wird die Beziehung zwischen einer Organisation und ihren externen Prüfern auf Unternehmensebene aufgebaut und verwaltet, d. h. die Organisationen beauftragen externe Firmen oder Berufsverbände, die die Art der benötigten oder erforderlichen IT-Prüfungen durchführen. Diese Art von Beziehung ist für börsennotierte Unternehmen in den Vereinigten Staaten und vielen anderen Ländern vorgeschrieben, da die Firmen, die diese Unternehmen prüfen, bei staatlichen Aufsichtsgremien wie dem Public Company Accounting Oversight Board (PCAOB) in den Vereinigten Staaten und den Mitgliedern der European Group of Auditors‘ Oversight Bodies (EGAOB) in den Ländern der Europäischen Union registriert oder zugelassen sein müssen. Börsennotierte Unternehmen sind daher bei der Auswahl externer Prüfungsgesellschaften eingeschränkt, aber indem sie vorschreiben, dass Prüfungen solcher Unternehmen nur von qualifizierten Unternehmen (und dem für sie arbeitenden qualifizierten Personal) durchgeführt werden, stellt die Regulierungsstruktur für gesetzliche Abschlussprüfungen in vielen Ländern sicher, dass die Prüfungen einheitlich und in Übereinstimmung mit den geltenden Grundsätzen, Standards und Praktiken durchgeführt werden.
Die Unabhängigkeit der Prüfer ist sowohl für interne als auch für externe Prüfungen wichtig, aber im Zusammenhang mit externen Prüfungen wird diese Unabhängigkeit oft nicht nur gefordert, sondern auch gesetzlich durchgesetzt. Titel II des Sarbanes-Oxley-Gesetzes enthält Bestimmungen, die die Unabhängigkeit sowohl der Firmen, die Prüfungen durchführen, als auch der Mitarbeiter dieser Firmen, die Prüfungsaufträge bei Kundenunternehmen leiten, vorschreiben. Insbesondere dürfen zugelassene Unternehmen und ihre Mitarbeiter, die mit der Durchführung von Prüfungen bei einer bestimmten Organisation beauftragt sind, für diese Organisation keine prüfungsfremden Leistungen erbringen, wie z. B. Buchhaltung, Entwurf und Implementierung von Finanzsystemen, versicherungsmathematische Dienstleistungen, ausgelagerte interne Prüfungen, Managementfunktionen, Investmentbanking oder Beratung, Rechts- oder Sachverständigendienstleistungen oder andere Tätigkeiten, die nach Auffassung des PCAOB nicht gleichzeitig mit externen Prüfungsleistungen durchgeführt werden können. In vielen Unternehmen ist es nicht unüblich, denselben externen Prüfer über viele Jahre hinweg zu beauftragen, so dass die von der SEC nach dem Erlass des Sarbanes-Oxley Act erlassenen Vorschriften vorschreiben, dass externe Wirtschaftsprüfungsgesellschaften das leitende Personal („Audit Partner“) mindestens alle fünf Jahre austauschen müssen, was eine Verringerung gegenüber dem Höchstwert von sieben Jahren vor dem Act darstellt (die Vorschriften der Europäischen Gemeinschaft verlangen ebenfalls eine Rotation der Audit Partner alle sieben Jahre).
Während Unternehmen, die externe Prüfungsleistungen erbringen, den Vorschriften und der Aufsicht auf Organisationsebene unterliegen, müssen einzelne Prüfer, die externe Prüfungen durchführen, in der Regel angemessene Kenntnisse und Erfahrungen sowie eine angemessene Qualifikation nachweisen. Berufliche Zertifizierungen sind ein Indikator für die Qualifikation von Wirtschaftsprüfern, insbesondere wenn bestimmte Zertifizierungen der Art der durchgeführten externen Prüfung entsprechen. Viele Zertifizierungen, die für Wirtschaftsprüfer zur Verfügung stehen, erfordern neben dem Nachweis von Fachkenntnissen durch formale Prüfungen auch eine umfangreiche Hochschulausbildung und vorherige Berufserfahrung. Sowohl Wirtschaftsprüfungsgesellschaften als auch die Organisationen, die sie mit der Durchführung externer Prüfungen beauftragen, legen großen Wert auf zertifiziertes Personal, um ausreichende Kompetenz, Integrität und fachspezifische Erfahrung zu gewährleisten. Aufgrund der engen Verbindung und der sich überschneidenden Themen zwischen Finanzprüfungen und IT-Prüfungen im Rahmen externer Prüfungen ist die Zertifizierung als Certified Public Accountant (CPA), die vom American Institute of Certified Public Accountants (AICPA) verliehen wird, bei erfahrenen externen Prüfern häufig anzutreffen. Weitere gängige Zertifikate für externe IT-Auditoren sind die ISACA-Zertifikate Certified Information Systems Auditor (CISA) und Certified in Risk and Information Systems Control (CRISC), das GIAC-Zertifikat für System- und Netzwerkauditoren (GSNA) des SANS Institute und der ISO/IEC 27001 Lead Auditor. Diese Zertifizierungen und die Organisationen, die sie verwalten, werden in Kapitel 10 beschrieben.