Auditores externos
Las auditorías externas de TI son, por definición, realizadas por auditores y entidades externas a la organización sujeta a las auditorías. Dependiendo del tamaño de la organización y del alcance y complejidad de la auditoría de TI, las auditorías externas pueden ser realizadas por un solo auditor o por un equipo. En general, la relación entre una organización y sus auditores externos suele establecerse y gestionarse a nivel de la entidad, es decir, las organizaciones contratan los servicios de empresas externas u organizaciones profesionales que realizan el tipo de auditorías de TI necesarias o requeridas. Este tipo de relación es necesaria para las empresas que cotizan en bolsa en Estados Unidos y en muchos otros países, en virtud de las normas que exigen que las empresas que auditan a estas corporaciones estén registradas o autorizadas por los organismos gubernamentales de supervisión, como el Consejo de Supervisión Contable de Empresas Públicas (PCAOB) en Estados Unidos y los miembros del Grupo Europeo de Organismos de Supervisión de Auditores (EGAOB) en los países de la Unión Europea. Las empresas que cotizan en bolsa están, por tanto, limitadas en su selección de empresas de auditoría externa, pero al exigir que las auditorías de dichas empresas sean realizadas únicamente por empresas cualificadas (y por el personal cualificado que trabaja para ellas), la estructura reguladora de las auditorías legales en muchos países garantiza que las auditorías se realicen de forma coherente y conforme a los principios, normas y prácticas aplicables.
La independencia de los auditores es importante tanto para las auditorías internas como para las externas, pero en el contexto de la auditoría externa dicha independencia a menudo no sólo se exige sino que se impone legalmente. El Título II de la Ley Sarbanes-Oxley incluye disposiciones que exigen la independencia tanto de las firmas que realizan las auditorías como de los empleados de esas firmas que dirigen los compromisos de auditoría en las organizaciones clientes. En concreto, las firmas registradas y sus empleados contratados para realizar auditorías de una determinada organización no pueden prestar servicios no relacionados con la auditoría a esa organización, como contabilidad, diseño e implantación de sistemas financieros, servicios actuariales, auditorías internas subcontratadas, funciones de gestión, banca de inversión o asesoramiento, servicios jurídicos o de expertos, o cualquier otra actividad que el PCAOB determine que no puede realizarse al mismo tiempo que los servicios de auditoría externa . En muchas organizaciones no es infrecuente mantener al mismo auditor externo durante muchos años, por lo que la normativa adoptada por la SEC tras la promulgación de la Ley Sarbanes-Oxley exige a las empresas de auditoría externa que roten al personal principal («socios de auditoría») al menos cada cinco años, lo que supone una reducción respecto al máximo de siete años anterior a la Ley (la normativa de la Comunidad Europea exige igualmente la rotación de los socios de auditoría cada siete años).
Mientras que las empresas que prestan servicios de auditoría externa están sujetas a las normas y a la supervisión a nivel de la organización, los auditores individuales que realizan auditorías externas normalmente deben demostrar conocimientos y experiencia adecuados y calificaciones apropiadas. Las certificaciones profesionales son un indicador de la cualificación del auditor, en particular cuando las certificaciones específicas corresponden al tipo de auditoría externa que se realiza. Muchas de las certificaciones disponibles para los profesionales de la auditoría tienen importantes requisitos de educación superior y experiencia laboral previa, además de la demostración de la experiencia en la materia a través de exámenes formales. Tanto las empresas de auditoría como las organizaciones que las contratan para llevar a cabo auditorías externas valoran mucho al personal certificado para ayudar a garantizar la competencia, la integridad y la experiencia específica en la materia. Debido a la estrecha conexión y al solapamiento de los temas entre las auditorías financieras y las auditorías de TI en contextos de auditoría externa, la certificación de Contador Público Certificado (CPA) -otorgada por el Instituto Americano de Contadores Públicos Certificados (AICPA)- se ve a menudo entre los auditores externos con experiencia. Otras credenciales de auditor externo de TI comunes son la de Auditor de Sistemas de Información Certificado (CISA) de ISACA y la de Certificado en Control de Riesgos y Sistemas de Información (CRISC); la de Auditor de Sistemas y Redes GIAC (GSNA) del Instituto SANS; y la de Auditor Líder ISO/IEC 27001. Estas certificaciones y las organizaciones que las gestionan se describen en el capítulo 10.