Ulkopuoliset tarkastajat
Ulkopuoliset tietotekniikan tarkastukset ovat määritelmällisesti tarkastusten kohteena olevan organisaation ulkopuolisten tarkastajien ja yksiköiden suorittamia. Organisaation koosta ja tietotekniikkatarkastuksen laajuudesta ja monimutkaisuudesta riippuen ulkoisia tarkastuksia voi suorittaa yksittäinen tarkastaja tai tiimi. Yleensä organisaation ja sen ulkopuolisten tilintarkastajien välinen suhde luodaan ja sitä hallinnoidaan yleensä yksikkötasolla – eli organisaatiot palkkaavat ulkopuolisia yrityksiä tai asiantuntijaorganisaatioita, jotka suorittavat tarvittavia tai vaadittavia tietotekniikkatarkastuksia. Tällaista suhdetta edellytetään julkisesti noteeratuilta yhtiöiltä Yhdysvalloissa ja monissa muissa maissa säännöissä, joissa edellytetään, että näitä yhtiöitä tarkastavien yritysten on oltava rekisteröityjä tai toimiluvan saaneita valtion valvontaelimissä, kuten Public Company Accounting Oversight Board (PCAOB) Yhdysvalloissa ja tilintarkastajien valvontaelinten eurooppalaisen ryhmän (EGAOB) jäsenet Euroopan unionin maissa. Julkisesti noteeratuilla yhtiöillä on näin ollen rajoitteita ulkoisten tilintarkastusyhteisöjen valinnassa, mutta vaatimalla, että tällaisten yhtiöiden tilintarkastuksia suorittavat vain pätevät tilintarkastusyhteisöt (ja niiden palveluksessa oleva pätevä henkilöstö), lakisääteisiä tilintarkastuksia koskeva sääntelyrakenne monissa maissa varmistaa, että tilintarkastukset suoritetaan johdonmukaisella tavalla, joka on sovellettavien periaatteiden, standardien ja käytänteiden mukainen.
Tilintarkastajien riippumattomuus on tärkeää sekä sisäisissä että ulkoisissa tilintarkastuksissa, mutta ulkoisen tilintarkastuksen yhteydessä riippumattomuus ei ole useinkaan vain vaadittu, vaan se on myös lakisääteisesti pakotettu. Sarbanes-Oxley-lain II osasto sisältää säännöksiä, jotka edellyttävät riippumattomuutta sekä tilintarkastuksia suorittavilta yrityksiltä että niiden työntekijöiltä, jotka johtavat tilintarkastustoimeksiantoja asiakasorganisaatioissa. Rekisteröityneet yritykset ja niiden työntekijät, jotka on palkattu suorittamaan tietyn organisaation tilintarkastusta, eivät saa tarjota kyseiselle organisaatiolle muita kuin tilintarkastuspalveluja, kuten kirjanpitopalveluja, rahoitusjärjestelmien suunnittelua ja käyttöönottoa, vakuutusmatemaattisia palveluja, ulkoistettuja sisäisiä tarkastuksia, johtotehtäviä, investointipankkitoimintaa tai -neuvontaa, oikeudellisia palveluja tai asiantuntijapalveluja tai muuta toimintaa, jota PCAOB:n mukaan ei voida harjoittaa samanaikaisesti ulkoisten tilintarkastuspalvelujen kanssa. Monissa organisaatioissa ei ole harvinaista, että sama ulkopuolinen tilintarkastaja toimii useiden vuosien ajan, joten SEC:n Sarbanes-Oxley-lain voimaantulon jälkeen antamissa säädöksissä edellytettiin, että ulkopuoliset tilintarkastusyhteisöt vaihtavat johtavia tilintarkastajia (”tilintarkastuskumppaneita”) vähintään viiden vuoden välein, mikä on vähemmän kuin ennen lakia voimassa olleessa enintään seitsemän vuoden määräajassa (Euroopan yhteisön säädöksissä edellytetään vastaavasti tilintarkastuskumppaneiden vaihtamista seitsemän vuoden välein).
Vaikka ulkoisia tilintarkastuspalveluja tarjoaviin yrityksiin sovelletaan organisaatiotason sääntelyä ja valvontaa, yksittäisten ulkoista tilintarkastusta suorittavien tilintarkastajien on yleensä osoitettava riittävä tietämys ja asiantuntemus sekä asianmukainen pätevyys. Ammattipätevyystodistukset ovat yksi indikaattori tilintarkastajan pätevyydestä, erityisesti silloin, kun erityiset todistukset vastaavat suoritettavan ulkoisen tilintarkastuksen tyyppiä. Moniin tilintarkastusalan ammattilaisille tarjolla oleviin sertifikaatteihin liittyy huomattavia korkeakoulutusvaatimuksia ja aiempaa työkokemusta koskevia vaatimuksia sen lisäksi, että asiantuntemus on osoitettava muodollisilla kokeilla. Sekä tilintarkastusyritykset että organisaatiot, jotka palkkaavat tällaisia yrityksiä suorittamaan ulkoisia tarkastuksia, pitävät sertifioitua henkilöstöä erittäin tärkeänä, jotta voidaan varmistaa riittävä pätevyys, rehellisyys ja alakohtainen kokemus. Koska rahoitustarkastukset ja tietotekniikan tarkastukset ovat läheisessä yhteydessä toisiinsa ja niiden aiheet ovat päällekkäisiä ulkoisessa tilintarkastuksessa, kokeneiden ulkoisten tilintarkastajien joukossa on usein American Institute of Certified Public Accountantsin (AICPA) myöntämä Certified Public Accountant (CPA) -sertifikaatti. Muita yleisiä ulkoisen IT-tilintarkastajan pätevyystodistuksia ovat ISACA:n Certified Information Systems Auditor (CISA) ja Certified in Risk and Information Systems Control (CRISC), SANS-instituutin GIAC Systems and Network Auditor (GSNA) ja ISO/IEC 27001 Lead Auditor. Näitä sertifiointeja ja niitä hallinnoivia organisaatioita kuvataan luvussa 10.
.