Auditeurs externes
Les audits informatiques externes sont, par définition, réalisés par des auditeurs et des entités extérieurs à l’organisation soumise aux audits. Selon la taille de l’organisation et la portée et la complexité de l’audit informatique, les audits externes peuvent être réalisés par un seul auditeur ou par une équipe. En général, la relation entre une organisation et ses auditeurs externes est établie et gérée au niveau de l’entité – c’est-à-dire que les organisations font appel aux services de sociétés externes ou d’organisations professionnelles qui effectuent le type d’audits informatiques nécessaires ou requis. Ce type de relation est requis pour les sociétés cotées en bourse aux États-Unis et dans de nombreux autres pays, en vertu de règles qui exigent que les cabinets qui auditent ces sociétés soient enregistrés ou agréés auprès d’organismes de surveillance gouvernementaux, tels que le Public Company Accounting Oversight Board (PCAOB) aux États-Unis et les membres du European Group of Auditors’ Oversight Bodies (EGAOB) dans les pays de l’Union européenne. Les sociétés cotées en bourse sont donc contraintes dans leur choix de cabinets d’audit externe, mais en exigeant que les audits de ces sociétés soient réalisés uniquement par des cabinets qualifiés (et le personnel qualifié qui travaille pour eux), la structure réglementaire des contrôles légaux dans de nombreux pays garantit que les audits sont réalisés de manière cohérente et conforme aux principes, normes et pratiques applicables.
L’indépendance de l’auditeur est importante pour les audits internes et externes, mais dans le contexte de l’audit externe, cette indépendance est souvent non seulement requise mais imposée par la loi. Le titre II de la loi Sarbanes-Oxley comprend des dispositions rendant obligatoire l’indépendance à la fois des cabinets qui effectuent les audits et des employés de ces cabinets qui dirigent les missions d’audit chez les organisations clientes. Plus précisément, les entreprises enregistrées et leurs employés engagés pour effectuer des audits d’une organisation donnée ne peuvent pas fournir de services autres que d’audit à cette organisation, tels que la comptabilité, la conception et la mise en œuvre de systèmes financiers, les services actuariels, les audits internes externalisés, les fonctions de gestion, la banque d’investissement ou le conseil, les services juridiques ou d’expertise, ou toute autre activité qui, selon le PCAOB, ne peut être réalisée en même temps que les services d’audit externe. Dans de nombreuses organisations, il n’est pas rare de conserver le même auditeur externe pendant de nombreuses années, de sorte que les règlements adoptés par la SEC après la promulgation de la loi Sarbanes-Oxley qui exigeait des cabinets d’audit externe de faire tourner le personnel principal (« partenaires d’audit ») au moins tous les cinq ans, une réduction par rapport à un maximum de sept ans avant la loi (les règlements de la Communauté européenne exigent de même la rotation des partenaires d’audit tous les sept ans).
Alors que les cabinets fournissant des services d’audit externe sont soumis à des réglementations et à une surveillance au niveau de l’organisation, les auditeurs individuels effectuant des audits externes doivent généralement démontrer qu’ils disposent des connaissances et de l’expertise adéquates et des qualifications appropriées. Les certifications professionnelles constituent un indicateur de la qualification des auditeurs, en particulier lorsque des certifications spécifiques correspondent au type d’audit externe réalisé. De nombreuses certifications disponibles pour les professionnels de l’audit comportent des exigences importantes en matière d’éducation supérieure et d’expérience professionnelle préalable, en plus de la démonstration de l’expertise du sujet par des examens formels. Tant les cabinets d’audit que les organisations qui les engagent pour réaliser des audits externes accordent une grande importance au personnel certifié afin de garantir une compétence, une intégrité et une expérience spécifiques suffisantes. En raison du lien étroit et du chevauchement des sujets entre les audits financiers et les audits informatiques dans les contextes d’audit externe, la certification Certified Public Accountant (CPA) – délivrée par l’American Institute of Certified Public Accountants (AICPA) – est souvent présente chez les auditeurs externes expérimentés. Parmi les autres certifications courantes d’auditeur informatique externe, citons les certifications CISA (Certified Information Systems Auditor) et CRISC (Certified in Risk and Information Systems Control) de l’ISACA, la certification GSNA (GIAC Systems and Network Auditor) du SANS Institute et la certification ISO/IEC 27001 Lead Auditor. Ces certifications et les organisations qui les gèrent sont décrites au chapitre 10.