Külső ellenőrök
A külső informatikai ellenőrzéseket definíció szerint az ellenőrzött szervezeten kívüli ellenőrök és szervezetek végzik. A szervezet méretétől, valamint az informatikai audit terjedelmétől és összetettségétől függően a külső auditokat egyetlen auditor vagy egy csapat végezheti. Általánosságban elmondható, hogy a szervezet és a külső könyvvizsgálói közötti kapcsolatot jellemzően a szervezet szintjén alakítják ki és irányítják – azaz a szervezetek olyan külső cégek vagy szakmai szervezetek szolgáltatásait veszik igénybe, amelyek a szükséges vagy előírt típusú IT-ellenőrzéseket végzik. Ez a fajta kapcsolat az Egyesült Államokban és számos más országban a nyilvánosan jegyzett vállalatok számára kötelező, olyan szabályok alapján, amelyek megkövetelik, hogy az ilyen vállalatokat auditáló cégek bejegyzett vagy engedélyezettek legyenek a kormányzati felügyeleti szerveknél, mint például a Public Company Accounting Oversight Board (PCAOB) az Egyesült Államokban és a könyvvizsgálók felügyeleti szerveinek európai csoportja (EGAOB) tagjai az Európai Unió országaiban. A nyilvánosan jegyzett társaságok ezért korlátozottak a külső könyvvizsgáló cégek kiválasztásában, de azáltal, hogy megkövetelik, hogy az ilyen társaságok könyvvizsgálatát csak képzett cégek (és a számukra dolgozó képzett személyzet) végezze, a kötelező könyvvizsgálatra vonatkozó szabályozási struktúra számos országban biztosítja, hogy a könyvvizsgálatokat következetes módon, az alkalmazandó elveknek, standardoknak és gyakorlatoknak megfelelően végezzék.
A könyvvizsgálói függetlenség mind a belső, mind a külső könyvvizsgálat esetében fontos, de a külső könyvvizsgálattal összefüggésben ez a függetlenség gyakran nem csak megkövetelt, hanem törvényileg kikényszerített. A Sarbanes-Oxley törvény II. címe olyan rendelkezéseket tartalmaz, amelyek mind a könyvvizsgálatot végző cégek, mind az ügyfélszervezeteknél könyvvizsgálati megbízásokat vezető cégek alkalmazottainak függetlenségét előírják. Konkrétan, egy adott szervezet könyvvizsgálatának elvégzésére megbízott bejegyzett cégek és alkalmazottaik nem nyújthatnak az adott szervezetnek nem könyvvizsgálati szolgáltatásokat, például könyvelést, pénzügyi rendszerek tervezését és bevezetését, biztosításmatematikai szolgáltatásokat, kiszervezett belső könyvvizsgálatot, vezetői funkciókat, befektetési banki vagy tanácsadói, jogi vagy szakértői szolgáltatásokat, vagy bármely más olyan tevékenységet, amelyet a PCAOB szerint nem lehet külső könyvvizsgálati szolgáltatásokkal egyidejűleg végezni. Sok szervezetnél nem ritka, hogy ugyanazt a külső könyvvizsgálót sok éven keresztül alkalmazzák, ezért a SEC által a Sarbanes-Oxley törvény elfogadása után elfogadott rendeletek megkövetelték a külső könyvvizsgáló cégektől, hogy legalább ötévente rotálják a vezető munkatársakat (“könyvvizsgáló partnereket”), ami a törvény előtti legfeljebb hét évhez képest csökkentést jelent (az európai közösségi rendeletek hasonlóan hétévente írják elő a könyvvizsgáló partnerek rotációját).
Míg a külső könyvvizsgálói szolgáltatásokat nyújtó cégekre szervezeti szintű szabályozás és felügyelet vonatkozik, a külső könyvvizsgálatot végző egyéni könyvvizsgálóknak általában megfelelő ismereteket és szakértelmet, valamint megfelelő képesítést kell felmutatniuk. A szakmai minősítések a könyvvizsgálói képesítés egyik mutatóját jelentik, különösen ott, ahol a konkrét minősítések megfelelnek a végzett külső könyvvizsgálat típusának. Számos, a könyvvizsgálati szakemberek számára elérhető minősítésnek jelentős felsőfokú végzettségi és korábbi munkatapasztalat-követelményei vannak, amellett, hogy a tárgyi szakértelem formális vizsgákon keresztül történő bizonyítása mellett. Mind a könyvvizsgáló cégek, mind az ilyen cégeket külső könyvvizsgálat elvégzésére megbízó szervezetek nagyra értékelik a tanúsított személyzetet, hogy segítsenek biztosítani a megfelelő kompetenciát, integritást és szakterület-specifikus tapasztalatot. A pénzügyi ellenőrzések és az informatikai ellenőrzések közötti szoros kapcsolat és átfedés miatt a külső könyvvizsgálati kontextusban a tapasztalt külső könyvvizsgálók körében gyakran találkozhatunk az American Institute of Certified Public Accountants (AICPA) által kiadott Certified Public Accountant (CPA) minősítéssel. További gyakori külső informatikai könyvvizsgálói minősítések közé tartozik az ISACA Certified Information Systems Auditor (CISA) és a Certified in Risk and Information Systems Control (CRISC); a SANS Institute által kiadott GIAC Systems and Network Auditor (GSNA); és az ISO/IEC 27001 Lead Auditor. Ezeket a minősítéseket és az azokat kezelő szervezeteket a 10. fejezet ismerteti.