Revisori esterni
Gli audit IT esterni sono, per definizione, eseguiti da revisori ed entità esterne all’organizzazione oggetto degli audit. A seconda delle dimensioni dell’organizzazione e della portata e complessità dell’audit IT, gli audit esterni possono essere eseguiti da un singolo revisore o da un team. In generale, la relazione tra un’organizzazione e i suoi revisori esterni è tipicamente stabilita e gestita a livello di entità – cioè, le organizzazioni ingaggiano i servizi di aziende esterne o organizzazioni professionali che eseguono il tipo di audit IT necessario o richiesto. Questo tipo di relazione è richiesto per le società quotate in borsa negli Stati Uniti e in molti altri paesi, in base a regole che richiedono alle aziende che controllano queste società di essere registrate o autorizzate da organismi di supervisione governativi, come il Public Company Accounting Oversight Board (PCAOB) negli Stati Uniti e i membri del Gruppo europeo degli organismi di supervisione dei revisori (EGAOB) nei paesi dell’Unione Europea. Le società quotate in borsa sono quindi limitate nella scelta delle società di revisione esterne, ma richiedendo che le revisioni di tali società siano eseguite solo da società qualificate (e dal personale qualificato che lavora per loro) la struttura normativa per le revisioni legali in molti paesi assicura che le revisioni siano condotte in modo coerente e conforme ai principi, agli standard e alle pratiche applicabili.
L’indipendenza del revisore è importante sia per le revisioni interne che esterne, ma nel contesto della revisione esterna tale indipendenza è spesso non solo richiesta ma imposta dalla legge. Il titolo II del Sarbanes-Oxley Act include disposizioni che impongono l’indipendenza sia delle società che conducono le revisioni sia dei dipendenti di queste società che conducono gli incarichi di revisione presso le organizzazioni clienti. In particolare, le imprese registrate e i loro dipendenti impegnati nell’esecuzione delle revisioni di una data organizzazione non possono fornire servizi non di revisione a tale organizzazione come contabilità, progettazione e implementazione di sistemi finanziari, servizi attuariali, revisioni interne in outsourcing, funzioni di gestione, investment banking o consulenza, servizi legali o di esperti, o qualsiasi altra attività che il PCAOB determina non può essere eseguita allo stesso tempo dei servizi di revisione esterna. In molte organizzazioni non è raro mantenere lo stesso revisore esterno per molti anni, quindi i regolamenti adottati dalla SEC dopo la promulgazione del Sarbanes-Oxley Act hanno richiesto alle società di revisione esterne di ruotare il personale principale (“partner di revisione”) almeno ogni cinque anni, una riduzione da un massimo di sette anni prima della legge (i regolamenti della Comunità europea richiedono analogamente la rotazione dei partner di revisione ogni sette anni).
Mentre le aziende che forniscono servizi di revisione esterna sono soggette a regolamenti e supervisione a livello organizzativo, i singoli revisori che eseguono revisioni esterne devono tipicamente dimostrare conoscenze e competenze adeguate e qualifiche appropriate. Le certificazioni professionali forniscono un indicatore della qualifica del revisore, in particolare quando le certificazioni specifiche corrispondono al tipo di revisione esterna condotta. Molte certificazioni disponibili per i professionisti della revisione hanno sostanziali requisiti di istruzione superiore e di esperienza lavorativa precedente, oltre alla dimostrazione di competenze specifiche attraverso esami formali. Sia le società di revisione che le organizzazioni che ingaggiano tali società per effettuare audit esterni attribuiscono un alto valore al personale certificato per contribuire a garantire una sufficiente competenza, integrità ed esperienza specifica del settore. A causa della stretta connessione e della sovrapposizione di argomenti tra le revisioni finanziarie e le revisioni IT nei contesti di revisione esterna, la certificazione Certified Public Accountant (CPA) – conferita dall’American Institute of Certified Public Accountants (AICPA) – è spesso presente tra i revisori esterni esperti. Altre credenziali comuni per i revisori IT esterni includono il Certified Information Systems Auditor (CISA) dell’ISACA e il Certified in Risk and Information Systems Control (CRISC); il GIAC Systems and Network Auditor (GSNA) del SANS Institute; e ISO/IEC 27001 Lead Auditor. Queste certificazioni e le organizzazioni che le gestiscono sono descritte nel Capitolo 10.
.