外部監査人
外部IT監査は、定義上、監査対象の組織外の監査人や組織によって実施されるものです。 組織の規模やIT監査の範囲や複雑さに応じて、外部監査は一人の監査人またはチームによって行われます。 一般に、組織と外部監査人の関係は、事業体レベルで構築・管理されます。つまり、組織は、必要とされる種類のIT監査を実施する外部の企業や専門組織にサービスを依頼します。 このような関係は、米国や他の多くの国の上場企業にとって必要なもので、これらの企業を監査する事務所は、米国の公開会社会計監視委員会(PCAOB)や欧州連合の国々の欧州監査人監視機関(EGAOB)のメンバーなど、政府の監視機関に登録またはライセンスされていることが求められるルールになっています。 したがって、上場企業は外部監査事務所の選択に制約を受けますが、そのような企業の監査は資格を有する事務所(およびそのために働く資格を有する人員)のみが行うことを要求することにより、多くの国における法定監査の規制構造は、監査が適用される原則、基準および実務に準拠した一貫した方法で行われることを保証しています
監査人の独立は内部監査と外部監査の両方で重要ですが、外部監査の文脈ではその独立性はしばしば要求されているだけではなく法的に強化されることがあります。 サーベンス・オクスリー法のタイトル II には、監査を実施する事務所と、顧客組織で監査業務を指揮する事務所の従業員の両方の独立性を義務付ける条項が含まれています。 具体的には、ある組織の監査に従事する登録事務所とその従業員は、その組織に対して、会計、財務システムの設計と実装、保険数理サービス、外部委託内部監査、経営機能、投資銀行業務または助言、法律または専門家サービス、あるいはPCAOBが外部監査業務と同時に行うことができないと判断したその他の活動などの非監査サービスを提供してはならない、とされている。 多くの組織では、同じ外部監査人を何年も雇うことが珍しくないため、サーベンス・オクスリー法制定後にSECが採用した規制では、外部監査事務所に対して、主査(「監査パートナー」)を少なくとも5年ごとに交代させることが義務づけられ、それ以前の最長7年から短縮されました(欧州共同体の規制でも同様に7年ごとに交代させることが義務づけられています)。
外部監査サービスを提供する会社は、組織レベルの規制や監督に従う一方で、外部監査を行う個々の監査人は、通常、十分な知識と専門性、適切な資格を証明しなければなりません。 特に、実施される外部監査の種類に対応した特定の認証がある場合、専門的な認証は監査人の資格の一つの指標となります。 監査人が取得できる資格の多くは、正式な試験を通じて専門知識を証明するだけでなく、高等教育や実務経験の要件も設けています。 監査法人も、監査法人に外部監査を依頼する組織も、十分な能力、誠実さ、専門分野の経験を保証するために、資格保有者を高く評価しています。 財務監査とIT監査は、外部監査において密接に関連し、重複しているため、米国公認会計士協会(AICPA)が授与する公認会計士(CPA)資格は、経験豊富な外部監査人に多く見受けられます。 その他の一般的な外部IT監査人の資格としては、ISACAのCISA(Certified Information Systems Auditor)やCRISC(Certified in Risk and Information Systems Control)、SANS InstituteのGIAC Systems and Network Auditor(GSNA)、ISO/IEC 27001 Lead Auditorなどがあります。 これらの資格とそれを管理する組織については、第10章
で紹介している。