Externe auditors
Externe IT-audits worden per definitie uitgevoerd door auditors en entiteiten buiten de organisatie die aan de audit wordt onderworpen. Afhankelijk van de omvang van de organisatie en de reikwijdte en complexiteit van de IT-audit, kunnen externe audits worden uitgevoerd door één auditor of door een team. In het algemeen wordt de relatie tussen een organisatie en haar externe auditors vastgesteld en beheerd op het niveau van de entiteit, dat wil zeggen dat organisaties een beroep doen op de diensten van externe firma’s of professionele organisaties die het soort IT-audits uitvoeren dat nodig of vereist is. Dit soort relatie is vereist voor beursgenoteerde ondernemingen in de Verenigde Staten en vele andere landen, krachtens regels die voorschrijven dat ondernemingen die deze ondernemingen controleren, geregistreerd moeten zijn bij of een vergunning moeten hebben van toezichthoudende overheidsinstanties, zoals de Public Company Accounting Oversight Board (PCAOB) in de Verenigde Staten en de leden van de European Group of Auditors’ Oversight Bodies (EGAOB) in landen van de Europese Unie. Beursgenoteerde ondernemingen zijn derhalve beperkt in hun keuze van externe accountantskantoren, maar door te eisen dat controles van dergelijke ondernemingen alleen worden uitgevoerd door gekwalificeerde kantoren (en het gekwalificeerde personeel dat voor hen werkt) zorgt de regelgevingsstructuur voor wettelijke controles in veel landen ervoor dat controles worden uitgevoerd op een consistente manier die in overeenstemming is met de toepasselijke beginselen, normen en praktijken.
Onafhankelijkheid van de accountant is belangrijk voor zowel interne als externe controles, maar in de context van externe controle wordt deze onafhankelijkheid vaak niet alleen vereist, maar ook wettelijk afgedwongen. Titel II van de Sarbanes-Oxley Act bevat bepalingen die de onafhankelijkheid verplicht stellen van zowel de kantoren die audits uitvoeren als de werknemers van die kantoren die controleopdrachten leiden bij cliëntenorganisaties. In het bijzonder mogen geregistreerde kantoren en hun werknemers die worden ingeschakeld voor de controle van een bepaalde organisatie geen niet-controlediensten aan die organisatie verlenen, zoals boekhouding, ontwerp en implementatie van financiële systemen, actuariële diensten, uitbestede interne audits, managementfuncties, investeringsbankieren of -advies, juridische of deskundige diensten, of enige andere activiteit waarvan de PCAOB bepaalt dat zij niet tegelijk met externe controlediensten kan worden verricht. In veel organisaties is het niet ongebruikelijk om dezelfde externe accountant voor vele jaren te behouden, zodat regelgeving die door de SEC is aangenomen na de inwerkingtreding van de Sarbanes-Oxley Act, externe accountantskantoren verplicht om leidinggevend personeel (“auditpartners”) ten minste om de vijf jaar te laten rouleren, een verlaging ten opzichte van een maximum van zeven jaar vóór de Act (regelgeving van de Europese Gemeenschap vereist op vergelijkbare wijze rotatie van auditpartners om de zeven jaar).
Terwijl kantoren die externe controlediensten verlenen, onderworpen zijn aan regelgeving en toezicht op organisatieniveau, moeten individuele auditors die externe controles uitvoeren, doorgaans aantonen dat zij over voldoende kennis en deskundigheid beschikken en de juiste kwalificaties hebben. Beroepscertificeringen vormen een indicatie van de kwalificaties van auditors, met name wanneer specifieke certificeringen overeenkomen met het type externe audit dat wordt uitgevoerd. Veel van de voor auditprofessionals beschikbare certificeringen stellen aanzienlijke eisen inzake hogere opleiding en eerdere werkervaring, naast het aantonen van deskundigheid op het betrokken gebied door middel van formele examens. Zowel auditkantoren als de organisaties die dergelijke kantoren inhuren om externe audits uit te voeren, hechten veel waarde aan gecertificeerd personeel om voldoende deskundigheid, integriteit en domeinspecifieke ervaring te garanderen. Omdat financiële audits en IT-audits in de context van externe audits nauw met elkaar verband houden en elkaar qua vakgebied overlappen, wordt het Certified Public Accountant (CPA)-certificaat – uitgereikt door het American Institute of Certified Public Accountants (AICPA)- vaak aangetroffen bij ervaren externe auditors. Andere veelvoorkomende externe IT-auditorsdiploma’s zijn de ISACA’s Certified Information Systems Auditor (CISA) en Certified in Risk and Information Systems Control (CRISC); de GIAC Systems and Network Auditor (GSNA) van het SANS Institute; en ISO/IEC 27001 Lead Auditor. Deze certificeringen en de organisaties die ze beheren, worden beschreven in hoofdstuk 10.