Audytorzy zewnętrzni
Zewnętrzne audyty IT są z definicji wykonywane przez audytorów i podmioty spoza organizacji podlegającej audytowi. W zależności od wielkości organizacji oraz zakresu i złożoności audytu informatycznego, audyty zewnętrzne mogą być wykonywane przez pojedynczego audytora lub zespół. Ogólnie rzecz biorąc, relacje pomiędzy organizacją a jej audytorami zewnętrznymi są zazwyczaj nawiązywane i zarządzane na poziomie jednostki – to znaczy, że organizacje angażują usługi firm zewnętrznych lub organizacji zawodowych, które wykonują rodzaj potrzebnych lub wymaganych audytów IT. Ten rodzaj relacji jest wymagany w przypadku spółek notowanych w obrocie publicznym w Stanach Zjednoczonych i wielu innych krajach, zgodnie z przepisami, które wymagają, aby firmy badające te korporacje były zarejestrowane lub licencjonowane przez rządowe organy nadzoru, takie jak Public Company Accounting Oversight Board (PCAOB) w Stanach Zjednoczonych i członkowie European Group of Auditors’ Oversight Bodies (EGAOB) w krajach Unii Europejskiej. Spółki notowane w obrocie publicznym są zatem ograniczone w wyborze zewnętrznych firm audytorskich, ale poprzez wymóg, aby badania takich spółek były przeprowadzane wyłącznie przez wykwalifikowane firmy (oraz pracujący dla nich wykwalifikowany personel), struktura regulacyjna dla badań ustawowych w wielu krajach zapewnia, że badania są przeprowadzane w sposób spójny, zgodny z obowiązującymi zasadami, standardami i praktykami.
Niezależność biegłego rewidenta jest ważna zarówno w przypadku badań wewnętrznych, jak i zewnętrznych, ale w kontekście badań zewnętrznych taka niezależność jest często nie tylko wymagana, ale i prawnie egzekwowana. Tytuł II Ustawy Sarbanesa-Oxleya zawiera przepisy nakazujące niezależność zarówno firm przeprowadzających audyty, jak i pracowników tych firm, którzy prowadzą audyty w organizacjach klientów. Konkretnie, zarejestrowane firmy i ich pracownicy zaangażowani do przeprowadzania audytów danej organizacji nie mogą świadczyć na rzecz tej organizacji usług niezwiązanych z audytem, takich jak księgowość, projektowanie i wdrażanie systemów finansowych, usługi aktuarialne, zlecane na zewnątrz audyty wewnętrzne, funkcje zarządcze, bankowość inwestycyjna lub doradztwo, usługi prawne lub eksperckie, a także wszelkie inne działania, które według PCAOB nie mogą być wykonywane w tym samym czasie, co usługi audytu zewnętrznego. W wielu organizacjach nie jest rzadkością utrzymanie tego samego audytora zewnętrznego przez wiele lat, więc przepisy przyjęte przez SEC po Sarbanes-Oxley Act został uchwalony, że wymagane zewnętrzne firmy audytorskie do rotacji pracowników wiodących („partnerów audytu”) co najmniej co pięć lat, zmniejszenie z maksymalnie siedmiu lat przed ustawą (przepisy Wspólnoty Europejskiej podobnie wymagają rotacji partnerów audytu co siedem lat).
Podczas gdy firmy świadczące usługi audytu zewnętrznego podlegają regulacjom i nadzorowi na poziomie organizacji, poszczególni biegli rewidenci przeprowadzający audyty zewnętrzne muszą zazwyczaj wykazać się odpowiednią wiedzą i doświadczeniem oraz odpowiednimi kwalifikacjami. Certyfikaty zawodowe stanowią jeden ze wskaźników kwalifikacji biegłego rewidenta, szczególnie w przypadku, gdy określone certyfikaty odpowiadają rodzajowi przeprowadzanego audytu zewnętrznego. Wiele certyfikatów dostępnych dla profesjonalistów w dziedzinie audytu zawiera istotne wymogi dotyczące wyższego wykształcenia i wcześniejszego doświadczenia zawodowego, oprócz wykazania wiedzy specjalistycznej w danej dziedzinie poprzez formalne egzaminy. Zarówno firmy audytorskie, jak i organizacje, które zatrudniają takie firmy do przeprowadzania audytów zewnętrznych, przywiązują dużą wagę do certyfikowanych pracowników, aby zapewnić sobie wystarczające kompetencje, uczciwość i doświadczenie w danej dziedzinie. Ze względu na bliskie powiązanie i pokrywanie się tematyki audytów finansowych i audytów informatycznych w kontekście audytów zewnętrznych, wśród doświadczonych audytorów zewnętrznych często spotykany jest certyfikat Certified Public Accountant (CPA) przyznawany przez American Institute of Certified Public Accountants (AICPA). Inne popularne certyfikaty audytorów zewnętrznych IT to Certified Information Systems Auditor (CISA) i Certified in Risk and Information Systems Control (CRISC) ISACA; GIAC Systems and Network Auditor (GSNA) z SANS Institute; oraz ISO/IEC 27001 Lead Auditor. Certyfikaty te oraz organizacje, które nimi zarządzają, zostały opisane w rozdziale 10.
.