Auditores externos
Auditoria externa de TI é, por definição, realizada por auditores e entidades externas à organização sujeitas às auditorias. Dependendo do tamanho da organização e do escopo e complexidade da auditoria de TI, auditorias externas podem ser realizadas por um único auditor ou por uma equipe. Em geral, a relação entre uma organização e seus auditores externos é normalmente estabelecida e gerenciada em nível de entidade – ou seja, organizações contratam os serviços de empresas ou organizações profissionais externas que realizam o tipo de auditorias de TI necessárias ou exigidas. Esse tipo de relacionamento é exigido para empresas de capital aberto nos Estados Unidos e em muitos outros países, sob regras que exigem que as empresas que fazem a auditoria dessas empresas sejam registradas ou licenciadas junto a órgãos de supervisão governamental, como o PCAOB (Public Company Accounting Oversight Board) nos Estados Unidos e os membros do EGAOB (European Group of Auditors’ Oversight Bodies) em países da União Européia. Assim, as empresas de capital aberto são limitadas na sua selecção de empresas de auditoria externas, mas ao exigir que as auditorias dessas empresas sejam realizadas apenas por empresas qualificadas (e pelo pessoal qualificado que trabalha para elas), a estrutura regulamentar para a revisão legal de contas em muitos países assegura que as auditorias sejam conduzidas de uma forma consistente e em conformidade com os princípios, normas e práticas aplicáveis.
A independência dos auditores é importante tanto para as auditorias internas como externas, mas no contexto da auditoria externa essa independência é muitas vezes não só exigida mas também legalmente aplicada. O Título II da Lei Sarbanes-Oxley inclui disposições que exigem independência tanto das empresas que conduzem auditorias quanto dos funcionários das empresas que lideram os trabalhos de auditoria nas organizações clientes. Especificamente, as empresas registradas e seus funcionários contratados para realizar auditorias de uma determinada organização não podem prestar serviços que não sejam de auditoria a essa organização, tais como contabilidade, projeto e implementação de sistemas financeiros, serviços atuariais, auditorias internas terceirizadas, funções de gestão, banco de investimento ou consultoria, serviços jurídicos ou especializados, ou qualquer outra atividade que o PCAOB determine não poder ser realizada ao mesmo tempo que os serviços de auditoria externa . Em muitas organizações não é raro manter o mesmo auditor externo por muitos anos, portanto, as regulamentações adotadas pela SEC após a promulgação da Lei Sarbanes-Oxley que exigiam que firmas de auditoria externas fizessem rodízio de pessoal principal (“parceiros de auditoria”) pelo menos a cada cinco anos, uma redução do máximo de sete anos anteriores à Lei (regulamentações da Comunidade Européia também exigem rodízio de parceiros de auditoria a cada sete anos).
Embora as empresas que prestam serviços de auditoria externa estejam sujeitas a regulamentos e supervisão a nível da organização, os auditores individuais que realizam auditorias externas devem normalmente demonstrar conhecimento e experiência adequados e qualificações apropriadas. As certificações profissionais fornecem um indicador da qualificação dos auditores, particularmente quando as certificações específicas correspondem ao tipo de auditoria externa que está sendo realizada. Muitas certificações disponíveis para profissionais de auditoria possuem formação superior substancial e requisitos de experiência profissional prévia, além da demonstração de especialização no assunto por meio de exames formais. Tanto as empresas de auditoria quanto as organizações que as contratam para realizar auditorias externas valorizam o pessoal certificado para ajudar a garantir competência suficiente, integridade e experiência específica no domínio. Devido à estreita conexão e sobreposição de assuntos entre auditorias financeiras e auditorias de TI em contextos de auditoria externa, a certificação Certified Public Accountant (CPA) – conferida pelo American Institute of Certified Public Accountants (AICPA) – é frequentemente vista entre auditores externos experientes. Outras credenciais comuns de auditores externos de TI incluem o Certified Information Systems Auditor do ISACA (CISA) e o Certified in Risk and Information Systems Control (CRISC); o GIAC Systems and Network Auditor (GSNA) do SANS Institute; e o ISO/IEC 27001 Lead Auditor. Estas certificações e as organizações que as administram estão descritas no Capítulo 10.