Externa revisorer
Externa IT-revisioner utförs per definition av revisorer och enheter utanför den organisation som är föremål för revisionen. Beroende på organisationens storlek och IT-revisionens omfattning och komplexitet kan externa revisioner utföras av en enskild revisor eller ett team. I allmänhet etableras och förvaltas förhållandet mellan en organisation och dess externa revisorer vanligtvis på företagsnivå – det vill säga organisationer anlitar externa företag eller yrkesorganisationer som utför den typ av IT-revisioner som behövs eller krävs. Denna typ av relation krävs för börsnoterade företag i USA och många andra länder, enligt regler som kräver att företag som reviderar dessa företag ska vara registrerade eller licensierade hos statliga tillsynsorgan, t.ex. Public Company Accounting Oversight Board (PCAOB) i USA och medlemmarna i European Group of Auditors’ Oversight Bodies (EGAOB) i länder i Europeiska unionen. Offentligt handlade företag är därför begränsade i sitt val av externa revisionsföretag, men genom att kräva att revisioner av sådana företag endast utförs av kvalificerade företag (och den kvalificerade personal som arbetar för dem) säkerställer regelverket för lagstadgade revisioner i många länder att revisioner utförs på ett konsekvent sätt som överensstämmer med tillämpliga principer, standarder och praxis.
Revisorernas oberoende är viktigt för både intern och extern revision, men i samband med extern revision är ett sådant oberoende ofta inte bara ett krav utan också en lagstadgad skyldighet. Avdelning II i Sarbanes-Oxley Act innehåller bestämmelser om krav på oberoende för både de företag som utför revisioner och de anställda vid dessa företag som leder revisionsuppdrag hos kundorganisationer. Registrerade företag och deras anställda som är engagerade för att utföra revisioner av en viss organisation får inte tillhandahålla andra tjänster än revisionstjänster till denna organisation, t.ex. redovisning, utformning och genomförande av finansiella system, försäkringstekniska tjänster, utlokaliserade internrevisioner, ledningsfunktioner, investeringsbankverksamhet eller rådgivning, juridiska tjänster eller sakkunnigtjänster eller annan verksamhet som PCAOB fastställer inte kan utföras samtidigt med externa revisionstjänster. I många organisationer är det inte ovanligt att man behåller samma externa revisor i många år, varför SEC antog bestämmelser efter det att Sarbanes-Oxley Act antogs som krävde att externa revisionsföretag skulle rotera den ledande personalen (”revisionspartners”) minst vart femte år, vilket är en minskning från maximalt sju år före lagen (enligt Europeiska gemenskapens bestämmelser krävs det att revisionspartnerna ska rotera vart sjunde år).
Men medan företag som tillhandahåller externa revisionstjänster är föremål för regler och tillsyn på organisationsnivå måste enskilda revisorer som utför externa revisioner vanligtvis visa att de har tillräckliga kunskaper och expertis samt lämpliga kvalifikationer. Yrkescertifieringar är en indikator på revisorns kvalifikationer, särskilt när specifika certifieringar motsvarar den typ av extern revision som utförs. Många av de certifieringar som är tillgängliga för yrkesverksamma revisorer har omfattande krav på högre utbildning och tidigare arbetslivserfarenhet, förutom att man måste visa att man har sakkunskap om ett visst ämne genom formella undersökningar. Både revisionsföretag och de organisationer som anlitar sådana företag för att utföra externa revisioner lägger stor vikt vid certifierad personal för att säkerställa tillräcklig kompetens, integritet och områdesspecifik erfarenhet. På grund av det nära sambandet och de överlappande ämnesområdena mellan finansiella revisioner och IT-revisioner i externa revisionssammanhang är certifieringen Certified Public Accountant (CPA) – utfärdad av American Institute of Certified Public Accountants (AICPA) – ofta förekommande bland erfarna externa revisorer. Andra vanliga externa IT-revisorer är ISACA:s Certified Information Systems Auditor (CISA) och Certified in Risk and Information Systems Control (CRISC), GIAC Systems and Network Auditor (GSNA) från SANS Institute och ISO/IEC 27001 Lead Auditor. Dessa certifieringar och de organisationer som förvaltar dem beskrivs i kapitel 10.