Auditori externi
Auditurile IT externe sunt, prin definiție, efectuate de auditori și entități din afara organizației care face obiectul auditurilor. În funcție de mărimea organizației și de domeniul de aplicare și complexitatea auditului IT, auditurile externe pot fi efectuate de un singur auditor sau de o echipă. În general, relația dintre o organizație și auditorii săi externi este, de obicei, stabilită și gestionată la nivel de entitate – adică organizațiile contractează serviciile unor firme sau organizații profesionale externe care efectuează tipul de audituri IT necesare sau cerute. Acest tip de relație este necesar pentru societățile cotate la bursă în Statele Unite și în multe alte țări, în conformitate cu normele care impun ca firmele care auditează aceste corporații să fie înregistrate sau licențiate la organismele guvernamentale de supraveghere, cum ar fi Public Company Accounting Oversight Board (PCAOB) în Statele Unite și membrii Grupului european al organismelor de supraveghere a auditorilor (EGAOB) în țările din Uniunea Europeană. Societățile cotate la bursă sunt, prin urmare, constrânse în selectarea firmelor de audit extern, dar, prin faptul că impune ca auditurile acestor societăți să fie efectuate numai de firme calificate (și de personalul calificat care lucrează pentru acestea), structura de reglementare pentru auditul statutar din multe țări asigură faptul că auditurile sunt efectuate într-o manieră consecventă, conformă cu principiile, standardele și practicile aplicabile.
Independența auditorului este importantă atât pentru auditurile interne, cât și pentru cele externe, dar în contextul auditului extern, această independență este adesea nu doar cerută, ci și impusă prin lege. Titlul II din Legea Sarbanes-Oxley include dispoziții care impun independența atât a firmelor care efectuează audituri, cât și a angajaților acestor firme care conduc misiuni de audit la organizațiile client. În mod specific, firmele înregistrate și angajații acestora angajați pentru a efectua audituri la o anumită organizație nu pot furniza organizației respective servicii altele decât cele de audit, cum ar fi contabilitatea, proiectarea și implementarea sistemelor financiare, servicii actuariale, audituri interne externalizate, funcții de management, servicii bancare sau de consultanță în materie de investiții, servicii juridice sau de expertiză, sau orice altă activitate pe care PCAOB stabilește că nu poate fi efectuată în același timp cu serviciile de audit extern. În multe organizații nu este neobișnuit să se păstreze același auditor extern timp de mai mulți ani, astfel încât reglementările adoptate de SEC după adoptarea legii Sarbanes-Oxley care au impus firmelor de audit extern să rotească personalul de conducere („parteneri de audit”) cel puțin o dată la cinci ani, ceea ce reprezintă o reducere de la un maxim de șapte ani înainte de adoptarea legii (reglementările Comunității Europene impun în mod similar o rotație a partenerilor de audit la fiecare șapte ani).
În timp ce firmele care furnizează servicii de audit extern sunt supuse reglementărilor și supravegherii la nivel de organizație, auditorii individuali care efectuează audituri externe trebuie să demonstreze, de obicei, cunoștințe și expertiză adecvate și calificări corespunzătoare. Certificările profesionale reprezintă un indicator al calificării auditorului, în special în cazul în care certificările specifice corespund tipului de audit extern efectuat. Multe dintre certificările disponibile pentru profesioniștii din domeniul auditului au cerințe substanțiale în materie de studii superioare și de experiență profesională anterioară, pe lângă demonstrarea expertizei în domeniu prin examene formale. Atât firmele de audit, cât și organizațiile care angajează astfel de firme pentru a efectua audituri externe acordă o mare importanță personalului certificat pentru a contribui la asigurarea unei competențe suficiente, a integrității și a experienței specifice domeniului. Datorită legăturii strânse și a suprapunerii materiei între auditurile financiare și auditurile IT în contextul auditului extern, certificarea Certified Public Accountant (CPA) – conferită de American Institute of Certified Public Accountants (AICPA) – este adesea întâlnită în rândul auditorilor externi cu experiență. Alte acreditări comune ale auditorilor IT externi includ Certified Information Systems Auditor (CISA) și Certified in Risk and Information Systems Control (CRISC) de la ISACA; GIAC Systems and Network Auditor (GSNA) de la SANS Institute; și ISO/IEC 27001 Lead Auditor. Aceste certificări și organizațiile care le gestionează sunt descrise în capitolul 10.
.