Zazwyczaj istnieją dwa rodzaje audytów Międzynarodowej Organizacji Normalizacyjnej (ISO): wewnętrzne i zewnętrzne. Niektórzy specjaliści dodają do listy kolejny audyt , audyt dostawcy. Podstawowym celem audytów i certyfikacji ISO jest usprawnienie działalności poprzez standaryzację i kontrolowane procesy. Firma może prowadzić każdy rodzaj audytu w inny sposób, ale jego celem jest usprawnienie działalności. Ogólnie rzecz biorąc, firmy pozyskują zewnętrzne źródła, takie jak konsultanci, specjalistyczne oprogramowanie lub inne media, aby poprowadzić ich przez skomplikowany proces kontroli ISO.
Istnieje kilka rodzajów certyfikatów ISO, a administratorzy często dostosowują audyty, aby pomóc firmie uzyskać konkretną certyfikację. Dodatkowo istnieją specjalistyczne audyty. Przykładem specjalistycznego audytu jest ISO 15489, który koncentruje się na zarządzaniu rekordem firmy. Audyt ten zazwyczaj zapewnia porządek dzienny dla ustanowienia i wykonania systemu zarządzania dokumentacją.
Głównym celem wewnętrznej kontroli ISO jest przygotowanie do audytu zewnętrznego . Audytorzy ISO na miejscu zazwyczaj przeprowadzają wewnętrzne audyty ISO, podczas gdy niezależna firma przeprowadza audyt zewnętrzny. Dostawcy lub klienci firmy wykonują audyty dostawców. Wiele firm woli robić interesy z firmami posiadającymi certyfikat ISO, a audytując ich dostawców lub klientów, mają pewność, że druga firma przestrzega odpowiednich standardów. Audyt wewnętrzny w firmie może uwypuklić problemy, które mogą zagrozić certyfikacji ISO lub rejestracji.
Niektóre audyty ujawniają umyślne nieetyczne lub niebezpieczne praktyki, ale zazwyczaj naruszenia wynikają z prostego ludzkiego błędu. Większość firm odkrywa te drobne niezgodności podczas swoich wewnętrznych audytów i koryguje je przed audytem zewnętrznym. Jest to jedna z wartości audytu wewnętrznego. Kolejną zaletą przeprowadzania audytów wewnętrznych jest to, że pomaga ona firmie stworzyć dobry system audytu.
Firma ma wiele zasobów, aby ustanowić dobry system audytu. Kilku ekspertów biznesowych napisało książki i inne źródła informacji na temat rozwijania systemów kontroli ISO. Wiele z nich oferuje seminaria lub warsztaty, zarówno w lokalizacji poza siedzibą, jak i na terenie zakładu. Inne źródła to firmy konsultacyjne i programy komputerowe. Niektóre narzędzia oferowane przez te źródła obejmują listy kontrolne i programy szkoleniowe dla pracowników.
Niektórzy eksperci uważają, że proces audytu ISO składa się z czterech kroków. Podkreślają, że ważne jest ukończenie podstawowych faz przygotowania przed przeprowadzeniem audytu, zarówno wewnętrznego, jak i zewnętrznego. Kroki te obejmują badanie wymagań dotyczących certyfikacji ISO i ocenę zakresu projektu; przygotowanie, w tym tworzenie dokumentów audytu, takich jak listy kontrolne; oraz pisanie raportów niezbędnych do certyfikacji ISO i innych obowiązków, takich jak wymagania sprzedawcy lub klienta.
ISO to globalne stowarzyszenie, a firma musi przeprowadzać audyty w każdym obiekcie, niezależnie od jego lokalizacji. Na przykład firma w Stanach Zjednoczonych, która ma urządzenia satelitarne w Argentynie, Indiach i na Ukrainie, musi mieć system audytu ISO ustanowiony w każdym obiekcie. Organizacja ISO certyfikuje audytorów, którzy przeprowadzają audyty zewnętrzne w firmach w różnych krajach. Organizacja może również certyfikować audytorów w określonych dziedzinach, takich jak audytorzy sprzętu spożywczego, butelkowanej wody i producenci urządzeń do wody pitnej.