Zazwyczaj istnieją dwa rodzaje audytów Międzynarodowej Organizacji Normalizacyjnej (ISO): wewnętrzne i zewnętrzne. Niektórzy profesjonaliści dodają do listy kolejny audyt, audyt dostawcy. Podstawowym celem audytów i certyfikacji ISO jest doskonalenie biznesu poprzez standaryzację i kontrolowane procesy. Firma może przeprowadzać każdy rodzaj audytu w inny sposób, ale wynikającym z tego celem jest usprawnienie działalności. Ogólnie rzecz biorąc, firmy wykorzystują zewnętrzne źródła, takie jak konsultanci, specjalistyczne oprogramowanie lub inne media, aby przeprowadzić je przez skomplikowany proces audytu ISO.
Istnieje kilka rodzajów certyfikatów ISO, a administratorzy często dostosowują audyty, aby pomóc firmie uzyskać określony certyfikat. Dodatkowo przeprowadzane są audyty specjalistyczne. Przykładem audytu specjalistycznego jest norma ISO 15489, która koncentruje się na zarządzaniu dokumentacją firmy. Audyt ten zazwyczaj zapewnia plan utworzenia i wykonania systemu zarządzania rekordami.
Głównym celem audytu wewnętrznego ISO jest przygotowanie do audytu zewnętrznego. Audytorzy ISO na miejscu zazwyczaj przeprowadzają wewnętrzne audyty ISO, natomiast audyt zewnętrzny przeprowadza niezależna firma. Albo dostawcy, albo klienci firmy przeprowadzają audyty dostawców. Wiele firm woli robić interesy z firmami, które posiadają certyfikat ISO, a dzięki audytowi ich dostawców lub klientów mają pewność, że druga firma przestrzega odpowiednich standardów. Audyt wewnętrzny w firmie może wskazać problemy, które mogą zagrażać certyfikacji lub rejestracji ISO.
Niektóre audyty ujawniają celowe nieetyczne lub niebezpieczne praktyki, ale zazwyczaj naruszenia wynikają z prostego błędu ludzkiego. Większość firm wykrywa te drobne niezgodności podczas audytów wewnętrznych i koryguje je przed audytem zewnętrznym. To jedna z wartości audytu wewnętrznego. Kolejną zaletą przeprowadzania audytów wewnętrznych jest to, że pomaga firmie opracować dobry system audytu.
Istnieje wiele zasobów umożliwiających firmie stworzenie dobrego systemu audytu. Kilku ekspertów biznesowych napisało książki i inne źródła medialne na temat opracowywania systemów audytu ISO. Wiele z nich oferuje seminaria lub warsztaty w lokalizacji poza siedzibą firmy lub w siedzibie firmy. Inne źródła to firmy konsultingowe i programy komputerowe. Niektóre z narzędzi oferowanych przez te źródła obejmują listy kontrolne i programy szkoleniowe dla pracowników.
Niektórzy eksperci uważają, że proces audytu ISO składa się z czterech etapów. Podkreślają, że ważne jest, aby przed przeprowadzeniem audytu wewnętrznego lub zewnętrznego zakończyć podstawowe fazy przygotowawcze. Kroki te obejmują badanie wymagań dotyczących certyfikacji ISO i pomiar zakresu projektu; przygotowanie, w tym tworzenie dokumentów audytowych, takich jak listy kontrolne; oraz pisanie raportów niezbędnych do certyfikacji ISO i innych zobowiązań, takich jak wymagania dostawcy lub klienta.
ISO jest stowarzyszeniem globalnym, a firma musi przeprowadzać audyty w każdym zakładzie, niezależnie od jego lokalizacji. Na przykład firma w Stanach Zjednoczonych, która posiada obiekty satelitarne w Argentynie, Indiach i na Ukrainie, musi posiadać system audytu ISO w każdym obiekcie. Organizacja ISO certyfikuje audytorów, którzy przeprowadzają audyty zewnętrzne w firmach w różnych krajach. Organizacja może również certyfikować audytorów w określonych dziedzinach, takich jak audytorzy sprzętu spożywczego, urządzeń z wodą butelkowaną i producentów urządzeń do wody pitnej.