Metodologia audytu to określony zestaw procesów lub procedur stosowanych do oceny ryzyka finansowego i biznesowego firmy. Audyty wewnętrzne i zewnętrzne mogą być wykorzystywane do przeglądu określonych informacji dotyczących różnych działań firmy. Audyty zazwyczaj sprawdzają informacje finansowe pod kątem dokładności i aktualności. Niektóre kontrole skupiają się jednak na aspektach niefinansowych. Na przykład audyty ryzyka biznesowego sprawdzają zgodność departamentów ze standardowymi procedurami operacyjnymi. Rozbieżności stwierdzone podczas audytu mogą znacząco wpłynąć na zdolność firmy do utrzymania się na rynku. Metodologie audytu zazwyczaj składają się z czterech części, w tym wstępnej oceny ryzyka, etapu planowania, etapu testowania i spotkania końcowego.
Wstępna ocena ryzyka zwykle rozpoczyna się od rozmowy kwalifikacyjnej z kierownictwem firmy. Spotkanie to zwykle określa głębokość i zakres metodologii audytu, ponieważ kierownictwo firmy generalnie ujawnia obszary najwyższego ryzyka w swojej działalności. Po spotkaniu audytorzy zwykle sporządzają notatki i podpisują formalną umowę określającą zakres audytu. Zmiany w metodologii audytu mogą wymagać oddzielnego aneksu do pierwotnej pisemnej umowy. Po zakończeniu fazy wstępnej oceny ryzyka audytorzy zwykle rozpoczynają etap planowania.
Etap planowania metodologii audytu wprowadza audytorów w każdy obszar biznesowy, który będą audytować. Na tym etapie audytu często stosuje się instruktaże, aby zapoznać audytorów z pracownikami firmy i ich konkretnymi obowiązkami. Dodatkowe słabości wykryte przez audytorów mogą zostać dodane do pierwotnej umowy zakresu audytu. Kierownictwo firmy zazwyczaj przedstawia audytorów kierownikom działów, pozwalając audytorom na swobodne przeprowadzanie wywiadów bez zbędnego nacisku. Chroni to integralność metodologii audytu. Faza testowania zwykle rozpoczyna się po zakończeniu przez audytorów oceny planowania audytu.
Mięsem procesu metodologii audytu jest faza testowania. Audytorzy aktywnie dokonują przeglądu informacji finansowych lub procesów biznesowych w celu ustalenia wszelkich naruszeń Ogólnych Zasad Rachunkowości (GAAP) lub wewnętrznych standardów operacyjnych. Próbka jest zwykle pobierana z dużych grup informacji i testowana niezależnie przez audytorów. Jeśli w pierwszej próbce testowej wystąpi zbyt wiele błędów, metodologia audytu może wymagać od audytorów przetestowania dodatkowej grupy informacji lub po prostu zapisania próbki początkowej jako niepowodzenia lub naruszenia standardów firmy. Po zakończeniu fazy testowania audytorzy zazwyczaj odbywają spotkanie końcowe z kierownictwem firmy.
Spotkanie wyjściowe stanowi etap podsumowujący metodologię audytu. Spotkanie to umożliwia audytorom i kierownictwu firmy przegląd wyników audytu i omówienie wszelkich poważnych naruszeń lub awarii wykrytych w fazie testowania. Formalne opinie audytowe są zwykle składane w ciągu tygodnia od spotkania kończącego audyt. Firmy mogą również zdecydować się na zakwestionowanie ustaleń audytu podczas spotkania zamykającego, jeśli naruszenia są niewielkie lub nieistotne w porównaniu z zagregowaną działalnością firmy. Metodologie audytu mogą wymagać od firm przeprowadzenia drugiego audytu, jeśli podczas pierwszego audytu wykryto zbyt wiele naruszeń.