W każdym audycie finansowym lub systemowym przeprowadza się cztery różne etapy audytu: planowanie i ocena ryzyka, testowanie kontroli wewnętrznych, procedury merytoryczne i finalizacja. Celem tych etapów audytu jest zapewnienie standardowego procesu, który jest używany w każdym audycie. W większości organizacji audyt przeprowadza dział audytu wewnętrznego lub zewnętrzna firma audytorska lub księgowa.
Czynności kontrolne związane z planowaniem i oceną ryzyka są zazwyczaj przeprowadzane przed końcem roku podatkowego i służą do zbierania informacji. Audytor poświęca czas na zapoznanie się z branżą, przepisami, zasadami rachunkowości i systemami informatycznymi. Na tym etapie wielu audytorów pracuje zdalnie, ponieważ większość tych informacji jest dostępna z niezależnych źródeł.
Aby skutecznie zaplanować audyt, należy ocenić i udokumentować całościowy zakres. Standardowy audyt finansowy ogranicza się w zakresie do transakcji, które miały miejsce w bieżącym okresie i często kończy się na poziomie podsumowania. Liczba transakcji i wartości w dolarach są używane do określenia górnej i dolnej granicy, która zostanie użyta do ustawienia wartości kontroli. Branża, siła kontroli wewnętrznych i wszelkie kwestie poruszone przez kierownictwo określają ocenę ryzyka dla audytu.
Jednym z najważniejszych etapów audytu jest proces testowania kontroli wewnętrznych. Te procesy i procedury służą zapewnieniu odpowiednich zatwierdzeń przed dokonaniem płatności lub wprowadzeniem transakcji do systemu. Podstawową metodą testowania kontroli wewnętrznej jest losowy wybór transakcji i sprawdzenie dokumentacji źródłowej. Jeżeli losowy wybór z reprezentatywnej próby wykaże, że kontrole były słabe lub brakujące, należy zwiększyć wielkość próby.
Procedury merytoryczne to faktyczny proces zbierania fizycznych dowodów transakcji i weryfikacja wartości zaksięgowanej na konkretnym rachunku poparta jest faktycznymi dokumentami. Ten aspekt audytu jest najbardziej czasochłonny i jest bardzo szczegółową pracą. Konto wybrane do tego typu recenzji jest różne, ale zazwyczaj jest to konto, które śledzi różne działania o wysokiej i niskiej wartości w dolarach.
Ostatnim etapem audytu jest finalizacja. Jest to tworzenie raportu dla kierownictwa, który podsumowuje wszystkie procedury zastosowane do przeprowadzenia audytu, wyniki różnych procesów oraz dokumentację pomocniczą. Raporty z audytów mają różne formaty lub układy, w zależności od odbiorców. Na przykład większość banków wymaga zbadania sprawozdań finansowych przy ubieganiu się o kredyt biznesowy. Często mają preferowany format, dzięki czemu porównanie i przeglądanie są prostsze.