Metodologia audytu jest szczególnym zestawem procesów lub procedur stosowanych do oceny ryzyka finansowego i biznesowego firmy.Audyty wewnętrzne i zewnętrzne mogą być wykorzystane do przeglądu konkretnych informacji dotyczących różnych operacji firmy.Audyty zazwyczaj testują informacje finansowe pod kątem dokładności i ważności.Jednak niektóre audyty koncentrują się na aspektach niefinansowych.Na przykład audyty ryzyka biznesowego testują zgodność departamentu ze standardowymi procedurami operacyjnymi.Wariancje stwierdzone podczas audytu mogą znacząco wpłynąć na zdolność firmy do pozostania w biznesie.Metodologie audytu zazwyczaj składają się z czterech części, w tym wstępnej oceny ryzyka, etapu planowania, fazy testowej i spotkania wyjścia.

Wstępna ocena ryzyka zwykle rozpoczyna się od wywiadu z zarządzaniem firmą.To spotkanie zwykle określa głębię i szerokość metodologii audytu, ponieważ zarządzanie firmami ogólnie ujawni obszary najwyższego ryzyka swojej firmy.Po spotkaniu audytorzy zwykle kompilują swoje notatki i piszą formalną umowę przedstawiającą zakres audytu.Zmiany w metodologii audytu mogą wymagać osobnego dodatku do oryginalnej pisemnej umowy.Po zakończeniu fazy wstępnej oceny ryzyka audytorzy zazwyczaj rozpoczynają etap planowania.

Etap planowania metodologii audytu wprowadza audytorów do każdego obszaru biznesowego, który będą kontrolowały.Przechodnie są często używane na tym etapie audytu w celu zapoznania audytorów z pracownikami firmy i ich konkretnymi obowiązkami.Do pierwotnej umowy o zakresie kontroli można dodać dodatkowe słabości odkryte przez audytorów.Zarządzanie firmami zwykle wprowadza audytorów menedżerom działów, umożliwiając audytorom swobodne przeprowadzanie wywiadów bez nadmiernego wpływu.Chroni to integralność metodologii audytu.Faza testowa zwykle rozpoczyna się, gdy audytorzy zakończą ocenę planowania audytu.

Faza testowa jest mięsem procesu metodologii audytu.Audytorzy aktywnie przeglądają informacje finansowe lub procesy biznesowe w celu ustalenia wszelkich naruszeń ogólnie przyjętych zasad rachunkowości (GAAP) lub wewnętrznych standardów operacyjnych.Próbka jest zwykle pobierana z dużych grup informacji i testowana niezależnie przez audytorów.Jeśli w pierwszej próbce testowej wystąpi zbyt wiele awarii, metodologia audytu może wymagać od audytorów przetestowania dodatkowej grupy informacji lub po prostu napisać początkową próbkę jako niepowodzenie lub naruszenie standardów firmy.Po zakończeniu fazy testowania audytorzy zwykle odbywają spotkanie wyjściowe z zarządzaniem firmą.

Spotkanie wyjściowe reprezentuje fazę podsumowania metodologii audytu.To spotkanie pozwala audytorom i zarządzaniu firmami na przejrzenie wyników audytu i omówienie wszelkich poważnych naruszeń lub niepowodzeń odkrytych podczas fazy testowania.Formalne opinie audytu są zwykle składane w ciągu tygodnia od spotkania wyjścia z audytu.Firmy mogą również zdecydować się zakwestionować wyniki audytu podczas spotkania wyjścia, jeżeli naruszenia są niewielkie lub nieistotne w porównaniu z agregowanymi działaniami firmy.Metodologie audytu mogą wymagać od firm drugiego audytu, jeśli podczas pierwszego audytu odkryto zbyt wiele naruszeń