Normalmente, hay dos tipos de auditorías de la Organización Internacional de Normalización (ISO): internas y externas. Algunos profesionales agregan otra auditoría, la auditoría de proveedores, a la lista. El propósito básico de las auditorías y la certificación ISO es mejorar el negocio a través de procesos de estandarización y control. Una empresa puede realizar cada tipo de auditoría de manera diferente, pero el propósito resultante es mejorar la empresa. Generalmente, las empresas recurren a fuentes externas, como consultores, software especializado u otros medios, para guiarlos a través del complicado proceso de auditoría ISO.
Existen varios tipos de certificaciones ISO y los administradores a menudo personalizan las auditorías para ayudar a una empresa a obtener una certificación específica. Además, existen auditorías especializadas. Un ejemplo de auditoría especializada es la ISO 15489, que se concentra en la gestión de registros de una empresa. Esta auditoría generalmente proporciona una agenda para establecer y ejecutar un sistema de gestión de registros.
El objetivo principal de la auditoría ISO interna es prepararse para la auditoría externa. Los auditores ISO in situ generalmente realizan las auditorías ISO internas, mientras que una empresa independiente realiza la auditoría externa. Los proveedores o los clientes de la empresa realizan las auditorías de proveedores. Muchas empresas prefieren hacer negocios con empresas que cuentan con la certificación ISO y, al auditar a sus proveedores o clientes, se les asegura que la otra empresa cumple con los estándares adecuados. Una auditoría interna dentro de una empresa puede resaltar problemas que pueden poner en peligro la certificación o el registro ISO.
Algunas auditorías revelan prácticas intencionales poco éticas o inseguras, pero generalmente las violaciones son el resultado de un simple error humano. La mayoría de las empresas descubren estos incumplimientos menores durante sus auditorías internas y los corrigen antes de la auditoría externa. Este es uno de los valores de la auditoría interna. Otra ventaja de realizar auditorías internas es que ayuda a una empresa a desarrollar un buen sistema de auditoría.
Hay muchos recursos para que una empresa establezca un buen sistema de auditoría. Varios expertos en negocios han escrito libros y otras fuentes de medios sobre el desarrollo de sistemas de auditoría ISO. Muchos de ellos ofrecen seminarios o talleres, ya sea en una ubicación externa o en las instalaciones de la empresa. Otras fuentes son empresas de consultoría y programas de software. Algunas de las herramientas que ofrecen estas fuentes incluyen listas de verificación y programas de capacitación para empleados.
Algunos expertos creen que el proceso de auditoría de ISO consta de cuatro pasos. Destacan que es importante completar las fases básicas de preparación antes de realizar la auditoría, ya sea interna o externa. Estos pasos incluyen investigar los requisitos para la certificación ISO y medir el alcance del proyecto; preparación, incluida la creación de documentos de auditoría como listas de verificación; y redactar los informes necesarios para la certificación ISO y otras obligaciones, como los requisitos del proveedor o del cliente.
ISO es una asociación global y una empresa necesita realizar auditorías en cada instalación, independientemente de su ubicación. Por ejemplo, una empresa en los Estados Unidos que tiene instalaciones satélites en Argentina, India y Ucrania necesita tener un sistema de auditoría ISO establecido en cada instalación. La organización ISO certifica a los auditores que realizan auditorías externas en empresas de varios países. La organización también puede certificar auditores en campos específicos, como auditores de equipos de alimentos, instalaciones de agua embotellada y fabricantes de dispositivos de agua potable.