Em um processo de auditoria de sistema, o auditor deve necessariamente ser um colaborador da organização auditada, preferencialmente, deve pertencer ao setor analisado na auditoria.

Achados de auditoria são fatos significativos observados pelo auditor durante a execução da auditoria. Geralmente, são associados a falhas e irregularidades, porém podem também indicar pontos fortes da instituição auditada. O achado deve ser relevante e baseado em fatos e evidências irrefutáveis.

A auditoria da segurança de informação tem como principal objetivo implantar a política de segurança e o plano de continuidade de negócios (PCN) de uma organização.

O processo de auditoria está divido em três fases: planejamento, execução e relatório. Na fase de planejamento, todas as evidências das falhas e irregularidades encontradas devem ser coletadas para que durante a fase de execução as devidas correções nos controles sejam realizadas.

Devido à falta de confiabilidade dos dados processados por computador, ferramentas computacionais de apoio, tais como mapping, tracing e snapshot, não podem ser empregadas em auditorias de segurança.