De uma forma geral as auditorias podem ser internas ou externas. No que se refere aos critérios de auditorias pode ser utilizado um só referencial ou serem auditorias combinadas em que são auditados, de forma integrada, mais do que um referencial.
No primeiro caso, auditorias internas ou de primeira parte, é a própria empresa que promove a auditoria. A realização destas auditorias é um requisito obrigatório das normas de sistemas de gestão e permite à Empresa autoavaliar-se para melhorar o seu sistema de gestão e/ou preparar auditorias externas.
Estas auditorias podem ser conduzidas por auditores da própria empresa ou por uma equipa externa contratada pela empresa. Convém assegurar que o auditor é independente da área a auditar mas ao mesmo tempo tem que ter competências (técnicas) na área a auditar.
As auditorias externas - isto é, da responsabilidade de uma entidade externa à Empresa - podem ser de 2ª parte ou de 3ª parte.
As auditorias de 2ª parte são, normalmente, promovidas por Clientes que pretendem comprovar o cumprimento de requisitos por parte dos seus fornecedores, incluindo requisitos contratuais. Muitas vezes nestas auditorias são utilizados referenciais próprios do Cliente e/ou de áreas de atividade específica, complementados por normas ISO.
Estas auditorias são de extrema importância pois podem ser parte essencial da qualificação de fornecedores, podendo um mau resultado levar à perda de Cliente(s).
As auditorias de 3ª parte são as auditorias que permitem a uma empresa obter a certificação em relação a um determinado referencial e são realizados por auditores independentes designados por entidades certificadoras.
São estas auditorias que permitem a uma Empresa ser certificada em relação a uma determinada norma, sendo emitido um certificado que pode ser evidenciado publicamente. As auditorias podem ser combinadas, isto é, na mesma auditoria o sistema ser avaliado em relação a mais do que um referencial. Tipicamente é emitido um certificado independente por cada norma avaliada.
Os certificados emitidos têm um prazo para serem renovados -normalmente 3 anos- sendo necessário à empresa, antes de terminado o prazo, realizar uma auditoria de renovação, se pretender manter a(s) certificação(ões). Durante o período de certificação são realizadas auditorias de acompanhamento, com uma duração inferior às de certificação e renovação.