Celami audytu wewnętrznego ISO 9001 są: ocena zagrożenia ryzykiem związanym z governance, działalnością operacyjną oraz systemami informatycznymi w jednostce, identyfikacja i analiza ryzyka związanego z działalnością przedsiębiorstwa.
W szczególności ocena efektywności procesu zarządzania ryzykiem oraz ocena systemu kontroli wewnętrznej, wyrażanie opinii na temat skuteczności mechanizmów kontrolnych w badanym systemie, dostarczenie dyrektorowi w oparciu o ocenę systemu kontroli wewnętrznej, racjonalnego zapewnienia, że jednostka działa prawidłowo, składanie sprawozdań z poczynionych ustaleń, oraz tam gdzie jest to właściwe, przedstawienie uwag i wniosków dotyczących poprawy skuteczności działania w danym obszarze. Audyt wewnętrzny ISO 9001 obejmuje wszelkie działania prowadzone przez firmę. Audytor wewnętrzny jest uprawniony do przeprowadzania w jednostce audytu finansowego, operacyjnego, systemowego, informatycznego i zgodności. Obowiązki audytora
wewnętrznego obejmują badanie i identyfikowanie zakresu obszaru podlegającego audytowi oraz podejmowanie działań zmierzających do poszerzenia w razie potrzeby tego obszaru.
Audytor wewnętrzny, przeprowadzając audyt wewnętrzny bada wiarygodność sprawozdania finansowego oraz sprawozdania z wykonania budżetu (planu finansowego), dokonuje oceny adekwatności, efektywności i skuteczności systemów kontroli, w tym przestrzegania procedur kontroli zarządzania ryzykiem i kierowania jednostką, według audytu wewnętrznego ISO 9001.
Dokonuje oceny przestrzegania zasady celowości i oszczędności w dokonywaniu wydatków, uzyskiwania możliwie najlepszych efektów w ramach posiadanych środków oraz przestrzegania terminów realizacji zadań i zaciągniętych zobowiązań. Audytor wewnętrzny jest uprawniony do przeprowadzania audytów finansowych, systemowych, działalności, informatycznych, zarządzania, gospodarności, wydajności, efektywności i innych. Audytor wewnętrzny ISO 9001 nie jest odpowiedzialny za procesy poddawane audytowi wewnętrznemu. Audytor wewnętrzny nie jest odpowiedzialny za procesy zarządzania ryzykiem i procesy kontroli wewnętrznej w jednostce, ale poprzez swoje badanie, wnioski i uwagi wspomaga prezesa we właściwej organizacji i realizacji tych procesów. Audytor wewnętrzny nie jest odpowiedzialny za wykrywanie przestępstw, ale powinien posiadać wiedzę pozwalającą mu zidentyfikować znamiona przestępstwa. Audytor wewnętrzny w zakresie wykonywania swoich zadań współpracuje z audytorami zewnętrznymi, w tym w szczególności z kontrolerami Najwyższej Izby Kontroli.