کلیه حسابرسی ها از یک سلسله فعالیت های مشابه پیروی می کنند . حسابرسی ممکن است به چهار مرحله تقسیم شود : برنامه ریزی ، جمع آوری شواهد ، ارزیابی شواهد و منتشر کردن نتایج حسابرسی .
برنامه ریزی حسابرسی : برنامه ریزی حسابرسی تعیین می کند که چرا ، چگونه ، چه زمانی و به وسیله چه کسی حسابرسی اجرا خواهد شد . گام اول ایجاد محدوده و اهداف ممیزی است . به عنوان مثال حسابرسی یک شرکت دولتی ، مشخص می کند که آیا اظهارنامه های مالی منصفانه ارائه شده اند ؟ در مقابل ، حسابرس داخلی ممکن است یک بخش مشخص و یا یک برنامه کامپیوتری را بررسی کند . این حسابرسی ممکن است بر روی کنترل های داخلی ، اطلاعات مالی ، عملکرد عملیاتی و یا ترکیبی از هر سه متمرکز شود .
یک تیم حسابرسی از افراد با تجربه و متخصص تشکیل شده است . آنها به وسیله مشورت با پرسنل نظارتی و اجرایی ، بررسی اسناد سیستم و بازبینی یافته های قبلی حسابرسی ، ممیزی را آغاز می کنند.
حسابرسی برنامه ریزی شده است ، بنابراین بیشترین میزان تمرکز در حسابرسی بر نواحی است که عوامل آن ریسک بالایی دارند . سه نوع ریسک حسابرسی وجود دارد :
1.    ریسک ذاتی ، حساسیت به خطرهای محسوس در غیاب کنترل است . به عنوان مثال یک سیستم که از پردازش آن لاین ، شبکه ها ، پایگاه داده ها ، ارتباط از راه دور و دیگر اشکال تکنولوژی استفاده می کند ، ریسک ذاتی بالاتری نسبت به سیستم پردازش دسته ای دارد .
2.    ریسک کنترل : این خطر هنگامی است که یک تحریف محسوس از طریق ساختار کنترل داخلی در  اظهارنامه مالی ایجاد می شود .یک شرکت با کنترل های داخلی ضعیف ، ریسک کنترل بالاتری نسبت به شرکتی با کنترل های داخلی قوی دارد .  ریسک کنترل را میتوان با بررسی محیط کنترل ، تست کنترل های داخلی  و توجه به ضعف های کنترل که در حسابرسی های قبلی مشخص شده ، تعیین نمود و نحوه رفع کردن آن را ارزیابی کرد.
3.    ریسک تشخیص : این خطر هنگامی است که حسابرسان و روش های حسابرسی آنها در شناسایی یک خطای محسوس یا تحریف شکست می خورند .
برای رسیدن به مرحله برنامه ریزی ، نقشه حسابرسی تهیه می شود در این نقشه  ماهیت ، میزان و زمان بندی مراحل  ضروری جهت رسیدن به اهداف حسابرسی با کمترین رسیک ها نشان داده می شود . پروژه حسابرسی ، زمان بندی  می شود و کارکنان مشخصی برای انجام هر مرحله از حسابرسی انتخاب می شوند