合规性审计是指注册会计师确定被审计单位是否遵循了特定的法律、法规、程序或规则，或者是否遵守将影响经营或报告的合同的要求。比如招标程序的合规性审计，土建工程的合规性审计，物资采购历程的合规性审计等。合规性审计是确定某一组织是否遵从了监管方针的一种综合性评述。

合规性审计的目的在于揭露和查处被审计单位的违法、违规行为，促使其经济行为符合国家法律、法规、方针政策及内部控制制度等要求的审计。

合规性审计是内部审计实施的审计类型之一，可以作为单独的审计历程，也可能是财务审计或运营审计的一部分。

合规性审计可以由经营管理层发起，也可以由法律或法规要求实行。

在合规性审计中，审计人员应确定企业是否遵循了现行法律和法规以及专业和行业标准或合同责任的要求，即被审计单位是否遵循了特定的程序、规则或条例。例如，确定会计人员是否遵循了财务主管规范的手续，检查工资率是否符合工资法规范的最低限额，或者审查与银行签订的合同，以确信被审计单位遵守了法定要求。

对审计人员来讲，实行合规性审计的第一步是确定经营管理层是否有一个识别现行政策、程序、标准、法律以及法规的制度；然后，审计人员应评估控制是否得到了恰当的应用或遵循；最后，该审计应得到企业是否合规的结论

合规性审计的结果通常报送被审计单位经营管理层或外部特定使用者。

严格而言，合规性审计内容广泛多样，具体取决于某一组织的性质是公有还是私有企业；该企业处理的数据类型以及它是否传送或存储了敏感财务数据。举例而言，SOX（萨班斯法案）规范任何电子通信必须实行备份并有合理的灾难恢复体系作为保障。保存或传送如个人健康信息这样的电子医疗记录的医疗服务提给商必须遵守美国医治保险携带和责任法案（HIPAA）。传送信用卡数据的金融服务企业必须遵守PCI DSS标准。独立核算、安全或IT顾问需对合规准备的优点及全面性做出评价。无论在哪种状况下，被审计的组织都必须通过提给审计跟踪记录（审计跟踪记录通过由事件日志记录经营管理软件的数据生成）表明自己符合相关规范。

审计历程中，合规性审计员通常会向首席信息官（CIO）、首席技术官（CTO）和IT经营管理人员询问一系列尖锐问题。这些问题可能包含：添加了什么样的用户、何时添加了这些用户、哪些用户离开了企业、用户信息是否已经撤销以及什么样的IT经营管理人员已经能够进入关键系统。IT经营管理者可以通过使用事件日志经营管理工具以及健全的变更经营管理软件在IT系统内实现跟踪、文件审核和控制功能。GRC（治理、危机经营管理和法规遵从）软件类型的不断增加使得首席信息官可以方便地向审计人员和首席执行官展示某组织遵从法规，不会不受高额处罚或制裁。