組織依照ISO管理系統標準來規劃、設計、建構一整套的管理制度，並且依制度運作，一般來說通常都會達到預期的成果，然而若只是組織自己說，基本上很難有公信力，畢竟人大多都不會講自己的壞話，組織更是如此，所以才需要有一套「確認」的制度，由組織以外的組織來「確認」組織確實依照管理系統標準規劃設計自己的管理制度並據以執行，並獲得相關的成果，這個「確認」的制度稱為「符合性評鑑」(Conformity Assessment)，由ISO的符合性評鑑委員會 (CASCO) 所發展。

CASCO對符合性評鑑的定義是：

Demonstration that specified requirements are fulfilled. (ISO 17000:2020 4.1)
對特定需求完全滿足的展現。

而特定需求的定義則是：

Need or expectation that is stated. (ISO 17000:2021 5.1)
被定義的需求或期望。

需求與期望則是來自於規範文件 (Normative Documents) 如法令規章、標準或技術規格，且它可以是很詳細的 (Detailed) 或很一般化 (General) 的。

CASCO發展的符合性評鑑制度有很多，其中針對管理系統標準有獨立的一套符合性評鑑制度，用來確認管理制度是否完全滿足 (fulfilled) 管理系統要求的規範，這份規範為ISO 17021-1:2015，它規定了要執行符合性評鑑的組織—認證實體組織 (Certification Body, CB)—於執行管理系統符合性評鑑時所必須要遵守的事項，而由於各個不同的管理系統有著不同的核心知識領域，因此各管理系統都會以ISO 17021-1為基礎，發展各自的符合性評鑑要求事項；例如ISMS的符合性評鑑要求事項於ISO 27006規定，也就是要執行ISMS認證的符合性評鑑的組織必須要同時符合ISO 17021-1以及ISO 27006的規定，才具備驗證組織ISMS管理系統制度的資格；而驗證執行符合性評鑑的組織是否有資格的組織，則是更上層的認可實體 (Accreditation body)，認可實體則是由國際認可組織 (International Accreditation Forum, IAF) 所管理，台灣則是由財團法人全國認證基金會 (Taiwan Accreditation Foundation, TAF) 具有此資格，截至本文撰寫之時，TAF已授權台灣8個認可實體可執行管理系統的認證活動，詳細的名單可至TAF的網站查詢。

那麼符合性評鑑是怎麼做的呢？在ISO 17000中定義了幾種不同的符合性評鑑方法，包含抽樣 (sampling)、檢查 (inspection)、測試 (test) 以及稽核 (audit) 四種，稽核即是針對管理系統執行符合性評鑑的主要方法。

ISO 19011針對稽核的定義是：

Audit is systematic, independent and documented process for obtaining objective evidence and evaluating it objectively to determine the extent to which the audit criteria are fulfilled. (ISO 19011:2018 3.1)
有系統、獨立及文件化獲取客觀證據並客觀的評估，以決定稽核準則滿足程度的過程。

也就是說，稽核是一個蒐集、評估與確認組織的管理系統是否能滿足稽核準則(audit criteria)—通常是來自管理系統標準要求—的一個過程，在這個過程中會有許多活動，這些活動會由組織中獲取必要的資訊，而這些資訊會決定是否滿足稽核準則；各個不同的管理系統對組織實作的過程有其個別的稽核準則，這些準則會以不同的符合性評鑑標準規範呈現，有部份是作為ISO 17021-1的一部份 (如ISO 17021-3為品質管理系統的稽核評鑑要求)，也有部份是獨立的稽核要求 (如資訊安全管理系統是ISO 27006)，但它們的目的是一樣的。

符合性評鑑活動分成三種，定義於ISO 17000，分別是：

1. 第一方 (first-party) 符合性評鑑活動為提供或本身為符合性評鑑受評對象的個人或組織所執行的符合性評鑑活動 (ISO 17000:2020 4.3)。
2. 第二方 (second-party) 符合性評鑑活動為在符合性評鑑受評對象中具有使用者利益的個人或組織所執行的符合性評鑑活動 (ISO 17000:2020 4.4)。
3. 第三方 (third-party) 符合性評鑑活動為由獨立於符合性評鑑受評對象的提供者之外，且在該受評對象中不具使用者利益性質的個人或組織所執行的符合性評鑑活動 (ISO 17000:2020 4.5)。

因此，一般常聽到的內部稽核 (Internal Audit)，屬於第一方符合性評鑑類型；由客戶或客戶的關注方 (Interested parties) 對組織所執行的稽核，屬於第二方符合性評鑑，例如由客戶執行的供應商稽核即屬之；而依證明組織管理系統符合性需要所執行的稽核即為第三方符合性評鑑，由專門的認證實體組織 (CB) 所執行，這些認證實體組織跟受評組織 (Auditee) 及與其上下游都沒有任何利益關係，在具獨立性 (Independent) 及公正性 (Impartiality) 的基礎上，以客觀的角度去評鑑組織的管理系統是否符合準則，並授予組織符合性證明。

後面的內部稽核主題，會再進一步談論稽核的事宜。