La paraula 'auditoria' agrupa serveis molt diferents. Una anàlisi de vulnerabilitats automatitzada no és el mateix que un test de penetració manual, i cap dels dos és el mateix que una revisió d'arquitectura.
El timeline real d'una auditoria per a una empresa de 50–200 empleats sol ser: dos dies de recopilació d'informació, tres a cinc dies d'anàlisi activa depenent de l'abast, i dos dies d'elaboració de l'informe. En total, entre una i dues setmanes.
L'informe final ha d'incloure una classificació de troballes per risc real per al negoci, no només per severitat tècnica. Una vulnerabilitat crítica en un servidor de desenvolupament desconnectat de producció no té el mateix impacte que una fallada mitjana en l'ERP.
El més valuós d'una auditoria no és la llista de problemes, sinó l'ordre de remediació i la conversa sobre què mitigar, què transferir i què acceptar temporalment.