Kebijakan dari fungsi audit internal harus tercantum dalam sebuah piagam audit yang disetujui oleh manajemen senior. Audit IT dapat menjadi bagian dari internal audit, fungsi sebagai sebuah grup independen atau terintegrasi dengan sebuah audit keuangan dan operasional untuk menghasilkan jaminan control yang berhubungan dengan IT yang dihasilkan oleh auditor keuangan dan operasional. Oleh karena itu, piagam audit dapat berisikan audit IT sebagai sebuah fungsi pendukung. Piagam tersebut seharusnya bersikan mengenai tanggung jawab manajemen dan tujuan dari audit, pihak yang didelegasikan untuk melakukan audit, fungsi dari audit IT. Dokumen tersebut secara garis besar berisikan keseluruhan wewenang, ruang lingkup dan tanggung jawab dari fungsi audit. Level tertinggi dari manajemen dan komite audit atau salah satu yang ada berwenang dalam menyetujui piagam ini. Sekalinya piagam ini terbentuk maka perubahan hanya dapat terjadi jika perubahan tersebut dibenarkan. Standarisasi audit IT dari ISACA membutuhkan tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit IT yang tepat tertulis dalam piagam audit dan surat tugas (surat perikatan). Surat perikatan adalah dokumen tertulis yang melingkupi aktifitas audit dalam suatu entitas dan lebih berfokus kepada kegiatan audit tertentu dengan tujuan tertentu.
Jika layanan audit IT dilakukan oleh pihak eksternal, ruang lingkup dan tujuan audit harus didokumentasikan dalam sebuah kontrak formal atau SOW (statement of work) antara organisasi yang mengontrak dan pemberi jasa layanan.
Pada kasus yang lain, fungsi internal audit harus bersifat independen dan melakukan pelaporan kepada komite audit jika ada atau kepada manajemen tertinggi seperti dewan direksi.