内部監査プログラムを作成し、一通り監査が終了すると、基準に適合しているかそうでないかで、各項目の判定結果が返ってくることになる。 問題なければ「適合」として、このまま維持して頑張ってください、ということになるが、残念ながら不適合の判定が出てしまった場合、その項目に当たる資産の担当者は、 何か問題が起きてしまう前に、早く問題解決に向けて動かねばならない。指摘されたことに対してどう応じるのか考えて答えを出し、その通り実行したこと(若しくはその予定であること、この場合その実行完了日も明らかにする)を内部監査担当者に回答することになる。 ただ、もし特別な理由があって指摘されるような状態にわざとしてあるような時は、「これはこのままが本来の姿なので残します」、という返答をしてもかまわない。
＜例＞
文書の体裁で６０ページを超えるISMS文書のワードファイルの各項目に、目次へ戻るファイル内リンクをはっていたところ、印刷して提出したらその文字(「TOPへ」など)不要な物にみえ、 監査チームからそれを削除するよう要求された時、など。

　また、ここまで紹介した一連の作業が終わったからといって、内部監査はまだ終了ではない。実はこの後にも大事な作業が残っているのだ。それが「内部監査フォローアップ」。 フォローアップという言葉がなんだかぼんやりとしていて嫌いなのだが、つまりは誰かと一緒に時間を過ごした後のご機嫌伺いのメールみたいなものだ。その節はお世話になりました、その後いかがお過ごしですか？というアレと似ている。 これをちゃんとやってないと、営業の仕事なんかではお客さんと関係が切れてしまうこともあるが、やりっぱなしの監査ではなくて、「その後とった処置がこんな結果になりましたよ〜」と報告しなさい ということが規格書に定められているのだ。
明らかになった不適合にいろいろと処置を施してのち、その対策がちゃんと機能しているかどうか検証し、その結果を何かしらの形で経営陣に報告する。
情報基盤センターでは内部監査チームとセンター長が、その所属する機構の長に報告することになっている。