I förlängningen av leverantörsbedömningar och leverantörsvärderingar är det brukligt att fördjupa arbetet genom så kallad leverantörsrevision. Denna fördjupning görs endast på ett mindre urval av leverantörer. Vanligen väljer man de mest strategiska leverantörerna, men i regulatoriska branscher är det snarare en säkerhetsklassning som avgör vilka leverantörer som ska revideras. På revisionsspråk kallas denna typ av revision för andrapartsrevision.
Det finns olika metoder för att göra en leverantörsrevision. Den vanligaste är s.k. uppifrån-och-ner-revision (även benämnd ’top-down’-revision). Denna bygger på att man först begär in en rad skriftliga uppgifter om leverantörens lednings- och verksamhetssystem. Dessa jämförs med det regelverk man reviderar mot för att se om överensstämmelse finns. Därefter åker man ut på plats och gör provtagning. Det vill säga stickprov för att se om verkligheten överensstämmer med dokumenten. Den här typen av revision benämns ofta systemrevision.
Ibland görs leverantörsrevisioner nerifrån-och-upp. I dessa vistas revisorerna en längre tid i verksamheten för att iakta och identifiera risker och problem. Negativa avvikelse fångas upp för att sedan jämföras med hur de beskrivs i verksamhetsbeskrivningar och andra systemdokument.
