Organisasjonen skal planlegge, etablere, iverksette og vedlikeholde et eller flere revisjonsprogrammer, inkludert hyppighet, metoder, ansvar, krav til planlegging og rapportering.
Ved etablering av internrevisjonsprogrammer skal organisasjonen vurdere viktigheten av de aktuelle prosessene og resultatene fra tidligere revisjoner.
Organisasjonen skal:
a) definere revisjonskriteriene og omfanget for hver revisjon;
b) velge revisorer og gjennomføre revisjoner som sikrer objektivitet og upartiskhet i revisjonsprosessen;
c) sikre at resultatene av revisjonene rapporteres til relevant ledelse.
Dokumentert informasjon skal være tilgjengelig som bevis på implementering av revisjonsprogrammet/-programmene og revisjonsresultatenen.