Organisasi yang memerlukan audit hendaknya memiliki program audit yang berkontribusi terhadap ketetapan efektifivitas dari sistem manajemen yang dilakukan auditee. Program audit dapat mencakup satu atau lebih standar sistem manajemen, dan dapat dilakukan terpisah atau kombinasi.

Manajemen puncak hendaknya memastikan tujuan program audit tersedia dan terdapat satu atau lebih personil yang kompeten untuk mengelola program audit. Ruang lingkup program audit hendaknya didasarkan pada ukuran dan kebiasaan dari organisasi yang diaudit, serta pada kebiasaan, fungsi, kompleksitas, dan level kematangan sistem manajemen yang diaudit. Prioritas hendaknya diberikan pada alokasi program audit yang membutuhkan sumber daya yang sifatnya signifikan pada sistem manajemen. Hal ini dapat mencakup karakteristik kunci dari kualitas produk atau bahaya terkait kesehatan dan keamanan, atau aspek lingkungan yang signifikan, dan kontrolnya. Konsep ini umumnya dikenal sebagai audit berbasis resiko.Standar internasional tidak memberikan panduan lebih jauh terkait hal ini.

Program audit hendaknya mencakup informasi dan sumber daya yang dibutuhkan untuk mengorganisasi dan melaksanakan audit secara efektif dan efisien dalam jangka waktu spesifik, dan juga dapat mencakup hal-hal berikut:

1. Tujuan program audit dan audit individualnya
2. Ruang lingkup, jumlah, tipe, durasi, lokasi, dan jadwal audit
3. Prosedur program audit
4. Kriteria audit
5. Metode audit
6. Seleksi tim audit
7. Sumber daya yang dibutuhkan, mencakup perjalanan dan akomodasi
8. Proses untuk penanganan kerahasiaan, keamanan informasi, kesehatan dan keamanan, serta hal ihwal lainnya

Implementasi program audit hendaknya dimonitor dan dinilai untuk memastikan tujuan tercapai. Program audit hendaknya ditinjau kembali dalam rangka mengidentifikasi perbaikan yang mungkin dilakukan.

(Diterjemahkan dari ISO 19011: 2011)