De acordo com a norma ABNT NBR ISO/IEC 27001:2013, uma organização deve programar auditorias internas a fim de verificara aderência da conformidade do sistema de gestão da segurança da informação aos seus requisitos e à legislação vigente. Sobre a realização da auditoria interna, é correto afirmar que: