建立风险评估的框架

　　首席审计执行官负责以风险为基础制订计划，以确定与组织目标相一致的内部审计活动重点。

　　制订计划时，首席审计执行官需考虑组织的风险管理框架，包括管理层针对不同的业务或部门确定的风险偏好水平。

　　如果尚未建立风险管理框架，首席审计执行官可以与高级管理层和董事会磋商后，自行作出风险判断。

　　首席审计执行官在考虑是否接受拟开展的咨询业务时，应当考虑该业务在改善风险管理、增加价值、改善组织运营等方面的潜在作用。已经接受的咨询业务必须纳入计划。

　　COSO全面风险管理框架(ERM)

　　·风险评估对于审计部门计划的重要意义在于明确审计范围或识别可审计的活动，IIA通过实务公告发布了一些具体的指导：

　　在制定审计部门的审计计划时，先制订和更新审计活动领域;

　　审计活动领域可以吸收组织战略计划的成分，考虑并反映出总体业务目标;

　　以从高级管理层和董事会获取的审计活动领域以及风险、风险暴露对组织的影响进行的评估为基础，准备内部审计部门的审计计划;

　　审计活动领域和相关审计计划内容的更新，应该反映管理层的方针、目标、重点和关注点出现的变化;

　　应该在评估风险和风险暴露优先次序的基础上安排审计工作。

　　·识别和评价风险的框架——从“企业风险管理”的角度

　　战略风险

　　运营风险

　　声誉风险

　　财务风险

　　信息风险

　　新风险

　　识别和评价风险的框架——业务风险框架