法律

　　以风险为基础的审计域，它不是单独依据经营实体来定义的。还包括组织的战略计划和内部控制管理来降低风险、实现组织目标、确保满足客户需要。正如前文所示，变化是持续的，在变化的环境中产生了数量庞大的组织风险。内部审计师评估管理控制的经济有效性和实现组织预定战略目标的结果如何，并对结果加以报告。

　　组织战略计划

　　战略计划以一定程度上的环境分析为基础，环境分析对于组织内外可能发生与正在发生的情况作出判断。可以这样说，每个组织都是独特的，受其所在的环境所塑造。通常，组织会检查几个领域来了解潜在机会和威胁的来源。

　　法律因素--法律机构(例如联邦、州、国家/省或者城市法规)颁布的法律、立法活动和诉讼、推行的处罚都会对组织产品和服务的成功产生影响;

　　监督因素--法律实体下面的机构和非政府组织颁布的法规、原则和规章用以控制和治理行为，也能够导致某种程度的处罚和剥夺权力;

　　市场力量、行业趋势和竞争--组织竞争所处的环境;

　　股东群体--大批人、机构和其他组织，他们或对组织有所投资，或对组织的成功或行动感兴趣;

　　技术趋势和核心竞争力--对竞争优势至关重要的核心技术，对竞争必不可少的基础技术和组织技术方面的优势、劣势和重点;

　　客户--假定内部和外部客户都能够了解他们的需要、偏好和行为等;

　　内部职能分析--假设当前组织机构、员工能力和流程能力可以支持或者妨碍组织活动;

　　SWOT(优势、劣势、机会、威胁)分析--可以对经营环境中众多因素是促进还是阻碍组织加以鉴别和分类的框架。

　　内部审计关于环境分析的关注可以揭示出许多潜在风险。通过吸收战略计划，审计域将考虑到并反映总体业务目标。战略计划能反映出组织对待和实现既定目标的困难程度的态度。一般来说，审计域受到风险管理过程结果的影响。组织战略计划的制定应当考虑到组织运营的环境。同样的环境因素很可能对审计域和相关风险的评估产生影响。

　　管理层和员工

　　除了职能部门和战略计划，以风险为基础的审计的潜在审计域还应包括组织的管理层和员工。行政人员和核心经营经理具备风险意识十分重要，因为他们负责制订计划、分配用以实现计划的资源、监督实现计划的活动和评估结果。员工的风险意识同样十分重要，因为他们最接近经营活动。这两类群体都可以对于组织面对的风险有深入认识。

　　从管理层和员工处获取信息有很多方式，主要的方式如下三种：。

　　访谈(Interviews)

　　双方之间结构化的讨论：一方代表内部审计另一方代表潜在审计业务客户或者经营风险的信息来源;

　　希望能够从被访谈的人员中获取不偏颇的观点;

　　通常是重点团队和调查的先兆。