确定范围

在企业运营过程中，主要涉及财务、运营、战略、市场环境、信息技术等方面的风险，因此审计人员首先需要确定风险管理的范围，通过分析企业所处的市场环境，确定适用本企业的风险标准，选择风险测试的范围。

识别风险

在确定范围后，需要明确如何识别出企业存在的风险。内部审计人员可以通过关键审计程序，确定风险所属的领域，对识别出的风险进行分类并定义该风险的性质。在现代经济背景下，审计人员在识别风险过程中，可以重点关注企业日常经营中发生的重大事项、企业所处的内外部环境以及企业管理层在管理过程中的一些细节性问题等方面。

分析风险

内部审计人员可以通过分析风险损失额、风险发生的概率以及风险的发生频率来进行风险分析。还可以根据重要性原理来划分风险层级，对不同层级的风险采取不同的风险分析方法，比如对宏观风险分析时，可采用PEST分析；对企业竞争能力方面的风险进行分析则可以采用SWOT分析和关键因素分析。

评价风险

在评价风险这一环节中，审计人员首先需要识别出哪些风险是可以接受的，哪些风险是不可以接受的，再对各类风险由高到低进行排序。需要注意的一点是，在评价风险过程中，如果审计人员发现评估的审计风险在风险管理过程中发生变化时，应对审计风险重新进行分析，确定审计风险是否在可接受范围内，对于超出可接受范围的审计风险，审计人员应对其实施进一步的测试。

处置风险

审计人员有以下四种方式处置识别出的风险：规避、控制、转移、接受。规避风险是指通过国家颁布的监管法规，或者企业的内部管控制度将审计风险降至可接受水平；控制风险是指通过执行内部控制将风险控制在可接受范围内；转移风险是指审计人员采用适当的方式将审计风险转移至行业内部或外部的过程；风险接受是指接受现有风险，而非采取措施对现有风险进行管理。需要明确的是，风险是一把双刃剑，而不是只会对企业产生不利影响。如果审计人员能恰当利用发现的风险，可能会大大改善企业的管理。

监督与审核

在处置风险之后，审计人员还需要对后续过程进行监督与审核，主要是内部控制流程、企业环境、企业战略以及相关利益者等方面。

沟通与协调

沟通与协调是审计工作中非常重要的一部分，要做好这一点，审计人员首先需要意识到审计是为提高企业经营效益而存在的，而不是为了给企业挑毛病，更不是企业管理的对立面。在与企业内其他部门、外部审计机构以及利益相关者沟通协调时，需要注意以下几点：第一，审计部门应配备多元化，涵盖不同年龄段、不同阶层的审计人员，以灵活应对各种类型的场合；第二，审计人员在处理人与人之间的交往时，在坚持审计基本原则的基础上也应具备一定的灵活性，要心胸宽广，体谅对方；第三，在沟通过程中，要充分揣摩对方的心理状况，注意把握沟通的频率，不要约多次谈同一个人，特别是领导。