《国际内部审计实务公告》第2010—2：审计计划对风险和风险的暴露的关注强调首席审计执行官应该制定以风险为基础的计划，以确定内部审计活动重点。具体方法是在风险评估和风险暴露优先次序的基础上安排审计工作。根据以上论述，我们认为如果企业已经建立起风险管理机制并开展了风险管理工作，则内部审计完全可以利用其成果，有针对性地选择审计重点;如果企业尚未建立风险管理机制，则内部审计可以按照风险管理的理念和思路开展风险识别、风险评估等工作，并以此为基础制定年度审计计划，确定审计重点。

风险识别是风险管理中的关键和难点，如何识别风险也是审计计划制定过程中的关键起点。这里我们充分利用传统的审计风险控制模型来和内部控制评价理论来确定风险识别的方法。传统审计风险模型认为，审计风险=固有风险×控制风险×检查风险，当审计师可接受的审计风险水平确定时，固有风险、控制风险与检查风险成反比例关系，也就是说当审计师识别了高固有风险和高控制风险领域，那么其检查风险就会降低。显然识别风险就是要识别固有风险和控制风险，但在实际操作中，固有风险与控制风险往往相伴相生，我们通常并不将其分开识别和评估。同时考虑到内部控制评价对企业业务流程的分解和评价与这里的风险识别和评估有着共同特点，因此我们可以参照内部控制评价方法细化流程中的控制环节，针对各个控制环节识别并评估固有风险和控制风险的高低，这将大大降低风险识别的盲目性。具体步骤是根据内部控制评价体系的基础资料，制定风险评估方案，进行风险识别、风险调查、风险专业判断、风险评估及报告和实际运用(制定审计计划)，当然对固有风险和控制风险的评估结果并不是制定审计计划的唯一依据，通常还须结合审计资源等情况，综合考虑和权衡。