国际内部审计师协会(IIA)认为内部审计是一种独立、客观的确认和咨询活动，它通过应用系统、规范的方法，评价并改善组织的风险管理、控制和治理过程的有效性，帮助组织实现目标。显而易见，随着客观环境的发展，内部审计已将评价和改善组织的风险管理作为其重要职能之一，内部审计人员必须树立风险理念，将风险识别、评价和控制融入到实际工作中。按照COSO的ERM报告，在风险管理过程中，内部审计机构和人员的职责是应用一定的风险管理方法和审计方法，检查风险管理过程的充分性和有效性，评估风险是否得到有效控制，且以报告形式提出意见，为管理层及审计委员会提供帮助。

虽然COSO和IIA都强调了内部审计在风险管理中具有重要的地位和作用，但我们也发现，事实上无论IIA还是COSO都没有对内部审计如何具体参与企业风险管理作出相应的阐述。针对企业的风险管理的具体情况来看，内部审计参与风险管理是一个逐步发展的过程，在不同的阶段中，内部审计工作的侧重点各有不同。

企业未建立风险管理机制时，作为职能部门，内部审计应积极向管理层提出建立风险管理机制的建议。提请管理层关注风险。并且内部审计工作计划应该是在风险分析的基础上制定。如果企业管理层提出建立风险管理机制的要求，内部审计部门可以通过咨询服务的方式，积极协助企业风险管理过程的建立，内部审计人员可以运用对企业内部情况比较了解的优势和专业知识，从独立客观的角度为审计委员会和管理层提供有价值的咨询服务。内部审计可以通过指导管理层和相关业务部门对风险进行识别与评估，明确管理层的风险偏好和风险容忍度，并相应地做出风险应对等方式来协助管理层建立风险管理机制，促进企业的风险管理水平的提高。如果企业建立了风险管理机制，内部审计就可以将对风险管理的评价作为审计工作的内容之一，以检查、评价企业对风险管理的适当性和有效性。内部审计人员应当对风险识别过程、风险评估的方法、风险应对措施进行审查与评价，审查评价风险管理过程的充分性适当性和有效性，并对于风险管理过程存在的问题提出改进建议。

ERM将企业的内部审计人员推上非常重要的地位，认为内部审计人员可以通过对管理者风险管理过程的充分性、适当性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理层和董事会履行其职责。实际工作中，内部审计通常并不将企业的风险管理过程作为一个专门审计项目予以开展，其原因在于风险管理措施、手段与企业的内部控制整体不可分割，因此内部审计参与风险管理仍然体现在项目选择和项目实施中。其中项目选择更加突出体现风险管理理念，项目选择实质上就是年度审计计划的制定。可以说，将风险管理理念和方法融入内部审计年度审计计划的制定是科学合理的选择。