风险管理审计要求内部审计师对企业的风险管理流程进行总体评价，判断企业的风险管理系统是否存在及是否有效。企业风险管理整合框架包括三个维度：第一维度是企业的目标，即战略目标、经营目标、报告目标和合规目标；第二维度是全面风险管理的八个要素，即内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、监控；第三维度是企业的各个层级，包括整个企业、各个职能部门、各条业务线及下属各子公司。

该框架三个维度的关系是，全面风险管理的八个要素是为企业的四个目标服务的，企业各个层级都要坚持同样的四个目标，都必须从以上八个方面开展风险管理活动。

一、风险管理政策的审核

内部审计师应审核：企业是否制定了正式的风险管理政策；该政策是否阐述了应如何发展和实施风险管理流程；风险管理政策采用的风险定义和公用语言是否适合企业文化和经营方式；风险管理政策是否充分规定了高级经理层、经理、合作伙伴、审计人员和所有人员的职责；风险管理政策是否包括了将基本风险循环嵌入经营流程的方法，以确保风险渗透整个企业；风险管理政策是否将风险与经营相结合，以使其能够高效地处理风险并能适应企业发展方向；风险管理政策是否包括COSO风险管理框架的八要素。

二、风险目标设定的审核

风险目标设定是指管理层必须基于目标来识别成功的潜在因素。风险管理应确保管理层有一个程序来设定目标、选择支持和连接企业使命的目标，并保证和企业风险偏好一致。目标设定的审核主要从企业目标制定与实施方面进行评价。内部审计师应审核：企业战略是否考虑了董事会已识别的风险；在定义、识别风险以及在决策及实施过程中，企业战略是否与风险管理政策一致；是否存在适当的程序，使企业能够将目标分解至实施层，使其对相应的风险负责；战略制定是否在绩效和合规之间取得平衡，且充分了解了各种利益相关者的责任；企业战略是否考虑了利益相关者对尽早回报的期望与经营增长和市场地位的可持续性之间的内在冲突未得到解决的风险；是否建立了企业战略与员工进行沟通的系统，并与战略设计和实施中的关键风险相结合；企业战略是否考虑了风险战略，从而对战略未能实现其既定目标的风险进行整体应对；企业目标是否包含于COSO企业风险管理框架中的战略目标、经营目标、报告目标和合规目标相对应的不同层次的目标。

三、风险识别和评价的审核

风险识别是识别企业目标实现产生影响的潜在风险。风险识别包括内部和外部的反映潜在因素影响战略执行和目标业绩的要素。其目的在于建立并强化贯穿企业的风险语言、形成以组合的观点来考虑各种事项。风险评估是评估识别出来的风险，是为了管理风险打基础。