P520 页第125题修改说明：本题的答案和解题思路修改的部分已用红字标出。

125. A newly established internal audit activity, conducting an initial risk assessment, finds that the organization has no risk management process in place. Which of the following would be an appropriate response according to The IIA's Professional Practices Framework?
a. The internal audit activity should recognize that the decision to establish a risk management policy belongs to management and is not within the scope of the internal audit activity.
b. The chief audit executive should seek the advice of legal counsel about violations of regulations governing risk management.
c. The internal audit activity should make suggestions to management regarding ways to establish such a process.
d. The internal audit activity should consider lack of a risk management process to be a red flag and should schedule a management fraud engagement.
一个新确定的内部审计活动正在实施一项初始风险评估。发现组织并没有风险管理流程。按照IIA专业实务框架，下列哪种行为是恰当的反应？
a．内部审计活动应该认识到建立一套风险管理政策是管理层的责任而不是内部审计活动的职责范围。
b. 首席审计执行官应该向法律顾问咨询关于违反治理风险的监管规定。
c．内部审计活动应该向管理层提出诸如建立流程的管理建议。
d. 内部审计活动应该考虑因缺乏风险管理而导致的舞弊信号并列出管理层舞弊审计业务的日程表。
答案：c
解题思路：
a. 不正确。现代内部审计的定义指出：内部审计的职责是评价并改善风险管理、控制和治理过程的效果。
b. 不正确。见题解d。
c. 正确。管理层是风险的拥有者并应承担风险管理的职责，如果组织尚未建立风险管理过程，内部审计师 该 内容由 中 审 网 校 所 属 w w w.auditcn.com应该按照《实务公告》2100-4的要求提请管理层注意这种情况，并同时提出建立风险管理过程的相关建议。
d. 不正确。尽管缺少风险管理流程是一个舞弊信号，但在没有进一步的证据证明舞弊可能发生的情况下去建立舞弊审计业务的日程表还为时尚早。在大多数企业中，虽然缺少风险管理流程，并没有违反法律法规。