Ketika internal auditor sudah memahami tujuan organisasi dan proses
kunci yang digunakan untuk mencapai tujuan tersebut, langkah berikutnya adalah mengevaluasi risiko bisnis yang dapat menghalangi pencapaian tujuan tersebut. Bagi organisasi yang telah menerapkan Enterprise Risk Management (ERM), umumnya manajemen telah mengembagkan suatu risk profile. Dalam kasus tersebut maka fungsi internal audit dapat membangun penilaian risikonya dari risk profile tersebut. Bila risk profile tidak tersedia, maka fungsi internal audit adalah menyusun profil sebagai titik awal untuk perencanaan audit tahunan.
Pendekatan umum yang dapt dilakukan untuk mengembangkan risk
profile adalah dengan melakukan sesi brainstorming dengan senior manajemen atau, jika mereka tidak dapat, dengan anggota fungsi internal audit. Potensi risiko dibagi ke dalam 4 (empat) kategori sesuai dengan ERM COSO yaitu Strategic Risks, Compliance Risks, Reporting Risks, dan Operations Risks.
Risiko yang beraneka ragam tersebut kemudian dinilai dampak dan
keterjadiannya seperti gambar di bawah ini. Tahap selanjutnya adalah dimasukannya risiko-risiko yang telah terdapat dalam Risk Model ke dalam Matriks Risk Assessment di atas dan menghubungkan risiko yang telah teridentifikasi dengan tujuan spesifiknya. Hal tersebut akan membantu untuk memastikan bahwa semua risiko kunci, dan dampak yang dihasilkan telah diidentifikasi.
