內部審計通常可協助企業通過以下10個步驟，建立內控治理框架，為企業內控製度提供全麵保證打下基礎。

（1）列明關鍵風險領域，提請董事會批準。內審部門應協助各級運營管理層、各職能部門分析並列明主要風險流程，彙總後報高級管理層、董事會批準；

（2）協助企業明確並記錄所有風險偏好／容忍度；

（3）持續的風險管理，內部審計應協助企業采取自上而下和自下而上的策略，開展持續的風險分析和評估；

（4）風險記錄，協助企業記錄風險評估結果；

（5）記錄不同風險領域的所有人、管理手段；

（6）基於企業價值製定戰略／商業模式，根據風險評估結果並結合企業風險偏好／風險容忍度，識別對當前戰略及商業模式提出挑戰；

（7）預警機製（監測），協助企業建立預警監督機製，如監督關鍵風險指標、最大風險，與風險容忍度相關聯進行評估，就關鍵風險事件／風險信號向高級管理層或董事會報告；

（8）部門主管對關鍵風險的評估，內審部門應定期協助各業務部門主管評估關鍵風險，如公司治理、各項評價報告的滿意度（內審、自我評估、外審）、不同領域風險變化等；

（9）彙總報告，協助企業將各方麵獲得的報告彙總，並形成總體報告；

（10）向股東提供彙總報告。

通過筆者的觀察，大多數企業擁有上述框架中提到的部分環節，但很少能夠擁有全部。在亞洲的經驗表明，目前多數跨國企業已經不同程度地運用了持續的風險管理係統（階段3）及相應的風險記錄。但是對於列明主要風險領域及記錄風險偏好（階段1和階段2）或者是對商業模型提出挑戰（階段6），目前在非金融行業尚未普遍運用。另外一個針對非金融服務行業的有價值的發現是他們的風險管理往往沒有嵌入企業的業務構架中。內控治理評估及彙總報告（階段8及階段9），是董事會評價內控治理有效性的依據。

最近，三道防線理論往往被用來評估控製保證程序。最佳實踐是通過設置三道防線來獲得保證，包括：　　第一道防線，由業務部門和管理流程組成，使責任的落實，以確保業務部門人員能夠識別、負責和應對以降低風險。這道防線通常包括了內部控製體係、內部控製自我評價、控製持續監督等。這些通常被認為是管理層提供的嵌入式業務流程的保證機製。

第二道防線，由各製定風險管理政策、指引並總體監控風險的風險職能部門組成。他們也可能管理一些調查和違規行為。屬於第二防線的部門可能是承擔風險及合規職能的各業務部門、法律、健康與安全、企業社會責任、全球客戶與貿易、道德與合規等。這些可以看做是獨立於管理流程的定期保證機製。

第三道防線，由內部審計和外部審計組成。他們對控製提供獨立監控、獨立審計並報告。有些時候，監管部門也會定期執行獨立檢查。

將各道防線與關鍵業務流匹配，將形成風險與控製信息圖（見圖2）。該圖能夠將各業務流程、關鍵風險、防範措施（三道防線）有機結合並整體展示，是高級管理層、董事會／審計委員會以及內部審計分流程檢查管理活動的有效工具模板。

如圖2所示，左列（一）流程完全保證摘要表示需要控製的風險領域，右列（二）則表示三道防線的控製信心。在相關部門分別分析各道防線的管控狀況後，該工具在總結部分單元格中列示彙總結果（如標注顏色的單元格表示控製是否運作有效或是否缺少控製）。那些存在無效控製的風險領域，則需要引起管理層以及內部審計的充分重視，製定並執行相應解決方案。當然形成綜合的全麵彙總的起點，是確保嚴格執行了內控治理框架中的每一個步驟，確保覆蓋了所有的重要的風險領域。風險與控製信息圖能夠讓人較直觀的看到有哪些領域有各防線控製活動的疊加，而另外一些領域尚沒有被控製活動涵蓋。

通過將風險與業務流程匹配並獲得控製，並將主要業務流程的風險受控程度進行彙總，就能夠了解公司整體內控治理狀況（見圖3）。內部審計人員可據此評估現有審計計劃的適當性，並在風險較高的流程開展更多工作，同時對於一些專業領域，內部審計人員可適當的引入內部或外部的專家參與以提高內審工作結果的有效性。而高級管理層、董事會／審計委員會，則可以通過內控治理框架總體工作成果，該評估企業的風險管治狀況並做出相關決策的應對，以及發表對公司風險和治理的聲明。