第1章 为什么要有风险管理
1．1 引言
1．2 风险管理框架模型：阶段Ⅰ
1．3 风险管理框架模型：阶段Ⅱ
1．4 风险管理框架模型：阶段Ⅲ
1．5 风险管理框架模型：阶段Ⅳ
1．6 风险管理框架模型：阶段Ⅴ
1．7 小结

第2章 确定风险管理成熟度
2．1 引言
2．2 风险管理成熟度模型：阶段Ⅰ
2．3 风险管理成熟度模型：阶段Ⅱ
2．4 风险管理成熟度模型：阶段Ⅲ
2．5 风险管理成熟度模型：阶段Ⅳ
2．6 风险管理成熟度模型：阶段Ⅴ
2．7 小结

第3章 企业层面的风险管理
3．1 引言
3．2 企业风险管理模型：阶段Ⅰ
3．3 企业风险管理模型：阶段Ⅱ
3．4 企业风险管理模型：阶段Ⅲ
3．5 企业风险管理模型：阶段Ⅳ
3．6 企业风险管理模型：阶段Ⅴ
3．7 小结

第4章 风险容量
4．1 引言
4．2 风险容量模型：阶段Ⅰ
4．3 风险容量模型：阶段Ⅱ
4．4 风险容量模型：阶段Ⅲ
4．6 风险容量模型：阶段Ⅴ
4．7 小结

第5章 控制风险自我评估
5．1 引言
5．2 控制风险自我评估模型：阶段Ⅰ
5．3 控制风险自我评估模型：阶段Ⅱ
5．4 控制风险自我评估模型：阶段Ⅲ
5．5 控制风险自我评估模型：阶段Ⅳ
5．6 控制风险自我评估模型：阶段Ⅴ
5．7 小结

第6章 制定审计方法
6．1 引言
6．2 审计方法模型：阶段Ⅰ
6．3 审计方法模型：阶段Ⅱ
6．4 审计方法模型：阶段Ⅲ
6．5 审计方法模型：阶段Ⅳ
6．6 审计方法模型：阶段Ⅴ
6．7 小结

第7章 虚幻的完美
7．1 引言
7．2 糟糕的实践模型：阶段Ⅰ
7．3 糟糕的实践模型：阶段Ⅱ
7．4 糟糕的实践模型：阶段Ⅲ
7．5 糟糕的实践模型：阶段Ⅳ
7．6 糟糕的实践模型：阶段Ⅴ
7．7 小结

第8章 全面的ERM理念
8．1 引言
8．2 ERM程序模型：阶段Ⅰ
8．3 ERM程序模型：阶段Ⅱ
8．4 ERM程序模型：阶段Ⅲ
8．5 ERM程序模型：阶段Ⅳ
8．6 ERM程序模型：阶段Ⅴ
8．7 小结
附录A 应用ERM诊断工具

      评估，审计师又如何才能决定呢？
      为了讨论审计师在风险管理中的职能，我们需要再来温习一下内部审计的定义：
内部审计是一项独立客观的鉴证和咨询活动，旨在增加价值和改善组织的经营状况。它通过应用系统的、受过训练的方法，来评价和改善风险管理、控制及治理过程的效果，以帮助组织实现其目标。
该定义的精髓即在于，审计要评价和改善风险管理过程。评价使审计师能够对管理做出正式的鉴证。鉴证服务的定义如下：
      鉴证服务是指内部审计师客观地评价证据，以提供关于过程、系统或其他主体的独立意见或结论。鉴证服务的性质和范围由内部审计师来决定。鉴证服务通常涉及如下三方：（1）直接参与过程、系统或其他主体的人或团体——过程的所有者；（2）做评估的人或团体——内部审计师；（3）使用评估结果的人或团体——使用者。
       作为对比，咨询服务被描述如下：
       咨询服务是咨询性质的，一般会根据签约客户的特殊要求来完成。咨询业务的性质和范围应遵照已同客户签约的合同。咨询服务一般涉及如下两方：（1）提供咨询的人或团队——内部审计师；（2）寻求和获取咨询的人或团队——签约客户。执行咨询服务时，内部审计师应保持客观性，但不承担管理责任。
审计师的角色，处在如下两个层面之间：一是为董事会、审计委员会和高级管理者鉴证风险管理的状态；二是为企业管理当局提供咨询，以帮助其适当改善管理现状。这也暗示着，审计师的职能更多地取决于组织建立良好风险管理的状态，正如下文所述：
       内部审计师可提供咨询服务，以改善组织的治理、风险管理和控制过程。内部审计师提供ERM咨询的程度取决于董事会可获取的来自内、外部的其他资源，也取决于组织的风险成熟度及其随时间而发生变动的可能性。内部审计师在考虑风险、理解风险与治理的关系、促进风险管理便利化方面是专家。这也就意味着其有资格成为ERM的倡导者，甚至是项目经理，特别是在引入ERM的早期阶段。
     本章所应用的模型正是建立在风险成熟度主题的基础之上。