风险管理包括组织整体及职能部门两个层面。内部审计人员只能对职能部门风险管理进行审查与评价。