在审计期间，审计师注意到一个中型组织的IT部门并没有独立的风险管理功能，该组织的业务风险文档只包含了一些大致IT风险描述。在这种情况下什么是最适当的建议？

A.创建IT风险管理部门，建立IT风险与外部风险管理专家的援助框架

B.使用通用的行业标准分为几个单独的风险，会更容易处理存在风险

C.没有建议的必要，因为目前的做法是一个中等规模的组织所适合的

D.建立经常性的IT风险管理会议，以确定和评估风险，并创建一个该组织的风险管理减轻计划

答案与解析：D

建立定期会议是最好的方法来识别和评估在一个中型组织的风险，解决各自的管理责任，并随时保持风险清单和减灾计划是最新的。一个中等大小的组织，一般不会有单独的IT风险管理部门。此外，风险管理通常足够，外部的帮助没有必要。虽然共同的风险可能被通用的行业标准所覆盖，但他们不能处理一个组织的具体情况。如果没有一个组织内部的详细评估，个别风险会不会被发现。分置成几个风险状况是不够的。