管理层通常掌握更多业务信息，也承担经营结果责任，因此其风险判断具有天然的重要性。

但在实际运行中，任何判断都可能受到目标压力、经验路径与信息结构的影响。

这意味着，部分风险并非无人关注，而是在现有认知框架下，被赋予了较低的重要程度。

内部审计在这一阶段的价值，在于识别：

哪些风险，可能尚未被充分理解。

风险被低估，常见原因之一，是过去经验仍然有效的惯性判断。

当某项业务长期稳定运行，且过去未出现明显问题时，组织容易形成一种认知：

现有控制基本有效

当前模式总体可持续

风险水平处于可控范围

这种判断在稳定环境中往往具有合理性。

但当外部环境、业务结构或技术条件发生变化时，过去经验的解释力可能逐步下降。 ……