审计项目的选择和执行通常是基于组织的年度审计计划来进行的，审计计划是根据风险评估结果依据风险等级依次排序制定的，风险评估通常是审计计划制定过程中的一个最核心组成部分和重要依据，由企业专业的风险评估小组会对其业务流程、功能部门或项目进行风险评估，以确定那些地方最有可能出现问题或者最有可能影响组织的目标实现。这个过程包括识别风险、评估风险的严重性和发生的可能性，以及确定现有控制措施的有效性。

基于风险评估的结果，企业可以确定哪些领域需要优先审计，从而为审计资源的分配提供依据。通常，高风险领域会被排在审计计划的前列。然而，风险评估并不是唯一决定审计计划的因素。审计计划的制定还需考虑如下因素：

业务重要性：即使某些领域的风险评级不是最高，但由于其业务的重要性，也可能被优先考虑。

监管要求：某些审计可能由于法规要求而必须进行。

管理层关注：管理层可能对特定领域有特别关注，要求对这些领域进行审计。

审计周期：一些领域可能由于审计周期要求（如财务报表审计通常是年度的）而需要定期审计。

资源限制：审计部门的资源（如人力、专业技能和时间）也会对审计计划的制定产生影响。

审计计划应当能够灵活的根据环境变化或新出现的信息进行适当的调整。实际的审计工作也应当能够灵活应对计划之外的紧急或重要事项。