在审计期间，审计师注意到一个中型的IT部门并没有独立风险管理功能，该组织的业务风险文档只包含了一些大致IT风险描述。在这种情况下什么建议是适当的？（）

• A、创建IT风险管理部门，建立IT风险与外部风险管理专家的援助框架
• B、使用通用的行业标准分为几个单独的风险，会更容易处理存在的风险
• C、没有建立的必要，因为目前的做法是一个中等规模的组织所适合的
• D、建立经常性的IT风险管理会议，以确定和评估风险，并创建一个可能覆盖通用的行业标准的该组织的风险