在审计过程中，信息系统审计师注意到某个中等规模组织的信息技术部门不具备单独的风险管理职能，并且该组织的运营风险文档中仅包含几类泛泛而谈的信息技术风险。在这种情况下，以下哪个选项是最适当的建议？

A、创建一个IT风险管理部门，并且在外部风险管理专家的帮助下建立一个IT风险框架

B、使用通用的行业标准辅助程序将现有风险文档分为多个单独的风险类型，以便更易于处理

C、无须任何建议，因为当前的方法适合中等规模的组织

D、建立定期召开IT风险管理会议的制度以识别和评估风险，并且创建一个缓解计划以投入该组织的风险管理流程。

正确答案：建立定期召开IT风险管理会议的制度以识别和评估风险，并且创建一个缓解计划以投入该组织的风险管理流程