Risico is het bepalende concept van een audit. Accountants onderzoeken bedrijven primair om operationele en financiële risico's te identificeren. Beide risicocategorieën spelen een rol in een bredere risicocategorie, engagementrisico. In de 'Audit Risk Alert 1995' werd de term 'engagementrisico' geïntroduceerd. Het bestaat uit drie onderling verbonden componenten: bedrijfsrisico van de entiteit, bedrijfsrisico van de auditor en auditrisico.
Entiteit Bedrijfsrisico
Het bedrijfsrisico van een bedrijf is het risico dat is verbonden aan de lopende werking. Dit kan externe bedrijfs- en industriefactoren, macro-economische variabelen of mislukte speculatieve ondernemingen zijn. De beslissingen van een onderneming en haar management spelen een grote rol bij deze risicobeoordeling.
Auditrisico en bedrijfsrisico van accountant
Auditrisico is het risico dat een accountant een goedkeurende of afgewogen mening geeft over financiële overzichten die materieel onjuist zijn weergegeven of anderszins onjuist zijn. Statement of Accounting Standards Nummer 47 definieert het bedrijfsrisico van een accountant als het risico dat de auditor "mogelijk wordt blootgesteld aan letsel of verlies … door geschillen, negatieve publiciteit of andere gebeurtenissen die zich voordoen in verband met financiële overzichten die hij heeft onderzocht en gerapporteerd."
Betrokkenheidsrisico
Entiteit bedrijfsrisico, bedrijfsrisico auditor en auditrisico bedreigen de reputatie en effectiviteit van het auditkantoor en dragen bij aan het totale engagementrisico, het risico dat een audit loopt door een relatie met een bepaalde klant. Dit omvat het risico van een afwijking van materieel belang, het risico voor de reputatie van een persoon in verband met een bepaalde klant, het onvermogen van de klant om de onderneming te betalen of potentiële financiële verliezen.
Risico's voor betrokkenheid verkleinen
Bij de keuze om een cliënt te accepteren of te blijven dienen, moet het auditkantoor het engagementrisico en zijn drie componenten in overweging nemen. Als een klant wordt geaccepteerd, moet de audit zo worden gepland dat de risico's van de componenten op een acceptabel niveau worden gehouden. Managementintegriteit is een sleutelfactor in aanvaardbaar engagementrisico. Door audits uit voorgaande jaren te bekijken, te praten met voorgaande auditors en onafhankelijke bronnen te raadplegen, zoals publicaties uit de industrie en vakbladen, kan de auditor de managementcompetentie beoordelen. Controleurs dienen ook rekening te houden met de onafhankelijkheid en samenstelling van de raad van bestuur. Auditors moeten risicoprocessen en -controles en rapportagevereisten voor regelgeving evalueren.Wanneer de revisor naast financiële rapporten uit het verleden wordt bekeken, moet hij beginnen de financiële gezondheid en integriteit van de organisatie te begrijpen. Als het risico van de opdracht te hoog is, dient de auditor de cliënt niet te dienen. Als een opdracht wordt geaccepteerd, moet de auditor het risico van de betrokkenheid blijven bewaken en dienovereenkomstig reageren.