Le risque est le concept qui définit un audit. Les auditeurs examinent les activités principalement pour identifier les risques opérationnels et financiers. Ces deux catégories de risque entrent dans une catégorie de risque plus large, le risque de mission. L’Audit des risques d’audit de 1995 a introduit le terme «risque d’engagement». Il se compose de trois composants interdépendants: le risque d'entreprise, le risque d'entreprise et le risque d'audit.
Risque d'entreprise
Le risque d'entreprise d'une entreprise est le risque associé à ses activités en cours. Cela peut inclure des facteurs commerciaux et industriels externes, des variables macroéconomiques ou des projets spéculatifs infructueux. Les décisions d’une entreprise et son management jouent un rôle déterminant dans cette évaluation des risques.
Risque de vérification et risque de l’auditeur
Le risque de vérification est le risque qu’un vérificateur fournisse une opinion sans réserve ou sans réserve sur des états financiers qui ont fait l’objet d’une fausse déclaration ou qui sont par ailleurs inexacts. L’état des normes comptables numéro 47 définit le risque commercial d’un auditeur comme le risque que celui-ci «soit exposé à des blessures ou à une perte… résultant d’un litige, d’une publicité défavorable ou d’autres événements survenant en rapport avec les états financiers qu’il a examinés et dont il a rendu compte.
Risque d'engagement
Le risque commercial d'une entité, le risque commercial d'un auditeur et le risque d'audit menacent la réputation et l'efficacité du cabinet d'audit et contribuent au risque global de la mission, à savoir le risque qu'un audit présente pour l'association avec un client particulier. Cela inclut le risque d'anomalies significatives, le risque d'atteinte à la réputation d'être associé à un client particulier, l'incapacité du client à payer l'entreprise, ou des pertes financières potentielles.
Atténuer le risque d'engagement
Lorsqu'il choisit d'accepter ou de continuer à servir un client, le cabinet d'audit doit prendre en compte le risque de mission et ses trois composants. Si un client est accepté, l'audit doit être planifié de manière à maintenir les risques des composants à un niveau acceptable. L'intégrité de la gestion est un facteur clé du risque de mission acceptable. L'examen des audits de l'année précédente, les discussions avec les auditeurs précédents et la consultation de sources indépendantes telles que les publications industrielles et spécialisées permettent à l'auditeur d'évaluer les compétences de la direction. Les auditeurs doivent également prendre en compte l'indépendance et la composition du conseil d'administration. Les auditeurs doivent évaluer les processus et contrôles de risque ainsi que les exigences en matière de reporting réglementaire.Lorsqu’il examine les rapports financiers antérieurs, le vérificateur doit commencer à comprendre la santé et l’intégrité financières de l’organisation. Si le risque de mission est jugé trop élevé, l'auditeur ne doit pas servir le client. Si une mission est acceptée, l'auditeur doit continuer à surveiller les risques liés à la mission et à réagir en conséquence.