Il rischio è il concetto che definisce un audit. I revisori esaminano le imprese principalmente per identificare i rischi operativi e finanziari. Entrambe queste categorie di rischio rientrano in una più ampia categoria di rischio, rischio di coinvolgimento. Il 1995 Audit Risk Alert ha introdotto il termine rischio di coinvolgimento. Consiste di tre componenti correlate: rischio di impresa, rischio di business del revisore e rischio di audit.
Entity Business Risk
Il rischio aziendale di un'azienda è il rischio associato alla sua attività in corso. Ciò può includere fattori aziendali e industriali esterni, variabili macroeconomiche o iniziative speculative fallite. Le decisioni di un'azienda e il suo fattore gestionale incidono pesantemente su questa valutazione del rischio.
Rischio di audit e rischio aziendale del revisore
Il rischio di revisione è il rischio che un revisore fornisca un giudizio senza riserve o pulito sui rendiconti finanziari che sono stati materialmente inesatti o altrimenti imprecisi. Dichiarazione dei principi contabili Il numero 47 definisce il rischio aziendale di un revisore come il rischio che il revisore "possa essere esposto a lesioni o perdite … da contenzioso, pubblicità negativa o altri eventi derivanti in relazione a bilanci che ha esaminato e segnalato".
Rischio di coinvolgimento
Il rischio di business delle entità, il rischio di business dei revisori e il rischio di audit minacciano la reputazione e l'efficacia dell'impresa di revisione contabile e contribuiscono al rischio di coinvolgimento complessivo, che è il rischio che un audit affronta dall'associazione con un particolare cliente. Ciò include il rischio di errori significativi, il rischio che la propria reputazione sia associata a un particolare cliente, l'incapacità del cliente di pagare l'impresa o potenziali perdite finanziarie.
Mitigazione del rischio di coinvolgimento
Quando si sceglie di accettare o continuare a servire un cliente, la società di revisione dovrebbe considerare il rischio di coinvolgimento e le sue tre componenti. Se un cliente viene accettato, l'audit deve essere pianificato in modo tale che i rischi del componente siano mantenuti a un livello accettabile. L'integrità gestionale è un fattore chiave nel rischio di coinvolgimento accettabile. La revisione degli audit dell'anno precedente, la discussione con i revisori precedenti e la consultazione di fonti indipendenti come le pubblicazioni industriali e commerciali consentono al revisore di valutare le competenze gestionali. I revisori devono anche considerare l'indipendenza e la composizione del consiglio di amministrazione. I revisori devono valutare i processi e i controlli sui rischi e i requisiti di segnalazione regolamentare.Se esaminati insieme alle passate relazioni finanziarie, il revisore deve iniziare a comprendere la salute finanziaria e l'integrità dell'organizzazione. Se il rischio di coinvolgimento è ritenuto troppo alto, l'auditor non dovrebbe servire il cliente. Se un incarico è accettato, il revisore deve continuare a monitorare il rischio di coinvolgimento e reagire di conseguenza.