Risiko er det definerende koncept for en revision. Revisorer undersøger virksomheder primært for at identificere operationelle og finansielle risici. Begge disse risikokategorier indgår i en bredere risikokategori, engagementrisiko. 1995 års revisionsrisikoalarm indførte begrebet engagementrisiko. Den består af tre indbyrdes forbundne komponenter: virksomhedens forretningsrisiko, revisors forretningsrisiko og revisionsrisiko.
Entity Business Risk
En virksomheds forretningsrisiko er risikoen forbundet med den igangværende drift. Dette kan omfatte eksterne forretnings- og industrifaktorer, makroøkonomiske variabler eller mislykkede spekulative ventures. Beslutningerne i et selskab og dets ledelse har stor betydning for denne risikovurdering.
Revisionsrisiko og revisors forretningsrisiko
Revisionsrisiko er risikoen for, at en revisor giver en ukvalificeret eller ren udtalelse om årsregnskaber, der er væsentligt fejlagtige eller ellers ikke er korrekte. Redegørelse for regnskabsstandarder Nummer 47 definerer revisors forretningsrisiko som risikoen for, at revisor "kan blive udsat for skade eller tab … fra retssager, ugunstige reklamer eller andre begivenheder, der opstår i forbindelse med regnskaber, som han har undersøgt og rapporteret om."
Engagement Risiko
Virksomhedens forretningsrisiko, revisors forretningsrisiko og revisionsrisiko truer revisionsfirmaets omdømme og effektivitet og bidrager til overordnet engagementrisiko, hvilket er risikoen for, at en revision står over for tilknytning til en bestemt kunde. Dette omfatter risikoen for væsentlig fejlinformation, risikoen for ens omdømme fra at være forbundet med en bestemt kunde, klientens manglende evne til at betale firmaet eller potentielle økonomiske tab.
Mitigating Engagement Risk
Når man vælger, om man skal acceptere eller fortsætte med at betjene en klient, bør revisionsfirmaet overveje engagementsrisiko og dets tre komponenter. Hvis en kunde accepteres, skal revisionen planlægges, så komponentrisikoen holdes til et acceptabelt niveau. Ledelsens integritet er en nøglefaktor i acceptabel engagementrisiko. Gennemgang af tidligere års revisioner, taler med tidligere revisorer og rådgivning af uafhængige kilder som industri- og handelspublikationer giver revisor mulighed for at vurdere ledelseskompetencen. Revisorerne bør også overveje bestyrelsens uafhængighed og sammensætning. Revisorer skal evaluere risikoprocesser og kontroller og krav til lovpligtig rapportering.Når man gennemgår sammen med tidligere regnskabsrapporter, skal revisor begynde at forstå organisationens økonomiske sundhed og integritet. Hvis engagementsrisiko menes at være for høj, bør revisor ikke tjene klienten. Hvis et engagement er accepteret, bør revisor fortsætte med at overvåge engagementsrisikoen og reagere i overensstemmelse hermed.