L’évaluation des risques d’audit est souvent la troisième étape d’un plan d’audit. À ce stade, les auditeurs examinent et analysent les risques potentiels que peuvent présenter les états financiers d’un client. Les deux types de risques courants sont le risque inhérent et le risque commercial, bien que d’autres types puissent certainement survenir lors de l’examen de l’entreprise. Les risques inhérents sont liés aux anomalies significatives trouvées dans les informations ou les états financiers ; ces risques peuvent également faire partie des contrôles internes de l’entreprise. Le risque commercial comprend les problèmes liés à la gestion, y compris la possibilité de fraude.
Les auditeurs doivent répondre à trois questions lors de l’évaluation des risques d’audit dans un plan d’audit. Il s’agit notamment de ce qui pourrait mal tourner, de la probabilité que cela tourne mal et des montants susceptibles d’être affectés dans les données financières. Il est difficile pour les auditeurs d’identifier des domaines spécifiques qui présentent toujours un risque accru lors d’un audit. Les auditeurs doivent mener des entretiens initiaux et examiner les déclarations pour déterminer la possibilité d’inexactitudes ou de fraude. Après des entretiens de base, les auditeurs peuvent avoir une idée d’informations spécifiques nécessitant un examen plus approfondi.
Les contrôles internes d’une entreprise constituent généralement un domaine d’examen lors de l’évaluation des risques d’audit. Des contrôles trop laxistes ou inexistants sont souvent des signaux d’alarme indiquant un risque d’audit accru. Par exemple, une entreprise qui permet à une personne d’effectuer plusieurs tâches comptables pose problème. Les entreprises peuvent avoir des incidences plus élevées de comportement inapproprié, de détournement de fonds ou de fraude en raison de l’absence de séparation des tâches. Peu ou pas de contrôles internes constituent à la fois un risque inhérent et un risque commercial que les auditeurs doivent prendre en compte.
Un autre problème lié à l’examen des contrôles internes est le risque lié au contrôle. Ce risque est un indicateur que des contrôles internes faibles entraînent une probabilité plus élevée d’anomalies financières significatives. L’analyse des contrôles internes comprend des entretiens avec les employés, la visite des installations de l’entreprise et l’examen des documents préparés par le client. Chaque partie de ce processus d’évaluation des risques d’audit permet aux auditeurs de déterminer le risque croissant du risque potentiel d’un audit. À partir de ces informations, les auditeurs peuvent concevoir des tests supplémentaires pour analyser les risques.
Le risque commercial peut être un peu plus facile à examiner. Les auditeurs peuvent simplement examiner les antécédents de chaque dirigeant et sa capacité à travailler dans l’entreprise. Comparer le client à d’autres entreprises sur le marché actuel est une autre partie de l’évaluation des risques d’audit. Les clients dont la situation financière est fragile peuvent avoir besoin d’une évaluation en termes de solidité pour rester une entreprise en activité. Les limitations découlant d’un risque commercial excessif peuvent amener les auditeurs à reconsidérer la prise en charge de l’entreprise en tant que client.