El riesgo de auditoría se refiere a la posibilidad de que un error se deslice a través de una auditoría, generalmente una auditoría financiera, y resulte en un informe de auditoría defectuoso. En general, el riesgo de auditoría está representado por la siguiente fórmula: Riesgo de auditoría (AR) = IR x CR x DR. En la fórmula, IR, o riesgo inherente, se refiere a la susceptibilidad de incorrección, asumiendo que no hay controles internos para contrarrestar esa posibilidad de incorrección. El riesgo de control (CR) expresa la posibilidad de que los controles internos no capten una representación errónea, y el riesgo de detección (DR) se refiere a las posibilidades de que el auditor no detecte la representación errónea en su auditoría.

Dependiendo del porcentaje resultante que resulta de la fórmula de riesgo de auditoría, el riesgo de auditoría para una auditoría particular a menudo se caracteriza como alto, medio o bajo. El rango de porcentaje que constituye un alto riesgo de auditoría no es absoluto: depende de los factores particulares de una auditoría determinada. Aunque esta determinación proporciona un punto de partida definitivo en la evaluación de riesgos, esta herramienta ciertamente no es determinante del riesgo de auditoría real.

Durante las etapas de planificación de una auditoría, los auditores generalmente evaluarán los diversos factores que pueden aumentar o disminuir el riesgo de auditoría asociado con un trabajo en particular. Al realizar una evaluación inicial de riesgos, los auditores consideran el riesgo de incorrección material tanto a nivel del saldo de la cuenta individual como para los estados financieros tomados en su conjunto. Los factores de riesgo atenuantes, como la experiencia del personal, la simplicidad de las transacciones y afirmaciones auditadas, y el marco de control interno existente, es un método utilizado por los auditores al evaluar el riesgo y desarrollar el alcance de la auditoría. Dichas consideraciones se utilizan para definir la materialidad que será el punto de referencia utilizado por los auditores al desarrollar la naturaleza, el momento y el alcance de los procedimientos de auditoría sobre la información financiera.

Se considera que la importancia relativa es la cantidad por la cual un usuario de los datos financieros, que tiene una comprensión razonable del negocio, habría tomado una decisión diferente si la información omitida o mal expresada hubiera estado disponible. Cuanto mayor sea el riesgo percibido, menor será el umbral de materialidad; esto da como resultado un mayor alcance de las pruebas. Las pautas descritas en las Normas de auditoría generalmente aceptadas (GAAS) ayudan a los auditores a estructurar sus procedimientos de auditoría para mitigar el riesgo. Los GAAS son emitidos por el Instituto Americano de Contadores Públicos Certificados (AICPA) y crean un marco de alto nivel para que los auditores lo utilicen como una forma de gestión de riesgos para reducir el riesgo inherente asociado con cada trabajo. A través de la prueba del auditor de las afirmaciones de los estados financieros, el riesgo debe reducirse a un nivel aceptable para los auditores antes de proporcionar una opinión de auditoría limpia sobre los estados financieros.