审计风险是审计师对含有重大不实事项的财务报表产生错误判断的可能性，即审计评价与被审计单位事实不符的可能性。

审计风险=固有风险×控制风险×检查风险

固有风险是指假定不存在相关的化解风险的控制措施，而产生的风险。

控制风险是指设计和执行相关的内部控制之后，控制未能防止或纠正错报带来的风险。例如，管理层对收入造假偏好的动因是固有风险，如果控制没能防范这种对造假偏好的风险，就属于控制风险。

固有风险和控制风险合并称为重大错报风险。

剩余风险是指管理层采取措施以减小负面事件的影响、降低其发生的可能性后仍然存在的风险。

剩余风险=固有风险-组织风险管理应对方式的总和

风险导向内部审计关注的是剩余风险，而不是组织所有的高风险领域。这类风险是组织战略目标实现过程中最大的不确定性。因为风险管理可将一部分不确定性转化为相对的确定性，所以内部审计人员无须过多关注该部分风险，而要重点关注剩余风险。

在审计项目开展过程中确认或评价固有风险、控制风险后，审计人员应确定审计重要性水平，从而降低审计风险。当然审计风险并不是越低越好，在把握审计风险的同时还要考虑审计成本，因此审计人员应平衡审计风险，将其降低至审计机构可以接受的水平。