회사는 전략, 운영, 환경 등을 포함하는 다양한 위험에 직면한다. 이사회는 일반적으로 회사의 위험관리를 감독하는 책임을 부담한다. 감사위원회는 이사회나 다른 위원회 등과 비교하여 감사위원회가 부담하는 위험 관리책임의 정도를 이해할 필요가 있다. 회사는 내부통제를 통해 위험을 관리한다. 내부통제의 일반적인 절차는 다음과 같다. 1단계: 전사적 수준에서의 내부회계관리제도 고려 → 2단계: 유의한 계정과목 및 주석정보의 파악/ 경영자 주장의 식별/ 유의한 업무 프로세스 파악 및 평가 대상 사업단위의 결정/ 내부회계관리제도 설계의 효과성 평가 / 내부회계관리제도 운영의 효과성 평가 → 3단계: 내부회계관리제도 평가 결과 보고 → 4단계: 내부회계관리제도 평가의 문서화

평가 절차 중 '전사적 수준에서의 내부회계관리제도 고려'에서 '유의한 업무 프로세스 파악 및 평가 대상 사업단위의 결정'까지는 하향식 접근방법 또는 위험중심의 접근방법을 적용하여 재무제표에 중요한 왜곡표시가 발생할 수 있는 위험을 식별하고 평가하기 위한 과정이다. 내부회계 관리제도 평가는 재무제표가 일반적으로 인정되는 회계처리기준에 따라 작성·공시 되었는지 여부에 대한 합리적 확신을 제공하는 것을 목적으로 하기 때문에, 재무제표상의 모든 계정과목이나 회사의 모든 업무 프로세스를 대상으로 하지 않을 수 있다. 따라서 경영진은 중요한 재무제표 왜곡표시가 발생할 가능성이 상대적으로 높은 계정과목 및 주석정보와 이와 관련된 업무 프로세스나 거래유형에 집중함으로써 내부회계관리제도의 평가를 효율적이고 효과적으로 수행할 수 있다. 즉, 최초로 내무회계관리제도를 설계하거나 평가를 시작하는 초반 단계가 아니라면, 중요한 변화사항이 없는 상황에서 위의 두 단계는 생략가능하다.

초도감사는 감사 계약을 새로 체결하는 것을 말하며, 계속 감사는 이전의 감사인에게 계속해서 감사 계약을 체결하는 것을 말한다. 감사품질의 대리변수로 재량적 발생액을 사용하여 사용초도 감사 시에 감사보수 할인이 감사품질에 미치는 영향을 연구한 결과, 초도감사기업의 감사품질은 계속감사기업에 비해 재량적 발생액이 낮게 나타나는 것을 확인하였고, 초도감사 보수할인기업의 감사품질이 초도감사 보수비 할인기업에 비하여 더욱 낮게 나타나는 것으로 보고하였다. 그러나 초도감사의 경우 전임 감사인과의 교신을 통해 정보를 교류하지만, 중요성 기준 등 새로운 시각을 적용할 수밖에 없다. 따라서 이전에 적발되지 못하던 내부통제의 취약점과 왜곡표시 등이 적발될 수 있다.

위험평가: 내부회계관리제도의 목적 달성을 저해하는 위험 즉 외부보고재무제표가 중요하게 왜곡될 수 있는 위험을 식별하고 평가 및 분석하는 활동을 의미한다. 구체적이고 명확한 목적을 설정하여 관련된 위험을 파악하고, 파악된 위험의 중요도(심각성) 정도를 평가한다. 동 절차에서 부정 위험 평가를 포함하여 고려하고, 회사의 중요한 변화사항을 고려하여 기존에 평가한 위험을 지속적으로 유지 관리하는 것을 포함한다.