风险评估中，审计师应当首先了解被审计单位及其环境，然后实施询问被审计单位管理层和内部其他相关人员、分析程序、观察和检查、考虑其他信息、项目组讨论等程序，以便以识别与评估财务报表层次和认定层次的重大错报风险。
其中：了解被审计单位及其环境，至少应当包括以下方面：
①被审计单位所在行业相关状况、法律环境与监管环境以及其他外部因素；
②被审计单位的性质；
③被审计单位对会计政策的选择和运用；
④被审计单位的目标、战略以及相关经营风险；
⑤被审计单位财务业绩的衡量和评价；
⑥被审计单位的内部控制。这些情况可通过统计年鉴、行业协会、行业网站等途径获得相关资料；与被审计单位管理层交流、审阅其编制的相关资料和报告、审阅其会议资料和决议、实地观察其生产经营场所和活动等；以及项目组内讨论。
询问程序，其信息来源于被审计单位的管理层和对财务报告负有责任的人员、内部审计师、以及负责生成、处理或记录复杂、异常交易的人员及其监督人员、负责法律事务的人员、采购人员、生产人员、销售人员等。
分析程序，其信息来源于被审计单位的不同财务数据以及财务数据与非财务数据，通过对其采用比较分析法、比率分析法、结构分析法和趋势分析法进行评价。其中，比较分析中需要利用到本期未审计数与上期已审计数、本期计划数、预算数、同行业标准或审计人员计算结果等，故而会涉及到相关财务数据的纵向和横向比较、以及与行业内相关标准的比较等。
观察和检查程序，其信息来源于被审计单位相关的文件及记录、内部控制手册、管理层和治理层编制的报告例如中期管理层报告等、实地考察被审计单位的生产经营场所和设备，对交易在财务报告信息系统中的处理进行穿行测试等。
考虑其他信息，其信息来源于项目组内部的讨论、客户承接或续约过程以及向被审计单位提供其他服务所获得的经验、询问被审计单位外部法律顾问、证券分析师或信用评价机构的报告、财经报纸或杂志的相关文章等。
项目组讨论，其信息来源受项目组成员的职位、经验和所需要信息的影响，一般主要涉及到成员分享了解到的信息、审计思路和方法、项目组的审计方向等。