目前使用的审计风险模型是由美国注册会计师协会1983年提出的，审计风险=固有风险×控制风险×检查风险。对于这个审计风险模型，也有过争论，主要集中于检查风险。美国审计准则说明第39号《审计抽样》曾将检查风险分解为分析性检查风险和详细测试风险，英国审计实务委员会1987年推荐的审计风险模型则在检查风险后加上了“抽样风险”。尽管存在争议，但这一基本模型已被美国的职业团体和学术界所认可。我国《独立审计具体准则第9号—内部控制与审计风险》，也采用了这一模型作为审计风险的基本模型。这一模型的特点在于从风险控制程序上分解审计风险，并用连乘形式确定了审计风险在不同阶段的数量关系。它为制度基础审计提供了重要的理论基础，同时使得进一步定量评估审计风险成为可能，因而具有重要的理论意义。然而，该审计风险模型存在许多缺陷，主要表现为：

　　1 审计风险因素不够全面。传统的审计风险模型考虑的风险只与审计过程和审计顺序有关，即只能从审计主体的审计检查方法和审计对象的经营、内部控制方面考虑审计风险因素，未充分考虑审计风险产生的其他因素，如报表使用者的诉讼请求因素、社会宏观法律环境因素等。

　　2 无法描述道德风险。审计案件中存在的问题并非完全是由于技术上或程序上的失误造成的，审计主体的日常行为和工作态度有时也会成为问题的症结所在。因此，除了关注审计技术和程序的发展外，还应关注审计主体的自身行为，由此产生了审计主体的道德问题。但是，传统的审计风险模型无法描述由于不道德行为所产生的风险，包括：企业与审计主体串通舞弊；出具不恰当的审计报告；审计主体接受贿赂；审计主体为了经济利益压低价格进行不正当竞争等。

　　3 只能定性分析审计风险。传统的审计风险模型只是定性地分析了客观存在的风险。该模型考虑的风险只是有关审计风险控制的环节，并用公式来描述审计风险的概率，无法直观地进行定量分析，即计量审计风险给审计主体带来的损失金额的可能性。

　　传统的审计风险理论是建立在两个基本假设的基础上，因而只有对这两个基本假设进行深入的分析，才能全面了解该模型的不足之处。

　　1 传统审计风险模型的“反映”假设。依据审计风险的含义，审计风险的控制程序将终结于审计意见的发表。但是，在传统审计风险模型中，审计风险的最后一项要素是检查风险。我国《独立审计具体准则第9号—内部控制与审计风险》将检查风险定义为：某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报，而未能被实质性测试发现的可能性。可以看出，模型实际上将审计风险的控制终结于实质性测试（包括分析性程序）。或者说该模型存在重要的假定是：经过符合性测试和实质性测试后所取得的重要信息均将恰当地反映在审计意见中。可以具体表述为：会计师事务所内部的管理体制使得注册会计师在审计检查过程中发现或应当发现的会计报表“错报”信息必然会恰当地反映在最终的审计意见中。这种假设在许多情况下是合适的假设，比如注册会计师在检查前设计审计程序或决定测试范围时就是这样。然而在有些情况下这一假设并不合适。在许多审计失败的例子中，可以看到这样一种现象，许多会计报表的错报在审计检查阶段已经被发现或应该被发现，但审计意见对此没有给予恰当的披露。对这种现象一般的解释是注册会计师未保持应有的职业谨慎，或者面对利益诱惑，签字的注册会计师没有保持应有的独立性。那么，为什么注册会计师未保持应有的职业谨慎？为什么签字的注册会计师不能保持独立性？审计风险模型如何将这些现象纳入解释范围是新的研究方向。从理论上讲，如果实现完全的“反映”，那么对于审计意见的发表者，在“独立性”偏好与其他偏好之间必须是字典式排序的；同时，注册会计师（包括助理人员）在从审计检查到报告出具的全过程中，全部信息都会无遗漏地得到准确传递。所以“反映”假设来源于两个更基本的假定，分别为：（1）审计意见的发表者以及注册会计师的职业道德偏好假定；（2）会计师事务所内部层级之间的信息不对称假定。

　　2 传统审计风险模型的“确认”假设。审计风险指的是在一定条件下，注册会计师发表“不恰当”审计意见的可能性。遗憾的是，审计意见的 “恰当”或者“不恰当”并没有得到很好的解释，尤其是没有得到可操作性的解释。可见，传统审计风险模型忽略了审计意见“不恰当”是如何被发现的这一过程， 或者说这种模型假定“不恰当”的审计意见在可以预见的时间内会以100%的概率和某种形式被确认，而不管这种形式是什么，这一假设称之为“确认”假设。在审计实务中，审计风险表现为“审计失败”的可能性，尽管在审计失败的情形下有关利害方关注的是不恰当的审计意见内容本身，但考察报表错报或漏报信息的披露渠道对于正确理解审计风险至关重要。我认为，会计、审计和政府公告、新闻报道一样，目的在于给特定的或非特定的信息使用者提供信息。这些不同渠道所提供的信息可以相互补充，以降低财务信息的不确定性。如果制度运行良好，这些渠道所提供的信息之间不会有原则上的冲突，此时信息的使用者将不能判定某种渠道提供的信息是虚假的，也就是说在没有相反证据的情况下，信息使用者默认各种渠道的信息都是真的。当制度运行不好时，其中的一个或几个环节会出问题，各渠道提供的信息之间会有冲突，此时信息使用者运用自身的综合判断力或者通过特定手段可以鉴别信息的真假。基于上述理解，信息使用者在确认某一渠道的信息恰当与否时，必须考虑两个方面：（1）存在另外的渠道提供与该渠道信息相矛盾的信息；（2）与该渠道相矛盾的信息数量足够多或质量足够好。这就意味着，完整的审计风险控制不应终结于审计意见的发表，而且还要追加社会监督的广阔范围，如被审计单位的事后声明；证券、财政税务或其他政府监管部门对会计师事务所和被审单位的检查；职业团体或行业协会对会计师事务所的检查；媒体报道等等。传统审计风险模型未考虑“确认”这一社会环节，或者含混地将这一过程并入“固有风险”从而模糊了固有风险的含义。在“确认”假设下，该模型不能提供一个解释会计师事务所与政府监管部门、行业协会等机构特殊关系的合适框架，然而，理解这种特殊关系对于理解审计风险是非常重要的。

　　二、传统审计风险模型初步拓展

　　依据上述的批判性分析，我认为应在原模型的基础上进行拓展形成新的审计风险模型。新的审计风险模型可以用公式表示如下：审计风险=固有风险×会计控制风险 ×审计控制风险×各种替代发现风险。这里的审计风险仍然是指会计报表存在错报或漏报而注册会计师发表不恰当审计意见的可能性。然而，在理解上应当意识到这种意见必须意味着审计报告的错误被另一种方式所纠正了。

　　固有风险是指交易或事项“可能被不恰当的进行会计披露”的属性，而会计控制风险相当于原模型中的控制风险，其表示的是内部控制制度未能纠正固有风险的可能性。

　　审计控制风险与原模型中的检查风险相比意义差别较大，它表示审计过程未能纠正所审报表的错报或漏报的可能性。这里所指的“审计过程”不仅包括原来检查风险定义中所指的“实质性测试”和“分析性程序”，而且包括报告出具的程序和会计师事务所的质量控制过程。从形式上可以认为“审计控制风险=检查风险+反映风险”。其“反映”指的是审计检查发现了会计报表错报但由于种种原因未能在审计意见中反映的可能性。在会计师事务所的内部质量控制良好和注重职业道德的情况下，可以认为满足了前述“反映”假设，即“反映”风险为零，此时审计控制风险就等于检查风险。

　　替代发现风险的提出是舍弃“确认”假设的结果。替代发现风险指的是审计报告中所含意见的“不恰当”被以其他途径发现和确认的可能性。“替代发现”过程也就是前述审计意见的不恰当被确认的过程。这一过程可以通过证券监管、财政等国家权力部门和注册会计师协会的检查进行，也可以通过新闻媒体、社会舆论等其他提供有效信息的途径进行。该过程的终点有可能认定审计意见的“不恰当”，其标志可以是司法程序上的认定、行政程序上的认定、行业协会的认定或者特殊情况下舆论的认定。

　　三、审计风险模型再次拓展及审计风险的定量分析

　　建立审计风险模型的根本目的在于能直观地反映审计风险产生的原因及可能产生的后果。审计风险可以通过概率模型和货币模型来描述。前者用来反映风险发生的可能性，后者用来计量审计主体遭受的损失，即会计师事务所遭受的损失。审计风险可用如下货币模型描述：审计风险=会计师事务所可能遭受的法律赔偿损失。依据这一审计模型，不难看出，要计量审计风险关键问题是如何确定会计师事务所可能遭受的法律赔偿损失，这是一个较为复杂的运动过程，是若干因素共同作用的结果。审计风险货币模型用公式表示为：审计风险=KC×P1×P2.式中：C表示审计给审计关系人造成的客观损失；K表示赔偿系数；KC表示会计师事务所赔偿金额；P1表示审计过程给审计关系人造成客观损失的概率；P2表示审计关系人提起诉讼的概率。

　　1 确定会计师事务所赔偿金额。审计关系人受到的客观损失，是指审计关系人利用不当审计意见进行决策所造成的经济损失（C）。这是法院受理诉讼赔偿的先决条件，同时也是会计师事务所承担审计风险责任的首要条件。该值的大小取决于被审计客户未来经营是否失败和审计事项对审计关系人的重要性。会计师事务所在实施审计程序时，必须事先估计审计可能给有关利益关系人造成的损失。合理估计损失所产生的误受风险，是产生赔偿风险的前提。高估损失会产生误拒风险，影响审计效率，增加审计成本。但低估损失则会产生道德风险，如估计客户不会经营失败。如果审计关系人受到损失的事实存在，那么必将提起诉讼。会计师事务所在遭受诉讼后，一般会采取两种方式来应对，即和解方式或法院判决，这两种解决问题的方式都是以会计师事务所做出赔偿作为代价。若采用和解方式来解决诉讼问题，会计师事务所提出的赔偿金额要以受害者的客观损失为依据，并且受害者能够接受和解方案。至于法院判决方式，由于连带赔偿责任的法律制度使得会计师事务所被要求百分之百的赔偿，即使仅犯有百分之一的错误也要承担责任。按一些国家的惯例，一般是惩罚性的赔偿，赔偿金额是实际损失的5～10倍。由此可知，会计师事务所的法律赔偿值并不等于受害者的实际损失值，这个值应当是以受害者的客观损失为依据，是对审计关系人受到损失值C进行修正，即：C×修正系数（K），该系数表示会计师事务所赔偿值是受害者客观损失的倍数。KC的最大值是以会计师事务所破产为限。

　　2 确定审计关系人造成损失和提起诉讼的可能性。由于审计过程中的固有风险、会计控制风险、审计控制风险以及审计报告中所含意见的“不恰当”被以其他途径发现和确认的可能性形成的替代风险的存在，未能揭示会计报表存在重大错报或漏报给审计关系人造成客观损失，可以用概率的形式（P1）表示。该概率的数值应等于上述各种风险概率的乘积。对于会计师事务所而言，总是希望将P1控制在可接受的水平并以估计审计控制风险中的检查风险。风险具有潜在性特点，一旦受害者提起诉讼赔偿，就表现为审计的法律诉讼风险。审计关系人提起诉讼的可能性也可以用概率（P2）表示，该值的大小取决于受害者的决策。当受害者不具有法律诉讼资格时，一般会主动放弃诉讼，此时该值为零；当受害者具有法律诉讼资格时，一般不会主动放弃诉讼，但需要权衡诉讼收入与诉讼成本，是否能获得一定的诉讼收益。