审计风险模型探讨

在对审计风险的理解基本一致的前提下，通常认为存在着一个审计风险模型。教科书中的审计模型通常是这样的：审计风险＝固有风险×控制风险×检查风险（或译“觉察风险”）。对于这个审计风险模型，曾经有过的争论集中于检查风险。作为学术争论的结果和表现形式，美国审计准则说明第39号《审计抽样》曾将检查风险分解为 分析 性检查风险和详细测试风险，英国审计实务委员会1987年推荐的审计风险模型则在检查风险后加上了“抽样风险”。尽管存在争议，但这一基本模型已经被美国的职业团体和学术界所认可。我国《独立审计具体准则第9号——内部控制与审计风险》也接受这一模型作为审计风险的基本模型。

这一模型的特点在于从风险控制的程序上分解审计风险，并用连乘形式表明了审计风险在不同阶段的数量关系。这种审计风险模型为制度基础审计提供了重要的 理论 基础，同时使得进一步定量评估审计风险成为可能，因而具有重要的理论意义。在实务中注册 会计 师往往也根据这个模型和对控制风险的评估结果决定审计程序或审计范围，因而也具有重要的实践意义。然而，随着审计实践的 发展 ，审计领域出现了许多新的事实，这些新现象在原有的理论框架下变得不易理解，因而理论框架需要进一步发展和细化。本文拟就此做些探讨。对传统审计风险模型假设的探讨

传统风险理论有2个基本的假设是值得探讨的，笔者将其分别称做“反映”假设和“确认”假设。

（一）“反映”假设

依据审计风险的定义，审计风险的控制程序将终结于审计意见的发表。然而在传统审计风险模型中，审计风险的最后一项要素是检查风险。依据我国《独立审计具体准则第9号—内部控制与审计风险》的定义，检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报，而未能被实质性测试发现的可能性。因此，模型实际上将审计风险的控制终结于实质性测试（包括分析性程序）。或者说这一模型存在重要的假定是：经过符合性测试和实质性测试（包括分析性程序）后所取得的重要信息均将恰当的反映在审计意见中。这一假设可以表述为：会计公司（或事务所）内部的管理体制（及其他制度安排）使得审计人员在审计检查过程中发现或应当发现的财务报表“错报”信息必然会恰当的反映在最终的审计意见中。笔者称其为“反映”假设。

“反映”假设在许多情况下是合适的假设。例如审计人员在检查前设计审计程序或决定测试范围时就是这样。然而在另外情况下这一假设并不合适。在许多审计失败的例子中，我们可以看到这样一种现象，许多财务报表的错报在审计检查阶段已经被发现或应该被发现（例如简单的勾稽关系不符），但审计意见对此没有给予恰当的披露。常见的解释是审计人员未保持应有的职业谨慎，或者面对利益诱惑，签字的注册会计师（或所在事务所）没有保持应有的独立性。那么，为什么审计人员未保持应有的职业谨慎？为什么签字的注册会计师（或所在事务所）不能总是保持独立性？审计风险模型如何将这些现象纳入解释范围？

有关审计人员偏好的假定与主流的 经济 学分析传统是不相容的。尽管倡导职业道德是必要的，并可能会产生实质性的效果，然而作为分析的起点，审计人员的职业道德偏好不是一个好的选择，相反理性人假设具有更强的分析能力。重要的事实包括“购买审计意见”、“重要性”原则的确定以及会计公司作为一般 企业 对成本效益原则的权衡。 现代 审计中，会计公司的规模日益扩大，注册会计师在范围广泛的领域里越来越多的利用专家和辅助人员的工作。由于注册会计师本身执业能力的局限和业务本身的日益复杂，直接审计人员在检查程序中发现或应当发现的错报信息完全的传递给报告出具者并不像通常想象的那么容易。此外，处于不同层级的审计人员还存在不同的偏好，在信息不对称的条件下，如果没有合理的制度设计，报告的出具者并不总是可以得到他最想要的信息。针对上述两点分析，“反映”假设就不是也不应当是理所当然的，只有满足较强的条件，这一假设才是有效的，依托这一假设的审计风险模型才能解释许多重要的事实。

（二）“确认”假设

审计风险指的是在一定条件下，注册会计师发表“不恰当”审计意见的可能性。遗憾的是，审计意见的“恰当”或者“不恰当”并没有得到很好的解释，尤其是没有得到可操作性的解释。传统审计风险模型认为经济交易或事项被恰当反映是有“固有风险”的，经过内部控制结构和审计检查的双重过滤，这种风险会降低。然而“风险”指的是“可能性”，这种“可能性”如何才能表现出来成为“现实性”呢？

从本质上讲，审计意见的“恰当性” 问题 和会计信息的“真实性”问题具有根本的一致性，它们都属于认识论问题，因而只能依托 科学 哲学 来解决。可惜的是，国内的现有 研究 尽管试图从哲学的高度解决问题，但受限于教条主义的理解马克思主义哲学和知识结构的缺陷，不能汲取现代科学哲学思想的精髓，仍停留于康德式的古典理解。而依据从波普尔到伊。拉卡托斯的主流的关于“科学”的 方法 论，尤其是受库恩“范式”思想的 影响 ，笔者认为审计意见的“恰当性”或者“不恰当性”的确认必须以某种得到广泛认可的形式表现出来。

传统的审计风险模型没有提供这一确认机制。在最好的意义上，传统的审计风险模型对这一确认机制的描述也是不清晰的。实际上可以认为，传统审计风险控制模型忽略了审计意见“不恰当”是如何被发现的这一过程，或者说这种模型假定“不恰当”的审计意见在可以预见的期间内会以100%的概率以某种形式被确认，而不管这种形式是什么。这一假设我称之为“确认”假设。

在实务中，审计风险表现为“审计失败”的可能性。尽管在审计失败的情形下有关利害方关注的是不恰当的审计意见 内容 本身，但考察报表错报或漏报信息的披露渠道是对于正确理解审计风险至关重要。笔者认为，会计、审计和政府公告、新闻报道一样，目的在于给特定的或非特定的信息使用者提供信息。这些不同的渠道所提供的信息可以相互补充，以降低财务信息的不确定性。如果制度运行良好，这些渠道所提供的信息之间不会有原则上的冲突，此时信息的使用者将不能判定某种渠道提供的信息是虚假的——也就是说在没有相反证据的情况下，信息使用者默认各种渠道的信息都是“真”的。当制度运行不好时，其中的一个或几个环节会出问题，各渠道提供的信息之间会有冲突，此时信息使用者运用自身的综合判断力或者通过特定手段可以鉴别信息的真伪（例如法院判决）。这种对财务信息的传播过程理解一般来说符合人们的认识习惯，在 法律 上符合“无罪推定”假设，在指导思想上也符合“证伪主义”的主流思想。

由于“确认”假设的存在，传统审计风险模型不能提供这一洞察。传统审计风险模型或者简单的未考虑“确认”这一 社会 环节，或者含混的将这一过程并入“固有风险”从而模糊了固有风险的含义。这样，基于“确认”假设的审计风险模型就不能提供一个解释 会计 公司与政府监管部门、行业协会等机构特殊关系的合适框架，而我认为理解这种特殊关系对于理解审计风险是重要的。

对传统审计风险模型的修正

（一）修正的模型

基于对上述传统审计风险模型两个假定的批判性 分析 ，笔者将修正传统的模型。这种修正是通过取消这两个假设并使之成为可选择的来完成的。

新的模型可以用公式表示如下：审计风险＝固有风险×会计控制风险×审计控制风险×替代发现风险，或者更一般的表述为：审计风险＝固有风险×会计控制风险×审计控制风险×各种替代发现风险。这里的审计风险指的仍然是会计报表存在错报或漏报而注册会计师发表不恰当审计意见的可能性。然而，在理解上我们应当意识到这种定义必须意味着审计报告的错误被以另一种方式所纠正了。

固有风险和（会计）控制风险意义没有变化。固有风险指出交易或事项“可能被不恰当的进行会计披露”的属性，而会计控制风险（相当于原有模型中的控制风险）表示的是内部控制制度未能纠正固有风险的可能性。会计控制过程产生的信息成果即未审会计报表。

审计控制风险与原来的检查风险相比意义差别较大，它表示审计过程未能纠正未审报表的错报或漏报的可能性。这里所指的“审计过程”不仅包括原来检查风险定义中所指的“实质性测试”和“分析性程序”，而且包括报告出具的程序和会计公司的质量控制过程。形式上可以认为“审计控制风险＝检查风险+反映风险”。这里“反映”风险指的就是审计检查发现了财务报表错报但由于种种原因未能在审计意见中反映的可能性。在会计公司自身的内部质量控制良好和注重职业道德的情况下，可以认为满足了前述“反映”假设，“反映”风险为0，此时审计控制风险就等于检查风险。经过审计控制产生的信息成果即为审计报告。

替代发现风险的提出是舍弃“确认”假设的结果。替代发现风险指的是审计报告中所含意见的“不恰当”被以其他途径发现和确认的可能性。“替代发现”过程也就是前述审计意见的不恰当被确认的过程。这一过程可以通过证券监管、财政等国家权力部门和会计师协会的检查进行，也可以通过新闻媒体、社会舆论等其他可以提供有效信息的任何途径进行。这一过程或过程组合的终点有可能最终认定审计意见的“不恰当”，其标志可以是司法程序上的认定，行政程序上的认定，行业协会的认定或者——特殊情况下——舆论的认定。

几种风险的相乘关系表示或者假定各种风险有可能发生在同一时点，但是各种风险是不相关的；或者将每种风险均定义为在之前风险控制下的“条件概率”。我认为第二种理解方式有助于我们理解审计风险的控制过程。

（二）修正模型的优势

修正的审计风险控制模型与传统模型相比，在三个方面具有优势：

首先，抛弃了不切实际的假设，使模型具有更强的解释力。修正模型对“反映”假设的抛弃使得会计公司的理性偏好和治理结构 问题 直接与审计风险有关，因而为更有效地解释审计失败的案例提供了良好的 理论 框架。修正模型对确认假设的抛弃则使人更全面的认识会计公司所面临的审计风险结构，同时也为正确理解会计公司和监管部门的特殊关系以及我国会计师事务所体制改革中所遇到的问题奠定了基础。

其次，站在行业分析的角度而不是审计意见发表者的角度看问题，使得对审计行为的理解更为深刻。传统的审计模型不仅在对审计风险可控制范围上存在较大的局限，从出发点上看，传统审计风险模型并不是主要用来理解会计公司所面临的全面的审计风险，而是主要用来为重要性水平和实质性测试做前期准备。修改的模型仍然可以用于这一实用目的——实际上更具有操作性，但又不限于这一目的，可以加深人们对审计风险控制的理解。

第三，通过对风险控制流程的宏观把握，可以运用一般产业组织原理理解“财务信息市场”。在传统审计风险模型下，审计、会计及监管部门处于十分不同的地位，并在履行似乎存在原则区别的职能。而在修正的审计风险模型下这些原本不同的职能实质上具有相同的内涵，即他们都是在提供“财务信息”，他们之间的区别仅仅体现在 方法 、时间、手段及责任上。在提供信息的统一职能下，这些不同的信息提供渠道实质上构成了一个针对财务信息的市场，在这一市场上优质信息的提供者可以得到信息使用者的青睐。这样就有可能将丰富的产业组织理论用于对这一领域的分析，并有望据以解释各种信息渠道的相对地位。