一个学科的基本概念构成了这一学科的基础。风险的概念在审计理论结构与审计实践中处于中心的地位。以评价被审计单位内部控制制度为基础的审计方式（制度基础审计）的过程就是对各项审计风险进行评估并据以实施审计活动的过程，正在兴起并可能在未来取得主导地位的以评价被审计单位商业风险为基础的审计方式（风险基础审计）在沿用审计风险的同时提出了“商业风险”的概念。审计，就是公允地评价被审计单位的财务状况、经营成果与财务变动状况，而这一目的是通过评价被审计单位的财务报表与公认会计标准的吻合程度而实现的。风险在此处就得到体现，因为要验证审计上的吻合程度，必然要使用审计人员的专业判断，这就带来不确定性，另外抽样方法的使用也带来了不确定性。事实上，只有恰当评价审计风险，才能正确评判上述吻合程度。绝对的吻合程度是不存在的，只存在着相对的吻合程度，而对这相对吻合程度的评判依赖于对审计风险的评判。然而，就目前而言，我们对审计风险本身及其子概念（固有风险、控制风险与检查风险）存在着不同的认识；对与之相关的几个概念也存在着认识上的模糊与混淆；甚至存在着概念误用，或者将几个貌似一致的概念等同起来的种种问题。因此，我们必须澄清甚至重建某些概念；又由于不同概念之间存在着逻辑关系，我们也必须澄清甚至重建概念之间的逻辑关系。同时，为了进一步地全面把握“审计风险”的概念，必须拓宽我们的视野，将“审计风险”这个概念与其它几个或者与其相关的概念、或者与其类似的概念进行比较；同时尝试构建概念之间由逻辑关系构成的逻辑结构，从而达到建立概念模型的目的，为其他理论分析提供基础。
在这篇文章里，我们的主要工作是将几个与审计风险紧密相关的概念进行比较与分析，然后描绘它们之间的逻辑关系，这些逻辑关系构成了概念与概念之间的逻辑结构。这些概念包括审计失败（audit failure）、经营失败（business failure）、商业风险或经营风险（client‘s business risks）、营业风险（auditor’s business risks）、与审计风险（audit risks）。下图给出了审计理论结构中、也是在审计过程中审计人员要面临的与审计风险相关的几个重要概念，其中阴影部分是这篇文章所要讨论的重点（我们在另外的一篇论文里专门分析了，由“审计风险”及其子概念“固有风险”、“控制风险”和“检查风险”所组成的概念体系）。

其中：我们建议将营业风险（auditor‘s business risks）改名为业务风险（business risks）、关系风险（relationship risks）、或者业务关系风险（business relationship risks），一者是为了避免与商业风险或经营风险（client’s business risks）混为一谈，二者是因为这些名字准确地表达了这种风险的内涵和实质。因此，可以将图表重新表达为：

本文分为三个部分。第一部分对各个概念进行定义，并且对部分概念之间的逻辑关系进行分析；第二部分重点分析了在“制度基础审计”和“风险基础审计”两个不同方法体系之下有关概念之间的逻辑关系，同时希望能够将这些逻辑关系发展为逻辑结构；但遗憾的是，目前我们尚未能建立起概念之间的逻辑结构，也就无法达到建立概念模型的目的；第三部分对本文进行简要总结，并指出审计理论建设中的问题和未来理论建设的可能之路。

一、各个概念的定义以及部分概念之间的逻辑关系

在使用“风险”这一概念的时候，通常有3种意见：（1）未来的不确定性，这个观点主要用于衡量波动的程度，而并非专门指向未来可能出现的坏结果的状态；（2）出现坏结果的可能性，这个观点仅仅指向了“不确定性”中属于“坏结果”的方面，却将“好结果”与“不好但也不坏的结果”这两个方面排除在外；（3）坏结果本身，例如，当人们说“某人不敢冒风险”时，其中“风险”的含义就是指“坏结果”本身，而不是指某种可以概率形式表达的“不确定性”或“可能性”。我们在研究中发现不同的学者、甚至同一学者使用了上述“风险”概念内涵和外延的不同层面，这引起和加剧了混乱，而这也是本文所力图澄清之处。

（一）“审计风险”的定义

对“审计风险”的定义存在着不同的意见（根据笔者的统计可以分为四大类几十小类）。其中有两种主要意见，一种认为“审计风险”是审计人员与会计师事务所存在着遭受损失的可能性，例如徐政旦、胡春元（1998）将“审计风险”定义为：“完整的审计风险概念，应从广义上解释，即不仅包括审计过程的缺隙导致审计结果与实际不相符而产生损失或责任的风险，而且包括营业失败可能导致公司无力偿债，或倒闭所可能对审计人员或审计组织产生伤害的营业风险。”

另外一种意见认为审计风险是审计人员针对会计报表发表错误审计意见的可能性，例如财政部注册会计师考试委员会办公室（2001）将“审计风险”定义为：“是指会计报表存在重大错报或漏报，而审计人员审计后发表不恰当审计意见的可能性。”

我们倾向于第二种定义，并认为审计风险是指审计人员不能形成和发布正确审计意见的可能，而不是指审计人员与会计师事务所可能承担的损失，尽管会计师事务所可能因为发布不恰当的审计意见而导致损失的产生。在这篇文章里也使用这种定义进行理论上的比较与分析。因为审计风险作为技术性程序风险，与实质性内容风险的营业风险存在着质的差异，固然它们在一定条件下可能相关，但是从根本上来说它们完全是两码事。也就是说，审计风险可能带来损失，也可能不会带来损失，审计风险与营业损失之间并不存在必然关系，更别提将它们等同起来；而营业损失也不一定是由审计风险所导致。

（二）审计失败

审计失败是指由于审计人员在实施审计的过程中没有遵守公认的审计准则而形成或提出了错误的审计意见。审计失败往往是因为审计人员缺乏职业胜任能力、疏忽大意、舞弊欺诈等情况所导致。

荆夕静（1995）曾指出：“对于注册会计师而言，过失主要是指未曾遵守专业标准的要求执业。过失按其程序又可分为普通过失和重大过失。对于注册会计师而言，普通过失是指没有完全遵循专业标准的要求执业，重大过失则是指根本没有遵循专业标准或专业标准的主要要求执业……对于注册会计师而言，欺诈就是为了达到欺骗他人的目的，明知委托单位的会计报表有重大错误报告事项却加以虚伪的陈述，出具无保留意见的审计报告。”需要指出的是，这里的“过失”就是指“审计失败”。

（三）经营失败

经营失败是指被审计单位破产或者无力偿还债务。此处我们要注意到经营失败是指被审计单位、也就是会计师事务所的客户在经营方面的失败，而不是指会计师事务所在经营审计业务方面的失败；当然，事务所作为一个企业也会面临经营失败，但是那是另外的话题了。

陈今池（1994）将“经营失败”定义为：“指技术性无力偿付。即企业没有能力支付到期债务。主要由于企业经营不善和连续亏损所造成的。可以采用以下两种解决方式：（1）债务和解，指在破产法院之外，债权人达成协议，允许企业延期偿还一部分债务，并允许企业进行改组和继续经营；（2）破产，指破产法院宣布企业进行清算资产和结束营业。”

其他定义还有，如A.A.阿伦斯、詹姆士。洛贝克（1991）这样写道：“存在企业由于经济或营业条件，如经济萧条、决策失误或同行业之间意想不到的竞争等，而无力归还借款或无法达到投资人期望的风险。反映营业风险的极端情况就是营业失误”。他们同时还指出：“在发生营业失误而不是审计失误时，困难就产生了，当某一公司破产或无力偿还债务时，报表使用者指责审计失误是正常现象，在最近提出的审计意见说明财务报表表达公允时，更是如此。”

此处需要做两点说明，一是原译者将business failure和audit failure分别翻译为“营业失误”和“审计失误”，而实际上应该分别是“经营失败”和“审计失败”才更准确；另外一点是以上的定义和进一步的声明将“经营失败”和“审计失败”加以明确地区分，我们实在不该将它们混为一谈。

（四）审计失败与经营失败存在着什么样的关系呢？

在现实中，由于被审计单位的经营失败往往会导致财务报表的使用者指责产生了审计失败，尽管可能实际上并不存在审计失败。不单如此，财务报表使用者还会要求审计人员承担由于他们使用财务报表所引起的损失；实际上，绝大部分针对会计师事务所和注册会计师所提起的诉讼是由于被审计单位的经营失败所引起的。在现实生活中，因为经营失败而引起有关各方遭致损失，而损失遭受者就往往将审计人员当作替罪羊而要求他们承担责任。例如，A.A.阿伦斯和詹姆士。洛贝克（1991）指出：“指责审计失误的另一部分原因，是遭受损失的人们希望得到补偿，而不管错在哪方”。

但是，正如财政部注册会计师考试委员会办公室（2001）所正确指出：“出现经营失败时，审计失败可能存在，也可能不存在。”也就是说，经营失败与审计失败之间没有必然的联系，没有直接的因果关系。也就是说，审计失败并不导致经营失败，审计人员无须为被审计单位的经营失败承担任何责任；另一方面，经营失败也并不导致审计失败。

（五）商业风险或经营风险

目前看来，商业风险（经营风险）有两个含义，一是指企业在经营过程中所面临的种种不确定性；二是企业没有达到预期经营目标的可能性。在不同的场合人们选用不同的含义。

陈今池（1994）将“商业风险”定义为：“指预期收益减少或损失发生的概率。企业有两种不同的风险：一种风险可以通过保险而加以预防。例如，火灾和其他自然灾害。另一种风险是由于未来营业情况的不确定性而产生的。例如，消费需求的变化和生产技术的变化，对投资所带来的风险。这种风险会导致企业实际收益少于预期收益甚至发生损失。”然而我们认为，本定义所指出的未来不确定性是否一定会导致实际收益少于预期收益或者发生损失需要进一步斟酌。另外更需要指出的是，“预期收益减少或损失发生的概率”与“未来营业情况的不确定性”相比，前者应包含在后者之内，而不是后者包含在前者之内。尽管如此，本定义仍然面面俱到地包含了商业风险的两个方面。

A.A.阿伦斯和詹姆士。洛贝克（1991）将商业风险定义为：“存在企业由于经济或营业条件，如经济萧条、决策失误或同行业之间意想不到的竞争等，而无力归还借款或无法达到投资人期望的风险。”明显地，这个定义只包括“企业没有达到预期经营目标的可能性”的这一方面，而这正是笔者所赞同的定义。

从以上对“商业风险”定义的严密分析中，我们希望能够着重指出：“商业风险”是指被审计单位、也就是会计师事务所和审计人员的客户所面临的风险，而不是指会计师事务所和审计人员本身所要面临的风险。另外，应十分注意将“商业风险”与“审计风险”区别开来，审计风险的“风险”与目前人们正在谈论的“风险审计”、或者“风险基础审计”之中的“风险”是不一致的，前者是指审计人员不能正确表达审计意见的可能性，而后者是指被审计单位在经营管理中无法达到预期目标的可能性。但是在现实中，无论是进行学术研究还是开展实务工作，都存在着将它们混为一谈的现象。

（六）业务关系风险

如前曾述，“业务关系风险”旧名“营业风险”，笔者建议改名为“业务风险”、“关系风险”或者“业务关系风险”，本文使用其中的“业务关系风险”。业务关系风险是指尽管审计人员和会计师事务所遵循了公认审计准则并发布了正确的审计意见，然而由于与被审计单位之间的特定关系，因此可能受到被审计单位的牵连（特别是在被审计单位发生经营失败时）而可能导致审计人员和会计师事务所要承担一定损失的风险。需要注意的是，业务关系风险是指审计人员和会计师事务所，而不是指被审计单位所要承担的风险，业务关系风险不是由于审计人员和会计师事务所的过错或失误而引起的，而是因为审计人员和会计师事务所与被审计单位的特殊业务关系而引起的。

胡春元（2001）将“营业风险”定义为：“营业风险是指虽然为某一客户提供的审计报告正确无误，但审计人员（或承担审计的会计师事务所）却由于一种客户关系而受到伤害的风险。”A.A.阿伦斯和詹姆士。洛贝克（1991）将“营业风险”定义为：“营业风险则是指，虽然为某一客户提供的审计报告正确无误，但审计人员（或承担审计的事务所）却由于一种客户关系而受到伤害的风险。”两个定义几乎相同，从某种程度上显示了人们对“营业风险”的认识的一致性。另外，A.A.阿伦斯和詹姆士。洛贝克（1991）在同一著作中进一步指出“控制营业风险的主要因素就是小心控制审计风险”，则明确地告诉人们营业风险与审计风险是两码事，应注意加以区别。当然，这里所说的“营业风险”就是本文的“业务关系风险”。

（七）业务关系风险与审计风险和商业风险存在着哪些关系呢？

从以上的分析中，我们可以看出：第一、业务关系风险并非审计人员在开展审计工作时在审计过程中产生的，不是基于审计项目、审计范围与重点、与审计程序和与方法而产生的；它不是一种技术性程序风险。第二、审计风险产生于具体的审计过程之中，它的边界应仅仅包括“固有风险”、“控制风险”与“检查风险”三个子集，而不应包括“业务关系风险”；因为这种重大区别，将业务关系风险作为审计风险的子集置于审计风险这个概念之下是不合适的；但实际上如果将“审计风险”定义为“会计师事务所可能遭受的损失”（徐政旦、胡春元，1998）就把“营业风险”不恰当地包括在内了。第三、业务关系风险与商业风险（经营风险）是两个完全不同的概念，但由于与过去的用词“营业风险”很接近，容易引起混淆。

至此，本文对审计失败、经营失败、商业风险（经营风险）、业务关系风险与审计风险等概念进行了辨析，引用并指出了各种不同定义之间的矛盾和含糊不清之处，还给出了本文的定义；同时我们还分析了部分概念之间的逻辑关系，当然这些分析是在我们所定义的概念体系之下进行的。

二、“制度基础审计”和“风险基础审计”之下的概念体系

在这里，我们将进一步分析上述有关概念之间的逻辑关系，但是目前我们尚未能够将这些逻辑关系发展成为某种清晰的逻辑结构。这里的分析将概念置于两个不同的审计方法体系之下，它们分别是“制度基础审计”和“风险基础审计”。我们认为，随着从“制度基础审计”向“风险基础审计”的演进，概念体系也应随之演进，但遗憾的是，目前“制度基础审计”之下的审计概念体系都不完善，更遑论“风险基础审计”之下的概念体系了。它们之间的主要区别在于，“制度基础审计”以“审计风险”为核心；而“风险基础审计”以“商业风险”为核心，同时关注“审计风险”。另外，以“审计风险”为核心的概念体系为目前国际国内审计界所普遍使用，而以“商业风险”为核心的概念模型则可能需要审计界去开发。

（一）“制度基础审计”：以“审计风险”为核心的概念模型

以评价被审计单位的内部控制制度为基础的审计过程就是对“审计风险”进行评估从而决定采用相应的审计计划、审计战略与审计工作程序和方法的过程，这种方式所依赖的是以“审计风险”为核心的概念模型。请看以下的分析：

1.商业风险与审计风险

一般而言，商业风险越高，固有风险就越高，因此固有风险和控制风险的综合水平就越高，可接受的检查风险就越低；商业风险在很大程度上影响着审计风险，但是审计风险却难以反过来决定、推导或者说明商业风险的高低。

2.固有风险和控制风险的综合水平与检查风险水平之间的关系

在一定的期望风险水平之下（审计人员可接受的风险水平），固有风险和控制风险的综合水平与检查风险的水平成反比，即综合水平越高，可接受的检查风险就越低，此时审计人员必须扩大审计范围以降低检查风险；相反，如果综合水平越低，可接受的检查风险就越高，此时审计人员就可以适当缩小审计范围。

3.不是商业风险，而是审计风险

制度基础审计所主要测试的是审计风险，而不是商业风险。在这个方法体系下，在评估固有风险时也要考虑被审计单位的商业风险，但对其商业风险的评估并非是主要的工作。

4.制度基础审计以评估被审计单位的控制风险为核心

对控制风险的初步评估、健全性测试、有效性测试在很大程度上影响着审计工作计划，决定着实质性测试的范围；而且，审计人员在终结审计之前，将对控制风险进行最终评估以决定是否追加审计程序。可以看出，控制风险水平对检查风险水平有着重大影响。

（二）“风险基础审计”：以“商业风险”为核心的概念模型

1.“风险基础审计”的起源与发展

为了更好地理解概念体系的变迁，让我们来简要地回顾一下“风险基础审计”发展历史的某些片段。有人认为，在经历了全面详查、抽样检查、以评价内部控制制度为基础的抽样检查等审计方法体系之后，将可能迎来审计方法的第四次革命——即以评价企业商业风险为基础的抽样检查。在1999年，来自加拿大、英国和美国的审计准则制定者和学术界组成了一个联合工作组，目的在于调查各主要会计师事务所在审计方法方面的最新进展。2000年5月份，联合工作组编写了名为《各大会计师事务所审计方法的发展》的报告以公布研究结果。研究指出了审计方法论方面的一个重要趋势，即大大加强了对被审计单位的“商业风险”的考虑，“商业风险”被定义为被审计单位不能达成其经营目标的风险。这与传统的审计风险模型不同，它将审计风险定义为财务报表实质性错误陈述的风险；而“商业风险”这个概念则包含着宽广得多且不同于审计风险的风险类型。扩大对风险的考虑更有可能使审计人员能够识别那些导致财务报表错误陈述的问题；另外，从整体上考虑客户的生意使审计人员能够有机会就客户的业务经营提出建议以提供更好的服务。很重要的是，扩大对风险的考虑并非意味着在财务报表目标和实质性错误陈述方面的风险已经被忘记了。风险基础方法（business-risk approach）假定商业风险与传统的审计风险之间存在着关系，而且发现财务报表错误陈述的最好方式就是从更宽广的角度来考虑“风险”这个概念。2000年8月份POB审计效果工作组在其报告《审计效果工作组：报告与建议》中认可了联合工作组的工作，并建议审计准则委员会考虑联合工作组的建议，即拓宽对商业风险考察范围的做法将提高审计质量。出于对联合工作组和POB工作组的反应，审计准则委员会（ASB）成立风险评估专门小组并提出了下列建议：（1）存在着更深了解被审计单位的生意和经营环境的需要，经营环境与对财务报表错误陈述的评判之间存在着十分清晰的联系。至少，这样做将改进审计人员对固有风险的评估，而且将最大程度，上消除那些在固有风险评估时的“自以为是”。（2）更加重视被审计单位内部控制制度以便规划审计工作，这样的内部控制制度对是什么构成了内部控制这个问题有着明确的指南。（3）澄清了为了理解被审计单位内部控制制度，审计人员应怎样获得关于其有效性的证据。

审计准则委员会相信新的审计方式将给审计人员带来很多好处。其中包括：（1）审计效果。对商业风险更为宽广的关注以及对被审计单位生意的更多了解，将导致对那些很可能影响财务报表的固有风险更彻底的识别。同样地，更为关注被审计单位已设置的内部控制制度也将导致对那些很可能影响财务报表的控制风险更彻底的识别。（2）审计效率。对财务报表实质性错误陈述风险的更好评估将意味着审计人员把他们的注意力集中在这些风险的来源和结果之上，同时在那些低风险的领域避免过度审计。（3）客户服务。更加重视客户的商业风险使审计人员能够从客户的角度出发增加审计工作的价值。审计可以为管理层提供有价值的洞见和信息。这一点将给审计人员提供一个使他们自己与众不同的机会。

进行了上述背景回顾之后，现在让我们开始进行有关分析。

2.不是审计风险，而是商业风险

目前审计界，包括学术界、实务界和准则制定者都在探索如何将评价商业风险与评价内部控制制度结合起来，以更好地实现审计目标。我们要始终认识到，“风险基础审计”中的“风险”是指被审计单位的商业风险，而不是传统意义上的审计风险。然而，在我们所看到的文献中，有一部分学者仍然将“风险基础审计”的“风险”看作是传统意义上的审计风险；另外一部分学者将它看作是固有风险中的一部分。有的学者虽然意识到此风险指的是“商业风险”，但在进一步的应用上，包括在理论探讨方面和业务实践方面，仍然存在着？混淆不清、前后不一致的情况。例如，在同一本书的前面部分使用“商业风险”的概念来讨论“风险基础审计”，在后面的分析部分或者在应用部分却又自觉不自觉沿用原有“审计风险”的概念。

3.商业风险与审计风险并重

如上所述，扩大对风险的考虑并非意味着在财务报表目标和实质性错误陈述方面的风险已经被忘记了。美国审计准则委员会（2002）更是指出：“对商业风险更为宽广的关注以及对被审计单位生意的更多了解将导致对那些很可能影响财务报表的固有风险更彻底的识别。同样地，更为关注被审计单位已设置的内部控制制度也将导致对那些很可能影响财务报表的控制风险更彻底的识别。”可以合理地估计，在未来的审计方法体系中，人们将对被审计单位的内部控制制度与其所面临的商业风险同样重视，也就是商业风险与审计风险并重。

4.商业风险与固有风险

目前在讨论固有风险时，会谈到被审计单位的生意状况与所在行业情况等，这实际上是“商业风险”的一部分，在这里确实存在着“固有风险”和“商业风险”重叠的部分。然而商业风险与具体审计过程所面临的技术性程序风险存在着天壤之别。

三、对本文的简要总结

会计界与审计界人士公开承认目前对审计理论体系研究才刚刚起步，还存在着巨大的不足和广阔的空间。这种不足一方面表现为审计理论大厦远未建立，另外一方面表现为建筑这座大厦的建筑材料——例如基本假设、基本概念和基本原理的缺乏和不完善。段兴民（2003）认为“审计假设从提出到现在，见解颇多，各执其见，各有其论。既表明了审计假设研究的繁荣，也说明审计假设内容的广泛性并没有形成主导性观点或基本认识”、“与（审计）假设相联系的审计概念也是不完全相同的，即使前后联系的概念相似，但在不同的审计理论体系中，各概念的含义也是不完全相同”。笔者曾经对“审计风险”这个审计核心概念做过一个统计，发现在国内外有四大类的审计风险概念，各自的内涵和外延都有歧异，在四大类大概念之下还有数十种从属的小概念。一个学科的核心概念尚且如此，其他概念的状况可想而知。但这种不成熟状态也意味着审计理论体系研究存在着很大的空间。

目前在制度基础审计中有关审计风险的各个概念尚未统一，各个概念之间的逻辑关系似是而非，因此实际上并不存在概念框架。面向未来，我们面临着从“制度基础审计”向“风险基础审计”的演进，相应的概念体系也应随之演进。这就要求对某些概念进行反思和重新定义，要求划清有关概念之间的界限，要求建立全新的系统性概念框架，而这一切因为我们目前的概念混乱而变得不可能。在这样的基础上，审计理论结构这座大厦是无法得以建立的，因此我们必须进一步深入地讨论，从而为审计理论结构的发展奠定基础。

那么什么是理论建设的可能之路呢？我们认为鉴于目前正处于变革的过渡时期，一方面人们仍然大量使用“制度基础审计”，另一方面“风险基础审计”在快速地蓬勃发展，所以我们可以将有关概念的发展置于两个不同的体系之下进行考察，探讨不同概念的逻辑关系与它们之间的逻辑结构。在构建新的理论体系时，我们有必要对原有的概念进行重新定义，以使其在新的概念体系中得到更好地定位，这样才能完成从原有的概念体系到新的概念体系的演进，才能使新的概念体系的逻辑结构前后一致，没有内在的矛盾。

「参考文献」

①A.A.阿伦斯、詹姆士。洛贝克著。张杰明、文善恩等译，1991，《当代审计学（上）》，中国商业出版社，110-252

财政部注册会计师考试委员会办公室，2001，《2001年度注册会计师全国统一考试指定辅导材料——审计》，经济科学出版社，117-219

②陈今池，1994，《立信英汉财会大词典》，立信会计出版社，164-926

③段兴民、康华，2003，“对审计假设的再认识”，中国审计学会、中山大学管理学院“走向现代化的中国审计”论文集

④胡春元，2001，《风险基础审计》，东北财经大学出版社，荆夕静等，1995，“从法律角度看我国的注册会计师审计”，《财会审》，第6期

⑤徐政旦、胡春元，1998，“论民间审计风险”，《审计研究资料》，第1期