我国《内部控制审计指引》第四条指出，注册会计师执行内部控制审计工作，应当获得充分、适当的证据，为发表内部控制审计意见提供合理保证，注册会计师应当对内部控制有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷予以披露。按照以上内部控制的目标，其对应的审计风险为企业内部控制存在严重缺陷而注册会计师没有发现的可能性。对于内部控制审计风险模型，准则没有明确的规定，有的注册会计师试图将财务报表审计风险模型运用于内部控制审计中，以便进行评价，但由于二者在实施程序方面有所不同，表现在：在内部控制审计中，注册会计师没有必要执行实质性程序，主要实施的是内部控制方面的评价工作，控制测试是常用程序，而在财务报表审计中，只评价内部控制是远远不够的，一般需将控制测试和实质性程序结合起来使用，所以有必要对内部控制审计建立单独的模型。本文根据目前内部控制审计的要求和特点，并在参考各学者观点基础上，初步确立了以下模型：

内部控制审计风险=控制设计和执行有效性风险×控制评价风险

其中，控制设计和执行有效性风险是由于被评价单位所导致的，源于内部控制能否有效设计、是否执行以及是否有效执行等因素。如果为了防止重大错报风险的发生，未能合理设计内控，即使执行得很有效，也达不到预期的效果。再者，如果设计合理的内控没有得到执行或执行效果不佳，同样是没有效果的。

控制评价风险是由审计人员引起的，类似于财务报表审计中的检查风险，它发生在对企业内部控制设计和执行效果进行专业评价时，实施了控制测试等程序但未能发现相关问题的可能性，取决于内部控制测试程序设计的合理性和执行的有效性。