中小型会计师事务所基础性标准体系制度指南-风险管理制度(2025版)

中小型会计师事务所基础性标准体系制度指南——风险管理制度(2025版)为落实《财政部关于加强中小型会计师事务所风险防控的指导意见》（财会〔2024〕7号）、中国注册会计师协会《会计师事务所风险管理准则（2023年修订）》要求，规范本所执业行为，有效防范化解执业风险、合规风险、声誉风险，结合本所人员规模、业务结构及运营实际，制定本2025版风险管理制度，全所所有执业人员、行政人员必须严格遵照执行。1风险管理组织架构与权责划分1.1最高决策层权责合伙人（股东）会是本所风险管理最高决策机构，承担以下核心职责：（1）审议批准风险管理制度、年度风险防控方案及风险准备金使用方案；（2）每季度听取风险防控工作汇报，每年至少召开2次风险防控专题会议，针对监管政策更新、行业风险事件、本所风险排查结果调整管控规则；（3）决定重大风险事件的处置方案，审议风险责任追究结果；（4）按照年度业务收入10%的比例计提风险准备金，累计计提额达到本所注册资本5倍时可暂停计提，风险准备金实行专户存储，仅可用于风险赔偿、诉讼支出、风险防控专项投入，不得挪作他用，每季度由行政岗核查账户余额，每年委托第三方机构对准备金收支情况做专项审计。1.2专职风险管理岗权责本所设置1-2名专职风险管理员，需满足执业满5年、最近3年无行业惩戒及行政处罚记录、熟悉各业务领域监管规则的任职要求，直接向首席合伙人汇报，承担以下职责：（1）负责业务承接审批、执业过程复核、报告出具前终审校验的全流程风险管控；（2）每月抽取不少于10%的在执项目开展现场巡检，每季度组织1次全所风险排查，每年开展1次全面风险评估，形成风险评估报告上报合伙人会；（3）组织风险管理培训、独立性核查、风险预警处置等日常工作；（4）对接属地财政部门、注册会计师协会的风险检查工作，整理报送相关材料。1.3项目组权责各项目组负责人为项目风险第一责任人，每个项目指定1名现场负责人兼任风险联络人，承担以下职责：（1）落实项目全流程风险管控要求，及时向风险管理员报送项目风险隐患；（2）配合风险巡检、复核及风险事件处置工作，完整留存项目所有工作底稿及沟通记录；（3）组织项目组成员开展独立性自查、执业规范学习，确保项目执行符合准则要求。2业务全流程风险管控规则2.1业务承接阶段风险管控2.1.1客户风险评级管理所有业务承接前必须开展客户风险评级，采用百分制评分，评分≥85分为A类（低风险）、70-84分为B类（中风险）、60-69分为C类（高风险）、<60分或触发禁入条款的为D类（禁止承接）。具体评分维度及权重：主体资质（20分，含工商登记状态、资质许可有效性）、信用记录（30分，含失信被执行人记录、行政处罚记录、监管问询记录）、财务健康度（25分，含资产负债率、现金流状况、审计调整历史）、业务合规性（15分，含行业合规性、内部控制完善度）、委托诉求合理性（10分，含审计范围是否受限、是否存在不合理的报告出具时限要求）。D类客户禁入条款包括但不限于：（1）最近2年存在财务造假、偷逃税款等重大违法违规记录；（2）实控人、高管被列为失信被执行人或被采取刑事强制措施；（3）连续3年亏损且资产负债率超过90%，无明确可持续经营依据；（4）委托诉求中包含要求出具不实报告、调整审计数据等违规条款；（5）之前合作期间存在提供虚假资料、隐瞒重大事项等不良记录。2.1.2承接审批管理（1）A类项目由风险管理员审批即可承接，B类项目需由1名合伙人审批，C类项目需由2名及以上合伙人共同评审通过后方可承接，D类项目一律不得承接；（2）所有业务必须以本所名义承接，禁止注册会计师、从业人员个人私自承接业务，一经发现私自承接业务的，对责任人处以业务收入2倍的罚款，情节严重的解除劳动关系并上报属地注协；（3）业务约定书必须采用中国注册会计师协会2024版标准模板，明确审计范围、责任边界、收费标准、报告用途，禁止签署包含无限连带责任、超出准则要求的责任条款的补充协议，所有业务约定书需由风险管理员审核盖章后方可生效。2.2业务实施阶段风险管控2.2.1人员委派与独立性管理（1）项目人员委派需匹配业务类型要求：IPO辅导、上市公司年报审计项目负责人需具备至少2个同类项目执业经验，高新技术企业认定、专项债审计等专项项目负责人需具备至少3个同类项目执业经验，人员匹配度不达标的项目不得立项；（2）所有项目组成员需在进场前签署《独立性声明》，存在以下情形的必须回避：近1年内在客户单位任职、持有客户单位股权、配偶/直系亲属在客户单位担任董事/监事/高管等核心职务、与客户存在未结清的债权债务关系；（3）每年开展2次独立性专项培训，培训覆盖率100%，考核通过率不低于90%，每年开展1次全员独立性排查，排查内容包括对外投资、亲属任职、兼职情况，排查覆盖率100%，发现独立性瑕疵的立即调整岗位，已参与的项目需重新复核。2.2.2三级复核管理所有项目严格执行三级复核制度，未完成前一级复核的不得进入下一级流程：（1）一级复核（项目组内部复核）：由项目现场负责人执行，覆盖率100%，复核内容包括审计程序执行完整性、审计证据充分性、工作底稿逻辑性、财务数据勾稽关系一致性，复核记录需签字留存，工作底稿缺失、程序不到位的需在7天内补全；（2）二级复核（风险管理员复核）：B类及以上项目全覆盖，复核内容包括业务承接合规性、独立性执行情况、重点审计领域程序是否到位、重大错报风险应对是否合理，C类项目需开展工作底稿穿行测试，测试比例不低于30%，发现存在重大风险隐患的需暂停项目，要求项目组补充审计证据或调整审计结论；（3）三级复核（合伙人终审）：所有项目全覆盖，复核内容包括审计意见类型是否恰当、报告披露是否完整、是否存在未解决的重大风险事项，C类项目需召开风险评审会，参会合伙人不少于2名，评审同意率低于70%的不得出具报告，评审记录需签字留存。2.2.3工作底稿管理（1）所有工作底稿需按照《中国注册会计师审计准则第1131号——审计工作底稿》要求编制，做到内容完整、标识一致、记录清晰、结论明确，电子底稿与纸质底稿内容完全一致；（2）审计报告出具后30天内必须完成底稿归档，归档后的底稿不得随意修改，确需修改的需提交书面申请，经风险管理员、主管合伙人审批后方可修改，修改记录需完整留存；（3）普通业务底稿保存期限不少于10年，公众利益实体、司法鉴证、专项债等重点业务底稿保存期限不少于20年，到期销毁需经合伙人会审批，留存销毁记录。2.3报告出具阶段风险管控2.3.1报告编号与用印管理所有报告由风险管理员统一赋码，编号规则为“[年份]+[业务类型代码]+[4位顺序号]”，禁止私自编号、私出报告。报告需同时加盖本所公章、两名注册会计师执业章，用印前需核对三级复核记录、业务约定书、报备凭证，材料不全的不予用印，禁止在空白报告、未完成复核的报告上用印。2.3.2报告报备与送达管理所有鉴证类报告需在出具后24小时内上传属地注册会计师协会报告报备系统，报备通过率100%，未报备的报告不得发出。报告送达需直接交付客户指定对接人并签署送达回证，或采用EMS邮寄方式送达，留存快递底单，禁止第三方代领报告，避免报告被篡改、滥用。2.3.3报告异议处理客户对报告内容提出异议的，由风险管理员牵头组建核查小组，对异议事项开展100%复核，确属执业疏漏、数据错误的，需启动报告更正程序，重新履行三级复核、报备流程，同时向客户出具书面说明；不存在错误的，需向客户出具书面解释说明，不得私下更改报告内容、调整审计意见。3重点领域专项风险管控3.1公众利益实体审计风险管控承接上市公司、新三板挂牌公司、公立医院、公办学校、公益基金会等公众利益实体业务的，需满足以下要求：（1）本所至少有3名执业满10年、无行业惩戒记录的注册会计师，具备同类项目执业经验；（2）项目组成员每年至少接受1次公众利益实体审计专项培训，培训学时不少于8学时；（3）每半年对公众利益实体项目开展一次专项自查，自查覆盖率100%，重点核查独立性、审计程序到位情况、信息披露合规性，自查报告上报属地注协。3.2专项审计业务风险管控高新技术企业认定、专项债审计、离任审计、司法鉴证等专项审计业务，需执行专项作业指引：（1）高新审计重点核查研发费用归集真实性、研发人员占比、高新技术产品收入占比，相关指标计算误差不得超过2%，禁止协助客户虚增研发费用；（2）专项债审计重点核查项目真实性、资金使用流向、投资额核算准确性，禁止协助客户虚增项目投资额、套取财政资金；（3）司法鉴证业务需严格按照法院、仲裁委要求执行程序，鉴证结论需有充分的审计证据支撑，不得出具偏向性鉴证意见。3.3非鉴证业务风险管控代理记账、税务咨询、内部控制咨询等非鉴证业务，需明确责任边界：（1）代账业务需与客户签署责任划分协议，仅承担会计核算责任，禁止代客户做出纳、保管公章/网银U盾、开具发票、签署银行单据，每月与客户签署凭证交接记录，留存备查；（2）税务咨询业务不得出具违反税收法规的税收筹划方案，不得协助客户偷逃税款、虚开发票，所有咨询方案需经风险管理员审核后方可提交客户；（3）禁止承接要求本所协助虚构交易、调整财务数据的非鉴证业务。3.4人员挂靠风险管控严格禁止注册会计师、资产评估师等执业人员挂靠本所，所有执业人员社保必须由本所全额缴纳，每月核查一次社保缴纳记录、在岗情况，发现挂靠行为的立即解除合作关系，上报属地注协及财政部门，同时对负责人员准入的行政岗处以当月绩效30%的罚款。4风险监测、预警与处置机制4.1风险监测机制风险管理员每月抽取不少于10%的在执项目开展现场巡检，重点核查审计程序执行情况、工作底稿编制情况、独立性落实情况；每季度组织一次全所风险排查，覆盖所有已出具报告、在执项目、人员合规情况；每年开展一次全面风险评估，形成风险评估报告，针对存在的风险漏洞调整管控制度。4.2风险预警机制建立红黄蓝三级风险预警机制：（1）蓝色预警：项目存在一般瑕疵，如少量工作底稿缺失、未及时签署独立性声明、审计证据存在小的瑕疵，由风险管理员向项目组下发整改通知书，7天内完成整改，整改不到位的升级为黄色预警；（2）黄色预警：项目存在较大风险，如审计范围受限、审计证据不足、客户存在重大舞弊嫌疑、未按要求执行三级复核，由风险管理员下发暂停项目通知书，30天内完成整改，整改不通过的终止项目，不得出具报告；（3）红色预警：已出现合规风险，如被监管部门问询、被客户举报、涉及诉讼、报告存在不实内容，立即启动应急处置程序。4.3风险处置与责任追究（1）应急处置：出现红色预警的，24小时内成立由首席合伙人任组长、风险管理员、项目合伙人、法律顾问为成员的应急处置小组，首先封存所有项目底稿、沟通记录，停止出具相关报告，主动配合监管部门调查，不得隐瞒、销毁证据，对外回应由应急小组指定发言人统一发声，禁止任何个人私自接受采访、发表相关言论。涉及诉讼的，需在24小时内上报属地注协及财政部门，和解方案需经合伙人会审议通过后方可执行。（2）责任划分：因项目组隐瞒风险、伪造证据、执业疏漏导致的风险事件，项目组承担80%的责任，主管合伙人承担20%的责任；因复核不到位导致的风险事件，复核人员承担60%的责任，项目组承担40%的责任；因合伙人私自承接业务、违规审批导致的风险事件，合伙人承担100%的责任。（3）追责措施：根据风险事件等级，对责任人采取警告、扣减10%-100%年度绩效、暂停执业、解除劳动关系等处罚，情节严重的上报属地注协、财政部门追究行业责任及法律责任。风险赔偿支出首先从风险准备金中列支，不足部分由责任人承担。5风险管理保障措施5.1制度动态更新每年12月由风险管理员牵头对本制度开展年度评估，结合最新监管政策、行业风险事件、本所风险排查结果修订制度，修订后的制度经合伙人会审议通过后施行，确保制度符合监管要求及本所实际。5.2培训体系建设每年组织全员风险管理培训不少于40学时，其中注册会计师专项培训不少于20学时，新员工入职培训中风险管理内容不少于8学时，培训考核不合格的不得上岗，连续2次考核不合格的解除劳动关系。5.3信息化建设2025年6月底前完成业务管理系统上线，实现业务承接审批、人员委派、三级复核、报告报备、底稿归档全流程线上管控，所有操作留痕、不可篡改，电子底稿存储符合网络安全等级保护2级要求，避免数据泄露、底稿丢失。2025