中小型会计师事务所基础性标准体系制度指南-风险管理制度（2025版）

中小型会计师事务所基础性标准体系制度指南——风险管理制度（2025版）1总则1.1制定依据本制度根据《中华人民共和国注册会计师法（2024修订）》、财政部《会计师事务所风险管理指引（2024）》、中国注册会计师执业准则（2023版）及属地财政部门、注册会计师协会监管要求制定，是中小型会计师事务所（以下简称“事务所”，适用范围为从业人员≤200人、年营业收入≤5000万元的会计师事务所）基础性标准体系的核心组成部分，覆盖全业务流程、全岗位人员、全类型风险。1.2风险管理目标以可承受的风控成本将执业、合规、市场、声誉等各类风险控制在监管允许及事务所可接受范围内，避免发生重大执业质量事故、行政处罚、民事赔偿及声誉损失，保障事务所持续稳定经营，平均年度风险损失占营收比例控制在0.5%以内。1.3基本原则1.3.1全面覆盖原则风险管理贯穿业务承接、计划、执行、报告、归档全流程，覆盖合伙人、项目负责人、执业人员、行政支撑人员全岗位，不存在风控盲区。1.3.2权责匹配原则明确各层级风控责任，风险处置权限与岗位职责对应，责任追究与过错程度匹配。1.3.3成本效益原则结合中小所人员规模、业务结构特点设计风控流程，避免冗余程序抬高运营成本，风控投入占年度营业收入比例控制在2%-5%区间。1.3.4动态调整原则每季度梳理监管政策、行业风险案例及自身风险事件，及时调整风控标准，至少每3年完成一次制度全面修订。2风险管理组织架构与职责2.1合伙人（股东会）层是风险管理最高责任主体，对全所风控工作负最终责任，主要职责包括：审批全所风险管理制度及年度风控工作计划；每年至少召开2次风控专题会议，研判重大风险事项；核定年度风控预算，保障风控人员、系统、培训投入；对重大风险事项处置方案进行最终决策。2.2风控负责人岗事务所需配置至少1名专职风控负责人，需同时满足：具备注册会计师执业资格、5年以上审计或风控相关工作经验、近3年未受过行业惩戒或行政处罚。风控负责人对合伙人层负责，主要职责包括：拟定具体风控流程、风险识别标准及管控措施；对全所业务项目进行独立复核；每月组织一次项目风险排查，每季度组织一次全所风险盘点；牵头风险事件的研判、处置及复盘工作；组织全员风控培训。2.3项目组层项目负责人为项目风险第一责任人，主要职责包括：开展客户尽职调查，评估项目承接风险；制定项目风险应对措施，落实各项审计程序；对项目组成员工作成果进行一级复核；及时上报项目执行过程中发现的风险隐患。项目组成员对本人负责的审计程序、工作底稿真实性、完整性承担直接责任。2.4责任划分标准发生风险事件时，按照过错程度划分责任：合伙人承担60%的管理责任，项目负责人承担25%的直接领导责任，风控复核人员承担10%的复核责任，直接经办人承担5%的操作责任；存在主观故意出具不实报告的，相关责任人承担100%责任。3风险分类与识别标准3.1执业风险（占中小所风险事件总量的82%，为核心管控类型），分三个阶段明确识别标准：3.1.1业务承接阶段风险信号（满足任意1项即为高风险承接项目）：客户所属行业为监管重点关注领域，包括出险房地产企业、拟IPO/新三板挂牌企业、跨境电商、虚拟货币相关企业、类金融机构；客户近3年存在税务稽查处罚、监管部门问询、失信被执行人记录；客户明确要求变更审计意见、隐瞒重要信息、出具不符合实际情况的报告；项目收费低于当地注册会计师协会公布的行业指导价70%；客户实际控制人、董监高存在失信、刑事犯罪记录。3.1.2业务执行阶段风险信号（满足任意1项即为项目高风险）：银行函证、往来款函证回函率低于70%且未执行等效替代程序；存货、固定资产等实物资产监盘比例低于40%且无合理理由；审计调整金额占客户期末净资产比例超过15%；重要审计程序（如收入截止测试、减值测试、关联方核查）缺失；客户提供的原始凭证存在伪造、变造嫌疑且未核实。3.1.3报告出具阶段风险信号：审计报告意见类型与实际审计结论不符；报告披露内容遗漏重大事项（如重大未决诉讼、关联交易、持续经营疑虑）；报告数据与审定报表数据存在差异。3.2合规风险识别标准包括：未按规定完成事务所年度备案、从业人员年度继续教育；工作底稿归档时间超出报告出具日30天，或底稿存在丢失、毁损情况；客户涉密信息、审计数据泄露；未按规定开具发票、申报纳税。3.3市场风险识别标准包括：逾期6个月以上的应收账款占年度营业收入比例超过20%；核心执业团队年流失率超过30%；依赖单一客户营收占比超过40%；原有核心业务（如资质专项审计）因政策调整取消。3.4声誉风险识别标准包括：年度内客户有效投诉超过2次；被行业协会出具监管关注函、通报批评；被媒体发布负面报道且属实。3.5风险识别方法每月由风控负责人对当月所有出具报告的项目进行逐一排查；每季度由合伙人层组织全所风险盘点，覆盖所有在执行项目、未结账款、合规事项；每年委托第三方专业机构对全所风控体系进行一次全面评估，识别潜在风险。4风险评估与分级管控措施4.1风险评估方法采用风险矩阵法，从风险发生可能性（低、中、高）和影响程度（轻微、一般、重大、特大）两个维度评估，将风险划分为4个等级：4.1.1红色（特大风险）：风险发生概率≥80%，影响程度为特大，包括可能导致事务所被吊销执业资质、单次民事赔偿金额≥100万元、合伙人或执业人员被追究刑事责任的风险。4.1.2橙色（重大风险）：风险发生概率50%-80%，影响程度为重大，包括可能导致事务所被行政处罚、单次赔偿金额50-100万元、被行业协会公开惩戒的风险。4.1.3黄色（较大风险）：风险发生概率30%-50%，影响程度为一般，包括可能导致项目被监管问询、单次赔偿金额10-50万元、被行业协会内部通报的风险。4.1.4蓝色（一般风险）：风险发生概率<30%，影响程度为轻微，包括个别审计程序瑕疵、不影响报告结论、无外部处罚的风险。4.2分级管控措施4.2.1红色风险管控：第一时间暂停所有相关业务，2小时内上报属地财政部门及注册会计师协会，由全体合伙人集体研究制定处置方案，成立专项处置小组，主动配合监管部门调查，采取撤回不实报告、协商赔偿等措施降低损失，处置期间每周向合伙人层汇报进展。4.2.2橙色风险管控：由风控负责人牵头成立专项小组，10个工作日内完成风险全流程排查，形成整改方案，对存在问题的项目及时补全审计程序、更正报告内容，主动向监管部门说明情况，整改完成后形成专项报告存档，相关责任人员暂停承接新项目3个月。4.2.3黄色风险管控：由项目负责人牵头，3个工作日内完成整改，补全缺失的审计程序、调整报告内容，经风控负责人复核确认后归档，扣发项目负责人当月20%绩效。4.2.4蓝色风险管控：由项目组内部整改，2个工作日内补全底稿瑕疵，经项目负责人复核确认后归档，扣发直接责任人当月5%绩效。4.3全流程常态化管控措施4.3.1业务承接管控：所有项目必须填写《客户承接风险评估表》，开展客户尽职调查，低风险项目由风控负责人审批承接，高风险项目需经2/3以上合伙人表决同意后方可承接，禁止承接明确要求出具不实报告的项目。4.3.2业务执行管控：严格执行三级复核制度，一级复核为项目组成员交叉复核，覆盖所有工作底稿；二级复核为风控负责人独立复核，重点关注高风险科目、审计程序完整性、审计结论合理性；三级复核为合伙人最终复核，重点关注报告意见类型、披露事项完整性。高风险项目需额外聘请外部独立专家进行复核。工作底稿实行电子+纸质双存档，电子底稿加密存储，备份不少于2份，分别存放在不同物理地点，保存期限不低于10年。4.3.3报告出具管控：建立报告用印审批台账，未完成三级复核的报告不得用印，报告编号连续登记，作废报告需收回全部纸质版本存档，禁止出具空白报告、先盖章后编写内容的报告。4.3.4风险缓释措施：每年购买执业责任保险，保额不低于年度营业收入的2倍，且最低不低于1000万元；每年按年度营业收入的10%提取职业风险准备金，累计提取金额达到年度营业收入的50%时可不再提取，准备金仅用于赔付执业风险导致的损失，不得挪作他用。5风险应急处置与追责机制5.1应急处置流程5.1.1风险上报：任何人员发现风险隐患后，需在2小时内上报风控负责人，特大风险可直接上报首席合伙人，不得瞒报、漏报、迟报，瞒报风险的人员加倍追责。5.1.2风险研判：风控负责人收到上报信息后4小时内组织相关人员开展研判，确定风险等级，制定初步处置方案，重大及特大风险需提交合伙人层审议。5.1.3处置实施：按照分级管控措施开展处置，涉及报告不实的，第一时间联系报告使用者撤回或更正报告；涉及民事诉讼的，及时委托专业律师应诉，同时通知保险公司启动理赔程序；涉及监管调查的，安排专人配合，如实提供相关资料。5.1.4复盘优化：风险处置完成后15个工作日内形成复盘报告，分析风险发生原因，完善相关风控流程，对全体人员开展案例警示教育，避免同类风险再次发生。5.2追责机制5.2.1绩效追责：发生蓝色风险，扣发直接责任人当月绩效5%-10%；发生黄色风险，扣发项目负责人当月绩效20%-30%，直接责任人当月绩效40%；发生橙色风险，扣发项目负责人半年绩效，取消当年评优资格，风控复核人员扣发当月绩效50%；发生红色风险，扣发相关责任人员全年绩效，合伙人承担对应比例的赔偿责任。5.2.2职务追责：发生橙色及以上风险的执业人员，1年内不得晋升；情节严重的，予以开除，纳入行业失信名单报送属地注协；存在主观故意出具不实报告、收受客户利益的，移交司法机关追究刑事责任。5.2.3免责条款：执业人员已严格按照执业准则及本制度要求完成全部审计程序，因客户故意隐瞒信息、不可抗力导致的风险事件，免于追究相关人员责任。6风险管理培训与持续优化6.1风控培训每年组织全员不少于40学时的风险管理培训，其中新员工入职前风控专项培训不少于8学时，培训内容包括最新监管政策、执业准则修订内容、行业风险案例、所内风控制度等，每次培训后开展闭卷考核，考核不合格的不得上岗执业。每年至少组织2次风控专项演练，模拟风险事件处置流程，提升应急处置能力。6.2制度优化建立风险台账，对所有风险事件的发生时间、原因、处置过程、追责结果逐一登记，每年年底对风险管理制度的执行效果进行评估，结合监管要求变化、业务结构调整、风险事件复盘结果修订相关条款，至少每3年完成一次制度全面修订。6.3信息披露每年编制《年