PCAOB QC 1000 и AICPA SQMS № 1: Какво трябва да внедрят малките CPA фирми преди декември 2026 г.

Ако управлявате малка CPA фирма и през последното десетилетие сте поддържали семпло ръководство за контрол на качеството в споделено устройство, следващите осемнадесет месеца ще ви се сторят като различна професия. Два отделни регулатора — PCAOB и AICPA — замениха стария реактивен режим на контрол на качеството с проактивен, базиран на риска модел на „управление на качеството“, който изисква писмени цели, идентифицирани рискове, разработени отговори, непрекъснат мониторинг и документирани доказателства, че цялата машина действително работи. Изявлението на AICPA за стандартите за управление на качеството № 1 (SQMS No. 1) влезе в сила на 15 декември 2025 г., а QC 1000 на PCAOB следва на 15 декември 2026 г. Самостоятелните практици и фирмите от десет души не са изключени; стандартите са мащабируеми, но се прилагат за всички.

Това ръководство разглежда промените, осемте компонента и четирите роли, които трябва да дефинирате, графика до декември 2026 г., очакванията за документация, които изненадаха първите внедрили стандарта, и поетапен план за изпълнение, който можете да стартирате през това тримесечие.

Двата стандарта с прости думи

Сега съществуват два отделни режима за качество, които може да се наложи да спазвате, в зависимост от това какво одитира вашата фирма.

AICPA SQMS No. 1 се прилага за всяка фирма, която извършва одити, атестации, прегледи или компилации съгласно стандартите на AICPA. Ако подпишете дори един доклад за преглед на финансовите отчети на частна компания, този стандарт се прилага за вас. Той влезе в сила на 15 декември 2025 г., така че прозорецът за внедряване вече е затворен; фирмите, които не са изградили система, днес не са в съответствие.

PCAOB QC 1000 се прилага за всяка фирма, регистрирана в PCAOB, дори за фирми, които в момента не изпълняват ангажименти за емитенти или брокери-дилъри, но биха могли в бъдеще. Той влиза в сила на 15 декември 2026 г. Първият отчетен период за Form QC обхваща периода от 15 декември 2026 г. до 30 септември 2027 г., като първото подаване на Form QC до PCAOB трябва да се извърши до 30 ноември 2027 г.

Двата стандарта споделят обща ДНК — и двата са моделирани по международната рамка ISQM 1 — но не са идентични. Фирмите, регистрирани в PCAOB, които също така изпълняват ангажименти по стандартите на AICPA, трябва да управляват една система, която удовлетворява и двете. Това е трудната част. Повечето фирми проектират единна интегрирана система за управление на качеството (SOQM) и добавят допълнителните специфични изисквания на PCAOB върху нея.

Защо стандартите се промениха

Старите стандарти за контрол на качеството (QC 20, QC 30, QC 40 от страна на PCAOB и QC раздел 10 на AICPA) третираха качеството като списък за проверка: отговорен съдружник, писмено ръководство, периодична проверка. Резултатите от инспекциите постоянно показваха, че съответствието с ръководството невинаги води до качествен одит. Фирмите можеха да преминат партньорска проверка и пак да издават дефектни становища, тъй като системата всъщност не отговаряше на рисковете, присъстващи в тази фирма през съответната година.

Новите стандарти обръщат логиката. Вместо да ви казват какви процедури да разпишете, те ви казват да:

1. Поставите цели за качество — как изглежда висококачественият ангажимент във вашата фирма?
2. Идентифицирате рисковете за качеството — какво би могло логично да се обърка по пътя към тези цели?
3. Проектирате отговори — какви контроли, обучение, технологии или надзор ще използвате, за да се справите с всеки риск?
4. Мониторинг и коригиране — как ще разберете дали системата работи и как ще поправите това, което не работи?

Това е сериозна културна промяна. Стандартът не се удовлетворява просто с изготвянето на ръководство за контрол на качеството; той изисква система, която е проектирана, внедрена, функционираща и наблюдавана ефективно. Няколко фирми, които вече са преминали през изграждането на SQMS No. 1, съобщават, че екипите от съдружници и мениджъри са отделили няколкостотин часа за тази работа.

Осемте компонента, които трябва да обхванете

И QC 1000, и SQMS No. 1 организират системата около осем компонента. Два са процеси; шест са оперативни области на фирмата.

Процесни компоненти

1. Процес на оценка на риска. Фирмата поставя цели за качество, идентифицира рискове и проектира отговори, след което поддържа цикъла при промяна на условията.
2. Процес на мониторинг и коригиране. Фирмата непрекъснато тества дали отговорите работят, идентифицира недостатъци, извършва анализ на първопричините и предприема коригиращи действия.

Оперативни компоненти

3. Управление и лидерство. „Тонът на върха“, структурата на отчетност и културата, която движи вземането на решения.
4. Етика и независимост. Съответствие с правилата за независимост на AICPA и SEC, проверки за конфликт на интереси и лични финансови отношения.
5. Приемане и продължаване на клиентски взаимоотношения и ангажименти. Проверки на миналото, почтеността, възможностите и капацитета, преди да приемете или подновите клиент.
6. Изпълнение на ангажимента. Насочване, надзор, преглед, консултации, различия в мненията, прегледи на качеството на ангажимента и документация на ангажимента.
7. Ресурси. Човешки ресурси (обучение, оценка, повишение на съдружници), технологии, интелектуални ресурси (методология на одита, шаблони) и доставчици на услуги.
8. Информиране и комуникация. Вътрешни комуникации относно качеството, плюс комуникация с одитни комитети, регулатори и външни заинтересовани страни.

За всеки компонент пишете цели за качество, идентифицирате рисковете за качеството, които застрашават тези цели конкретно във вашата фирма, и проектирате отговори. Рискът е конкретно събитие, което разумно може да възникне и да повлияе неблагоприятно върху постигането на целта — а не общо твърдение като „одитът може да се провали“.

Четирите роли, които трябва да определите

СУК № 1 изисква отговорността да бъде разпределена между четири дефинирани роли. В по-малките фирми един човек може да съвместява няколко функции, но всяка роля трябва да бъде ясно назована и документирана.

1. Окончателна отговорност и отчетност за системата за управление на качеството. Обикновено това е управляващият съдружник или изпълнителният директор. Това лице притежава системата; то не може да делегира отчетността.
2. Оперативна отговорност за системата като цяло. Лицето, което ръководи ежедневното проектиране, внедряване, функциониране и мониторинг на СУК. В индивидуална практика това е същото лице като в т. 1.
3. Оперативна отговорност за спазването на етичните изисквания и изискванията за независимост. Отговаря за проверките за конфликт на интереси, потвържденията за независимост, списъка на фирмата с ограничени лица и личната финансова отчетност.
4. Оперативна отговорност за процеса на мониторинг и отстраняване на несъответствия. Проектира и управлява мониторинга по време на работа и след приключване на ангажиментите, извършва анализ на първопричините и проследява отстраняването на несъответствията.

QC 1000 надгражда подобни роли за фирми, регистрирани в PCAOB, с допълнителен нюанс: фирмите, които одитират повече от 100 емитенти годишно, трябва да установят Външна функция за контрол на качеството (EQCF), съставена от едно или повече лица, които са независими от фирмата и могат да упражняват независима преценка върху системата за КК. Членовете на EQCF не могат да бъдат съдружници или служители на фирмата. Това изискване не се прилага за повечето малки фирми, но ако списъкът на клиентите ви расте, следете прага.

Капанът на документацията

Най-голямата изненада при внедряването за малките фирми е обемът на документацията, който „мащабируемостта“ все пак генерира. Трябва да документирате:

• Целите по качеството за всеки от осемте компонента.
• Идентифицираните рискове за качеството за всяка цел.
• Отговорите на всеки риск, включително специфичните дейности по контрол, честотата и отговорника.
• Основанието за вашето заключение, че тези отговори, в комбинация, адресират риска.
• Доказателствата, че отговорите са действали през периода (логове, подписи, списъци за обучение, технологични конфигурации, файлове за партньорски проверки и др.).
• Годишната оценка на СУК, с класификация по тежест за всички несъответствия.
• Анализа на първопричините и плана за отстраняване за всяко несъответствие.
• Комуникациите, които сте осъществили с екипите по ангажиментите, одитните комитети и регулаторните органи.

Стандартът не изисква конкретен формат. Електронните таблици и Word документите са приемливи начални точки. Инструменти като Caseware, TeamMate на Wolters Kluwer, AuditDashboard и собственото практическо помагало на AICPA могат да ускорят изграждането. Важното е регулаторът да може да проследи вашите аргументи от целта през риска до отговора и доказателствата в една нишка.

Преглед на качеството на ангажимента и мониторинг

Прегледите на качеството на ангажимента (EQR) не са нещо ново, но QC 1000 засилва правилата. Преглеждащият трябва да има достатъчна компетентност, капацитет, обективност и авторитет, за да оцени значимите преценки, направени от екипа по ангажимента. По-малките фирми често възлагат функцията EQR на външен изпълнител; това е разрешено, но СУК на фирмата трябва изрично да посочва как се потвърждава независимостта и компетентността на изпълнителя.

Мониторингът вече е постоянен, а не годишен. Избирате ангажименти за проверка въз основа на риска — а не само чрез ротация — и програмата за проверка трябва да включва текущи прегледи, а не само завършени ангажименти. Ако откриете несъответствие, стандартите изискват документиран анализ на първопричините и план за отстраняване с отговорник и краен срок. „Обсъдихме го на среща на съдружниците“ не е достатъчно.

Формуляр QC и оценката към 30 септември 2027 г.

За регистрираните в PCAOB фирми, QC 1000 въвежда ново изискване за годишно отчитане: Формуляр QC. Първият Формуляр QC обхваща периода от 15 декември 2026 г. до 30 септември 2027 г. и трябва да бъде представен на PCAOB до 30 ноември 2027 г. Формулярът изисква оценката на фирмата дали нейната система за КК предоставя разумна увереност, че фирмата и нейният персонал спазват приложимите професионални стандарти, плюс оповестяване на неотстранени несъответствия и плана за тяхното коригиране.

За фирми, които в момента не изпълняват ангажименти за емитенти, но са регистрирани в PCAOB, QC 1000 все още изисква проектирана система; задълженията за функциониране и отчитане влизат в сила едва когато започнете ангажимент за емитент. Ако обмисляте дали да запазите регистрацията си в PCAOB, това е годината да вземете това решение — и да се дерегистрирате преди датата на влизане в сила през декември 2026 г., ако не планирате да извършвате одити на емитенти или брокер-дилъри.

Поетапен план за внедряване за малки фирми

Ако все още сте в ранните етапи, ето един реалистичен петфазен план за постигане на съответствие до 15 декември 2026 г.

Етап 1 (сега): Определяне на ролите и управление на проекта. Посочете четирите (или повече) отговорни лица, напишете устав, определете график на срещите и предвидете бюджет за часове на съдружници и мениджъри. Повечето фирми подценяват времевия ангажимент — планирайте няколкостотин часа до края на 2026 г.

Етап 2 (Q2 2026): Избор на инструмент и библиотека с шаблони. Решете дали ще използвате електронни таблици, практическо помагало от AICPA или специализирана платформа. Абонирайте се за библиотека с рискове и отговори, която съответства на размера на вашата фирма; изграждането на такава от нулата рядко си струва усилията.

Етап 3 (Q2–Q3 2026): Извършване на оценка на риска. Компонент по компонент документирайте целите по качеството, идентифицирайте рисковете, специфични за клиентите и практиките на вашата фирма, и проектирайте отговорите. Бъдете честни относно пропуските. Стандартът възнаграждава фирмите, които откриват собствените си слабости; той наказва фирмите, които се преструват, че нямат такива.

Етап 4 (Q3 2026): Внедряване на отговорите и събиране на доказателства. Въведете новите политики, обучения, технологични конфигурации и шаблони. Започнете да събирате доказателствата, които ще ви трябват по време на оценката: списъци за обучение, потвърждения за независимост, подписи за EQR, работни документи от мониторингови проверки.

Етап 5 (Q4 2026 нататък): Функциониране, мониторинг, оценка. От 15 декември 2026 г. системата трябва да работи. Управлявайте програмата си за мониторинг, извършвайте анализ на първопричините за констатациите, документирайте отстраняването им и се подгответе за датата на оценка 30 септември 2027 г.

За СУК № 1 еквивалентните дати са дванадесет месеца по-рано; ако вашата фирма все още не е наваксала, дайте приоритет на тази работа първо.

Чести грешки, които допускат първите внедрители

Няколко модела се открояват при фирмите, които са започнали по-рано.

• Объркване на целите с действията по отговор. „Ще извършваме прегледи на качеството на ангажиментите“ е действие по отговор, а не цел. Целта е състояние – „екипите по ангажиментите достигат до подходящи заключения по съществени въпроси“ – а ПКА (прегледът на качеството на ангажимента) е едно от няколкото действия по отговор.
• Общи формулировки на рисковете. „Съществува риск от неспазване на изискванията за независимост“ не е риск; това е категория. Рискът трябва да описва конкретен сценарий във вашата фирма: „Партньор по ангажимента приема личен заем от служител на клиент по одит по време на периода на ангажимента.“
• Копиране и поставяне на готови решения. Заемането на наръчник от конкурент или на индустриален шаблон и промяната на името на фирмата създава система, която не съответства на действителния рисков профил на фирмата. Проверките ще установят това несъответствие.
• Третиране на мониторинга като нещо второстепенно. Фирмите, които изграждат СУК (Система за управление на качеството), но пропускат мониторинга, установяват, че при оценката през септември 2027 г. няма какво да се оценява. Стартирайте програмата за мониторинг от първия ден.
• Пропускане на анализа на първопричините. Когато откриете дефицит, изкушението е да отстраните симптома и да продължите напред. Стандартът изисква да попитате защо се е случило това, да документирате анализа и да коригирате основната причина.

Не забравяйте собственото си счетоводство

Стандартите за управление на качеството се прилагат за вашата одитна практика – но същата дисциплина носи ползи и при управлението на собствените финанси на вашата фирма. Чиста главна книга, записи с контрол на версиите и прозрачно проследяване на разходите са точно това, което бихте искали от одит клиент. Инструментите за текстово счетоводство (plain-text accounting) улесняват воденето на фирмените книги във формат, който подлежи на одит, позволява автоматизация и е устойчив на зависимост от конкретен доставчик. Ако можете да демонстрирате примерно водене на документация вътрешно, вашата система за контрол на качеството придобива доверие и вашите проверяващи колеги ще го забележат.

Поддържайте финансите на фирмата си в готовност за одит от първия ден

Докато изграждате система по QC 1000 и SQMS No. 1, същите принципи – прозрачни записи, документиран контрол, постоянен мониторинг – трябва да бъдат заложени и във вашия бек-офис. Beancount.io предлага текстово счетоводство, което ви дава пълна прозрачност и контрол върху финансовите данни на вашата фирма, с пълна история на версиите в git и готови за AI експорти. Започнете безплатно и вижте защо разработчици, счетоводители и финансови специалисти преминават към текстово счетоводство.