PCAOB QC 1000 en AICPA SQMS No. 1: Wat kleine accountantskantoren moeten implementeren vóór december 2026

Als u een klein accountantskantoor runt en de afgelopen tien jaar een beknopt handboek voor kwaliteitsbeheersing op een gedeelde schijf hebt bewaard, zullen de komende achttien maanden aanvoelen als een ander beroep. Twee afzonderlijke toezichthouders – de PCAOB en de AICPA – hebben het oude reactieve regime voor kwaliteitsbeheersing vervangen door een proactief, risicogebaseerd "kwaliteitsmanagement"-model dat schriftelijke doelstellingen, geïdentificeerde risico's, ontworpen reacties, voortdurende monitoring en gedocumenteerd bewijs vereist dat de hele machine daadwerkelijk werkt. De Statement on Quality Management Standards No. 1 (SQMS No. 1) van de AICPA is op 15 december 2025 van kracht geworden, en QC 1000 van de PCAOB volgt op 15 december 2026. Eenmanszaken en kantoren met tien medewerkers zijn niet vrijgesteld; de standaarden zijn schaalbaar, maar ze zijn op iedereen van toepassing.

Deze gids bespreekt wat er verandert, de acht componenten en vier rollen die u moet definiëren, de tijdlijn voor december 2026, de documentatieverwachtingen die vroege gebruikers hebben verrast, en een gefaseerd implementatieplan waarmee u dit kwartaal kunt beginnen.

De twee standaarden in begrijpelijke taal

Er zijn nu twee afzonderlijke kwaliteitsregimes die u mogelijk moet volgen, afhankelijk van wat uw kantoor controleert.

AICPA SQMS No. 1 is van toepassing op elk kantoor dat controles, attestatie-, beoordelings- of samenstellingsopdrachten uitvoert onder de AICPA-standaarden. Als u één beoordelingsverklaring ondertekent bij de jaarrekening van een niet-beursgenoteerde onderneming, is deze standaard op u van toepassing. Deze is op 15 december 2025 van kracht geworden, dus het implementatievenster is al gesloten; kantoren die nog geen systeem hebben opgebouwd, voldoen op dit moment niet aan de regels.

PCAOB QC 1000 is van toepassing op elk kantoor dat geregistreerd is bij de PCAOB, zelfs kantoren die momenteel geen opdrachten uitvoeren voor uitgevende instellingen (issuers) of effectenhandelaren (broker-dealers), maar dat in de toekomst mogelijk wel gaan doen. Deze wordt van kracht op 15 december 2026. De eerste rapportageperiode voor Form QC loopt van 15 december 2026 tot 30 september 2027, waarbij de eerste Form QC-indiening uiterlijk op 30 november 2027 bij de PCAOB moet zijn ingediend.

De twee standaarden delen een gemeenschappelijke basis – beide zijn gemodelleerd naar het internationale ISQM 1-raamwerk – maar ze zijn niet identiek. Bij de PCAOB geregistreerde kantoren die ook AICPA-opdrachten uitvoeren, moeten één systeem hanteren dat aan beide voldoet. Dat is het moeilijke gedeelte. De meeste kantoren ontwerpen één geïntegreerd kwaliteitsmanagementsysteem (System of Quality Management of SOQM) en voegen de aanvullende specifieke PCAOB-vereisten daaraan toe.

Waarom de standaarden zijn veranderd

De oude standaarden voor kwaliteitsbeheersing (QC 20, QC 30, QC 40 aan de PCAOB-zijde, en QC Section 10 van de AICPA) behandelden kwaliteit als een checklist: een verantwoordelijke partner, een schriftelijk handboek, periodieke inspectie. Inspectieresultaten lieten herhaaldelijk zien dat naleving van het handboek niet altijd leidde tot een kwaliteitscontrole. Kantoren konden de collegiale toetsing (peer review) doorstaan en toch gebrekkige oordelen afgeven omdat het systeem niet feitelijk reageerde op de risico's die dat jaar bij dat specifieke kantoor aanwezig waren.

De nieuwe standaarden draaien de logica om. In plaats van u te vertellen welke procedures u moet opschrijven, dragen ze u op om:

1. Kwaliteitsdoelstellingen vast te stellen – hoe ziet een opdracht van hoge kwaliteit eruit bij uw kantoor?
2. Kwaliteitsrisico's te identificeren – wat kan er redelijkerwijs misgaan op weg naar die doelstellingen?
3. Reacties te ontwerpen – welke beheersingsmaatregelen, training, technologie of supervisie gaat u gebruiken om elk risico aan te pakken?
4. Te monitoren en te herstellen – hoe weet u of het werkt, en hoe herstelt u wat niet werkt?

Dit is een grote culturele verschuiving. De standaard is niet voldaan door het opstellen van een handboek voor kwaliteitsbeheersing; het vereist een systeem dat effectief is ontworpen, geïmplementeerd, in werking is en wordt gemonitord. Verschillende kantoren die het proces voor SQMS No. 1 al hebben doorlopen, melden dat partner- en managementteams honderden uren aan het werk hebben besteed.

De acht componenten die u moet dekken

Zowel QC 1000 als SQMS No. 1 organiseren het systeem rond acht componenten. Twee daarvan zijn processen; zes zijn operationele gebieden van het kantoor.

Procescomponenten

1. Risicobeoordelingsproces. Het kantoor stelt kwaliteitsdoelstellingen vast, identificeert risico's en ontwerpt reacties, en houdt deze cyclus gaande terwijl de omstandigheden veranderen.
2. Monitorings- en herstelproces. Het kantoor test voortdurend of de reacties werken, identificeert tekortkomingen, voert een oorzaakanalyse uit en herstelt deze.

Operationele componenten

3. Governance en leiderschap. De "toon aan de top", de verantwoordelijkheidsstructuur en de cultuur die de besluitvorming aanstuurt.
4. Ethiek en onafhankelijkheid. Naleving van de AICPA- en SEC-onafhankelijkheidsregels, conflictcontroles en persoonlijke financiële relaties.
5. Aanvaarding en voortzetting van cliëntrelaties en opdrachten. Controles op achtergrond, integriteit, bekwaamheid en capaciteit voordat u een cliënt accepteert of verlengt.
6. Uitvoering van de opdracht. Richting geven, supervisie, beoordeling, consultatie, meningsverschillen, opdrachtgerichte kwaliteitsbeoordelingen en opdrachtdocumentatie.
7. Middelen. Menselijke middelen (training, evaluatie, partnerpromotie), technologie, intellectuele middelen (controlemethodologie, sjablonen) en dienstverleners.
8. Informatie en communicatie. Interne communicatie over kwaliteit, plus communicatie met auditcomités, toezichthouders en externe belanghebbenden.

Voor elke component schrijft u kwaliteitsdoelstellingen, identificeert u de kwaliteitsrisico's die die doelstellingen bij uw specifieke kantoor bedreigen, en ontwerpt u reacties. Een risico is een specifieke gebeurtenis die redelijkerwijs kan optreden en het bereiken van een doelstelling nadelig kan beïnvloeden – niet een algemene uitspraak als "de controle zou kunnen mislukken".

De Vier Rollen Die U Moet Toewijzen

SQMS No. 1 vereist dat de verantwoordelijkheid wordt toegewezen aan vier gedefinieerde rollen. Bij kleinere kantoren kan één persoon meerdere petten ophebben, maar elke rol moet duidelijk worden benoemd en gedocumenteerd.

1. Eindverantwoordelijkheid en verantwoording voor het systeem van kwaliteitsmanagement. Meestal de beherend vennoot of CEO. Deze persoon is de eigenaar van het systeem; zij kunnen de eindverantwoordelijkheid niet delegeren.
2. Operationele verantwoordelijkheid voor het systeem als geheel. De persoon die verantwoordelijk is voor het dagelijkse ontwerp, de implementatie, de werking en de monitoring van het SOQM. In een eenmanszaak is dit dezelfde persoon als #1.
3. Operationele verantwoordelijkheid voor de naleving van ethische en onafhankelijkheidseisen. Verantwoordelijk voor de controle op belangenverstrengeling, onafhankelijkheidsbevestigingen, de lijst met beperkte entiteiten van het kantoor en persoonlijke financiële rapportage.
4. Operationele verantwoordelijkheid voor het monitoring- en herstelproces. Ontwerpt en voert monitoring uit tijdens het proces en achteraf, voert oorzaakanalyses uit en volgt het herstel op.

QC 1000 voegt vergelijkbare rollen toe voor bij de PCAOB geregistreerde kantoren, met een extra twist: kantoren die jaarlijks meer dan 100 uitgevende instellingen (issuers) controleren, moeten een externe kwaliteitsbeheersingsfunctie (EQCF) instellen, bestaande uit een of meer personen die onafhankelijk zijn van het kantoor en een onafhankelijk oordeel kunnen vellen over het kwaliteitsbeheersingssysteem. Leden van de EQCF mogen geen vennoten of werknemers van het kantoor zijn. Deze vereiste is niet van toepassing op de meeste kleine kantoren, maar als uw klantenlijst groeit, houd dan de drempel in de gaten.

De Documentatievalstrik

De grootste verrassing bij de implementatie voor kleine kantoren is de hoeveelheid documentatie die "schaalbaarheid" nog steeds oplevert. U moet het volgende documenteren:

• De kwaliteitsdoelstellingen voor elk van de acht componenten.
• De geïdentificeerde kwaliteitsrisico's voor elke doelstelling.
• De reacties op elk risico, inclusief de specifieke beheersingsactiviteiten, frequentie en eigenaar.
• De basis voor uw conclusie dat die reacties, in combinatie, het risico aanpakken.
• Het bewijs dat de reacties tijdens de periode hebben gewerkt (logs, aftekeningen, presentielijsten van trainingen, technologieconfiguraties, peer review-bestanden, enz.).
• De jaarlijkse evaluatie van het SOQM, met ernstclassificaties voor eventuele tekortkomingen.
• De oorzaakanalyse en het herstelplan voor elke tekortkoming.
• De communicatie die u heeft gedaan naar opdrachtteams, auditcommissies en toezichthouders.

De standaard vereist geen specifiek formaat. Spreadsheets en Word-documenten zijn acceptabele startpunten. Tools zoals Caseware, TeamMate van Wolters Kluwer, AuditDashboard en de eigen praktijkhulpmiddelen van de AICPA kunnen de opbouw versnellen. Het gaat erom dat een toezichthouder uw redenering van doelstelling naar risico naar reactie naar bewijs in één doorlopende lijn moet kunnen volgen.

Kwaliteitsbeoordeling en Monitoring van Opdrachten

Opdrachtgerichte kwaliteitsbeoordelingen (EQR's) zijn niet nieuw, maar QC 1000 scherpt de regels aan. De beoordelaar moet over voldoende deskundigheid, vaardigheid, objectiviteit en autoriteit beschikken om de significante oordelen van het opdrachtteam te evalueren. Kleinere kantoren besteden de EQR-functie vaak uit aan een externe beoordelaar; dat is toegestaan, maar het SOQM van het kantoor moet expliciet beschrijven hoe het de onafhankelijkheid en deskundigheid van de externe partij bevestigt.

Monitoring is nu continu in plaats van jaarlijks. U selecteert opdrachten voor inspectie op basis van risico — niet alleen op basis van rotatie — en het inspectieprogramma moet tussentijdse reviews bevatten, niet alleen voltooide opdrachten. Als u een tekortkoming ontdekt, verwachten de standaarden een gedocumenteerde oorzaakanalyse en een herstelplan met een eigenaar en een deadline. "We hebben het erover gehad tijdens een vennotenvergadering" is niet voldoende.

Formulier QC en de Evaluatie op 30 September 2027

Voor bij de PCAOB geregistreerde kantoren introduceert QC 1000 een nieuwe jaarlijkse rapportageverplichting: Formulier QC. Het eerste Formulier QC beslaat de periode van 15 december 2026 tot 30 september 2027 en moet uiterlijk op 30 november 2027 bij de PCAOB zijn ingediend. Het formulier vereist de evaluatie door het kantoor of het kwaliteitsbeheersingssysteem een redelijke mate van zekerheid biedt dat het kantoor en het personeel voldoen aan de toepasselijke professionele standaarden, plus openbaarmaking van niet-herstelde tekortkomingen en het herstelplan.

Voor kantoren die momenteel geen controles bij uitgevende instellingen uitvoeren maar wel geregistreerd zijn bij de PCAOB, vereist QC 1000 nog steeds een ontworpen systeem; de operationele en rapportageverplichtingen treden pas in werking zodra u start met een opdracht voor een uitgevende instelling. Als u overweegt of u de PCAOB-registratie wilt behouden, is dit het jaar om die beslissing te nemen — en om de registratie in te trekken vóór de ingangsdatum van december 2026 als u niet van plan bent om audits voor uitgevende instellingen of broker-dealers uit te voeren.

Een Gefaseerd Implementatieplan voor Kleine Kantoren

Als u zich nog in de beginfase bevindt, is hier een realistisch vijffasenplan om tegen 15 december 2026 aan de voorschriften te voldoen.

Fase 1 (nu): Definieer rollen en stuur het project aan. Benoem de vier (of meer) verantwoordelijke personen, stel een mandaat op, bepaal een vergaderfrequentie en budgetteer uren voor vennoten en managers. De meeste kantoren onderschatten de tijdsbesteding — reken op honderden uren tot eind 2026.

Fase 2 (Q2 2026): Kies een tool en een bibliotheek met sjablonen. Beslis of u spreadsheets, een praktijkhulpmiddel van de AICPA of een speciaal gebouwd platform gaat gebruiken. Neem een abonnement op een bibliotheek met risico's en reacties die past bij de omvang van uw kantoor; het is zelden de moeite waard om er zelf een vanaf nul op te bouwen.

Fase 3 (Q2–Q3 2026): Voer de risicobeoordeling uit. Documenteer per component de kwaliteitsdoelstellingen, identificeer de risico's die specifiek zijn voor de cliënten en praktijken van uw kantoor en ontwerp reacties. Wees eerlijk over de hiaten. De standaard beloont kantoren die hun eigen zwakheden vinden; het straft kantoren die doen alsof ze er geen hebben.

Fase 4 (Q3 2026): Implementeer reacties en verzamel bewijs. Voer het nieuwe beleid, de trainingen, technologieconfiguraties en sjablonen in. Begin met het verzamelen van het bewijs dat u nodig heeft op het moment van de evaluatie: presentielijsten van trainingen, onafhankelijkheidsbevestigingen, EQR-aftekeningen, werkdocumenten van monitoringinspecties.

Fase 5 (Q4 2026 en daarna): Werken, monitoren, evalueren. Vanaf 15 december 2026 moet het systeem operationeel zijn. Voer uw monitoringprogramma uit, voer oorzaakanalyses uit op bevindingen, documenteer het herstel en bereid u voor op de evaluatiedatum van 30 september 2027.

Voor SQMS No. 1 vallen de overeenkomstige data twaalf maanden eerder; als uw kantoor nog niet op schema ligt, geef die werkzaamheden dan eerst prioriteit.

Veelgemaakte fouten van vroege gebruikers

Er zijn een aantal patronen zichtbaar bij kantoren die vroeg zijn gestart.

• Doelstellingen verwarren met maatregelen. "We zullen beoordelingen van de opdrachtkwaliteit uitvoeren" is een maatregel (response), geen doelstelling. De doelstelling is een resultaat—"opdrachtteams trekken passende conclusies over belangrijke aangelegenheden"—en de kwaliteitsbeoordeling is één van de verschillende maatregelen.
• Algemeen taalgebruik bij risico's. "Er bestaat een risico op niet-naleving van onafhankelijkheidsvereisten" is geen risico; het is een categorie. Het risico moet een specifiek scenario binnen uw kantoor beschrijven: "Een opdrachtpartner accepteert een persoonlijke lening van een functionaris van een auditcliënt tijdens de opdrachtperiode."
• Kopieer-en-plak-maatregelen. Het overnemen van het handboek van een concurrent of een standaardsjabloon en het enkel wijzigen van de kantoornaam resulteert in een systeem dat niet aansluit bij het werkelijke risicoprofiel van het kantoor. Inspecties zullen deze discrepantie ontdekken.
• Monitoring als bijzaak behandelen. Kantoren die het SOQM opbouwen maar de monitoring overslaan, merken dat de evaluatie in september 2027 niets heeft om te evalueren. Start vanaf de eerste dag met het monitoringsprogramma.
• Oorzaakanalyse overslaan. Bij het constateren van een tekortkoming is de verleiding groot om het symptoom te verhelpen en verder te gaan. De standaard vereist dat u onderzoekt waarom het is gebeurd, de analyse documenteert en de achterliggende oorzaak verhelpt.

Vergeet uw eigen boeken niet

Kwaliteitsmanagementstandaarden zijn van toepassing op uw controlepraktijk, maar dezelfde discipline loont bij het beheren van de eigen financiën van uw kantoor. Een zuiver grootboek, versiebeheerde gegevens en transparante onkostentracering zijn precies wat u van een auditcliënt zou verlangen. Plain-text boekhoudtools maken het eenvoudig om de boeken van uw kantoor bij te houden in een formaat dat controleerbaar, automatiseerbaar en bestand tegen vendor lock-in is. Als u intern een voorbeeldige verslaglegging kunt aantonen, wint uw kwaliteitsbeheersingssysteem aan geloofwaardigheid en zullen uw peer reviewers dit opmerken.

Houd de financiën van uw kantoor vanaf de eerste dag audit-klaar

Terwijl u een QC 1000- en SQMS No. 1-systeem opbouwt, horen dezelfde principes—transparante gegevens, gedocumenteerde controles, voortdurende monitoring—thuis in uw eigen backoffice. Beancount.io biedt plain-text boekhouding die u volledige transparantie en controle geeft over de financiële gegevens van uw kantoor, met een volledige git-gebaseerde versiegeschiedenis en AI-klare exports. Ga gratis aan de slag en ontdek waarom ontwikkelaars, accountants en financiële professionals overstappen op plain-text boekhouden.