PCAOB QC 1000 和 AICPA SQMS No. 1：小型会计师事务所必须在 2026 年 12 月前实施的内容

如果你经营着一家小型会计师事务所，并且在过去十年中一直将精简的质量控制手册保存在共享驱动器上，那么接下来的 18 个月会让你感觉进入了一个不同的行业。两个独立的监管机构——PCAOB（美国上市公司会计监督委员会）和 AICPA（美国注册会计师协会）——已经用主动的、基于风险的“质量管理”模型取代了旧的反应式质量控制体系。该模型要求制定书面目标、识别风险、设计应对措施、进行持续监控，并提供证明整个机制实际运行的记录证据。AICPA 的质量管理准则第 1 号（SQMS No. 1）已于 2025 年 12 月 15 日生效，而 PCAOB 的 QC 1000 将于 2026 年 12 月 15 日生效。个人执业者和十人规模的事务所也不能豁免；这些标准具有可扩展性，但适用于所有人。

本指南将详细介绍正在发生的变化、你必须定义的八个组成部分和四个角色、2026 年 12 月的时间表、令早期采用者感到惊讶的记录要求，以及你可以从本季度开始实施的分阶段实施计划。

简述这两项标准

现在有两个独立的质量体系，你可能需要根据事务所审计的对象来遵循。

AICPA SQMS No. 1 适用于根据 AICPA 标准执行审计、鉴证、审阅或编制业务的任何事务所。如果你签署了一份关于私营公司财务报表的审阅报告，该标准就适用于你。它已于 2025 年 12 月 15 日生效，因此实施窗口已经关闭；尚未建立体系的事务所目前已处于违规状态。

PCAOB QC 1000 适用于在 PCAOB 注册的每一家事务所，即使该事务所目前未执行发行人或经纪交易商业务，但将来可能会执行。它将于 2026 年 12 月 15 日生效。QC 表格（Form QC）的第一个报告期为 2026 年 12 月 15 日至 2027 年 9 月 30 日，第一次 QC 表格申报须在 2027 年 11 月 30 日前提交给 PCAOB。

这两项标准具有共同的基因——都以国际 ISQM 1 框架为蓝本——但它们并不完全相同。同时执行 AICPA 业务的 PCAOB 注册事务所需要运行一个同时满足两者的体系。这是最难的部分。大多数事务所正在设计一个统一的综合质量管理体系（SOQM），并在其基础上增加 PCAOB 的增量要求。

为什么标准会发生变化

旧的质量控制标准（PCAOB 方面的 QC 20、QC 30、QC 40，以及 AICPA 的 QC 第 10 节）将质量视为一份清单：一名负责合伙人、一份书面手册、定期检查。检查结果持续表明，遵守手册并不总能产生高质量的审计。事务所可能会通过同行评议，但由于体系未能对当年该事务所存在的风险做出实际反应，仍会出具存在缺陷的意见。

新标准反转了这一逻辑。它们不再告诉你要写下哪些程序，而是要求你：

1. 设定质量目标——在你的事务所，高质量的业务是什么样的？
2. 识别质量风险——在实现这些目标的过程中，可能会出现哪些合理的错误？
3. 设计应对措施——你将使用哪些控制、培训、技术或监督来应对每项风险？
4. 监控与补救——你如何知道它正在运行，以及如何修复不起作用的部分？

这是一次重大的文化转变。仅仅起草一份质量控制手册并不能满足标准的要求；它需要一个经过设计、实施、运营并受到有效监控的体系。几家已经完成 SQMS No. 1 建设的事务所报告称，合伙人和经理团队在工作上投入了数百小时。

你必须涵盖的八个组成部分

QC 1000 和 SQMS No. 1 都围绕八个组成部分组织体系。其中两个是流程；六个是事务所的运营领域。

流程部分

1. 风险评估流程。 事务所设定质量目标，识别风险，设计应对措施，然后随着情况的变化保持循环运行。
2. 监控与补救流程。 事务所持续测试应对措施是否有效，识别缺陷，执行根本原因分析，并进行补救。

运营部分

3. 治理与领导层。 驱动决策的“高层基调”、问责结构和文化。
4. 职业道德与独立性。 遵守 AICPA 和 SEC 的独立性规则、冲突检查以及个人财务关系。
5. 客户关系及业务的接受与保持。 在接受或续约客户之前进行的背景、诚信、能力和容量检查。
6. 业务执行。 指导、监督、复核、咨询、意见分歧、业务质量复核和业务记录。
7. 资源。 人力资源（培训、评估、合伙人晋升）、技术、智力资源（审计方法、模板）以及服务提供商。
8. 信息与沟通。 关于质量的内部沟通，以及与审计委员会、监管机构和外部利益相关者的沟通。

对于每个组成部分，你需要编写质量目标，识别威胁到你事务所特定目标的质量风险，并设计应对措施。风险是指可能合理发生并对实现目标产生不利影响的特定事件，而不是笼统的“审计可能会失败”之类的陈述。

你必须指定的四个角色

《质量管理准则第1号》（SQMS No. 1）要求将责任分配给四个明确的角色。在规模较小的事务所中，一个人可以兼任多个职务，但每个角色都必须被明确命名并记录在案。

1. 对质量管理体系承担最终责任和问责。 通常由管理合伙人或首席执行官担任。此人拥有该体系；他们不能将问责权下放。
2. 对体系整体运行承担运营责任。 负责质量管理体系（SOQM）日常设计、实施、运行和监控的人员。在个人执业事务所中，此人与第1项为同一人。
3. 对遵守职业道德和独立性要求承担运营责任。 负责冲突检查、独立性确认、事务所的受限实体清单以及个人财务报告。
4. 对监控和整改流程承担运营责任。 设计并运行过程中和事后的监控，执行根本原因分析，并跟踪整改情况。

对于在 PCAOB 注册的事务所，QC 1000 增加了类似的角色，并有一个额外的变化：每年审计超过 100 家发行人的事务所必须建立外部质量控制职能（EQCF），由一名或多名独立于事务所且能对质量控制体系行使独立判断的人员组成。EQCF 成员不得是事务所的负责人或员工。这一要求不适用于大多数小型事务所，但如果你的客户名单正在增加，请留意这一门槛。

文档记录陷阱

对于小型事务所来说，实施过程中最大的意外是即便在“可扩展”的情况下，仍会产生大量的文档记录。你必须记录：

• 八个组成部分中每个部分的质量目标。
• 针对每个目标识别出的质量风险。
• 对每个风险的应对措施，包括具体的控制活动、频率和负责人。
• 你得出“这些应对措施相结合可以应对风险”这一结论的依据。
• 应对措施在期间内运行的证据（日志、签认、培训名册、技术配置、同行评审文件等）。
• 对质量管理体系的年度评估，以及对任何缺陷的严重程度分类。
• 针对每个缺陷的根本原因分析和整改计划。
• 你与项目组、审计委员会和监管机构进行的沟通。

准则并未要求特定的格式。电子表格和 Word 文档是可接受的起点。像 Caseware、Wolters Kluwer 的 TeamMate、AuditDashboard 以及 AICPA 自己的实务指南等工具可以加速构建。重点在于，监管机构必须能够在单一线索中追溯从目标到风险、再到应对措施、最后到证据的推理过程。

项目质量复核与监控

项目质量复核（EQR）并不是新鲜事，但 QC 1000 强化了相关规则。复核人员必须具备足够的能力、资格、客观性和权威，以评估项目组作出的重大判断。小型事务所通常将 EQR 职能外包给合同复核人员；这是允许的，但事务所的质量管理体系必须明确说明如何确认该承包商的独立性和能力。

监控现在是持续性的，而非年度性的。你应根据风险（而不仅仅是轮换）选择待检查的项目，且检查计划必须包括正在进行中的项目复核，而不仅仅是已完成的项目。如果你发现缺陷，准则要求提供记录在案的根本原因分析，以及有负责人和截止日期的整改计划。“我们在合伙人会议上讨论过”是不够的。

QC 表格与 2027 年 9 月 30 日的评估

对于在 PCAOB 注册的事务所，QC 1000 引入了一项新的年度报告要求：QC 表格。第一份 QC 表格涵盖 2026 年 12 月 15 日至 2027 年 9 月 30 日期间，并须于 2027 年 11 月 30 日前提交给 PCAOB。该表格要求事务所评估其质量控制体系是否提供合理保证，确保事务所及其人员遵守适用的职业标准，并披露未整改的缺陷及整改计划。

对于目前未执行发行人审计业务但在 PCAOB 注册的事务所，QC 1000 仍要求设计一套体系；运行和报告义务仅在你开始发行人审计业务时才会触发。如果你正在权衡是否维持 PCAOB 注册，今年是做出决定的年份——如果你不打算执行发行人或经纪交易商审计，请在 2026 年 12 月生效日期之前注销注册。

小型事务所的分阶段实施计划

如果你仍处于早期阶段，这里有一个切实可行的五阶段计划，以确保在 2026 年 12 月 15 日之前达到合规要求。

第 1 阶段（现在）：定义角色并治理项目。 命名四个（或更多）负责人员，编写章程，设定会议节奏，并预算合伙人和经理的工时。大多数事务所低估了时间投入——计划在 2026 年底之前投入数百小时。

第 2 阶段（2026 年第 2 季度）：选择工具和模板库。 决定是使用电子表格、AICPA 实务指南还是专门构建的平台。订阅适合你事务所规模的风险与应对库；从头开始构建通常不值得。

第 3 阶段（2026 年第 2-3 季度）：执行风险评估。 逐个组成部分记录质量目标，识别针对你事务所客户和业务的具体风险，并设计应对措施。诚实对待差距。准则奖励那些发现自身弱点的事务所，惩罚那些假装没有弱点的事务所。

第 4 阶段（2026 年第 3 季度）：实施应对措施并收集证据。 推出新的政策、培训、技术配置和模板。开始收集评估时所需的证据：培训名册、独立性确认、EQR 签认、监控检查工作底稿。

第 5 阶段（2026 年第 4 季度起）：运行、监控、评估。 从 2026 年 12 月 15 日起，体系必须开始运行。执行你的监控计划，对发现的问题进行根本原因分析，记录整改情况，并为 2027 年 9 月 30 日的评估日期做好准备。

对于 SQMS No. 1，相应的日期要早 12 个月；如果你的事务所尚未赶上进度，请优先处理该项工作。

早期采用者常犯的错误

从早期启动的事务所中发现了一些模式。

• 混淆目标与应对措施。 “我们将执行业务质量复核”是一种应对措施，而不是目标。目标是一种状态——“业务团队就重大事项达成适当结论”——而 EQR（业务质量复核）只是众多应对措施之一。
• 通用的风险表述。 “存在不遵守独立性要求的风险”不是风险，而是一个类别。风险需要描述你事务所的具体场景：“在执业期间，项目合伙人从审计客户的管理人员处接受个人贷款。”
• 复制粘贴式的应对措施。 借用竞争对手的手册或行业模板并修改事务所名称，会导致生成的系统与事务所的实际风险状况不匹配。检查中会发现这种不匹配。
• 将监控视为事后才考虑的事情。 建立了质量管理体系 (SOQM) 但忽略了监控的事务所会发现，到 2027 年 9 月进行评估时将无内容可评。请从第一天起就启动监控计划。
• 跳过根本原因分析。 当你发现缺陷时，往往会倾向于只解决表面症状然后继续。但准则要求你询问发生的原因，记录分析过程，并补救根本原因。

别忘了你自己的账本

质量管理准则适用于你的审计业务，但同样的纪律在管理事务所自身财务时也能带来收益。整洁的总账、版本受控的记录以及透明的支出追踪，正是你希望审计客户具备的。纯文本会计工具让你可以轻松地以可审计、可自动化且不受供应商锁定的格式保存事务所账目。如果你能在内部展示出模范的记录保存，你的质量控制 (QC) 系统将获得公信力，同行评审人员也会注意到这一点。

让事务所财务从第一天起就做好审计准备

当你构建 QC 1000 和 SQMS No. 1 体系时，同样的原则——透明的记录、文档化的控制、持续的监控——也应应用在你的后台办公室。Beancount.io 提供纯文本会计，通过完整的基于 Git 的版本历史记录和支持 AI 的导出，让你对事务所的财务数据拥有完全的透明度和控制力。免费开始使用，了解为什么开发人员、会计师和财务专业人士正在转向纯文本会计。