ISQM 1: 비Big 4 회계법인에서 품질경영을 구현하는 방법

ISQM 1의 핵심 구조

ISQM 1.25는 품질경영시스템이 8가지 구성요소를 포함하도록 규정한다. 사무소의 거버넌스와 리더십, 관련 윤리적 요구사항, 고객관계 승인과 유지, 업무수행, 자원, 정보와 커뮤니케이션, 모니터링과 교정, 네트워크 요구사항이다.

이 구성요소가 독립적으로 작동하지 않는다는 점이 핵심이다. ISQM 1.31에 따르면 구성요소 간의 상호관계를 고려해야 한다. 자원 구성요소에서 식별된 인력 부족 위험은 업무수행 구성요소의 검토 시점과 직접 연결된다. 인차지가 2개 업무를 동시에 뛰고 있으면 검토 품질이 떨어지는 건 시스템의 문제이지 개인의 문제가 아니다.

품질경영시스템의 목적은 합리적 확신을 제공하는 것이다(ISQM 1.14). 절대적 확신이 아니다. 시스템이 완벽할 수는 없지만 품질위험을 식별하고 평가하며 적절히 대응할 수 있어야 한다. 기존 품질관리 기준(ISQC 1)과의 가장 큰 차이점은 바로 이 위험 기반 접근법이다. ISQC 1은 "이 절차를 수행하라"고 지시했고 ISQM 1은 "너희 사무소의 위험이 무엇인지 먼저 파악하고 그에 맞는 대응책을 설계하라"고 요구한다.

품질목표 설정과 위험 식별

ISQM 1.25(b)는 각 구성요소에 대해 품질목표를 설정하도록 요구한다. 품질목표는 추상적 선언이 아니다. 달성 가능하고 측정 가능한 구체적 목표여야 한다.

거버넌스와 리더십 구성요소의 품질목표를 예로 들면 "사무소 리더십이 품질에 대한 책임을 수행하고 품질 문화를 조성한다"가 된다. 이를 위한 품질위험은 "리더십이 단기 수익성을 품질보다 우선시할 위험"이나 "품질 문화가 모든 계층에 침투하지 않을 위험"이다.

업무수행 구성요소에서는 "업무가 관련 전문기준에 따라 수행되고 보고서가 상황에 적합하다"는 목표를 설정할 수 있다. 관련 품질위험으로는 "복잡한 업무에서 충분하고 적절한 감사증거를 입수하지 못할 위험"이나 "업무수행이사가 부적절한 결론에 도달할 위험"이 있다.

각 품질위험에 대해 ISQM 1.34는 대응책을 설계하고 이행하도록 요구한다. 대응책은 정책이나 절차가 될 수도 있고 특정 활동이나 통제가 될 수도 있다.

8가지 구성요소의 실무 적용

거버넌스와 리더십

ISQM 1.30은 사무소가 품질경영책임자를 지정하도록 요구한다. 10인 사무소에서는 대표이사가 직접 수행할 수 있다. 50인 사무소에서는 전담 파트너나 이사를 지정해야 한다.

품질경영책임자의 핵심 역할은 시스템 설계와 이행을 감독하는 것이다(ISQM 1.30). 매일의 업무 수행을 감독하는 것이 아니다. 시스템이 의도대로 작동하는지 확인하고 품질위험이 적절히 대응되고 있는지 평가하며 필요시 시스템을 개선한다.

품질 문화 조성은 정책 문서로 달성되지 않는다. 마감 압박 상황에서도 품질을 타협하지 않는 모습을 보여야 하고 품질 개선 제안을 수용하는 자세를 유지해야 한다. 막상 해보니까 이게 가장 어렵다. 시즌에 시간이 부족하면 파트너부터 "이번만 넘기자"는 신호를 보내게 되고 그 순간 품질 문화는 문서 속에만 존재하게 된다.

고객관계 승인과 유지

ISQM 1.26(b)에 따른 고객 승인 절차는 단순한 서류 확인이 아니다. 사무소가 해당 업무를 적격하게 수행할 수 있는지 실질적으로 평가해야 한다.

신규 고객 승인시 경영진의 성실성을 평가해야 한다. 전 감사인 커뮤니케이션이 의무사항이다(ISA 210.13). 거부되거나 회피될 경우 위험 신호로 간주해야 한다.

기존 고객의 경우 연간 유지 결정을 내려야 한다. 단순히 계속 감사하는 것이 기본값이 아니다. 리스크 프로파일이 변경되었는지 수임 위험이 증가했는지 평가해야 한다.

업무수행

업무수행 구성요소에서 가장 중요한 것은 업무수행이사의 책임이다. ISQM 1.27은 업무수행이사가 업무 품질에 대해 전체적으로 책임진다고 규정한다.

모든 절차를 직접 수행한다는 의미가 아니다. 적절한 지시와 감독을 통해 품질을 확보해야 한다. 복잡하거나 위험도가 높은 영역에서는 직접 참여해야 하고 중요한 판단사항에서는 충분한 검토를 수행해야 한다.

업무품질관리검토(EQCR)가 필요한 업무의 기준을 명확히 설정해야 한다. 상장회사 감사는 의무적으로 필요하고(ISQM 1.35) 높은 위험이나 공공의 관심을 끄는 업무도 포함해야 한다.

자원

인적 자원이 품질의 핵심이다. ISQM 1.32는 사무소가 업무를 적격하게 수행할 수 있는 인적 자원을 확보하도록 요구한다.

단순히 충분한 인원을 확보하는 것이 아니라 적절한 역량과 능력을 가진 인원이어야 한다. 복잡한 금융업 감사에는 해당 산업 경험이 있는 팀원이 필요하고 K-IFRS 적용 회사에는 IFRS 전문성을 가진 검토자가 필요하다.

기술 자원도 간과할 수 없다. 감사 소프트웨어, 데이터 분석 도구, 전자조서 시스템이 업무 품질에 직접 영향을 미친다. 도구의 성능과 팀원의 숙련도 모두 고려 대상이다.

정보와 커뮤니케이션

품질경영시스템과 관련된 정보가 적절한 인원에게 시의적절하게 전달되어야 한다. 새 기준서가 발표되면 관련 업무팀에 즉시 전파해야 하고 모니터링 결과는 개선이 필요한 부서에 구체적으로 전달해야 한다.

사무소 내부의 품질 관련 커뮤니케이션 채널을 명확히 해야 한다. 품질 문제를 보고할 때 누구에게 어떤 방식으로 보고하는지, 품질 개선 제안은 어떤 절차를 거쳐 검토되는지 모든 구성원이 알아야 한다.

모니터링과 교정

품질경영시스템 자체의 효과성을 평가하는 활동이다. ISQM 1.48은 모니터링 활동이 시스템의 설계와 운영 효과성에 대한 정보를 제공해야 한다고 규정한다.

완료된 업무에 대한 검사만으로는 부족하다. 품질목표가 달성되고 있는지 품질위험이 적절히 관리되고 있는지 대응책이 작동하고 있는지 평가해야 한다. 금감원 감리에서 "품질관리실은 감사품질 관리를 형식적으로 수행"이라는 지적이 나오는 법인은 대부분 이 단계에서 실패한다. 실무에서 이것이 의미하는 것: 품관실이 실제로 조서를 읽지 않았다는 뜻이다.

결함이 발견되면 근본 원인을 분석해야 한다(ISQM 1.57). 개별 업무의 문제가 아니라 시스템의 문제일 수 있다.

네트워크 요구사항

네트워크에 소속된 사무소의 경우 네트워크 요구사항을 이해하고 이행해야 한다. 빅펌 네트워크는 자체적인 품질 기준과 절차를 가지고 있다.

네트워크 요구사항과 ISQM 1 요구사항 사이에 충돌이 있을 경우 더 엄격한 기준을 적용해야 한다. 네트워크 기준이 ISQM 1보다 낮을 수는 없다.

실무 적용 사례

한국회계법인 주식회사(가명)는 파트너 3명, 직원 25명 규모의 로컬 법인이다. 매출 45억 원, 주요 고객은 코스닥 상장사 8개사와 중견기업 40여 개사다. 2023년부터 ISQM 1을 적용하면서 다음과 같이 품질경영시스템을 구축했다.

1단계: 품질경영책임자 지정과 역할 정의

대표이사가 품질경영책임자를 겸임하되 일상적 운영은 품질관리본부장(이사급)에게 위임했다. 품질경영책임자의 책임을 명문화했다. 시스템 설계 승인, 연간 품질 평가 보고서 승인, 중대한 품질 위험 발생시 최종 의사결정이 그 범위다.

문서화 노트: 품질경영책임자 지정서에 구체적 권한과 책임을 명시. ISQM 1.30 요구사항 충족.

2단계: 8개 구성요소별 품질목표와 위험 설정

거버넌스와 리더십에서는 목표를 "품질 우선 문화 정착"으로, 위험을 "수익성 압박으로 인한 품질 타협"으로 설정했다. 관련 윤리적 요구사항에서는 목표를 "독립성 및 윤리적 요구사항 완전 준수"로, 위험을 "이해관계 충돌 미발견"으로 잡았다. 고객관계 승인과 유지에서는 "적절한 고객만 수임"이 목표이고 "고위험 고객 수임으로 인한 손실"이 위험이다. 업무수행에서는 "기준서 완전 준수"를 목표로 하고 "복잡한 업무에서 부적절한 증거 수집"을 위험으로 식별했다.

문서화 노트: 각 목표와 위험을 사무소 현황에 맞게 구체화. 측정 가능한 지표 포함.

3단계: 대응책 설계와 이행

수익성 압박 위험에 대응하여 품질 예산을 별도 항목으로 관리하기로 했다. 전체 매출의 3%를 품질 활동(교육, 자문, 모니터링)에 의무 배정했다.

이해관계 충돌 위험에 대응하여 분기별 독립성 점검 체계를 도입했다. 모든 업무팀원이 분기말에 독립성 확인서를 제출하고 품관실에서 교차 검증한다.

문서화 노트: 각 대응책의 책임자, 수행 빈도, 문서화 요구사항을 명시.

4단계: 모니터링 활동 설계

완료 업무 검사는 연간 15개 업무(전체의 약 20%)로 설정했다. 품질지표 모니터링은 월별 시간 예산 준수율, 검토 완료 적시성, 고객 불만 건수를 추적한다. 시스템 평가는 반기별 품질목표 달성도 평가로 진행한다.

문서화 노트: 모니터링 결과에 따른 교정 조치 절차를 문서화. ISQM 1.57 근본원인 분석 요구사항 반영.

한국회계법인은 첫 해 운영 결과 고객 승인 절차에서 3건의 고위험 사항을 발견하여 수임을 거절했고 업무 검사에서 발견된 2건의 시스템적 결함을 교정했다. 품질 비용은 증가했지만 업무 위험은 눈에 띄게 감소했다.

실행 체크리스트

1. 품질경영책임자를 지정하고 역할을 명확히 정의했는가? 단순한 지정이 아닌 실질적 권한과 책임이 있어야 한다. ISQM 1.30 참조.

2. 8개 구성요소별로 구체적이고 측정 가능한 품질목표를 설정했는가? "품질 향상"이 아니라 "기준서 완전 준수를 통한 적절한 감사의견 표명"처럼 구체적이어야 한다.

3. 각 품질목표에 대해 관련 품질위험을 식별하고 평가했는가? 위험의 가능성과 영향을 고려하여 우선순위를 정했는지 확인해야 한다.

4. 품질위험에 대한 대응책을 설계하고 이행했는가? 대응책이 위험을 실제로 완화할 수 있는지 실행 가능한지 검토해야 한다.

5. 모니터링 활동을 통해 시스템의 효과성을 정기적으로 평가하는가? 완료 업무 검사와 시스템 자체의 작동 상태 점검 모두 필요하다.

6. 품질경영시스템이 구성원의 실제 업무에 통합되어 있는가? 별도의 추가 업무가 아니라 일상적 업무 과정의 일부가 되어야 한다.

흔한 구현 오류

문서화에만 집중하고 실제 운영을 소홀히 하는 경우가 가장 흔하다. 완벽한 매뉴얼을 만들었지만 아무도 따르지 않는다면 의미가 없다. 금감원 감리에서 "절차는 있으나 준수되지 않음"이 가장 빈번한 지적사항이다. 이건 타임이팅과 같은 구조적 문제다. 기록은 있지만 실질이 없다.

품질목표를 추상적으로 설정하는 경우도 많다. "우수한 감사 품질 달성"은 목표가 아니다. 측정할 수 없고 달성 여부를 판단할 수 없다.

소규모 사무소에서 빅펌의 시스템을 그대로 복사하는 경우도 실패 확률이 높다. 10인 사무소에 50인 사무소의 복잡한 시스템을 도입하면 오히려 효율성이 떨어진다. 규모에 맞는 시스템을 설계해야 한다.