Definition
ISQM 1 매뉴얼은 어느 법인이나 잘 만든다. 문제는 채용 결정과 보상 결정이 그 매뉴얼대로 안 굴러간다는 점이다. 감리는 이 격차를 본다. 빅펌이든 로컬이든 매뉴얼 자체로 적발되는 일은 드물고, 매뉴얼과 실무 사이의 빈 공간에서 지적이 떨어진다.
작동 방식
ISQM 1은 회계법인의 품질관리 책임자(또는 동등한 역할)가 품질관리 시스템을 설계·유지하도록 본다. ISQM 1.14부터 ISQM 1.50까지는 여섯 가지 핵심 요소를 규정한다. 각 요소는 법인의 규모, 구조, 제공 서비스의 성격에 맞게 조정되어야 한다.
첫째, 리더십 책임. ISQM 1.15는 경영진이 품질에 대한 명확한 책임을 지고 품질 문화를 조성해야 한다고 본다. 문서로 남아 있어야 한다. 말로만 있어서는 안 된다.
둘째, 관련 법령과 기준 준수. ISQM 1.20은 법인이 적용되는 모든 법령·규정·직업 기준을 식별하고 준수하도록 요구한다. 한국에서는 신외감법, 자본시장법 공시 규정, 자금세탁방지법, 개인정보보호법까지 포함된다.
셋째, 윤리 요구사항. ISQM 1.26은 독립성, 진실성, 객관성에 관한 정책을 수립·유지하도록 본다. 위협이 식별되었을 때 대응 방법까지 명시해야 한다.
넷째, 수용 및 유지 결정. ISQM 1.34는 신규 고객 관계를 수용하기 전에 그 고객을 다룰 수 있는 역량이 있는지 평가하도록 본다. 기존 고객을 계속 유지할 수 있는지도 매년 다시 평가해야 한다.
다섯째, 인력. ISQM 1.41부터 ISQM 1.48까지는 채용·교육·성과 평가·인사 관리에 관한 정책을 요구한다. 특히 ISQM 1.43은 기술적 역량이 있는 사람을 채용하고 지속적 전문 교육을 제공해야 한다고 본다.
여섯째, 업무 수행 및 책임. ISQM 1.49는 개별 감사가 적용되는 기준에 따라 수행되도록 모니터링해야 한다고 본다. 이 부분은 ISA 220 영역과 겹치지만, 법인 차원의 지원 정책도 같이 갖춰야 한다.
ISQM 1 시스템이 실제로 굴러가려면 절차만으로는 모자란다. 품질 우선이 법인의 보상 구조에 반영되어야 한다. 솔직히 수익을 우선시하는 보상 구조에서는 품질 시스템이 종이로만 남는다. 필자도 시즌 중에 타임이팅을 묵인하는 인차지를 본 적이 있는데, 그 법인이 ISQM 1.15의 "품질 문화" 조항을 충족한다고 보기는 어렵다.
실무 적용 사례: 더 건설회계법인
클라이언트: 한국 중견 건설회사 감사. FY2024, 매출 2,380억 원, K-IFRS 적용, 연간 감사 수임 20건.
1단계: 법인이 감사 기준 준수에 대한 서면 정책을 수립한다. 적용 노트: 품질관리 매뉴얼 작성. ISQM 1.15에 따른 경영진 책임 서명. 연간 검토 기록.
2단계: 감사 수임 전 고객 배경 검토, 경영진 성향 평가, 모니터링 역량 필요 여부 확인. 적용 노트: 고객 수용 양식. 고위험 산업(건설), 고위험 특성(신규 고객)이면 수용을 제한한다.
3단계: 감사팀 구성 시 충분한 기술적 역량을 배치한다. 복잡한 건설 계약 회계에는 기술자를 별도로 배정한다. 적용 노트: 인력 배치 계획. ISQM 1.43 참조. 역량 매트릭스 유지.
4단계: 반기마다 완료된 감사 파일에서 품질 표본을 골라 검토한다. ISA 220 준수 여부와 ISQM 1.49의 모니터링 절차 이행 여부를 본다. 적용 노트: 품질검토 조서. 발견 사항 기록. 개선 계획.
결론: ISQM 1 시스템이 실제로 작동하면 개별 감사(ISA 220)의 품질이 일관되어지고, 법인이 감리 지적을 받을 가능성이 줄어든다.
검사관과 실무진이 놓치는 것
- 많은 법인이 ISQM 1을 규정 준수 문서로 취급하고 실제 실행과 분리해 둔다. 매뉴얼은 잘 쓰여 있는데, 채용 결정·고객 수용·보상 결정이 그 정책을 따르지 않으면 ISQM 1은 작동하지 않는다. 감리에서는 매뉴얼이 아니라 결정 기록을 본다.
- 모니터링 활동이 형식적으로 흘러간다. ISQM 1.54부터 ISQM 1.58까지는 법인이 품질관리 시스템의 설계와 운영 효과성을 지속 모니터링해야 한다고 규정한다. 파일 검토 시간이 모자라거나 표본이 무작위가 아니면 모니터링은 사실상 무효다.
- 법인이 고객 배경(특히 경영진 성향)을 면밀히 평가하지 않는다. ISQM 1.34는 수용 전에 이해 상충, 독립성 위협, 기술적 위험을 평가하도록 요구한다. 수익 압박 때문에 이 단계를 건너뛰면 위험한 고객을 안게 되고, ISQM 1 시스템 자체가 무너진다.
ISQM 1 vs ISA 220
| 적용 범위 | ISQM 1 | ISA 220 |
|---|---|---|
| 수준 | 회계법인 전체 | 개별 감사 |
| 책임자 | 품질관리 책임자 | 감사팀장 |
| 범위 | 모든 서비스(감사, 검토, 기타) | 감사만 |
| 요소 | 리더십, 윤리, 인력, 고객 관리 | 계획, 팀 관리, 위험 평가, 모니터링 |
ISQM 1은 법인의 기초를 깔아 준다. ISA 220은 그 기초 위에서 개별 감사를 수행한다. 둘 다 있어야 한다.
검사관이 본 것
감리에서 자주 발견되는 ISQM 1 약점 패턴.
1. 고객 수용 절차가 서면화되지 않았거나 일관되지 않다. 신규 고객 기준이 매번 다르다.
2. 모니터링 표본이 자의적으로 선택된다. 최근 완료된 감사 파일이 아니라 오래된 파일을 고르거나, 작은 고객만 골라 표본 추출.
3. 고객 배경 정보가 수집되지 않거나 저장되지 않는다. 경영진 성향 평가 기록이 없다.
4. 기술 자문 절차가 정형화되어 있지 않다. 복잡한 회계 이슈가 발생했을 때 처리 경로가 불명확하다.
5. 윤리 위협이 식별되어도 대응이 부실하다. 독립성 위협이 있었지만 문서화나 완화 조치가 빠진다.
6. 인력 평가가 기술 역량과 분리되어 있다. 보상 결정이 품질이나 기술 성장과 연결되지 않는다.
이 여섯 가지는 한공회와 금감원 감리 보고서에서 매년 반복해서 등장하는 항목이다. 실무에서 이것이 의미하는 것: 매뉴얼이 아무리 정교해도 위 여섯 가지 결정 흔적이 조서나 인사 기록에 남아 있지 않으면 ISQM 1.54의 모니터링 요구는 충족되지 않는다.
관련 용어
- ISA 220 - 개별 감사 차원의 품질관리 기준 - ISQM 2 - 감사 업무의 검토 및 품질평가 기준 - 감사 기준 - 감사인이 준수해야 할 설정된 요구사항 - 독립성 - 감사인이 감사 대상 또는 경영진과 이해 상충이 없는 상태 - 지속 전문 교육(CPE) - 회계사가 현재 기술과 기준을 유지하기 위한 교육
관련 도구
자세한 내용은 ciferi의 ISQM 1 체크리스트를 참고한다. 이 도구는 법인 차원 품질관리 시스템의 설계와 모니터링을 단계별로 지원한다.
---