ISQM 대 ISQC

주요 내용

ISQM 1은 법인 전체에 대한 책임이고 ISQC 1(또는 ISA 220)은 개별 업무에 대한 책임입니다.
두 표준 모두 2024년 이후 적용되므로, 기존 ISA 220 시스템을 ISQM 1을 포함하도록 확장해야 합니다.
감사 품질은 법인 수준 통제와 업무 수준 통제가 함께 작동할 때만 달성됩니다.
많은 법인에서 ISQM 1 적응을 ISQC 1 또는 ISA 220 정책 업데이트와 분리하여 생각하지만, 실제로는 통합된 시스템입니다.
---

작동 방식

ISQM 1과 ISQC 1의 관계를 이해하려면 두 표준이 작동하는 방식의 위계(hierarchy)를 인식해야 합니다. ISQM 1은 법인의 품질 관리 체계 전체를 규정하며, 리더십의 책임, 윤리와 독립성, 승인 및 임명, 감시 활동을 포함합니다. 이러한 법인 수준 통제가 설계되고 작동할 때, 개별 업무 수행자는 ISQC 1 또는 ISA 220(ISA 220은 ISQC 1과 거의 동일하지만 개별 업무의 관점에서 작성됨)의 요구사항을 충족할 수 있습니다.
ISQM 1 문단 13에 따르면 법인은 품질 관리 체계를 설계하고 이를 효과적으로 실행해야 합니다. 이는 단순히 정책 문서를 작성하는 것이 아닙니다. 통제가 실제로 작동해야 합니다. ISQC 1은 이 법인 수준 체계가 개별 업무에서 어떻게 나타나는지를 설명합니다. 예를 들어, 법인이 ISQM 1 문단 25에 따라 리더십 책임을 설정하면, 각 업무에서 업무수행이사(engagement partner)는 ISQC 1 문단 14(또는 ISA 220 문단 16)에 따라 업무에 대한 전반적 책임을 져야 합니다.
두 표준의 통합은 2024년 12월 15일 이후 모든 신규 감사에 의무화됩니다. 많은 법인이 이를 두 가지 별도의 이행 프로젝트로 처리하려고 하지만, 실제로는 하나의 시스템입니다. 법인 수준 통제 없이는 업무 수준 통제가 유의미하지 않습니다.
---

구체적 비교

| 측면 | ISQM 1 | ISQC 1 / ISA 220 |
|------|--------|-----------------|
| 책임 수준 | 법인(또는 네트워크) 전체 | 개별 감사 업무 |
| 리더십 | 법인의 최고 경영자 및 치리자 | 업무수행이사 |
| 범위 | 모든 업무(감사, 검토, 그 외) | 해당 업무 하나 |
| 품질 목표 | 법인의 전반적 품질 관리 체계 수립 및 운영 | 개별 업무의 품질 달성 |
| 주요 요소 | 리더십 책임, 윤리, 독립성, 승인 임명, 감시 | 업무수행이사 책임, 업무팀 역량, 품질 검토 |
| 통제 | 예: 감사인 합격 기준, 계속교육, 성과 평가 | 예: 중요성 설정, 증거 수집, 감사의견 형성 |
| 효과 시점 | 2024년 12월 15일(신규 업무부터) | 2024년 12월 15일(ISA 220) / 기존(ISQC 1) |
---

이 차이가 실무에 중요한 이유

감사 파일에서 ISQM 1과 ISQC 1의 혼동은 감시(monitoring) 관점에서 가장 자주 나타납니다. 법인이 ISQM 1에 따라 감시 체계를 설계했지만, 업무 수준에서는 ISA 220 또는 ISQC 1의 요구사항(예: 업무 리뷰의 적절성)을 충족하지 못할 수 있습니다. 이는 법인 수준의 감시 프로세스(예: 샘플 선택 방식, 리뷰 기간)가 실제로 업무 완료 전에 업무 품질 이슈를 식별할 수 있는 충분한 정보를 제공하지 못한다는 뜻입니다.
ISQM 1 문단 35는 법인이 정보를 수집하고 이를 평가하여 품질 관리 체계가 작동하도록 보장해야 한다고 명시합니다. 이는 단순히 업무 파일을 사후(post-engagement) 검토하는 것이 아닙니다. 정보 수집이 업무 진행 중에, 특히 의견 표시 전에 발생해야 합니다. 이 통합 접근법이 없으면 법인은 감시 데이터를 수집했지만 실제 품질 개선은 달성하지 못한 것입니다.
---

검수자와 실무자가 자주 놓치는 사항

---

Tier 1: 국제감시 자료에 따르면, 많은 법인에서 ISQM 1을 준수하기 위해 감시 정책 문서를 작성했지만, 업무 수준에서 ISA 220의 통제를 충분히 강화하지 못했습니다. ISQM 1 계획과 ISA 220 실행 간의 격차가 주요 검수 사항입니다.
Tier 2: 실무에서 흔히 발생하는 오류는 ISQM 1의 "리더십 책임"과 ISA 220의 "업무수행이사 책임"을 같은 것으로 생각하는 것입니다. 둘은 다릅니다. ISQM 1 문단 13은 법인의 지배구조 내에서 품질에 대한 책임을 설정하고, ISA 220 문단 16은 각 업무에서 업무수행이사가 품질을 책임진다는 뜻입니다. 법인이 책임을 설정했다고 해서 각 업무에서 그것이 자동으로 작동하는 것은 아닙니다.
Tier 3: 기술적으로 정확하면서도 실무상 약점인 것은 ISQM 1 문단 25(리더십 책임), 문단 26-32(윤리와 독립성), 문단 33-34(승인 및 임명)를 충족하는 법인 정책이 있어도, 업무 수준에서 이러한 정책이 실제로 작동하는지 확인하지 않는 경우입니다. ISA 220 문단 13-14(업무팀의 역량과 독립성)는 개별 업무에서 이를 평가할 것을 요구합니다.

실무 체크리스트

이 체크리스트는 ISQM 1과 ISQC 1(또는 ISA 220)을 함께 이행할 때 사용할 수 있습니다.
---

법인이 ISQM 1 품질 관리 체계의 다섯 가지 핵심 요소(리더십 책임, 윤리와 독립성, 승인 및 임명, 감시, 개선)를 모두 문서화했는가?
각 요소가 개별 업무에서 어떻게 나타나는지 ISA 220(또는 ISQC 1) 요구사항과 명시적으로 연결했는가?
업무 검토(quality review)가 ISA 220 문단 20에 따라 의견 표시 전에 완료되도록 스케줄링되었는가, 아니면 사후 검토 중심인가?
감시 정보(샘플된 업무의 검수 결과, 부적절 결과, 시정 조치)가 법인의 ISQM 1 감시 프로세스에 실시간으로 입력되고 있는가?
업무별로 독립성, 역량, 윤리 준수가 ISA 220 문단 13-14에 따라 평가되었으며, 이 평가 결과가 법인의 ISQM 1 "리더십 책임" 정보로 수집되는가?