Definition
ISQM 1과 ISA 220을 두 개의 별도 프로젝트로 처리하는 법인이 많다. 매뉴얼 따로, 업무 검토 따로. 문제는 둘이 같이 안 굴러가면 어느 쪽 감리에서도 빠져나가지 못한다는 점이다. ISQM 1은 법인 전체의 품질 관리 체계를 다루고, ISA 220(개정판)은 개별 업무에서의 품질 관리를 다룬다. 두 표준은 동시에 작동하며, 법인 수준 통제가 비어 있으면 업무 수준 통제도 결국 작동하지 않는다.
주요 내용
> - ISQM 1은 법인 전체에 대한 책임이고 ISQC 1(또는 ISA 220 개정판)은 개별 업무에 대한 책임이다. > - 두 표준 모두 2024년 12월 15일 이후 적용되므로, 기존 ISA 220 시스템을 ISQM 1을 포함하도록 확장해야 한다. > - 감사 품질은 법인 수준 통제와 업무 수준 통제가 함께 작동할 때만 달성된다. > - 한공회 감리는 법인 매뉴얼만 보지 않는다. 인차지가 현장에서 매뉴얼을 어떻게 운용했는지를 본다.
---
작동 방식
ISQM 1과 ISQC 1의 관계는 위계로 보면 정리된다. ISQM 1은 법인의 품질 관리 체계 전체를 규정하며 리더십 책임, 윤리와 독립성, 승인 및 임명, 감시 활동을 포함한다. 이 법인 수준 통제가 설계되고 작동할 때, 개별 업무 수행자는 ISQC 1 또는 ISA 220(ISQC 1과 거의 동일하지만 개별 업무 관점에서 작성됨)의 요구사항을 충족할 수 있다.
ISQM 1 문단 13에 따르면 법인은 품질 관리 체계를 설계하고 효과적으로 실행해야 한다. 정책 문서 한 권을 만드는 일이 아니다. 통제가 실제로 굴러가야 한다. ISQC 1은 이 법인 수준 체계가 개별 업무에서 어떻게 나타나는지를 설명한다. 법인이 ISQM 1 문단 25에 따라 리더십 책임을 설정했다면, 각 업무에서 업무수행이사(engagement partner)는 ISQC 1 문단 14(또는 ISA 220 문단 16)에 따라 업무에 대한 전반적 책임을 진다.
판단이 시작되는 지점은 여기다. 법인 ISQM 1 매뉴얼이 "독립성 위협 평가"를 정의했다고 해도, 인차지가 현장에서 그 평가를 어느 깊이까지 수행하는가는 ISA 220의 영역이다. 매뉴얼이 "독립성 평가서를 작성한다"고 적었으면, 그 평가서가 그냥 체크박스 한 줄인지, 아니면 비감사용역 내역과 클라이언트 임원 관계까지 적힌 두 페이지짜리 메모인지는 인차지가 결정한다.
A 파트너는 ISQM 1 모니터링 결과를 ISA 220 업무 평가에 직접 입력해야 한다고 본다. 이중 시스템은 비효율적이라는 입장이다. B 파트너는 두 시스템을 분리해야 한다고 본다. ISQM 1 모니터링이 업무 진행 중에 개입하면 인차지의 판단 독립성이 훼손된다는 우려다. 둘 다 합리적이고, 법인 규모와 모니터링 빈도에 따라 답이 달라진다.
두 표준의 통합은 2024년 12월 15일 이후 모든 신규 감사에 의무화된다. 그러나 법인이 ISQM 1과 ISA 220을 분리하는 진짜 이유는 보수 압력이다. 두 시스템을 통합하면 모니터링 인력이 늘어나고, 비시즌에도 품관실 인건비가 발생한다. 시즌 매출만으로 굴러가는 빅펌은 모르겠지만 로컬은 이 비용을 흡수하기 어렵다. 결국 ISQM 1 매뉴얼은 두툼하게 만들어 놓고, 업무 단계에서는 ISA 220 체크리스트만 돌리는 식으로 끝나는 경우가 적지 않다.
---
구체적 비교
| 측면 | ISQM 1 | ISQC 1 / ISA 220 |
|---|---|---|
| 책임 수준 | 법인(또는 네트워크) 전체 | 개별 감사 업무 |
| 리더십 | 법인의 최고 경영자 및 치리자 | 업무수행이사 |
| 범위 | 모든 업무(감사, 검토, 그 외) | 해당 업무 하나 |
| 품질 목표 | 법인의 전반적 품질 관리 체계 수립 및 운영 | 개별 업무의 품질 달성 |
| 주요 요소 | 리더십 책임, 윤리, 독립성, 승인 임명, 감시 | 업무수행이사 책임, 업무팀 역량, 품질 검토 |
| 통제 | 예: 감사인 합격 기준, 계속교육, 성과 평가 | 예: 중요성 설정, 증거 수집, 감사의견 형성 |
| 효과 시점 | 2024년 12월 15일(신규 업무부터) | 2024년 12월 15일(ISA 220) / 기존(ISQC 1) |
---
이 차이가 실무에 중요한 이유
감사 파일에서 ISQM 1과 ISQC 1의 혼동은 감시(monitoring) 관점에서 가장 자주 나타난다. 법인이 ISQM 1에 따라 감시 체계를 설계했지만, 업무 수준에서는 ISA 220 또는 ISQC 1의 요구사항(업무 리뷰의 적절성)을 충족하지 못하는 경우다. 법인 수준의 감시 프로세스(샘플 선택 방식, 리뷰 기간)가 실제로 업무 완료 전에 품질 이슈를 잡아낼 만큼의 정보를 제공하지 못한다는 뜻이다.
ISQM 1 문단 35는 법인이 정보를 수집하고 평가해 품질 관리 체계가 작동하는지 확인하라고 명시한다. 업무 파일을 사후(post-engagement)에 들춰보는 것이 아니다. 정보 수집은 업무 진행 중, 특히 보고서일 전에 이루어져야 한다. 이 통합 접근이 빠진 법인은 감시 데이터는 모았지만 실제 품질 개선은 한 발짝도 못 나간 셈이 된다.
---
검수자와 실무자가 자주 놓치는 사항
- Tier 1: 국제감시 자료에 따르면, 많은 법인이 ISQM 1 준수를 위해 감시 정책 문서를 갖췄지만 업무 수준에서 ISA 220 통제를 충분히 강화하지 못했다. ISQM 1 계획과 ISA 220 실행 사이의 격차가 주요 검수 사항이다.
- Tier 2: 실무에서 흔히 보이는 오류는 ISQM 1의 "리더십 책임"과 ISA 220의 "업무수행이사 책임"을 같은 것으로 보는 시각이다. 둘은 다르다. ISQM 1 문단 13은 법인의 지배구조 안에서 품질에 대한 책임을 세우고, ISA 220 문단 16은 각 업무에서 업무수행이사가 품질을 책임진다고 본다. 법인이 책임을 설정했다고 해서 각 업무에서 그것이 자동으로 작동하지는 않는다.
- Tier 3: 기술적으로 정확하면서도 실무상 약점인 경우는 ISQM 1 문단 25(리더십 책임), 문단 26-32(윤리와 독립성), 문단 33-34(승인 및 임명)를 충족하는 법인 정책이 있어도, 업무 수준에서 그 정책이 실제로 작동하는지 확인하지 않는 경우다. ISA 220 문단 13-14(업무팀의 역량과 독립성)는 개별 업무에서 이를 평가하라고 본다.
---
실무 체크리스트
이 체크리스트는 ISQM 1과 ISQC 1(또는 ISA 220)을 함께 이행할 때 쓸 수 있다.
1. 법인이 ISQM 1 품질 관리 체계의 다섯 가지 핵심 요소(리더십 책임, 윤리와 독립성, 승인 및 임명, 감시, 개선)를 모두 문서화했는가?
2. 각 요소가 개별 업무에서 어떻게 나타나는지 ISA 220(또는 ISQC 1) 요구사항과 명시적으로 연결했는가?
3. 업무 검토(quality review)가 ISA 220 문단 20에 따라 보고서일 전에 완료되도록 스케줄링되었는가, 아니면 사후 검토 중심인가?
4. 감시 정보(샘플된 업무의 검수 결과, 부적절 결과, 시정 조치)가 법인의 ISQM 1 감시 프로세스에 실시간으로 입력되고 있는가?
5. 업무별로 독립성, 역량, 윤리 준수가 ISA 220 문단 13-14에 따라 평가되었으며, 이 평가 결과가 법인의 ISQM 1 "리더십 책임" 정보로 수집되는가?
---
관련 용어
- 품질 관리 체계 - 법인이 감사 품질을 달성하기 위해 설계하고 운영하는 전체 프로세스 및 통제. ISQM 1이 이를 규정한다.
- 업무수행이사 - 개별 감사 업무에 대한 최종 책임을 지는 감사인. ISA 220과 ISQC 1에서 주요 역할.
- 감시 - 법인이 자신의 품질 관리 체계가 실제로 작동하는지 평가하는 지속적 프로세스. ISQM 1 문단 35의 핵심.
- 중요성 - 개별 업무에서 감사인이 설정하는 정량적 임계값. ISA 320과 ISA 220 모두 관련.
- 감사 의견 - 업무수행이사가 ISA 220 완료 단계에서 형성하고 표시하는 최종 결론. ISQC 1 품질 통제의 최종 결과물.
- 독립성 - 감사인이 ISA 관점에서 객관성을 유지해야 하는 요구사항. ISQM 1 문단 26-32에서 법인 수준으로 관리됨.
---
관련 도구
품질 관리 체크리스트(ISA 220 / ISQM 1) - 업무 수준과 법인 수준 품질 통제를 동시에 추적할 수 있도록 설계된 조서. 두 표준의 통합 이행을 단계적으로 진행할 수 있다.
---