PCAOB QC 1000 및 AICPA SQMS No. 1: 소규모 회계법인이 2026년 12월 이전에 반드시 이행해야 할 사항

소규모 회계법인을 운영하며 지난 10년 동안 공유 드라이브에 간소한 품질관리 매뉴얼을 보관해 오는 방식으로 유지해 왔다면, 앞으로의 18개월은 마치 다른 전문직 분야처럼 느껴질 것입니다. PCAOB와 AICPA라는 두 독립적인 규제 기관은 과거의 사후 대응적 품질관리 체계를 서면 목표, 식별된 위험, 설계된 대응, 지속적인 모니터링, 그리고 전체 시스템이 실제로 작동한다는 문서화된 증거를 요구하는 선제적이고 위험 기반의 "품질경영" 모델로 대체했습니다. AICPA의 품질경영기준 제1호(SQMS No. 1)는 2025년 12월 15일에 시행되었으며, PCAOB의 QC 1000은 2026년 12월 15일에 뒤따를 예정입니다. 1인 개업의나 10인 규모의 법인도 예외는 아닙니다. 이 기준은 규모에 따라 조정 가능(Scalable)하지만, 모든 곳에 적용됩니다.

이 가이드는 무엇이 변화하는지, 정의해야 할 8가지 구성 요소와 4가지 역할, 2026년 12월 타임라인, 초기 도입자들을 놀라게 했던 문서화 기대 수준, 그리고 이번 분기부터 시작할 수 있는 단계별 이행 계획을 살펴봅니다.

두 가지 기준에 대한 쉬운 설명

회계법인이 감사하는 대상에 따라 따라야 할 두 가지 별도의 품질 체계가 있습니다.

AICPA SQMS No. 1은 AICPA 기준에 따라 감사, 인증, 검토 또는 컴파일 업무를 수행하는 모든 법인에 적용됩니다. 비상장사의 재무제표에 대해 단 하나의 검토 보고서에 서명하더라도 이 기준이 적용됩니다. 이 기준은 2025년 12월 15일에 발효되었으므로 이미 이행 기간이 종료되었습니다. 아직 시스템을 구축하지 않은 법인은 현재 규정 위반 상태입니다.

PCAOB QC 1000은 현재 발행인(상장사)이나 브로커-딜러 수임 업무를 수행하고 있지 않더라도 향후 수행할 가능성이 있는 모든 PCAOB 등록 법인에 적용됩니다. 이 기준은 2026년 12월 15일부터 시행됩니다. Form QC 보고를 위한 첫 번째 기간은 2026년 12월 15일부터 2027년 9월 30일까지이며, 첫 번째 Form QC 신고서는 2027년 11월 30일까지 PCAOB에 제출해야 합니다.

두 기준은 공통된 DNA를 공유합니다. 둘 다 국제 품질경영기준인 ISQM 1 프레임워크를 모델로 하지만, 동일하지는 않습니다. AICPA 업무도 수행하는 PCAOB 등록 법인은 두 기준을 모두 충족하는 하나의 시스템을 운영해야 합니다. 이 부분이 가장 어려운 지점입니다. 대부분의 법인은 단일 통합 품질경영시스템(SOQM)을 설계하고 그 위에 PCAOB 전용 요구사항을 추가하는 방식을 취하고 있습니다.

기준이 변경된 이유

기존의 품질관리 기준(PCAOB의 QC 20, 30, 40 및 AICPA의 QC Section 10)은 품질을 체크리스트로 취급했습니다. 즉, 담당 파트너 지정, 서면 매뉴얼 비치, 정기 점검 등이 핵심이었습니다. 그러나 점검 결과 매뉴얼을 준수하는 것만으로는 항상 고품질의 감사가 이루어지지 않는다는 것이 지속적으로 드러났습니다. 법인이 감리(Peer review)를 통과하더라도 시스템이 해당 연도에 그 법인이 직면한 위험에 실제로 대응하지 못했기 때문에 결함이 있는 의견을 발행하는 경우가 있었습니다.

새로운 기준은 이 논리를 뒤집습니다. 어떤 절차를 작성해야 하는지 지시하는 대신, 다음과 같이 요구합니다.

1. 품질 목표 설정—우리 법인에서 고품질 수임 업무란 어떤 모습인가?
2. 품질 위험 식별—해당 목표를 달성하는 과정에서 발생할 수 있는 합리적인 오류는 무엇인가?
3. 대응 설계—각 위험을 해결하기 위해 어떤 통제, 교육, 기술 또는 감독을 사용할 것인가?
4. 모니터링 및 개선—시스템이 잘 작동하는지 어떻게 알 수 있으며, 작동하지 않는 부분은 어떻게 고칠 것인가?

이것은 큰 문화적 변화입니다. 단순히 품질관리 매뉴얼을 초안하는 것으로는 기준을 충족할 수 없습니다. 효과적으로 설계되고, 이행되고, 운영되며, 모니터링되는 '시스템'이 필요합니다. 이미 SQMS No. 1 구축을 완료한 여러 법인에 따르면, 파트너와 매니저 팀이 이 작업에 수백 시간을 할애했다고 보고하고 있습니다.

반드시 다루어야 할 8가지 구성 요소

QC 1000과 SQMS No. 1은 모두 시스템을 8가지 구성 요소를 중심으로 구성합니다. 2개는 절차적 측면이며, 6개는 법인의 운영 영역입니다.

절차 구성 요소

1. 위험 평가 절차(Risk assessment process): 법인은 품질 목표를 설정하고, 위험을 식별하며, 대응 방안을 설계합니다. 그 후 환경 변화에 따라 이 주기를 지속적으로 유지합니다.
2. 모니터링 및 개선 절차(Monitoring and remediation process): 법인은 대응 방안이 효과적인지 지속적으로 테스트하고, 미비점을 식별하며, 근본 원인 분석(Root cause analysis)을 수행하고 이를 개선합니다.

운영 구성 요소

3. 지배구조 및 리더십(Governance and leadership): 의사결정을 주도하는 "상부의 기조(Tone at the top)", 책임 구조 및 문화입니다.
4. 윤리 및 독립성(Ethics and independence): AICPA 및 SEC 독립성 규칙 준수, 상충 관계 점검, 개인적 재무 관계 관리입니다.
5. 고객 관계 및 업무의 수임과 유지(Acceptance and continuance of client relationships and engagements): 고객을 수용하거나 갱신하기 전 배경, 청렴성, 역량 및 가용 자원을 점검하는 것입니다.
6. 업무 수행(Engagement performance): 지시, 감독, 검토, 협의, 의견 차이 조정, 업무품질검토 및 업무 문서화입니다.
7. 자원(Resources): 인적 자원(교육, 평가, 파트너 승진), 기술, 지적 자원(감사 방법론, 템플릿) 및 서비스 제공업체입니다.
8. 정보 및 커뮤니케이션(Information and communication): 품질에 관한 내부 소통은 물론 감사위원회, 규제 기관 및 외부 이해관계자와의 소통입니다.

각 구성 요소에 대해 품질 목표를 작성하고, 해당 법인에서 특히 그 목표를 위협하는 품질 위험을 식별하며, 대응 방안을 설계해야 합니다. 위험이란 단순히 "감사에 실패할 수 있다"는 일반적인 진술이 아니라, 합리적으로 발생할 수 있으며 목표 달성에 부정적인 영향을 미칠 수 있는 구체적인 사건을 의미합니다.

지정해야 할 네 가지 역할

품질관리기준서(SQMS) 제1호는 네 가지 정의된 역할에 걸쳐 책임을 할당할 것을 요구합니다. 규모가 작은 회계법인의 경우 한 사람이 여러 역할을 겸임할 수 있지만, 각 역할은 명확하게 지정되고 문서화되어야 합니다.

1. 품질관리체계에 대한 최종 책임 및 문책. 일반적으로 대표 파트너 또는 CEO가 맡습니다. 이 인원은 시스템의 소유자이며, 책임을 위임할 수 없습니다.
2. 시스템 전반에 대한 운영 책임. 품질관리체계(SOQM)의 일상적인 설계, 구축, 운영 및 모니터링을 총괄하는 인원입니다. 1인 사무소의 경우 1번과 동일한 인원이 맡습니다.
3. 윤리 및 독립성 요구사항 준수에 대한 운영 책임. 이해상충 점검, 독립성 확인, 법인의 제한 대상 법인 목록 관리 및 개인 재무 보고를 담당합니다.
4. 모니터링 및 시정 조치 프로세스에 대한 운영 책임. 진행 중 및 사후 모니터링을 설계하고 실행하며, 원인 분석(root cause analysis)을 수행하고 시정 조치를 추적합니다.

상장회사 회계감독위원회(PCAOB) 등록 법인의 경우 QC 1000 기준에 따라 유사한 역할들이 계층화되며, 한 가지 추가 사항이 있습니다. 매년 100개 이상의 발행인을 감사하는 법인은 법인으로부터 독립적이고 품질관리(QC) 시스템에 대해 독립적인 판단을 내릴 수 있는 하나 이상의 인원으로 구성된 외부 품질관리 기능(EQCF)을 구축해야 합니다. EQCF 구성원은 해당 법인의 주요 구성원이나 직원이어서는 안 됩니다. 이 요건은 대부분의 소규모 법인에는 적용되지 않지만, 고객 목록이 늘어나고 있다면 기준 수치를 주의 깊게 살펴야 합니다.

문서화의 함정

소규모 법인에서 구축 시 가장 크게 놀라는 부분은 시스템이 "확장 가능"하더라도 생성되는 문서의 양이 상당하다는 점입니다. 다음 사항들을 반드시 문서화해야 합니다.

• 8개 구성 요소 각각에 대한 품질 목표.
• 각 목표에 대해 식별된 품질 위험.
• 특정 통제 활동, 빈도 및 담당자를 포함한 각 위험에 대한 대응.
• 이러한 대응책들의 조합이 위험을 해결한다는 결론의 근거.
• 해당 기간 동안 대응책이 작동했다는 증거(로그, 서명, 교육 명부, 기술 설정, 피어 리뷰 파일 등).
• 미비점에 대한 심각도 분류를 포함한 품질관리체계(SOQM)의 연례 평가.
• 각 미비점에 대한 원인 분석 및 시정 계획.
• 업무팀, 감사위원회 및 감독기관에 수행한 커뮤니케이션 내용.

표준에서 특정 형식을 요구하지는 않습니다. 스프레드시트나 워드 문서도 수용 가능한 시작점입니다. Caseware, Wolters Kluwer의 TeamMate, AuditDashboard 및 AICPA의 자체 실무 가이드를 사용하면 구축 속도를 높일 수 있습니다. 핵심은 감독기관이 목표에서 위험, 대응, 증거에 이르는 당신의 논리적 흐름을 단일한 맥락에서 따라갈 수 있어야 한다는 점입니다.

업무품질검토 및 모니터링

업무품질검토(EQR)는 새로운 개념은 아니지만, QC 1000은 그 규칙을 더욱 강화했습니다. 검토자는 업무팀이 내린 유의미한 판단을 평가할 수 있는 충분한 역량, 능력, 객관성 및 권한을 갖추어야 합니다. 소규모 법인은 종종 EQR 기능을 외부 계약 검토자에게 위탁하기도 합니다. 이는 허용되지만, 법인의 SOQM은 계약자의 독립성과 역량을 어떻게 확인하는지 명시적으로 다루어야 합니다.

모니터링은 이제 연례 행사가 아닌 상시적으로 이루어집니다. 단순히 순번에 따르는 것이 아니라 위험을 기반으로 점검 대상을 선정하며, 점검 프로그램에는 완료된 업무뿐만 아니라 진행 중인 업무에 대한 검토도 포함되어야 합니다. 미비점을 발견하면 표준에 따라 문서화된 원인 분석과 담당자 및 마감 기한이 명시된 시정 계획이 수립되어야 합니다. "파트너 회의에서 논의했다"는 것만으로는 충분하지 않습니다.

Form QC 및 2027년 9월 30일 평가

PCAOB 등록 법인의 경우, QC 1000은 'Form QC'라는 새로운 연례 보고 요건을 도입합니다. 첫 번째 Form QC는 2026년 12월 15일부터 2027년 9월 30일까지의 기간을 대상으로 하며, 2027년 11월 30일까지 PCAOB에 제출해야 합니다. 이 서식에는 법인의 QC 시스템이 법인 및 구성원이 관련 전문 표준을 준수한다는 합리적 확신을 제공하는지에 대한 법인의 평가와 함께, 시정되지 않은 미비점 및 시정 계획에 대한 공시가 포함되어야 합니다.

현재 발행인 감사 업무를 수행하지 않지만 PCAOB에 등록된 법인의 경우에도 QC 1000에 따라 설계된 시스템이 필요합니다. 다만 운영 및 보고 의무는 발행인 감사 업무를 시작할 때 발생합니다. PCAOB 등록 유지 여부를 고민하고 있다면 올해가 바로 그 결정을 내려야 할 시기입니다. 발행인이나 브로커-딜러 감사를 수행할 계획이 없다면 2026년 12월 시행일 전에 등록을 취소해야 합니다.

소규모 법인을 위한 단계별 구축 계획

아직 초기 단계라면, 2026년 12월 15일까지 규정을 준수하기 위한 현실적인 5단계 계획을 제안합니다.

1단계 (현재): 역할 정의 및 프로젝트 관리. 4명(또는 그 이상)의 책임자를 지정하고, 운영 헌장을 작성하고, 회의 주기를 설정하며, 파트너 및 매니저 투입 시간을 예산화하십시오. 대부분의 법인이 시간 투입량을 과소평가합니다. 2026년 말까지 수백 시간을 계획하십시오.

2단계 (2026년 2분기): 도구 및 템플릿 라이브러리 선택. 스프레드시트, AICPA 실무 가이드 또는 전용 플랫폼 중 무엇을 사용할지 결정하십시오. 법인 규모에 적합한 위험 및 대응 라이브러리를 구독하십시오. 처음부터 직접 구축하는 것은 시간 대비 효율이 떨어집니다.

3단계 (2026년 2~3분기): 위험 평가 수행. 구성 요소별로 품질 목표를 문서화하고, 법인의 고객 및 실무에 특유한 위험을 식별하며, 대응책을 설계하십시오. 격차에 대해 솔직해져야 합니다. 표준은 스스로의 약점을 찾아내는 법인에게는 보상을 주지만, 약점이 없는 척하는 법인에게는 불이익을 줍니다.

4단계 (2026년 3분기): 대응책 시행 및 증거 수집. 새로운 정책, 교육, 기술 설정 및 템플릿을 배포하십시오. 평가 시점에 필요할 교육 명부, 독립성 확인서, EQR 승인 문서, 모니터링 점검 조서 등의 증거를 수집하기 시작하십시오.

5단계 (2026년 4분기 이후): 운영, 모니터링, 평가. 2026년 12월 15일부터 시스템이 운영되어야 합니다. 모니터링 프로그램을 실행하고, 발견 사항에 대한 원인 분석을 수행하며, 시정 조치를 문서화하고 2027년 9월 30일 평가일을 준비하십시오.

SQMS 제1호의 경우 해당 날짜들이 12개월 더 빠릅니다. 소속 법인이 아직 준비되지 않았다면 해당 작업부터 최우선으로 진행하십시오.

조기 도입 기업들이 저지르는 흔한 실수들

조기에 도입을 시작한 기업들 사이에서 몇 가지 공통된 패턴이 나타나고 있습니다.

• 목표와 대응의 혼동. "우리는 수임 업무 품질 검토를 수행할 것이다"는 대응이지 목표가 아닙니다. 목표는 상태를 의미합니다. 즉, "업무팀이 중요 사안에 대해 적절한 결론에 도달하는 것"이 목표이며, 수임 업무 품질 검토(EQR)는 여러 대응 방법 중 하나입니다.
• 일반적인 리스크 기술. "독립성 요건 위반 리스크가 존재한다"는 리스크가 아니라 범주입니다. 리스크는 해당 기업의 구체적인 시나리오를 설명해야 합니다. 예: "업무 수행 파트너가 수임 업무 기간 중 감사 대상 회사의 임원으로부터 개인적인 대출을 받는 경우."
• 복사하여 붙여넣기식 대응. 경쟁사의 매뉴얼이나 업계 템플릿을 빌려와 회사 이름만 바꾸는 방식은 해당 기업의 실제 리스크 프로필과 일치하지 않는 시스템을 만듭니다. 감리 과정에서 이러한 불일치가 발견될 것입니다.
• 모니터링을 나중에 생각할 일로 취급. 품질관리시스템(SOQM)을 구축하면서 모니터링을 건너뛰는 기업은 2027년 9월 평가 시점에 평가할 대상이 아무것도 없다는 사실을 깨닫게 될 것입니다. 모니터링 프로그램은 첫날부터 시작하십시오.
• 근본 원인 분석 생략. 미비점을 발견했을 때 증상만 해결하고 넘어가려는 유혹이 생기기 마련입니다. 하지만 기준서에서는 왜 그런 일이 발생했는지 묻고, 그 분석 과정을 문서화하며, 근본적인 원인을 시정할 것을 요구합니다.

자사의 장부 관리도 잊지 마십시오

품질 관리 기준은 감사 실무에 적용되지만, 동일한 원칙을 자사의 재무 운영에 적용할 때도 큰 이점을 얻을 수 있습니다. 깔끔한 총계정원장, 버전 관리된 기록, 투명한 비용 추적은 여러분이 감사 대상 고객에게 기대하는 바로 그 모습입니다. 텍스트 기반 회계(Plain-text accounting) 도구를 사용하면 감사가 가능하고 자동화가 용이하며, 특정 벤더에 종속되지 않는 형식으로 자사의 장부를 쉽게 관리할 수 있습니다. 내부적으로 모범적인 기록 관리 능력을 입증할 수 있다면, 귀사의 품질관리(QC) 시스템은 신뢰를 얻게 될 것이며 동료 검토자들도 이를 주목하게 될 것입니다.

첫날부터 자사의 재무 상태를 감사 준비 수준으로 유지하십시오

QC 1000 및 SQMS 제1호 시스템을 구축할 때 적용되는 투명한 기록, 문서화된 통제, 지속적인 모니터링과 같은 원칙들은 자사의 백오피스 운영에도 동일하게 적용됩니다. Beancount.io는 기업의 재무 데이터에 대한 완전한 투명성과 통제권을 제공하는 텍스트 기반 회계를 지원하며, Git 기반의 전체 버전 이력과 AI 활용이 가능한 내보내기 기능을 제공합니다. 무료로 시작하기를 통해 왜 개발자, 회계사, 재무 전문가들이 텍스트 기반 회계로 전환하고 있는지 확인해 보십시오.