SAP GRC와 주변 솔루션에 대한 단상 모음

SAP GRC

 우리나라에서 GRC(Governance, Risk, Compliance^[각주:1]) 쪽 활동은 서양에 비해 드러내지 않는 편이라 법제로 강제하기에 정말 억지로 한다는 느낌을 받는다. 자꾸 서양과 비교하게 되는데, 거기라고 자발적으로 하는 기업이 몇이나 되겠나? 대신 한국 기업보다는 세련됐기에 뭔가 선제적으로 대응하는 것마냥 잘 가꿔서 내보이는 게 아닐까 한다.

 

 어쨌든 GRC 업무를 잘 드러내지 않는 한국의 추세로 인해 관련 솔루션의 확산도 지지부진하다. 환경과 같은 긍정적인 규제가 나온 게 신기할 정도로 친기업적인 한국의 성향에 따라 처벌의 수준은 꽤 미약하기에, 한국 기업은 GRC 업무에 들어가는 돈을 최소화 해왔다.^[각주:2] 그러니 뭔가 틀을 갖춘 GRC 체계는 언강생심이었고 SAP 코리아 같은 곳도 적극적인 공세는 꿈도 못 꾸지 않았을까 한다.

 

 SSM(SAP Strategy Management) 솔루션은 볼 때마다 한국기업에게 개발의 편자 같다는 생각이 든다. 아무래도 엑셀보다는 불편한 솔루션을 통해 KPI를 모니터링하고 원인^[각주:3]과 동인^[각주:4]을 분석하며 피드백까지 수행하는 이유는 오로지 과정^[각주:5]의 공정성과 투명성 밖에 없다. 측정의 자동화 같은 건 도리어 부수적인 효과일 뿐이다.^[각주:6]

 

 전제가 이러니 SSM이 한국에 녹아들 틈새가 별로 없다. 같은 맥락으로 Activity Based Costing(ABC) 역시 누구 다칠까봐 못하는 사례가 많다 하니, SAP BPC를 통해 ERP보다 유연하게 ABC를 구현한다는 게 한국에서는 별 의미가 없다. 나 살아 생전에는 봤으면 좋겠다. 외국으로 가야 하려나.

 

 SSM은 GRC와의 연계를 강조한다. 전략이 위험을 감안하는 건 당연하다. 그렇다고 해서 위험^[각주:7]이 임계치에 이르면 대안을 실행하도록 시스템이 알림을 보내는 건 2014년의 한국 사람들에게 부자연스럽기만 하다. 무엇보다 위험을 식별하고 무려 우선순위를 설정하여 대안을 마련하기까지 하는 활동은 참 안 한다.

 

 당연히 해야 하는 일이라고 책망하는 무리들도 있는데, 곧이 곧대로 위험을 문서화 하는 순간 죽일 놈 살릴 놈 하는 얘기가 나오기 마련이라 공식적으로 하는 걸 본 적이 없다. 위험의 존재를 부정한달까? 나쁜 소식을 가져 온 전령마냥 위태로워지고 싶은 사람이 어디 있을까?

 

 더구나 위험관리의 총론에는 찬성해도 위험요소의 선정부터 잡음이 나기 시작하며 임계치 설정과 대안의 마련에 이르러서는 원만한 합의가 불가능하다고 단언한다. CEO의 용단이 필요한 주제 중 하나다. CEO 스스로 위험관리가 뭔지 알아야 함은 가장 큰 전제라 하겠다.

 

 Compliance를 대하는 기업의 모습들을 보면 정말 규제가 없을 때 어떤 사달이 날지 알 만하다.

 

 예측은 불가능하다. 잦은 시뮬레이션을 통해 방향을 바로 잡는 게 최선이다. 시뮬레이션을 가끔 하는 건 바람 불고 파도 치는 바다에서 배의 키를 한 번 맞춰 놓고는 그대로 전진하길 바라는 것과 똑같다. 지금은 누가 뭐래도 불확실한 시대다. 환율, 원자재, 국제정세 등 모든 것이 춤을 추어대서 지구 반대편의 나비 날개짓이 어떤 태풍으로 휘몰아칠지 모른다.^[각주:8]

 

 눈을 크게 뜨고 우리가 어디로 흘러가는지 계속 측정하고 시나리오를 계속 갱신하며 이벤트가 됐든 위험이 됐든 상황이 발동하자마자 누구보다 빨리 달려 나가야 한다. 이때 한 발만 빨라도 오 년의 격차를 만들어 버릴 것이다.

 

 시나리오를 만들고 시뮬레이션을 하는 역량은 단기간에 키우지 못한다. 회사의 가치 중 75%는 무형자산에서 비롯한다는 조사가 있다는데 비유적으로도 받아들일 만하다. 이전에는 하드웨어만 갖추어도 충분했는데 이제는 설비와 같은 물적자원은 기본으로 갖추되 이를 잘 활용하는 인적자원과 무형자산이 승부를 결정 짓는다. 데이터 품질을 높이고 계획 모델을 보완하며 고급분석기법에 익숙해지는 등 실무자의 역량을 일정기간 실전으로써 키우는 것 말고는 방법이 없다.

 

 이 때, 역량을 키우는 과정에서 시기상조라든가 성과저조라든가 하는 식으로 다른 임원의 공격이 있을 법한데 오로지 CEO만이 대책이다. 이런 역량을 키우는 가장 큰 토대는 분석역량이 뭔지 아는 CEO이다. 그까짓거 대충 하자는 CEO 밑에서는 대충 하는 거 외에 다른 도리가 없다.^[각주:9]

 

 "(무의미한 평균이지만) 1980년대에는 회사 가치의 30%, 2010년에는 75%가 무형자산에서 비롯한다. 그런데도 무형자산에 대한 투자는 30%에 불과하다."

 

 경영자가 전략을 수행하다 이 산이 아님을 알게 됐을 때, 여력을 갖춘 기업^[각주:10]이라면 매몰비용은 과감히 잊고 잘못 오른 산을 내려와 가야 할 산을 다시 찾아 간다. 더불어 경영진이 명민하다면 걷기보다는 글라이더를 타고 내려가거나 옆산으로 가기도 한다. 경영진의 철학에 따라 글라이더라는 도구의 마련여부가 갈릴 텐데, 정말 경영자라면 불확실한 시대와 여건을 감안하여 산을 다시 내리고 오를 여력을 충분히 갖추든지 글라이더 같은 복안을 갖춰야 하겠다.

 

 데이터 품질을 공론화 하기 위해서는, 이를 IT의 직무유기로 보지 않을 정도로 식견이 있는 경영진이 과반을 넘어야 한다. 프로그램 단위의 데이터 품질이야 쉽게 맞추지만 회계와 분석으로 관점을 넓히면 한두 사람으로는 요구수준을 맞추지 못한다. 결국 '정확하다는' 데이터는 DB가 아니라 엑셀 파일로 들어가게 된다. 전사적인 활용과 기민한 대응은 물 건너 가고 만다.

 

 목표 세우기야말로 해당 분야의 직관과 식견을 골고루 갖춘 인재에게 맡겨야 기업의 미래가 밝다. 작금의 목표 수립은 전년대비와 타사대비 같은 근거 모를 억지가 난무한다. 까놓고 얘기해서 오너^[각주:11]가 바라지도 않았을 목표^[각주:12]가 지극히 개인적이기만 한 수명연장의 수단으로 등장해온 게 아닐까도 싶다. 기준이 이런 식이니 데이터가 딱히 중요하지 않다. 데이터가, 없는 근거 짜맞추기나 요행에 의지한 반전의 수단으로만 쓰이니 GRC가 파고들 자리는 더더군다나 없다.

 

1. 대표적으로 환경 관련 (예: 온실가스, 화학물질관리) [본문으로]
2. 신문기사에 나오는 정도에 비해 지극히 적은 비용 [본문으로]
3. Root cause analysis [본문으로]
4. 성과동인, initiative [본문으로]
5. 권하지 않지만 인사평가까지 연계하곤 하는. [본문으로]
6. 기업공시 문서 생성기능도 있는데 이런 얘기를 하면 그걸 왜 그걸로 만들어? 같은 얘기가 나온다. ^^ 설명하기 귀찮아서 안 한다. [본문으로]
7. KRI(Key Risk Indicator)? [본문으로]
8. 안팎의 상황이 어찌 되든 자기가 할 줄 아는 것만 줄창 하는 건 정말 문제다. [본문으로]
9. 회사를 위해 열심히 하자는 말도 다를 바 없다. [본문으로]
10. 이에 반해 영세하거나 경영효율화에 환장하여 여력이 없는 기업은 한 번 산을 잘못 오르면 그대로 망한다. 쥐새끼들은 챙길 것 챙겨서 도망칠 테고. [본문으로]
11. 해당 업계의 지식이 얕아 주도적이지는 않을 [본문으로]
12. 방향과 수치 모두 [본문으로]