통제, 권한, 감사

SoD(Segregation of Duties), SAP 권한(Role)에 대한 설명으로 가장 정확한 것은?

A. 메뉴 표시를 제어하는 기능이다
B. 사용자의 편의를 위한 설정이다
C. 사건 생성 가능 여부를 통제하는 장치이다
D. 성능 최적화를 위한 기능이다

✅ 정답: C

SoD의 목적은 한 사람이 모든 단계를 수행하지 못하게 하기 위한 것

SAP에서 감사(Audit)가 가능한 근본적인 이유도 문서와 변경 이력이 삭제되지 않기 때문에

 

Ⅶ. 통제, 권한, 감사

SAP가 끝까지 무너지지 않는 진짜 이유

여기까지 왔다면 이미 느꼈을 거다.
SAP는 실수를 전제로 설계된 시스템이다.

• 사람이 틀릴 수 있고
• 절차를 건너뛸 수도 있고
• 급하다는 이유로 규칙을 무시할 수도 있다

그래서 SAP는 묻지 않는다.

“사용자가 조심할까?”

대신 이렇게 설계한다.

“조심하지 않아도
사고가 나지 않게 만들자.”

이게 바로 통제, 권한, 감사 영역의 출발점이다.

 

 

 

---

1. SAP에서 권한은 ‘편의’가 아니라 ‘장벽’이다

많은 시스템에서 권한은 이런 의미다.

• 메뉴 보이게/안 보이게
• 버튼 클릭 가능/불가능

SAP에서 권한은 다르다.

“이 사람에게
이 사건을 일으킬 권한이 있는가?”

즉:

• 조회 권한
• 변경 권한
• 사건 생성 권한

이 완전히 분리된다.

SAP는 권한을
UI 제어가 아니라 사건 제어로 쓴다.

---

2. 왜 SAP는 Role을 그렇게 잘게 쪼갤까

SAP Role이 처음엔 과해 보인다.

• 역할이 너무 많고
• 권한 조합이 복잡하고
• 설정이 귀찮다

이유는 단순하다.

“한 사람이
처음부터 끝까지 다 하게 두지 않기 위해서.”

이게 바로 **분리 통제(SoD, Segregation of Duties)**다.

---

3. 분리 통제(SoD)는 사람을 못 믿어서가 아니다

SoD의 목적을 오해하면 안 된다.

• 사람을 의심해서 ❌
• 범죄자를 전제로 해서 ❌

정확한 목적은 이거다.

“사람이 실수했을 때
그 실수가 바로 사고로 이어지지 않게 하기 위해서.”

예를 들면:

• 주문 생성 ❌ + 승인 ⭕
• 입고 처리 ❌ + 송장 처리 ⭕
• 청구 생성 ❌ + 매출 취소 ⭕

이걸 한 사람이 동시에 못 하게 막는다.

---

4. SAP는 ‘기록되지 않은 행동’을 허용하지 않는다

SAP에서 무서운 건
실수 자체가 아니다.

“기록이 없는 행동”

SAP는 거의 모든 걸 남긴다.

• 누가
• 언제
• 어떤 문서를
• 어떤 권한으로

그래서 SAP에는:

• 변경 로그
• 전표 이력
• 문서 흐름
• 사용자 기록

이 촘촘하게 쌓인다.

이게 바로 감사(Audit) 트레일이다.

---

5. 감사는 사후 기능이 아니라 ‘상시 기능’이다

많은 사람들이 감사를 이렇게 생각한다.

“문제 생기면 나중에 보는 것”

SAP는 정반대다.

“언제든 꺼내볼 수 있게
미리 준비해 두는 것”

그래서:

• 과거 숫자가 바뀌지 않고
• 문서가 삭제되지 않으며
• 취소도 새 문서로 남는다

감사는 SAP의 옵션 기능이 아니라 기본값이다.

---

6. 왜 SAP는 이렇게까지 보수적일까

여기서 다시 처음 질문으로 돌아온다.

“왜 SAP는 이렇게 불편한가?”

답은 이제 분명하다.

**SAP**는
편한 시스템을 만들 생각이 없다.

대신 이런 시스템을 만든다.

• 나중에 책임을 물을 수 있고
• 숫자의 출처를 설명할 수 있고
• 법정에서도 버틸 수 있는 시스템

그래서:

• 수정 ❌
• 삭제 ❌
• 임의 조정 ❌

을 끝까지 거부한다.

---

7. 실무에서 이 영역이 진짜로 터지는 순간

통제·권한·감사의 중요성은
평소엔 잘 안 느껴진다.

하지만 이 순간엔 바로 체감된다.

• 사고 발생
• 내부 감사
• 외부 감사
• 인수·합병
• 분쟁/소송

이때 SAP는 말한다.

“다 남아 있다.”

그리고 이 한 문장이
회사를 살리기도, 망치기도 한다.

---

8. 시험에서 이 파트를 어떻게 묻나

자격증에서는 이렇게 묻는다.

• Role의 목적은?
• SoD의 이유는?
• 감사 로그의 의미는?

정답 키워드:

• Control
• Traceability
• Audit
• Segregation

오답 패턴:

• 사용자 편의
• 성능
• 화면 제어

---

🔑 이 파트의 핵심 문장

이 글에서 반드시 남겨야 할 문장은 이거다.

SAP의 진짜 무기는
기능이 아니라
‘끝까지 남는 기록’이다.

그래서 SAP는:

• 불편하고
• 느려 보이고
• 답답하다

하지만 그 대가로
기업은 살아남는다.

---

이 시리즈의 마지막 문장

여기까지 전부 관통하는
단 하나의 결론은 이거다.

SAP는 ERP가 아니다.
SAP는 ‘증명 시스템’이다.

이제 SAP를 보면
화면보다 의도가 먼저 보일 거다.