서명 전에 식별한 4 M€ 규모의 규제 리스크

상황

Affirma Capital은 그란데 컨슈머와 전문 서비스 부문에 걸친 포트폴리오 기업 세 곳을 평가하고 있었습니다. 각 인수 대상은 핵심 운영 인프라로서 상당한 Salesforce 구현을 안고 있었습니다. CRM(고객 관계 관리), 영업 운영, 서비스 관리, 그리고 한 곳은 Experience Cloud 위에 직접 만든 고객 포털을 운영했습니다. 세 건의 인수 모두에서 매도인은 자사 구현을 프로덕션 준비가 끝났고, 완전히 구성됐으며, 적용 가능한 데이터 보호 규제를 준수한다고 제시했습니다.

각 기업의 투자 논리는 부분적으로 Salesforce가 가능하게 한다는 운영 효율성에 기대고 있었습니다. 구현이 기술적으로 탄탄하다면, 그것은 성장의 가속 장치였습니다. 숨은 기술 부채나 규제 리스크, 또는 개선이 필요한 아키텍처 문제를 안고 있다면, 인수 후 비용 모델과 연동 일정이 크게 달라집니다.

구조적 문제는 M&A 실사에서 Salesforce가 자산으로서 사각지대에 놓인다는 점입니다. 표준 재무·법률 검토는 그곳까지 닿지 않습니다. 감사인은 재무제표를 읽고, 변호사는 계약서를 읽으며, 조직이 부채인지 가늠하는 사람은 아무도 없습니다. 매도인이 서사를 통제합니다. 매도인에게는 자사 가치를 떨어뜨릴 문제를 드러낼 유인이 없습니다.

과제

포트폴리오 기업 세 곳, 서로 다른 Salesforce 프로필 셋, 모두 딜 일정 안에 진단해야 했습니다.

A사, 그란데 컨슈머, 연간 반복 매출 180 M€. 조직은 바깥에서 보면 그럴듯했습니다. 맞춤형 UI, 깔끔해 보이는 파이프라인 리포트, 잘 구성된 듯한 Sales Cloud. 표면 아래의 실상은 달랐습니다. 400개가 넘는 비활성 커스텀 필드가 스키마를 어지럽혔습니다. 조직은 활성 Apex 트리거 12개를 돌렸는데, 그중 여섯은 오류 처리가 전혀 없었습니다. 잘못된 레코드 하나가 트랜잭션 전체를 연쇄 실패로 몰 수 있다는 뜻입니다. 데이터 품질은 낮았습니다. Account 레코드의 34%가 우편번호가 없거나 잘못됐고, 22%는 중복된 이메일 주소를 가지고 있었습니다. Salesforce를 5년 썼지만 데이터 품질 노력은 전무했습니다.

B사, 전문 서비스, 연간 반복 매출 95 M€. 더 최근의 구현으로 코드 품질이 훨씬 나았습니다. 주된 발견은 규제 준수였습니다. 조직은 EU 시민의 개인정보를 처리하면서도 GDPR이 요구하는 데이터 보관 정책을 구현하지 않았습니다. 레코드는 자동 삭제나 익명화 없이 무기한 보관되고 있었습니다. 개인정보 영향 평가는 한 번도 수행되지 않았습니다. 개선 비용은 법률 비용을 제외하고 200 K€로 추정됐으며, 클로징 후 이 공백이 드러나면 규제 조사 리스크가 따랐습니다.

C사, 소비자 서비스, 연간 반복 매출 62 M€. Experience Cloud 고객 포털은 이제는 존재하지 않는 한 부티크 SI가 구축한 것이었습니다. 코드베이스는 문서가 전혀 없었습니다. 회사 내 누구도 유지보수할 수 없는 4만 줄의 커스텀 Visualforce와 Apex. Experience Cloud 라이선스는 잘못 구성돼, 완전한 Salesforce 라이선스가 필요한 사용자에게 Community 라이선스가 배정돼 있었습니다. 소급 정산으로 350 K€로 추정되는 라이선스 준수 문제를 만들고 있었습니다.

실행

진단 방법론은 M&A 일정을 위해 설계됐습니다. 신호가 강하고, 빠르게 실행되며, 발견은 비전문 의사결정자를 위해 구조화됐습니다.

모든 발견을 심각도(Critical / High / Medium / Low)로 분류하고 세 차원으로 산정했습니다. 직접 개선 비용, 지속되는 운영 리스크, 그리고 딜 리스크(딜 완료나 가치 평가에 영향을 줄 수 있는 발견)입니다. 발견은 점 추정치가 아니라 범위로 제시했습니다. 투자 결정에서는 단일 숫자의 거짓 정밀함보다 불확실성에 대한 정직함이 더 중요하기 때문입니다.

A사에 관해 투자 위원회에 전달한 노트

연동 계층은 프로덕션 준비가 되지 않았습니다. 인수 후 재구축에 80만~120만 유로가 들고, 연동 일정에 6개월이 더해집니다. 그것은 개선이 아닙니다. 가격 협상입니다.

성과

진단은 세 포트폴리오 기업 전반에서 4 M€ 규모의 누적 리스크 노출을 드러냈습니다. 매도인 문서에도, 표준 실사 절차에도 전혀 나타나 있지 않던 리스크였습니다.

A사의 연동 계층 리스크와 데이터 품질 문제는 인수 협상에 반영돼 가격 조정으로 이어졌습니다. 인수 후 연동 일정은 6개월 연장돼, 매수인이 구조적으로 불가능한 1일차 목표에 발을 묶이는 일을 막았습니다. B사의 GDPR 준수 공백은 클로징 전 보관된 데이터에서 비롯될 규제 조치를 다루는 구체적 보증·면책 조항으로 이어졌습니다. C사의 라이선스 준수 문제는 클로징 전에 해소됐으며, 매도인이 딜 완료의 조건으로 소급 라이선스 정산 자금을 부담했습니다.

진단은 세 기업 전부에서 11주 만에, 딜 일정 안에 전달됐습니다. 발견은 우선순위가 매겨진 개선 로드맵으로 구조화돼, 인수 후 100일 통합 계획으로 곧장 이어졌습니다. 매수인 팀은 무엇을, 어떤 순서로, 얼마의 비용으로 고쳐야 하는지 알고 1일차를 맞았습니다.

돌아보며

이 패턴은 Salesforce가 인수 대상에서 주변부 시스템이 아니라 핵심 운영 인프라일 때 작동합니다. 독립 진단의 비용은 딜 규모에 비하면 작습니다. 숨은 연동 부채나 GDPR 공백, 라이선스 준수 문제를 떠안는 비용은 그렇지 않습니다. Salesforce가 거의 쓰이지 않거나 연동 없이 기본 Sales Cloud 인스턴스만 돌리는 경우에는 작동이 덜 합니다. 발견에서 기대할 수 있는 이득이 한정되기 때문입니다.

더 일찍 했어야 할 것: 법률 실사가 끝난 뒤가 아니라 그와 나란히 진단을 시작하는 것입니다. Salesforce 발견은 변호사가 작성해야 할 조항에 정보를 주는 경우가 많습니다. 둘을 직렬로 잇는 것은 누구에게도 없는 2주를 딜 일정에 더하는 일입니다.

전이되지 않는 패턴: 이 모두를 하루짜리 조직 현황 점검으로 압축하려는 시도입니다. 60개 항목 방법론은 M&A에 유의미한 리스크가 숨는 표면을 다룹니다. 시간을 아끼려고 연동 아키텍처나 규제 준수를 건너뛰면, 그럴듯해 보이면서 정작 돈을 놓치는 발견이 나옵니다.