IT oblasť ako bežná súčasť due diligence

Pri fúziách a akvizíciách firmy bežne absolvujú proces posúdenia a zostavenia objektívneho pohľadu na potenciálny investičný objekt. Tzv. proces due diligence sa historicky zameriava predovšetkým na finančné, daňové a právne aspekty. Naopak, IT procesy, majetok a informačná bezpečnosť dodnes často zostávajú zabudnuté, aj keď ide o zásadnú oblasť. V dnešnej ére informačných technológií by tak due diligence vždy mala obsahovať aj preskúmanie aktív, systémov, procesov, zásad a postupov IT.

Na získanie komplexných informácií o investičnom objekte je teda v rámci due diligence okrem iného nutné vykonať analýzu IT infraštruktúry a posúdenie úrovne informačnej bezpečnosti.

Hlavné dôvody, prečo sa pustiť do IT due diligence

  • Eliminácia potenciálnych rizík pre ďalšie aspekty due diligence: finančné, daňové, právne a obchodné. Ako IT systémy, tak aj ERP systém súvisí so všetkými obchodnými aspektmi, takže ak majú tieto systémy značné nedokonalosti, môže mať táto skutočnosť vplyv aj na ďalšie oblasti, a teda na konečné rozhodnutie.
  • Investície a náklady do IT sú dnes jedným s hlavných výdavkov každej spoločnosti. Potenciálny kupujúci by mal pred rozhodnutím o kúpe porozumieť nákladom novej spoločnosti na IT a potenciálnym potrebným investíciám.

Prvým krokom pri vykonávaní analýzy je identifikácia hlavných informačných aktív spoločnosti. V širšom zmysle sa aktívom rozumejú informácie v rôznych podobách (papierové a elektronické dokumenty, databáza a dátové súbory atď.) a prostriedky ich spracovania (softvér a hardvér, informačné systémy a služby). Každá moderná spoločnosť využíva pri svojej práci rôzne informačné systémy, ktoré sa spájajú do informačných aktív. Nie všetky informačné aktíva majú pre spoločnosť rovnakú hodnotu, a preto sú na zaistenie bezpečnosti rôznych aktív použité rôzne prostriedky ochrany, pričom pri stanovovaní priorít hrajú rolu hľadiská finančné a kapacitné.

Ďalším dôležitým krokom je klasifikácia informácií podľa toho, ako veľmi by spoločnosť a jej chod poškodila ich prípadná nedostupnosť alebo ohrozenie. Pre každú skupinu je potrebné stanoviť samostatné postupy a požiadavky na úroveň ochrany informácií. Klasifikácii podliehajú nielen výsledné informácie (dáta), ale taktiež prostriedky ich spracovania. Klasifikácia informačných zdrojov navyše umožňuje posúdiť ekonomickú realizovateľnosť implementovaných ochranných prostriedkov.

Potenciálny investor by mal taktiež venovať pozornosť regulačným dokumentom opisujúcim procesy riadenia IT a funkcií informačnej bezpečnosti. Tieto dokumenty by mali zahŕňať prehľad zásad a interných štandardov. Prípadná absencia princípov zjednotenia a štandardizácie používaného vybavenia a softvéru infraštruktúry prináša heterogenitu IT prostredia a s tým spojené dodatočné náklady na údržbu zariadenia a SW od rôznych výrobcov.

Pri analýze prevádzkovej činnosti IT oddelenia je nutné posúdiť kľúčových špecialistov, ktorí sa podieľajú na správe a rozvoji informačných systémov a služieb dôležitých pre poslanie spoločnosti. Toto hodnotenie by malo zahŕňať analýzu odborných kompetencií a taktiež zdvojenie funkcií IT. Nedostatočná analýza prevádzkových činností IT oddelení môže viesť k strate kľúčových kompetencií a v dôsledku toho k dodatočným nákladom na vyhľadanie potrebných špecialistov alebo vykonanie funkcie na externú technickú podporu.

Pri integrácii IT prostredia fúzovaných spoločností môžu nastať problémy spojené s rôznou úrovňou vyspelosti technologických procesov a informačnej bezpečnosti, používania rôznych štandardov služieb a rôznych druhov informačných systémov, metodiky riadenia atď. V dôsledku toho je potom nutné venovať pomerne dosť času zjednocovacím procesom a budovaniu homogénneho IT prostredia pre organizáciu a riadenie IT a informačnej bezpečnosti. To môže priniesť významné investície.

V rámci rozboru IT infraštruktúry je potrebné vykonať aj rozbor aktuálneho stavu informačnej bezpečnosti, ktorý by mal zahŕňať štúdiu súčasných procesov a posúdenie efektivity používaných nástrojov ochrany informácií, ako je napr. kryptografická ochrana, ochrana proti malvéru, správa aktualizácií a zraniteľností, bezpečností siete atď. Táto analýza umožní posúdiť aktuálny stav informačnej bezpečnosti a mieru zraniteľnosti IT infraštruktúry voči aktuálnym hrozbám.

Na základe výsledkov analýzy IT infraštruktúry by potom mali byť vypracované a zhodnotené možné varianty pre následnú integráciu IT prostredia kupovanej spoločnosti a budúcej materskej spoločnosti.

Všeobecne je možné rozlíšiť tri hlavné scenáre:

  1. Nechať všetko tak, ako je. Krátkodobo najrýchlejšie a nákladovo najvýhodnejšie riešenie. Treba však počítať s tým, že v horizonte niekoľkých rokov budú investície nutné a vo finále môžu byť ešte vyššie. Tento variant navyše znamená istú izoláciu IT prostredia kupovanej spoločnosti.
  2. Čiastočná integrácia. Tento scenár predpokladá čiastočnú optimalizáciu primárne kritických IT procesov. V porovnaní s plnou integráciou to znamená krátkodobo prijateľnejšie náklady, ale existuje možnosť degradácie niektorých funkcií IT procesov.
  3. Plná integrácia. Tento variant znamená optimalizáciu všetkých IT procesov kupovanej spoločnosti a uvedenie všetkých aspektov IT procesov do súladu s internými štandardmi materskej spoločnosti. Tento variant je najnáročnejší na počiatočnú investíciu, ale z dlhodobého hľadiska poskytuje predvídateľné ekonomické náklady na rozvoj IT procesov zlúčenej spoločnosti.

Na správne vykonanú a kvalitnú analýzu z hľadiska IT je potrebné zapojiť špecialistov s dostatočnými znalosťami, skúsenosťami a kompetenciou v oblasti organizácie IT procesov, riadenia bezpečnosti informácií a analýzu hodnotení informačných rizík. Preto sa neváhajte obrátiť na odborníkov. Čo vám v tejto oblasti môžeme ponúknuť my?

  • IT organizácia a IT procesy – zistenie organizačnej štruktúry IT oddelení a zmapovanie IT procesov vo firme
  • IT stratégia, projekty, investície – analýza aktuálnej roly IT v spoločnosti, súčasné náklady a potenciálna budúca investícia do IT
  • ERP systém, obchodné systémy a softvér – zostavenie prehľadu o všetkých systémoch a softvéroch, ktoré udržujú organizáciu z pohľadu IT
  • Zabezpečenie IT a infraštruktúra siete – zmapovanie zaistenia zabezpečenia IT systémov a súvisiacej infraštruktúry

Naši špecialisti na IT due diligence vám poskytnú jasný prehľad o IT stránke potenciálneho investičného objektu, identifikujú a vyhodnotia kľúčové riziká v technológiách a určia ich potenciálne dopady na celý obchod.

Autori

Tomáš Janeček

Managing Partner RSM Technology CZ
Zobraziť detail