IT oblast jako běžná součást due diligence

Při fúzích a akvizicích firmy běžně absolvují proces posouzení a sestavení objektivního pohledu na potenciální investiční objekt. Tzv. proces due diligence se historicky zaměřuje především na finanční, daňové a právní aspekty. Naopak IT procesy, majetek a informační bezpečnost dodnes často zůstávají opomenuty, byť jde o zásadní oblast. V dnešní éře informačních technologií by tak due diligence vždy mělo obsahovat i prozkoumání aktiv, systémů, procesů, zásad a postupů IT.

Pro získání komplexních informací o investičním objektu je tedy v rámci due diligence mimo jiné nutné provést analýzu IT infrastruktury a posouzení úrovně informační bezpečnosti.

Hlavní důvody, proč se pustit do IT due diligence

• Eliminace potenciálních rizik pro další aspekty due diligence: finanční, daňové, právní a obchodní. Jak IT systémy, tak i ERP systém souvisejí se všemi obchodními aspekty, takže pokud mají tyto systémy značné nedokonalosti, může mít tato skutečnost vliv i na další oblasti, a tedy na konečné rozhodnutí.
• Investice a náklady do IT jsou dnes jedním z hlavních výdajů každé společnosti. Potenciální kupující by měl před rozhodnutím o koupi porozumět nákladům nové společnosti na IT a potenciálním potřebným investicím.

Prvním krokem při provádění analýzy je identifikace hlavních informačních aktiv společnosti. V širším smyslu se aktivem rozumí informace v různých podobách (papírové a elektronické dokumenty, databáze a datové soubory atd.) a prostředky jejich zpracování (software a hardware, informační systémy a služby). Každá moderní společnost při své práci využívá různé informační systémy, které se spojují do informačních aktiv. Ne všechna informační aktiva mají pro společnost stejnou hodnotu, a proto jsou k zajištění bezpečnosti různých aktiv použité různé prostředky ochrany, přičemž při stanovování priorit hrají roli finanční a kapacitní hledisko.

Dalším důležitým krokem je klasifikace informací podle toho, jak moc by společnost a její chod poškodila jejich případná nedostupnost nebo ohrožení. Pro každou skupinu je třeba stanovit samostatné postupy a požadavky na úroveň ochrany informací. Klasifikaci podléhají nejen výsledné informace (data), ale také prostředky jejich zpracování. Klasifikace informačních zdrojů navíc umožňuje posoudit ekonomickou proveditelnost implementovaných ochranných prostředků.

Potenciální investor by měl také věnovat pozornost regulačním dokumentům popisujícím procesy řízení IT a funkcí informační bezpečnosti. Tyto dokumenty by měly zahrnovat přehled zásad a interních standardů. Případná absence principů sjednocení a standardizace používaného vybavení a softwaru infrastruktury přináší heterogenitu IT prostředí a s tím spojené dodatečné náklady na údržbu zařízení a SW od různých výrobců.

Při analýze provozní činnosti IT oddělení je nutné posoudit klíčové specialisty, kteří se podílejí na správě a rozvoji informačních systémů a služeb důležitých pro poslání společnosti. Toto hodnocení by mělo zahrnovat analýzu odborných kompetencí a také zdvojení funkcí IT. Nedostatečná analýza provozních činností IT oddělení může vést ke ztrátě klíčových kompetencí a v důsledku toho k dodatečným nákladům na vyhledání potřebných specialistů nebo převedení funkce na externí technickou podporu.

Při integraci IT prostředí fúzujících společností mohou nastat problémy spojené s různou úrovní vyspělosti technologických procesů a informační bezpečnosti, používání různých standardů služeb a různých druhů informačních systémů, metodiky řízení atd. V důsledku toho je pak nutné věnovat poměrně dost času sjednocování procesů a budování homogenního IT prostředí pro organizaci a řízení IT a informační bezpečnosti. To může přinést významné investice.

V rámci rozboru IT infrastruktury je třeba provést i rozbor aktuálního stavu informační bezpečnosti, který by měl zahrnovat studii současných procesů a posouzení efektivity používaných nástrojů ochrany informací, jako je např. kryptografická ochrana, ochrana proti malwaru, správa aktualizací a zranitelností, bezpečnostní sítě atd. Tato analýza umožní posoudit aktuální stav informační bezpečnosti a míru zranitelnosti IT infrastruktury vůči aktuálním hrozbám.

Na základě výsledků analýzy IT infrastruktury by pak měly být vypracovány a zhodnoceny možné varianty pro následnou integraci IT prostředí kupované společnosti a budoucí mateřské společnosti

Obecně lze rozlišit tři hlavní scénáře:

1. Nechat vše tak, jak je. Krátkodobě nejrychlejší a nákladově nejvýhodnější řešení. Je však třeba počítat s tím, že v horizontu několika let budou investice nutné a ve finále pak mohou být ještě vyšší. Tato varianta navíc znamená jistou izolaci IT prostředí kupované společnosti.
2. Částečná integrace. Tento scénář předpokládá částečnou optimalizaci primárně kritických IT procesů. Ve srovnání s plnou integrací to znamená krátkodobě přijatelnější náklady, ale existuje možnost degradace některých funkcí IT procesů.
3. Plná integrace. Tato varianta znamená optimalizaci všech IT procesů kupované společnosti a uvedení všech aspektů IT procesů do souladu s interními standardy mateřské společnosti. Tato varianta je nejnáročnější na počáteční investici, ale z dlouhodobého hlediska poskytuje předvídatelné ekonomické náklady na rozvoj IT procesů sloučené společnosti.

Pro správně provedenou a kvalitní analýzu z hlediska IT je nezbytné zapojit specialisty s dostatečnými znalostmi, zkušenostmi a kompetencemi v oblasti organizace IT procesů, řízení bezpečnosti informací a analýzu a hodnocení informačních rizik. Proto se neváhejte obrátit na odborníky. Co vám v této oblasti můžeme nabídnout my?

• IT organizace a IT procesy – zjištění organizační struktury IT oddělení a zmapování IT procesů ve firmě
• IT strategie, projekty, investice – analýza stávající role IT ve společnosti, současné náklady a potenciální budoucí investice do IT
• ERP systém, obchodní systémy a software – sestavení přehledu o všech systémech a softwarech, které udržují organizaci z pohledu IT
• Zabezpečení IT a infrastruktura sítě – zmapování zajištění zabezpečení IT systémů a související infrastruktury

Naši specialisté na IT due diligence vám poskytnou jasný přehled o IT stránce potenciálního investičního objektu, identifikují a vyhodnotí klíčová rizika v technologiích a určí jejich potenciální dopady na celý obchod.