Darba laiks

Darba dienas: 08.30 - 17.00

Mūsu e-pasts

info@ksk-it.eu

Zvaniet

+371 20 724 272

AUTORIZĀCIJA

Sākums > Blogs > IT due diligence iegādei: ko pārbaudīt

Blogs

IT due diligence iegādei: ko pārbaudīt

Pirkuma cena reti parāda pilno darījuma cenu. Īpaši tad, ja tiek iegādāts uzņēmums ar novecojušu infrastruktūru, vāji pārvaldītu piekļuvi sistēmām vai neskaidriem datu drošības procesiem. Tieši tāpēc IT due diligence iegādei nav tehniska formalitāte, bet vadības instruments, kas palīdz saprast, ko uzņēmums patiesībā pērk - stabilu darbības vidi vai nākamo problēmu kopumu.

Ja iegādes izvērtēšanā finanšu, juridiskie un nodokļu jautājumi parasti jau ir darba kārtībā, tad IT nereti tiek apskatīts pārāk vēlu. Tas ir risks. Mūsdienu uzņēmuma darbība balstās uz sistēmām, datiem, piekļuves pārvaldību, piegādātājiem un nepārtrauktību. Ja šie pamati nav pārbaudīti, pēc darījuma var parādīties izmaksas, kas nebija iekļautas ne cenu modelī, ne integrācijas plānā.

it-due-diligence-iegadei-ko-parbaudit

Kas ir IT due diligence iegādei

IT due diligence iegādei ir mērķtiecīga mērķuzņēmuma tehnoloģiskās vides pārbaude pirms darījuma slēgšanas. Tās uzdevums nav tikai sastādīt sistēmu sarakstu. Mērķis ir novērtēt, cik droša, uzturama, mērogojama un biznesam kritiska ir esošā IT vide, kādi ir galvenie riski un kādas investīcijas būs vajadzīgas pēc iegādes.

Labi veikta pārbaude dod vadībai skaidras atbildes uz trim būtiskiem jautājumiem. Pirmkārt, vai uzņēmuma IT vide atbalsta tā pašreizējo darbību bez slēptām ievainojamībām. Otrkārt, cik daudz būs jāiegulda, lai vidi stabilizētu vai integrētu. Treškārt, vai pastāv riski, kas var ietekmēt darījuma vērtību, termiņus vai pat paša darījuma lietderību.

Te nav runa tikai par serveriem vai licencēm. Pārbaude aptver arī procesus, atbildības sadalījumu, piegādātāju atkarības, kiberdrošību, rezerves kopijas, katastrofu atjaunošanu un to, vai uzņēmums vispār spēj turpināt darbu incidenta gadījumā.

Kāpēc šī pārbaude ietekmē darījuma vērtību

No vadības skatpunkta lielākā kļūda ir pieņemt, ka IT problēmas vienmēr var atrisināt pēc iegādes. Daļu problēmu tiešām var. Taču to izmaksas var būt tik augstas, ka sākotnēji pievilcīgs darījums vairs neizskatās tik izdevīgs.

Piemēram, uzņēmumam var būt kritiska biznesa sistēma, kas balstīta uz novecojušu platformu bez ražotāja atbalsta. Formāli sistēma strādā, bet jebkura kļūme var radīt ilgstošu dīkstāvi. Citā gadījumā visa piekļuve infrastruktūrai ir koncentrēta pie viena ārpakalpojuma sniedzēja vai viena darbinieka, bez dokumentācijas un bez skaidras nodošanas kārtības. Šādas atkarības pēc iegādes pārvēršas par operacionālu un komerciālu risku.

Tieši tādēļ IT izvērtējums nav tikai audits. Tas tieši ietekmē pārrunas par cenu, garantijām, pārejas periodu, investīciju plānu un integrācijas secību. Dažkārt secinājums nav tāds, ka darījums jāaptur. Secinājums var būt, ka darījuma nosacījumi jāmaina.

Ko pārbauda IT due diligence procesā

Pārbaudes dziļums ir atkarīgs no darījuma lieluma, nozares un laika rāmja, taču vairākas jomas ir gandrīz vienmēr kritiskas.

Infrastruktūra un sistēmu arhitektūra

Pirmkārt tiek skatīts, uz kā balstās uzņēmuma ikdienas darbs. Tas ietver serverus, mākoņpakalpojumus, tīkla risinājumus, gala iekārtas, biznesa sistēmas un integrācijas starp tām. Svarīgs ir ne tikai inventārs, bet arī stāvoklis - vai vide ir standartizēta, vai tā tiek uzturēta, vai ir dzīves cikla plāns, un vai kritiskie elementi nav tehniski novecojuši.

Īpaša uzmanība jāpievērš sistēmām, kuras uzņēmumam ir unikāli svarīgas, bet kuru uzturēšana balstās uz nestandarta risinājumiem. Ja dokumentācija ir nepilnīga vai izstrādātājs vairs nav pieejams, risks pieaug būtiski.

Kiberdrošība un piekļuves kontrole

Iegādes brīdī ir būtiski saprast, vai uzņēmums spēj aizsargāt savus datus un darbību. Te vērtē lietotāju piekļuves tiesības, kontu pārvaldību, daudzfaktoru autentifikāciju, ielāpu pārvaldību, gala iekārtu aizsardzību, žurnālfailu uzraudzību un incidentu reakcijas procesus.

Praksē bieži atklājas pavisam vienkāršas, bet bīstamas lietas - koplietoti administratīvie konti, bijušo darbinieku piekļuves, nepārbaudītas attālinātās piekļuves un sistēmas bez drošības atjauninājumiem. Tās nav sīkas nepilnības. Tās ir tieši biznesa riski.

Datu pārvaldība, rezerves kopijas un atjaunošana

Uzņēmums var šķist labi organizēts līdz brīdim, kad jāatjauno darbība pēc incidenta. Tāpēc jāvērtē, kur dati glabājas, kā tie tiek klasificēti, cik regulāri notiek rezerves kopēšana un vai atjaunošanas process vispār ir pārbaudīts.

Daudziem uzņēmumiem rezerves kopijas teorētiski pastāv, bet nav pārliecības, ka no tām iespējams atjaunot pilnvērtīgu darbu pieņemamā laikā. Ja iegādātais uzņēmums ir atkarīgs no klientu datiem, darījumu vēstures vai ražošanas sistēmām, šis jautājums kļūst īpaši jutīgs.

Licence, līgumi un piegādātāju atkarības

Bieži slēptās izmaksas rodas nevis no tehnikas, bet no saistībām. Vai visas izmantotās licences ir korektas un nododamas? Vai mākoņpakalpojumu līgumi ir caurspīdīgi? Vai ir ilgtermiņa saistības ar pakalpojumu sniedzējiem, kurus nebūs viegli nomainīt? Vai atbalsta līmeņi atbilst biznesa vajadzībām?

Ja kritiskie pakalpojumi ir balstīti uz viena partnera zināšanām bez nodošanas dokumentācijas, iegādātājs faktiski pārņem arī piegādātāja risku.

Atbilstība un procesu briedums

Ne visiem darījumiem vajadzīga vienāda atbilstības pārbaude, taču regulētos sektoros tā ir būtiska. Jānovērtē, kā uzņēmums izturas pret datu aizsardzību, piekļuves uzskaiti, drošības politikām, auditācijas pēdām un iekšējo kontroli.

Mazā uzņēmumā procesi var būt neformāli, un tas ne vienmēr ir kritiski. Tomēr ir robeža, pēc kuras neformalitāte sāk apdraudēt darbības nepārtrauktību. Tieši šī robeža ir jāspēj identificēt.

Kur visbiežāk rodas kļūdaini pieņēmumi

Viens no izplatītākajiem pieņēmumiem ir doma, ka mākonis automātiski nozīmē sakārtotu IT vidi. Tā nav. Uzņēmums var izmantot modernus pakalpojumus un vienlaikus ciest no nekontrolētām piekļuvēm, licenču haosa un neskaidras atbildības par datiem.

Otrs biežs pieņēmums - ja nav bijis liels incidents, vide droši vien ir pietiekami laba. Tas ir maldinoši. Daudzās organizācijās trūkumi kļūst redzami tikai pie slodzes, personāla maiņas vai integrācijas ar pircēja sistēmām.

Trešais pieņēmums saistīts ar integrāciju. Bieži tiek domāts, ka pēc iegādes visu varēs ātri pieslēgt pircēja videi. Patiesībā integrācija var būt dārga un lēna, ja datu struktūra ir nesakārtota, sistēmas ir novecojušas vai drošības politika būtiski atšķiras.

Kā vadībai izmantot IT due diligence secinājumus

Lielākā vērtība nerodas no paša pārskata, bet no tā, kā secinājumi tiek izmantoti lēmumos. Ja pārbaude atklāj kritiskus riskus, tas nenozīmē, ka iegāde automātiski ir slikta. Tas nozīmē, ka iegādei jāpieiet ar precīzāku finanšu un operacionālo modeli.

Piemēram, ja nepieciešama būtiska infrastruktūras nomaiņa pirmajos 12 mēnešos, šīs izmaksas jāņem vērā uzņēmuma vērtējumā. Ja drošības riski ir augsti, var būt pamatoti pieprasīt papildu garantijas vai noteikt skaidru pārejas atbildību pārdevējam. Ja atkarība no viena IT partnera ir pārlieku liela, svarīgi savlaicīgi izstrādāt pārņemšanas plānu.

Vadībai noderīgi ir ne tikai tehniskie konstatējumi, bet arī prioritātes. Kas jānovērš uzreiz pēc darījuma, ko var risināt 90 dienu laikā, un ko var iekļaut ilgākā modernizācijas programmā. Šāda secība ļauj nepārmaksāt un vienlaikus neuzņemties lieku operacionālo risku.

Kad ārējs partneris ir īpaši vērtīgs

Iekšējā IT komanda ne vienmēr ir labākais resurss iegādes izvērtēšanai. Ne tāpēc, ka tai trūktu kompetences, bet tāpēc, ka due diligence prasa specifisku skatījumu - spēju novērtēt ne tikai tehnisko kvalitāti, bet arī darījuma ietekmi uz nepārtrauktību, izmaksām un integrāciju.

Ārējs partneris var strādāt neatkarīgāk, ātrāk strukturēt prioritātes un palīdzēt vadībai pārvērst tehniskos riskus biznesa lēmumos. Šī pieeja ir īpaši noderīga mazām un vidējām organizācijām, kurām nav pilna iekšējā arhitektu, drošības un infrastruktūras speciālistu sastāva. Tieši šādos gadījumos KSK IT tipa pieeja - savienot operatīvu tehnisko izvērtējumu ar vadības līmeņa skaidrību - dod praktisku rezultātu.

IT due diligence iegādei nav jābūt pārmērīgam

Ne katram darījumam vajag vairāku mēnešu pārbaudi. Dažkārt pietiek ar fokusētu novērtējumu kritiskajās jomās, lai atklātu būtiskākos riskus. Svarīgi ir nepārspīlēt, bet arī neizlaist jautājumus, kas pēc darījuma var maksāt dārgi.

Labs process ir samērīgs ar darījuma vērtību, nozares prasībām un uzņēmuma atkarību no tehnoloģijām. Ražošanas uzņēmumam ar automatizāciju būs citi akcenti nekā profesionālo pakalpojumu firmai, kas galvenokārt strādā mākonī. Taču abos gadījumos mērķis ir viens - iegūt skaidru ainu par riskiem, investīcijām un pārņemšanas realitāti.

Gudrs pircējs neskatās uz IT kā uz pielikumu darījumam. Viņš to vērtē kā vienu no pamatfaktoriem, kas noteiks, cik ātri iegāde sāks radīt vērtību un cik daudz resursu būs vajadzīgs, lai šo vērtību vispār noturētu.

Adrese: Raunas iela 44/1, Rīga, Latvija

Ph.: +371 20 724 272

E-mail: info@ksk-it.eu

Lai tīmekļvietne darbotos, tiek izmantotas obligāti nepieciešamās sīkdatnes. Papildus šajā vietnē var izmantot arī statistikas un mārketinga sīkdatnes. Vairāk par tīmekļa vietnē izmantotajām sīkdatnēm Kompānijas sīkdatņu izmantošanas noteikumos un Privātuma politikā.

Nepieciešamās sīkdatnes palīdz nodrošināt pamata vietnes funkcijas, piemēram, drošību, pārvaldību un pieejamību. Vietne nevar pareizi darboties bez šīm sīkdatnēm. Papildus zemāk uzskaitītajām nepieciešamajām sīkdatnēm, vietne var izmantot arī citas sīkdatnes ar līdzīgu nozīmi funkcionalitātes nodrošināšanai. Nepieciešama atļauja, lai izmantotu nepieciešamās sīkdatnes. Lai aktivizētu nepieciešamās sīkdatnes, jūsu piekrišana nav nepieciešama.

Cookie Name	Term	Description
ksk-it.eu nepieciešamās sīkdatnes
cmp_set, cmp_till, cmp_var, cmp_cid	maksimāli 3 gadi	Dažādi iestatījumi saistībā ar jūsu izvēli izmantot sīkdatnes šajā vietnē.
chk	1 minūte	Pagaidu sīkdatne, kas tiek izmantota, lai pārbaudītu, ka jūs neesat robots.
psid / pshash	maksimāli 3 gadi	Identifikatori, lai atpazītu lietotāju, pārejot no vienas lapas uz otru.
sid[oid] / oid	90 minūtes (sesijas laiks)	Identifikators, lai atpazītu pasūtījumu, pārejot no vienas lapas uz otru.
Google reCAPTCHA
recaptcha / rc	30 minūtes (sesijas laiks)	Tās tiek izmantotas, aizpildot noteiktas veidlapas. Tās nodod informāciju uz vietni, norādot, ka veidlapu aizpildījis cilvēks, nevis robots.

Statistiskās vai analītiskās sīkdatnes ļauj saprast, kā apmeklētājs mijiedarbojas ar vietnēm. Iegūtā informācija ir pieejama apkopotā veidā, bez tiešas apmeklētāja identifikācijas. Lai aktivizētu šīs sīkdatnes, nepieciešama jūsu piekrišana.

Cookie Name	Term	Description
Google Analytics
_ga	2 gadi	Šī sīkdatne tiek izmantota, lai unikāli identificētu apmeklētāju, kas ļauj atšķirt vienu lietotāju no otra. Tāpat šī sīkdatne tiek izmantota, lai diferencētu lietotājus, taču ar īsāku derīguma laiku. Šī sīkdatne tiek izmantota, lai ierobežotu pieprasījumu skaitu, kas nosūtīts uz Google Analytics serveriem.
_gid	2 gadi	Šī sīkdatne arī tiek izmantota, lai diferencētu lietotājus, taču ar īsāku derīguma laiku.
_gat	1minūte	Šī sīkdatne tiek izmantota, lai ierobežotu pieprasījumu skaitu, kas nosūtīts uz Google Analytics serveriem.

Mārketinga sīkdatnes sniedz iespēju novērtēt Uzņēmuma mārketinga un informācijas kampaņu efektivitāti un izprast, kā apmeklētājs nonāk Uzņēmuma vietnē no reklāmas. Šīs sīkdatnes arī palīdz nodrošināt personalizētu informāciju apmeklētājam. Lai aktivizētu šīs sīkdatnes, nepieciešama jūsu piekrišana.

Cookie Name	Term	Description
META Pixel
_fbp	90 dienas	Šī sīkdatne tiek izmantota, lai identificētu pārlūkprogrammu un sasaistītu lietotāja darbības ar viņa Facebook profilu. Tā palīdz parādīt mērķtiecīgu reklāmu.
_fbc	90 dienas	Ja apmeklētājs nonāk vietnē, izmantojot saiti no Facebook reklāmas, tiek izveidota _fbc sīkdatne, kas saglabā informāciju par atsauci (piemēram, reklāmas kampaņas ID vai klikšķa ID).