Blogs

Kā veikt IT due diligence uzņēmumā

Pirkuma darījums izskatās pārliecinošs līdz brīdim, kad pēc parakstīšanas atklājas novecojusi infrastruktūra, nesakārtotas licences, vājas piekļuves kontroles un rezerves kopijas, kurām nevar uzticēties. Tieši tāpēc jautājums kā veikt IT due diligence nav tehniska formalitāte, bet gan biznesa riska novērtējums. Ja IT vide balsta pārdošanu, klientu apkalpošanu, finanšu procesus un datu drošību, tad tās kvalitāte tieši ietekmē uzņēmuma vērtību.

IT due diligence mērķis nav tikai atrast problēmas. Tā uzdevums ir saprast, ko tieši uzņēmums ir nopircis vai plāno nopirkt no tehnoloģiju skatpunkta, cik stabila ir vide, cik daudz izmaksās sakārtošana un vai pastāv riski, kas var ietekmēt integrāciju, nepārtrauktību vai atbilstību. Labs novērtējums palīdz pieņemt lēmumu ar atvērtām acīm, nevis pēc pieņēmumiem.

KĀ VEIKT IT DUE DILIGENCE UZŅĒMUMĀ

Kā veikt IT due diligence ar biznesa skatījumu

Biežākā kļūda ir sākt ar serveru, licenču un sistēmu sarakstu, pirms ir skaidrs, ko darījumā vēlaties aizsargāt. Vispirms jānosaka biznesa konteksts. Vai mērķis ir iegāde, investīcija, apvienošana, restrukturizācija vai sadarbības uzsākšana? Vai svarīgākais ir kiberdrošība, integrācijas sarežģītība, infrastruktūras ilgtspēja vai izmaksu pārskatāmība? No tā būs atkarīgs pārbaudes dziļums.

Mazā uzņēmumā IT due diligence parasti nav vajadzīga simtiem lappušu gara. Taču tai jāaptver kritiskās jomas, kurās slēpjas finansiālais un operacionālais risks. Vadībai ir svarīgi redzēt ne tikai tehnisko situāciju, bet arī tās ietekmi uz uzņēmuma spēju strādāt bez pārtraukumiem.

Sāciet ar sistēmu kartējumu

Pirmais uzdevums ir saprast, no kā vispār sastāv vide. Tas nozīmē identificēt pamatinfrastruktūru, biznesa lietojumprogrammas, mākoņpakalpojumus, tīkla elementus, gala iekārtas, datu glabāšanas vietas un ārējos piegādātājus. Ja šī aina nav skaidra, nav iespējams objektīvi novērtēt risku.

Šajā posmā svarīgi noskaidrot, kuras sistēmas ir kritiskas darbībai un kuras ir tikai atbalsta risinājumi. Piemēram, ERP, grāmatvedība, noliktavas vadība, CRM un e-pasts parasti ir ar augstu biznesa ietekmi. Ja kāda no šīm sistēmām ir balstīta uz novecojušu platformu vai viena konkrēta cilvēka zināšanām, tas jau ir būtisks signāls.

Pārbaudiet īpašumtiesības, piekļuves un atkarības

Uz papīra uzņēmumam var būt “visa IT”, bet praksē konti, licences vai administratīvās piekļuves var piederēt ārpakalpojuma sniedzējam, bijušam darbiniekam vai pat trešajai pusei citā valstī. Šis ir viens no nepatīkamākajiem atklājumiem pēc darījuma, jo bez kontroles pār piekļuvi nevar nodrošināt ne drošību, ne pārvaldību.

Jānoskaidro, kam pieder domēni, Microsoft 365 vai Google Workspace vide, ugunsmūri, rezerves kopiju sistēmas, mākoņserveri, SaaS abonementi un administratoru tiesības. Tāpat jāizvērtē atkarība no viena piegādātāja vai viena darbinieka. Ja uzņēmuma darbību uztur viens ārējs speciālists bez dokumentācijas, risks ir augsts pat tad, ja ikdienā viss strādā.

Galvenās jomas, kas jāvērtē IT due diligence procesā

IT due diligence nav tikai kiberdrošības audits. Tā ir plašāka pārbaude, kur drošība ir tikai viena no sadaļām. Lai novērtējums būtu noderīgs vadībai, jāapskata vismaz šādas jomas.

Infrastruktūras stāvoklis un uzturamība

Jāvērtē, cik vecas ir iekārtas, vai ir garantijas, vai sistēmas saņem atjauninājumus un vai vide ir dokumentēta. Novecojusi infrastruktūra ne vienmēr nozīmē tūlītēju katastrofu, taču tā gandrīz vienmēr nozīmē tuvākas investīcijas. Ja serveri, tīkla iekārtas vai darba vietas ir dzīves cikla beigās, tas jāatspoguļo darījuma modelī.

Svarīgs ir arī arhitektūras princips. Vai vide ir vienkārša un saprotama, vai arī gadu gaitā salikta no dažādiem risinājumiem bez kopējas loģikas? Otrajā gadījumā integrācija pēc darījuma būs dārgāka un lēnāka.

Kiberdrošība un datu aizsardzība

Jāvērtē, vai uzņēmumam ir daudzfaktoru autentifikācija, gala iekārtu aizsardzība, piekļuves kontroles, drošības žurnāli, ievainojamību pārvaldība un reaģēšanas process incidentiem. Tāpat jāskatās, vai ir bijuši drošības incidenti un kā tie dokumentēti.

Mazajos un vidējos uzņēmumos bieži sastopama situācija, kur drošība ir daļēji ieviesta. Piemēram, e-pastam ir aizsardzība, bet serveriem nav centralizētas uzraudzības, vai rezerves kopijas eksistē, bet nav regulāru atjaunošanas testu. Tas nozīmē, ka risks nav teorētisks, bet praktisks.

Ja uzņēmums apstrādā personas datus, klientu līgumu informāciju vai sensitīvus finanšu datus, jāvērtē arī atbilstības aspekts. Šeit nepietiek ar frāzi, ka “mēs ievērojam GDPR”. Jābūt saprotamam, kā dati tiek glabāti, kas tiem piekļūst un cik ātri uzņēmums spēj reaģēt uz incidentu.

Rezerves kopijas, atjaunošana un darbības nepārtrauktība

Šī sadaļa bieži atklāj, vai uzņēmums ir gatavs reālai krīzei. Jānoskaidro, kas tiek dublēts, cik bieži, kur glabājas kopijas, vai tās ir izolētas no primārās vides un vai ir veikti atjaunošanas testi. Ja nav testu, nav pārliecības, ka atjaunošana izdosies.

Jāvērtē arī biznesa nepārtrauktības spēja. Cik ilgi uzņēmums var strādāt bez konkrētas sistēmas? Vai ir definēti atjaunošanas mērķi? Vai kritiskie procesi ir dokumentēti? Uzņēmums ar labu apgrozījumu, bet bez reāla atkopšanas plāna var izrādīties daudz riskantāks nekā pieticīgāks, bet disciplinēti pārvaldīts uzņēmums.

Licences, līgumi un faktiskās izmaksas

IT izmaksas mēdz būt maldinošas. Daļa ir redzama ikmēneša rēķinos, bet daļa slēpjas neatjaunotos līgumos, neefektīvos mākoņresursos, neatbilstošās licencēs vai dārgos lokālos risinājumos, kuri drīz būs jāmaina. Due diligence laikā jānoskaidro ne tikai šodienas izmaksas, bet arī tuvāko 12 līdz 24 mēnešu investīciju vajadzības.

Jāpārbauda, vai lietotais programmnodrošinājums ir licencēts korekti un vai nav piegādātāju līgumu, kas ierobežo migrāciju vai integrāciju. Ja uzņēmuma darbība balstās uz specializētu sistēmu bez skaidra atbalsta modeļa, tas var kļūt par nopietnu risku pēc darījuma.

Kā veikt IT due diligence bez nevajadzīgas sarežģīšanas

Lēmumu pieņēmējiem parasti nav vajadzīgs tehnisks dokuments ar desmitiem ekrānattēlu. Vajadzīgs skaidrs novērtējums: kas strādā, kas ir kritiski, ko tas maksās un kāda būs ietekme uz biznesu. Tāpēc process jāveido strukturēti.

Parasti tas sākas ar dokumentu pieprasījumu un intervijām ar atbildīgajām personām. Pēc tam seko piekļuves pārbaude, konfigurāciju izvērtēšana, risku klasificēšana un secinājumu apkopošana. Ja pieejamā informācija ir nepilnīga, tas pats par sevi ir secinājums - zema pārvaldības brieduma pazīme.

Svarīgi ir nodalīt trīs lietas. Pirmkārt, kritiskie riski, kas var ietekmēt darījuma cenu, termiņus vai pašu lēmumu. Otrkārt, uzlabojumi, kas būs jāveic tuvākajā laikā pēc darījuma. Treškārt, ilgtermiņa modernizācijas iespējas, kas nav steidzamas, bet ietekmēs budžetu un integrācijas plānu.

Ja vērtējums tiek veikts profesionāli, tas neapstājas pie konstatējuma “vide ir novecojusi”. Tam jāpaskaidro, ko tas nozīmē praktiski. Piemēram, vai būs jāmaina visa identitātes pārvaldība, jāpārbūvē rezerves kopiju politika, jāstandartizē gala iekārtas vai jāpārslēdz kritiskās sistēmas uz citu mitināšanas modeli. Tieši šeit due diligence kļūst par vadības instrumentu, nevis tikai tehnisku atskaiti.

Biežākās kļūdas, kas sadārdzina darījumu

Visizplatītākā kļūda ir pārāk vēla IT iesaiste. Finanšu un juridiskā pārbaude tiek veikta laikā, bet IT tiek apskatīta tikai virspusēji vai pašās beigās. Rezultātā problēmas neietekmē ne cenu, ne pārejas plānu, kaut gan to novēršana pēc tam prasa ievērojamus resursus.

Otrā kļūda ir paļaušanās tikai uz mērķa uzņēmuma sniegtajiem aprakstiem. Ja tiek teikts, ka ir rezerves kopijas, jāpārbauda to darbspēja. Ja tiek apgalvots, ka drošība ir sakārtota, jāsaprot, kā tas ir ieviests praksē. Bez verifikācijas due diligence zaudē jēgu.

Trešā kļūda ir koncentrēšanās tikai uz tehnoloģiju un ignorēšana pārvaldības jautājumiem. Dažreiz sistēmas ir salīdzinoši labā stāvoklī, bet nav ne dokumentācijas, ne atbildību sadalījuma, ne skaidra atbalsta modeļa. Šādos apstākļos pat laba infrastruktūra kļūst trausla.

Uzņēmumiem, kuriem nav savas plašas iekšējās IT komandas, šādu izvērtējumu parasti ir lietderīgi veikt ar neatkarīgu un biznesa orientētu partneri. KSK IT pieeja šādos gadījumos ir vērtēt ne tikai tehnisko vidi, bet arī tās ietekmi uz nepārtrauktību, atkopšanas spēju un pārvaldības kvalitāti.

Labs IT due diligence process nerada ilūziju, ka risks pazudīs pavisam. Tas ļauj saprast, kur risks ir pieņemams, kur tas jānovērš pirms darījuma, un kur tas jāiekļauj integrācijas budžetā. Ja šo darbu izdara laikus, tehnoloģijas nepārsteidz ne īpašniekus, ne investorus, ne vadību brīdī, kad kļūdām jau ir augsta cena.

Adrese: Raunas iela 44/1, Rīga, Latvija

Ph.: +371 20 724 272

E-mail: info@ksk-it.eu

Lai tīmekļvietne darbotos, tiek izmantotas obligāti nepieciešamās sīkdatnes. Papildus šajā vietnē var izmantot arī statistikas un mārketinga sīkdatnes. Vairāk par tīmekļa vietnē izmantotajām sīkdatnēm Kompānijas sīkdatņu izmantošanas noteikumos un Privātuma politikā.

Nepieciešamās sīkdatnes palīdz nodrošināt pamata vietnes funkcijas, piemēram, drošību, pārvaldību un pieejamību. Vietne nevar pareizi darboties bez šīm sīkdatnēm. Papildus zemāk uzskaitītajām nepieciešamajām sīkdatnēm, vietne var izmantot arī citas sīkdatnes ar līdzīgu nozīmi funkcionalitātes nodrošināšanai. Nepieciešama atļauja, lai izmantotu nepieciešamās sīkdatnes. Lai aktivizētu nepieciešamās sīkdatnes, jūsu piekrišana nav nepieciešama.

Cookie Name	Term	Description
ksk-it.eu nepieciešamās sīkdatnes
cmp_set, cmp_till, cmp_var, cmp_cid	maksimāli 3 gadi	Dažādi iestatījumi saistībā ar jūsu izvēli izmantot sīkdatnes šajā vietnē.
chk	1 minūte	Pagaidu sīkdatne, kas tiek izmantota, lai pārbaudītu, ka jūs neesat robots.
psid / pshash	maksimāli 3 gadi	Identifikatori, lai atpazītu lietotāju, pārejot no vienas lapas uz otru.
sid[oid] / oid	90 minūtes (sesijas laiks)	Identifikators, lai atpazītu pasūtījumu, pārejot no vienas lapas uz otru.
Google reCAPTCHA
recaptcha / rc	30 minūtes (sesijas laiks)	Tās tiek izmantotas, aizpildot noteiktas veidlapas. Tās nodod informāciju uz vietni, norādot, ka veidlapu aizpildījis cilvēks, nevis robots.

Statistiskās vai analītiskās sīkdatnes ļauj saprast, kā apmeklētājs mijiedarbojas ar vietnēm. Iegūtā informācija ir pieejama apkopotā veidā, bez tiešas apmeklētāja identifikācijas. Lai aktivizētu šīs sīkdatnes, nepieciešama jūsu piekrišana.

Cookie Name	Term	Description
Google Analytics
_ga	2 gadi	Šī sīkdatne tiek izmantota, lai unikāli identificētu apmeklētāju, kas ļauj atšķirt vienu lietotāju no otra. Tāpat šī sīkdatne tiek izmantota, lai diferencētu lietotājus, taču ar īsāku derīguma laiku. Šī sīkdatne tiek izmantota, lai ierobežotu pieprasījumu skaitu, kas nosūtīts uz Google Analytics serveriem.
_gid	2 gadi	Šī sīkdatne arī tiek izmantota, lai diferencētu lietotājus, taču ar īsāku derīguma laiku.
_gat	1minūte	Šī sīkdatne tiek izmantota, lai ierobežotu pieprasījumu skaitu, kas nosūtīts uz Google Analytics serveriem.

Mārketinga sīkdatnes sniedz iespēju novērtēt Uzņēmuma mārketinga un informācijas kampaņu efektivitāti un izprast, kā apmeklētājs nonāk Uzņēmuma vietnē no reklāmas. Šīs sīkdatnes arī palīdz nodrošināt personalizētu informāciju apmeklētājam. Lai aktivizētu šīs sīkdatnes, nepieciešama jūsu piekrišana.

Cookie Name	Term	Description
META Pixel
_fbp	90 dienas	Šī sīkdatne tiek izmantota, lai identificētu pārlūkprogrammu un sasaistītu lietotāja darbības ar viņa Facebook profilu. Tā palīdz parādīt mērķtiecīgu reklāmu.
_fbc	90 dienas	Ja apmeklētājs nonāk vietnē, izmantojot saiti no Facebook reklāmas, tiek izveidota _fbc sīkdatne, kas saglabā informāciju par atsauci (piemēram, reklāmas kampaņas ID vai klikšķa ID).