Pro získání komplexních informací o investičním objektu je tedy v rámci due diligence mimo jiné nutné provést analýzu IT infrastruktury a posouzení úrovně informační bezpečnosti.

Hlavní důvody, proč se pustit do IT due diligence:

• Eliminace potenciálních rizik pro další aspekty due diligence: finanční, daňové, právní a obchodní. Jak IT systémy, tak i ERP systém souvisejí se všemi obchodními aspekty, takže pokud mají tyto systémy značné nedokonalosti, může mít tato sku­teč­nost vliv i na další oblasti, a tedy na konečné rozhodnutí.
• Investice a náklady do IT jsou dnes jedním z hlavních výdajů každé společnosti. Potenciální kupující by měl před rozhodnutím o koupi porozumět nákladům nové společnosti na IT a potenciálním potřebným investicím.

Prvním krokem při provádění analýzy je identifikace hlavních informačních aktiv společnosti. V širším smyslu se aktivem rozumí informace v různých podobách (papírové a elektronické dokumenty, databáze a datové soubory atd.) a prostředky jejich zpracování (software a hardware, informační systémy a služby). Každá moderní společnost při své práci využívá různé informační systémy, které se spojují do informačních aktiv. Ne všechna informační aktiva mají pro společnost stejnou hodnotu, a proto jsou k zajištění bezpečnosti různých aktiv použité různé prostředky ochrany, přičemž při stanovování priorit hrají roli finanční a kapacitní hledisko.

Dalším důležitým krokem je klasifikace informací podle toho, jak moc by společnost a její chod poškodila jejich případná nedostupnost nebo ohrožení. Pro každou skupinu je třeba stanovit samostatné postupy a požadavky na úroveň ochrany informací. Klasifikaci podléhají nejen výsledné informace (data), ale také prostředky jejich zpracování. Klasifikace informačních zdrojů navíc umožňuje posoudit ekonomickou proveditelnost implementovaných ochranných prostředků.

Potenciální investor by měl také věnovat pozornost regulačním dokumentům popisujícím procesy řízení IT a funkcí informační bezpečnosti. Tyto dokumenty by měly zahrnovat přehled zásad a interních standardů. Případná absence principů sjednocení a standardizace používaného vybavení a softwaru infrastruktury přináší heterogenitu IT prostředí a s tím spojené dodatečné náklady na údržbu zařízení a SW od různých výrobců.

Při analýze provozní činnosti IT oddělení je nutné posoudit klíčové specialisty, kteří se podílejí na správě a rozvoji informačních systémů a služeb důležitých pro poslání společnosti. Toto hodnocení by mělo zahrnovat analýzu odborných kompetencí a také zdvojení funkcí IT. Nedostatečná analýza provozních činností IT oddělení může vést ke ztrátě klíčových kompetencí a v důsledku toho k dodatečným nákladům na vyhledání potřebných specialistů nebo převedení funkce na externí technickou podporu.

Při integraci IT prostředí fúzujících společností mohou nastat problémy spojené s různou úrovní vyspělosti technologických procesů a informační bezpečnosti, používání různých standardů služeb a různých druhů informačních systémů, metodiky řízení atd. V důsledku toho je pak nutné věnovat poměrně dost času sjednocování procesů a budování homogenního IT prostředí pro organizaci a řízení IT a informační bezpečnosti. To může přinést významné investice.

V rámci rozboru IT infrastruktury je třeba provést i rozbor aktuál­ní­ho stavu informační bezpečnosti, který by měl zahrnovat studii současných procesů a posouzení efektivity používaných nástrojů ochrany informací, jako je např. kryptografická ochrana, ochrana proti malwaru, správa aktualizací a zranitelností, bezpečnostní sítě atd. Tato analýza umožní posoudit aktuální stav informační bezpeč­nos­ti a míru zranitelnosti IT infrastruktury vůči aktuálním hrozbám.

Na základě výsledků analýzy IT infrastruktury by pak měly být vypracovány a zhodnoceny možné varianty pro následnou integraci IT prostředí kupované společnosti a budoucí mateřské společ­nos­ti. Obecně lze rozlišit tři hlavní scénáře:

1. Nechat vše tak, jak je. Krátkodobě nejrychlejší a nákladově nejvýhodnější řešení. Je však třeba počítat s tím, že v horizontu několika let budou investice nutné a ve finále pak mohou být ještě vyšší. Tato varianta navíc znamená jistou izolaci IT prostředí kupované společnosti.
2. Částečná integrace. Tento scénář předpokládá částečnou optimalizaci primárně kritických IT procesů. Ve srovnání s plnou integrací to znamená krátkodobě přijatelnější náklady, ale existuje možnost degradace některých funkcí IT procesů.
3. Plná integrace. Tato varianta znamená optimalizaci všech IT procesů kupované společnosti a uvedení všech aspektů IT procesů do souladu s interními standardy mateřské společnosti. Tato varianta je nejnáročnější na počáteční investici, ale z dlouhodobého hlediska poskytuje předvídatelné ekonomické náklady na rozvoj IT procesů sloučené společnosti.

Pro správně provedenou a kvalitní analýzu z hlediska IT je nezbytné zapojit specialisty s dostatečnými znalostmi, zkušenostmi a kompetencemi v oblasti organizace IT procesů, řízení bezpečnosti informací a analýzu a hodnocení informačních rizik. Proto se neváhejte obrátit na odborníky.

Zuzana Kubíková Autorka článku působí na pozici Head of Managing Consulting ve společnosti RSM Technology CZ s.r.o.