Warum Führungskräfte ihr Investitionsarsenal um Software-Due-Diligence erweitern müssen
Philippe Thomas, Geschäftsführer bei Vaultinum, erklärt, warum die derzeitigen Due-Diligence-Maßnahmen vieler Investoren unzureichend sind, da Software immer mehr zu einem primären Vermögenswert wird. Philippe erörtert die Hauptrisiken, die Investoren bedrohen, die keine umfassende Software-Due-Diligence durchführen, und gibt Ratschläge, wie man dies ändern kann.
Im Fachbereich Wirtschaft, Energie & Industrie 2021 UK Innovationsstrategie, markiert die britische Regierung Technologie aufgrund ihrer grundlegenden Beiträge zu dringenden nationalen und globalen Herausforderungen als vorrangigen Sektor. Die Bedeutung des Sektors wurde auch durch sein Wachstum demonstriert, mit Investitionen in die Tech-Startups und Scale-Ups des Vereinigten Königreichs erreichte einen Rekordwert von 13.5 Mrd. £ in der ersten Hälfte dieses Jahres. Diese weit verbreitete Überzeugung, dass die Technologiebranche eine entscheidende Rolle in unserer Wirtschaft und Gesellschaft zu spielen hat, macht es wichtiger denn je, die richtigen Technologieinvestitionen zu tätigen. Die Einsätze waren noch nie höher.
Due Diligence ist ein wesentlicher Schritt in der Vorakquisitions- und Investitionsrundenphase jeder Transaktion, unabhängig von ihrem Inhalt. Diese Bemühungen haben sich in der Vergangenheit auf Finanzen, Recht, Personal und Betrieb konzentriert, die für Investoren offensichtlich von größter Bedeutung sind. Während die Software-Due-Diligence inzwischen von einigen Investoren durchgeführt wird, ist sie im Allgemeinen nicht umfassend, wird nicht von Experten durchgeführt und manuell durchgeführt, was bedeutet, dass viele Probleme nicht identifiziert werden. Due-Diligence-Prozesse haben einfach nicht mit dem wachsenden kollektiven Verständnis Schritt gehalten, dass Software bei den meisten Transaktionen, die heute stattfinden, ein bedeutender, oder manche würden sogar sagen, ein primärer Vermögenswert ist. Das muss sich dringend ändern.
Der Umstieg auf eine umfassende Software-Due-Diligence
Wie Führungskräfte bereits wissen, handelt es sich bei der Due Diligence um einen Untersuchungsprozess, der durchgeführt wird, bevor eine Investition mit einer anderen Partei getätigt wird. Die Bedeutung der Due Diligence als Konzept ist weithin bekannt, aber die Einbeziehung von Software in ihren Aufgabenbereich ist nicht so bekannt. Software Due Diligence ist ein Prozess zur Identifizierung von Schwachstellen im Zusammenhang mit einer Software und ihrem Quellcode, der Bereiche wie Wartbarkeit, Skalierbarkeit, Datensicherheit Risiken und Lizenzierung. Ein Bewusstsein für diese Risiken zu erlangen, hilft Investoren und Käufern, katastrophale rechtliche, finanzielle und Reputationsfolgen in der Zukunft abzumildern.
Wie bei jeder Form der Due Diligence ist es wichtig, dass Anleger einen zuverlässigen und spezialisierten Dritten wählen, der diese Dienstleistung erbringt. Um zu laufen Software Due Diligence, muss sich der Drittanbieter Zugang zum Quellcode der Software verschaffen, der normalerweise unter Verschluss gehalten wird. Um sicherzustellen, dass die Software während des gesamten Due-Diligence-Prozesses geschützt bleibt, müssen sich Investoren für einen Anbieter entscheiden, der ISO27001-zertifiziert ist, Erfahrung in der sicheren Archivierung von Daten hat und isolierte Server verwendet, die sich an einem Ort befinden, an dem die Vorschriften einen starken Datenschutz bieten. Sobald ein Anbieter ausgewählt wurde, kann der Prozess mit einer Bewertung des bestehenden Verständnisses der Organisation von Sicherheitsproblemen und Schutzmaßnahmen beginnen. Anschließend folgt eine eingehende Analyse jeder Zeile des Quellcodes, wobei ein Bericht erstellt wird, der ein umfassendes Bild etwaiger Risikobereiche und konkrete Lösungsempfehlungen bietet. Am Ende dieses Prozesses werden die Anleger viel besser über die Software Bescheid wissen, in die sie investieren, und eine gut informierte Entscheidung treffen, ob sie investieren möchten. Wenn sie sich für eine Investition entscheiden, gehen sie die Investition mit einem detaillierten Verständnis der genauen Maßnahmen ein, die dringend erforderlich sind, um ihre Investition zu sichern.
Identifizieren potenzieller Risikopunkte in einer Software
Es gibt eine Reihe potenzieller Probleme, die durch Software-Due-Diligence identifiziert werden können, die die Bedeutung ihrer Ausführung wirklich unterstreichen. Datenschwachstellen gehören vielleicht zu den sichtbarsten Softwarerisiken in der Geschäftswelt, da in den letzten Jahren bei Fusionen und Übernahmen Datenpannen öffentlich bekannt wurden. Ein berüchtigtes Beispiel aus dem Jahr 2016 ist das von Marriott International, einer Hotelkette, die Starwood Hotels & Resorts im Wert von 13.3 Milliarden US-Dollar übernommen hat. Marriott wurde schließlich vom britischen Information Commissioner's Office mit einer Geldstrafe von 123 Millionen US-Dollar belegt, als bekannt wurde, dass ein Datenleck im Jahr 2014 im Reservierungssystem von Starwood die persönlichen Daten von 400 Millionen Gästen offenlegte. Obwohl der Verstoß selbst vor der Fusion stattfand, blieb Marriot finanziell und rechtlich für Starwoods Fehler haftbar, und die beiden Unternehmen erlitten dauerhafte Reputationsschäden. Wenn Marriot vor der Fusion eine umfassendere Software-Due-Diligence durchgeführt hätte, hätte dies möglicherweise erkannt und seine katastrophalen Folgen vermieden werden können.
Eine weniger bekannte, aber dennoch äußerst wichtige potenzielle Schwachstelle ist die Wartbarkeit, die sich wiederum auf die Skalierbarkeit einer Software auswirkt. Da eine umfassende Software-Due-Diligence in der Lage ist, jede Codezeile einer Software zu analysieren, ist sie in der Lage, Bereiche innerhalb des Codes zu kennzeichnen, die derzeit oder in naher Zukunft nicht mehr wartbar sein könnten. Dabei hebt die Analyse jede Verwendung von Code hervor, der nicht mehr so funktioniert, wie er ursprünglich beabsichtigt war, oder Verwendung von Code Open-Source- Software, die veraltet ist und nicht ohne weiteres von einem anderen Entwickler gewartet werden kann. Alle derartigen Beweise deuten darauf hin, dass die Software nicht wartbar ist, und legen nahe, dass sie wahrscheinlich nicht skalierbar ist. Dadurch können Investoren leicht erkennen, ob es sich lohnt, in Software zu investieren oder nicht; Selbst wenn Sie Kapital in „Dinosaurier“-Software stecken, bringt dies auf lange Sicht möglicherweise keine nennenswerten Gewinne ein.
Schließlich analysiert eine umfassende Software-Due-Diligence die Verwendung von Open-Source-Software innerhalb einer breiteren Codebasis. Die Nutzung von Open-Source-Software ist an sich kein Warnsignal; Es beschleunigt die Entwicklung und bietet einen konstanten Strom neuer und innovativer Lösungen, die von Entwicklern entwickelt werden, die weltweit zusammenarbeiten. Der Druck, schnell zu entwickeln, kann jedoch dazu führen, dass Entwickler die mit Open-Source-Software verbundenen Lizenzbeschränkungen aus den Augen verlieren. Wenn eine Lizenz besonders kontaminierend ist, können Unternehmen verpflichtet sein, eine Gebühr für die Nutzung von Open-Source-Code zu zahlen oder sogar verpflichtet zu werden, die gesamte intern entwickelte Codebasis öffentlich zu machen. Anleger müssen sich solcher Lizenzen bewusst sein, bevor sie eine Investition tätigen, da sie den Wert und die Bedingungen des Vermögenswerts erheblich verändern können.
WEITERLESEN:
- So finden und maximieren Sie den digitalen Wert in jedem M&A-Deal nach der Pandemie
- 10 Tipps zum IT-Kostenmanagement, die Unternehmen befolgen müssen, um Wachstum zu gewährleisten
- Nach der Pandemie entsteht eine neue Art von Unternehmen
- Sie hatten einen Datenleck – wie rollt man erfolgreich einen Notfall-Patch aus?
Für diejenigen, die in Software investieren, ist es wichtig, eine Investition mit einem Bewusstsein für potenzielle Schwachstellen einzugehen, um dramatische Reputations-, finanzielle und rechtliche Schäden zu vermeiden. Investoren müssen damit beginnen, eine umfassende Software-Due-Diligence, die von einem vertrauenswürdigen Dritten durchgeführt wird, in ihre Vorakquisitionsroutine aufzunehmen, bevor es zu spät ist.