О слияниях и поглощениях
Современный бизнес вынужден развиваться в условиях жесткой конкурентной борьбы, что заставляет компании модифицировать стратегию расширения своего бизнеса. Например, путем экспансии на новые рынки или выпуска новой продуктовой линейки. Но как быть, если компания по тем или иным причинам не может выйти на новый рынок или не имеет времени и ресурсов (например, нужных патентов или технологий) на запуск нового продукта? Выход один – поглотить или слиться с компанией, у которой есть все необходимое (далее данный процесс будет называться M&A – от английского Merge & Acquisition). Такой путь также позволяет увеличить долю на рынке и даже стать его лидером, получить новую сеть распространения своих продуктов, купить нужные технологии или команды-разработчиков и расширить клиентскую базу.
Не всегда процесс M&A проходит успешно и среди причин неудач можно назвать:
Плохое управление сделкой
Невозможность интеграции приобретаемого бизнеса (например, по причине различий в культуре)
Завышенная цена
Недоверие рынка и сотрудников объединяемых компаний
Технологические сложности.
А при чем тут безопасность?
Принято считать (даже среди руководителей служб информационной безопасности), что безопасность – это сугубо техническая (иногда с применением организационных мер), тактическая и отдельная от всех остальных задача. А это не так. Безопасность должна (и может) быть увязана с бизнес-стратегией развития компании и быть если не ее движущей силой, то хотя бы не тормозом. И к процессу M&A безопасность имеет самое прямое отношение. Какое? – спросят многие читатели. Разве процесс слияния и поглощения – это не просто финансовая сделка, не требующая участия технического персонала? Что полезного могут привнести специалисты по безопасности в процесс M&A? Если вы занимаетесь безопасностью, но не знаете ответа на эти вопросы, то дела плохи. Вы воспринимаете свою роль, как подчиненную, свою работу, как техническую, свой отдел, как отдельно стоящий. А значит вас так же воспринимают и все остальные, в т.ч. и руководство со всеми вытекающими отсюда последствиями.
А теперь приведу всего 3 примера, показывающих влияние вопросов безопасности на слияния и поглощения. Представьте, что информация о сделке просочилась наружу до окончательного подписания всех документов. Акции приобретаемой компании взлетели до небес и компания-покупатель вынуждена либо переплачивать вдвое-втрое, либо отказываться от сделки. Или, например, финансовый директор в своем интервью обронил фразу про планируемое слияние, конкуренты подняли шумиху в прессе, надавили на правительственные рычаги. В результате сделка срывается. И, наконец, последний пример. В результате слияния активов двух компаний, недовольные сотрудники начинают саботировать работу, вплоть до откровенного вандализма. Но если с физическим вандализмом бороться достаточно просто (и видеонаблюдение помогает, и статьи в УК/КоАП довлеют над вандалами карающим мечом), то с компьютерным или информационным вандализмом бороться гораздо сложнее.
Возьмем в качестве примера металлургическую компанию, бизнес которой зависит от информационных технологий. Намеренный сбой в системе управления цепочками поставок «всего» на 10 минут приводит к многомиллионным убыткам, т.к. из-за этих считанных мгновений, сбивается вся отлаженная процедура загрузки/разгрузки сырья и готовых изделий.
Соответствует реальное финансовое положение приобретаемой компании заявленному? – Да, соответствует. Соответствует отчетность международным стандартам? – Да, соответствует. Владеет компания патентами на нужные технологии? – Да, владеет. Защищена ли компания от атак хакеров, утечки информации, кражи интеллектуальной собственности и злоупотреблений со стороны внутренних злоумышленников? – А Бог его знает… Только специалист по безопасности может дать ответ на этот вопрос, и значит его участие в процессе слияния и поглощения является не только закономерным, но и очень важным. О безопасности надо думать с самого начала процесса слияния и поглощения.
Кто отвечает за безопасность
Слияниями и поглощениями в компании занимается специальная команда, в которую входят специалисты, трудящиеся в различных областях деятельности. В нее же должен входить специалист по безопасности. Причем это должен быть не просто администратор безопасности, а человек, который понимает, как связана безопасность с бизнес-стратегией развития компании и который может общаться с руководством на одном языке. Обычно это советник по безопасности или руководитель отдела информационной безопасности (Chief Information Security Officer, CISO), на Западе часто называемый менеджер по безопасности (security manager). Внутри M&A команды каждый отвечает за свой участок работы и каждый оценивает приобретаемые активы по своей тематике. Как финансовый директор следит за финансовой стороной вопроса, а менеджер по персоналу – за человеческими ресурсами приобретаемой и вновь образуемой компании, так и менеджер по безопасности следит за всеми вопросами в рамках его компетенции. А таких вопросов немало. В итоге рождается финальное заключение, в котором безопасность одна из областей оценки. Особенно она важна, если речь идет о высокотехнологических компаниях, в которых самое ценное (после людей) – интеллектуальная собственность, ноу-хау и другие секреты, которые должны храниться пуще зеницы ока.
Можно выделить 2 типа людей, которые могут быть связаны с безопасностью процесса слияния и поглощения:
Внешние консультанты, знающие все подноготную данного процесса, со стороны наблюдающие за процедурой и дающие правильные советы в нужный момент.
Свой сотрудник, имеющий достаточный вес, чтобы реализовывать данные консультантом советы на практике, а также контролировать весь процесс от начала и до конца.
Кроме того, как минимум должен быть внутренний «двигатель». И он должен быть полноправным членом команды, отвечающей за слияние/поглощение. Однако и от внешних консультантов тоже отказываться неразумно. Процесс M&A – не такое уж частое явление в жизни большинства компаний и поэтому абсолютное большинство сотрудников службы информационной безопасности попросту не знают, как его надо проводить (да и не учат этому нигде). А значит от набивания шишек «в бою» не обойтись. Но это может выйти боком и встанет в копеечку, так что процесс слияния/поглощения окажется под ударом. Поэтому не стоит пренебрегать специалистами «со стороны» (хотя в России их днем с огнем не сыщешь).
Акценты
С точки зрения безопасности можно выделить 2 важных этапа в процессе слияния или поглощения:
Предпродажная подготовка
Идентификация цели
Разведка цели
Разработка стратегии
Подготовка к закрытию сделки
Публичный анонс
Согласование с федеральными органами государственной власти
Послепродажная поддержка
Переход и интеграция.
Какие вопросы находятся в компетенции менеджера по безопасности? Можно выделить 3 направления, на которые надо обязательно обратить внимание:
Защита самого процесса M&A – данное направление важно на этапе предпродажной подготовки.
Обеспечение экспертизы и консалтинга – данное направление также имеет значение только в предпродажной подготовке.
Оценка уровня ИБ в приобретаемой компании – данное направление одинаково важно и на этапе предпродажной подготовки и послепродажной поддержки.
Третий акцент не менее важен, т.к. позволяет оценить, как защищается приобретаемая компания и насколько она соответствует требованиям и стандартам приобретателя и страны, в которой он зарегистрирован. И, что очень важно, именно при этой оценке мы можем понять, сколько еще надо будет потратить для приведения уровня защищенности 2-х компаний в полное соответствие. Т.е. после этого этапа стоимость сделки может возрасти из-за неучтенных и непредвиденных ранее расходов. На практике, к сожалению, этим вопросом обычно пренебрегают. Мне регулярно приходится сталкиваться с ситуациями, когда руководители отделов защиты информации начинают оценивать, во сколько им обойдется унификация и приведение к единообразию решений по безопасности уже после процесса подписания всех необходимых документов.
Безопасность самого процесса M&A
В процессе M&A менеджер по безопасности отвечает за безопасность всей сделки от ее начала до самого конца. Например, чтобы никто ничего лишнего не сболтнул. Для этого необходимо разъяснить каждому члену команды его роль и обязанности в срезе безопасности. И вообще, обеспечение конфиденциальности – одна из важнейших задач в процессе осуществления сделки. Особенно на ранних стадиях. Идеально, когда конкуренты узнают о сделке из публичного пресс-релиза. Это позволяет защитить ее от проделок недоброжелателей, которые могут сорвать все договоренности на ранних этапах или взвинтить цену до небес, делая приобретение покупаемой компании невыгодным. При этом надо понимать, что в команде, которая привыкла обмениваться информацией и искать всю необходимую для принятия решения информацию (по поисковым запросам грамотный специалист всегда сможет догадаться об истинной причине интереса) обеспечить конфиденциальность дело непростое. Конфиденциальность должна обеспечиваться с момента создания команды M&A и до опубликования пресс-релиза об окончательном завершении сделки (таких пресс-релизов бывает обычно два – по факту покупки и по факту разрешения сделки в антимонопольном ведомстве). Собственно и сам пресс-релиз должен быть согласован со всеми участниками команды M&A, что будет залогом того, что в него не попало никакой лишней информации, способной сорвать сделку на финальной стадии.
В процессе M&A возможны следующие варианты взаимодействия (и в каждом случае нужно думать о конфиденциальности):
между участниками команды M&A
с сотрудниками приобретаемой компании, которые могут знать или не знать о готовящейся сделке
с сотрудниками других своих подразделений, которые будут оценивать и реализовывать различные требования и положения сделки (например, собирать информацию о финансовом положении приобретаемой компании).
Информация – жизненной важный элемент процесса сделки. Собственно сам процесс M&A и есть информация – ее сбор, анализ, хранение, обмен и т.д. А значит мы должны обеспечить не только конфиденциальность этой информации, но и ее целостность, а также доступность систем, эту информацию обрабатывающих. И лучше специалиста по безопасности с этой задачей никто не справится.
Также надо понимать, что приобретаемая компания не всегда хочет сама, чтобы ее покупали (независимость бывает важнее денег). И если ей станет известно о планах «акул капитализма», то она может разработать защитную стратегию.
Но не стоит думать, что обеспечение безопасности – это удел только соответствующего специалиста, который и несет на своих плечах весь груз ответственности. Он не атлант и может не выдержать всей тяжести этой ноши. Он является консультантом и движущей силой, вырабатывает процедуры и контролирует процесс с точки зрения безопасности. Выполнять же процедуры и соблюдать все разработанные правила должны все участники M&A команды.
Обеспечение экспертизы и консультаций
Нередки случаи, когда приобретаемая компания имеет доступ к секретам (военным или государственным) и не может их разглашать посторонним. В этом случае покупатель не имеет всей полноты информации и не может принять взвешенное решение. А если еще и его юристы не понимают тонкостей локального законодательства, то без специалиста по безопасности, который и выступает в качестве консультанта для команды M&A тут не обойтись. Например, западная компания хочет купить российского ИТ-вендора, обслуживающего государственный сектор и имеющего полный набор всех необходимых лицензий – ФСБ, ФСТЭК и т.п. (в т.ч. и на работу со сведениями, составляющими государственную тайну). Как объяснить западной компании, что это такое и почему небольшая отечественная фирма, которая только выиграет от продажи себя, не готова делиться информацией о своих «внутренностях».
Когда происходит слияние 2-х компаний из разных стран, то специалист по безопасности также должен быть готов к консультации членов M&A команды по вопросам законодательства в области безопасности и его влиянии на процесс сделки (как с точки зрения времени, так и с точки зрения стоимости). Яркий пример – закон о защите инвесторов (пресловутый закон «Сарбейнса-Оксли», Sarbanes-Oxley или SOX), закон Грэма-Лича-Блейли (GLBA) и многие другие, обязательные к выполнению компаниям, работающим на территории США.
Создание новой единой компании может повлиять и на другие, внешние организации (клиентов, партнеров). Это тоже надо учитывать. Например, организуется слияние двух банков, использовавших ранее разные системы электронной цифровой подписи (ЭЦП) для заверения сделок, осуществляемых электронным образом (например, в системе Интернет-банкинга). Для унификации и стандартизации в единой компании должна быть выбрана одна система ЭЦП. А значит вторую систему придется сменить, в т.ч. и у всех своих клиентов, что может повлечь за собой, как финансовые затраты, так и различные организационные или психологические сложности.
Участие менеджера по безопасности не ограничивается только такими консультациями – он должен уметь оценивать стоимость перехода к единым требованиям по безопасности (безопасность не бывает бесплатной). И не забудьте, что стоимость безопасности новой единой компании должна быть меньше суммы стоимостей безопасности 2-х компаний.
Оценка уровня ИБ в приобретаемой компании
Во многих компаниях перед приемом на работу кандидат проходит ряд проверок, осуществляемых службой безопасности – судимость, характеристика с предыдущего места работы и даже детектор лжи. Аналогичные проверки надо осуществлять и для покупаемой компании. И отдел информационной безопасности – неплохой кандидат на роль такого аудитора-контроллера. Если вы нацелились на компанию, у которой большие проблемы с безопасностью и ее регулярно и успешно «ломают», то будьте готовы к тому, что ее репутация перейдет и к вам. Поэтому надо заранее побеспокоиться о том, насколько приобретаемая компания соответствует требованиям компании-покупателя с точки зрения безопасности.
Представьте, что какой-либо из ваших бизнес-процессов прошел аудит на соответствие международному стандарту ISO 17799 или 27001. Слияние с другой компанией ставит этот сертификат «под удар», т.к. приобретаемая компания и ее бизнес-процессы не соответствуют международным требованиям. Возникает проблема, которую обнаружить и решить может только специалист. Ну не соответствует и что? – спросите вы. Отсутствие или, что еще хуже, отзыв сертификата приводит к снижению доверия к компании, а это в свою очередь может сказаться на лояльности клиентов и партнеров, инвестиционной привлекательности и кредитном рейтинге и других не менее важных аспектах бизнеса.
Заключение
Очень часто руководители компаний не понимают истинной роли безопасности и, как следствие, не включают специалистов по защите в состав M&A команды. Надо признать, что во многом в этом виноваты сами специалисты, воспринимающие свою роль, как чисто техническую и вспомогательную. Вы должны сами «продать себя» членам команды и руководству и занять достойное место в процессе слияния и поглощения. Даже если ваша роль не будет самой главной, процесс M&A уже не будет таким однобоким, как до включения вас в него. Вы должны уметь объяснить свою роль и роль безопасности. M&A-сделка может и не сорваться по причине отсутствия вас в команде, отвечающей за ее осуществление, но ваше отсутствие может стать причиной повышения стоимости сделки и ущерба для компании, в которой вы работаете. А это уже причина, по которой вы должны активно участвовать в процессе безопасности сделок по слиянию и поглощения.
Комментарии:
(0)
Рейтинг:
Средняя оценка участников (от 1 до 10): Пока не оценено
Проголосовавших: 0