HomeBlogBlogBT Değerlendirme Hizmetleri (Due Diligence)

BT Değerlendirme Hizmetleri (Due Diligence)

  • 31/01/2020
  • Posted by: Candaş Üçer
  • Categories: Blog, Türkçe
No Comments
BOLD&Digital

Giriş

 

Şirket değerleme süreci satın alma veya birleşmeye konu olan bir firmada yürütülen başlangıç çalışmalarından biridir. Çoğu zaman şirket değerlemesi dendiğinde likidite, yatırımlar ve risk yönetimi konuları ile ilgilenilmektedir. Günümüzde ise BT değerlemesi yapmak finansal tabloları analiz etmek kadar önem kazanmıştır. Finans kurumlarının BT altyapılarına yatırımlarının artması, bilgi güvenliği ve mahremiyetin önem kazanması, bu kurumların teknoloji egemen bir yapı haline dönüşmeleri BT değerleme çalışmasını gerekli kılmıştır.

 

BT değerlemesi çok kapsamlı bir çalışma olup bilgi güvenliği ve operasyonel risk gibi konuları içinde barındırır. BT değerlemesi var olan BT varlıklarının, kaynakların, firmanın düzenlemeler ile uygunluğunun ve risklerinin bir analizidir. BT denetim çalışmalarına oldukça benzeyen BT değerleme çalışması daha detaylıdır. BT değerlemesi bilgi güvenliği, risk yönetimi gibi konularda değerli bilgiler sağlarken birleşme sürecinde BT entegrasyon planını oluşturma ve bu planın maliyetini hesaplama imkanı verir. BT Değerlemesi firmadaki teknoloji varlıklarını ve süreçlerini belirlemeyi sağlar. BT varlık ve süreçleri firmanın iş hedeflerine ulaşmasına yardımcı mıdır, bu kontrol edilir. Söz konusu firmanın gelecekteki nakit akışı, maliyetleri ve gelirleri üzerindeki BT risklerinin tahmini yapılır. BT departmanının stratejik hedeflerinin firmanın hedefleri ile aynı doğrultuda olup olmadığı kontrol edilir.

 

BT değerlemesi birleşmeye konu olan firmanın risklerinin belirlenmesi ve bu risklerin ölçümüne olanak verir. Değerleme bu riskleri azaltmayı ve yönetmeyi mümkün kılar. BT değerlemesi firmanın değerini belirlemenin yanı sıra, gelecekteki potansiyel maliyetleri, riskleri indirgemek için gerekli sermayenin miktarını ve operasyonel riskleri belirler.

                                                                                     

Finans kurumları için BT değerlemesi bir kaç sebepten ötürü önem taşır. İlk olarak bu kurumlarda BT fonksiyonu gelir ve giderlerde büyük pay sahibidir. BT harcaması toplam gelirim %10’u ile %20’si arasında olmakla beraber sabit kıymet harcamalarının da %30’u BT için yapılmaktadır. İkincil olarak BT sistemlerinin entegrasyonu zor ve pahalıdır. Son olarak da finans kurumlarında ürün ve hizmet arzı ile operasyonlar ve iş modeli BT ile sıkı bir ilişki içinde olduğu söylenebilir.. Detaylı bir değerleme BT entegrasyonunda zaman ve maliyetler bakımından büyük kolaylıklar sağlayacaktır.

 

BT değerlemesi söz konusu firmanın BT varlıklarının ve süreç/operasyonlarının nicel ve nitel anlamda aşağıdaki başlıklar üzerinden gözden geçirilmesidir;

  • BT yapısı ve değişiklik yönetimindeki etkisi
  • Ağ, uygulama ve bilgi güvenliği mimarisi
  • Veri merkezleri, bina ve tesisler
  • Personel, tedarikçiler, ortaklar ve müşterilerle olan sözleşmeler
  • Müşteri segmentleri, ürünler ve iş süreçleri
  • BT araçları ve yöntemleri

 

Etkin bir BT değerlemesi entegrasyon planı için de aşağıdaki konular üstünde çalışacaktır;

  • Birleşme stratejisi
  • Birleşme amaçlarının BT tarafından nasıl desteklendiği
  • Birleşecek firmalardaki var olan teknoloji ve altyapı çözümleri
  • Teknolojik trendler

 

BT değerlemesi esnasında herhangi bir metodoloji kullanılmaması durumunda bulgular gözden geçiren kişi ya da grubun bakış açısı ile değerlendirilecektir. Bu iki problemi doğurur. Birincisi firmanın iş süreçlerine ilişkin bulgular derinlemesine incelenmeyebilir. İkinci problem ise metodoloji takip edilmeden gerçekleşen çalışmalarda işletmenin birleşme esnasında kazanacağı deneyimin yeniden kullanımı mümkün olmayacaktır.

 

Bir BT değerlemesindeki en önemli nokta kurum kültürü farklılıklarını, düzenleyici ve sözleşmelerden doğan gereksinimleri ve personel gereksinimlerini belirlemektir. Bu analiz organizasyonel yapı, teknolojik risk yönetimi, altyapı, planlama ve tedarikçi yönetimi için gerekli personel sayısını ve niteliğini belirlemeyi sağlar. BT yapılanmasının operasyonel standartlar ve prosedürlere uygunluğu ayrıca bu analiz ile ortaya çıkacaktır. Değerleme önemli uygulama tedarikçilerini ve durumlarını değerlendirecek, BT organizasyonunda bu tedarikçilerin rollerini ve bu tedarikçilerin BT fonksiyonunda ne kadar egemen olduklarını açıklayacaktır. BT sektöründeki hızlı değişimler sebebiyle uygulama tedarikçilerinin sektördeki durumlarını, yeni versiyon planlarının sorgulanması gereklidir. Diğer bir risk ise  bir veya iki çalışanın kritik bir BT sistemi kurmaları, bu süreçte gerekli dokümantasyonu hazırlamamaları ve az bilinen bir teknoloji veya programlama diliyle bu  projeyi gerçekleştirmeleridir. Bu çalışanlar söz konusu uygulama üstünde önemli bir baskı mekanizması oluşturabilir.

 

Uygulamalar ile ilgili aşağıdaki dokümanlar değerleme esnasında incelenebilir;

  • Dışardan eleman desteği sağlayan tedarikçilerle yapılmış sözleşmeler ve bu elemanların yetkinliklerini gösteren belgeler
  • Uygulamalara ayrılan bütçe  çalışması ve harcamalardaki esneklik

 

Ağ, Uygulama ve Enformasyon Altyapısı

 

BT değerlemesi ağ ve altyapı tasarımının değerlendirilmesidir. Bu değerlendirme sistemlerin entegrasyonu için gerekli zaman, bütçe ve insan kaynağının tahmin edilmesini kolaylaştırır. Değerlendirmede aşağıdaki konulara dikkat edilmelidir.

  • BT sistemlerinin entegrasyonu için gereksinimler
  • Birleşmenin müşteri hizmetleri ve dağıtım kanallarındaki olası etkileri
  • Firmalardaki otomasyon seviyesi
  • Dış kaynak kullanım miktarı
  • BT yatırımı miktarı

 

Bu analiz uygulama teknolojilerini, platformları ve firmaya özel modifikasyonların miktarını anlamamıza yardımcı olur. Ayrıca uygulamaların firmada kullanım sürelerini de dikkate almak bu uygulamamalar için gerekli dış desteğin belirlenmesine yardımcı olur. Eski teknolojiye sahip uygulamalar için dış destek alınması pahalıdır ve çoğunlukla bu uygulama üzerinde uzman teknisyenlere ihtiyaç duyar.

 

Aşağıdaki ağ, uygulama ve altyapı seviyelerinde çalışan yazılımların belirlenmesi gereklidir;

  • Hizmet kanalları ve Müşteri hizmetleri
  • Back Office ve muhasebe
  • Veritabanları
  • Ağ sistemleri ve altyapı yönetim uygulamaları
  • Ara katman yazılımları

 

Ağ, uygulama ve BT altyapısının mevcut durumunun analizi için platformlar belirlenmeli (istemci-sunucu, mainframe, web tabanlı sistemler vb.), finans ve vergiyle ilgili farklı ülkelerde eş zamanlı çalışan uygulamalar incelenmeli, dış destek analizi, ömrünü tamamlamış uygulamalar ve ikame uygulamalar kontrol edilmelidir.

 

Örnek olarak bir bankanın değerleme çalışmasında ağ mimarisi, dizaynı ve protokolü öncelikle incelenmelidir. Ayrıca iş modelleri ve kullandıkları uygulamalar arasındaki benzerlikler gözden geçirilmelidir. Ağ ekipmanları, “router”lar, “hub”lar ve “switch”ler incelenmeli ve bu ağ altyapısını kullanacak ATM’ler, İnternet bankacılığı, mobil bankacılık, çağrı merkezleri ve telefon bankacılığı gibi kanalların ağ entegrasyonu sürecindeki etki analizleri hazırlanmalıdır.

 

Aşağıdaki dokümanların incelenmesi bu analizi gerçekleştirmemize yardımcı olacaktır;

  • Ağ, uygulama ve altyapısı için hazırlanmış topoloji ve dokümantasyonlar
  • Kapasite, ölçeklenirlik, performans ve entegrasyon raporları
  • Operasyon politika ve prosedürleri
  • Standartlar, kurallar, proje yönetimi metodolojisi, dokümantasyon geliştirme ve eğitim prosedürleri

 

Sistem Odaları, Binalar, Tesisler

 

Veri merkezlerinde dikkat edilmesi gereken en önemli konular donanım, merkezin büyüklüğü ve yönetim araçlarıdır. Birleşecek firmalar arasındaki donanım benzerlikleri ve farklılıkları belirlenmelidir. Sunucu ve “mainframe”lerin sayısını azaltarak maliyetleri indirmek mümkün olacaktır. Donanımların türünün (ağ yazıcısı,uygulama sunucusu, web sunucusu) ve donanım tedarikçilerinin belirlenmesi önemlidir.

Bir BT değerleme çalışmasında donanımların ne kadarının kiralık olduğu sorgulanmalıdır. Kiralama sözleşmeleri incelenmelidir. Donanımlar için dikkat edilmesi gereken bir diğer konu ise donanımların yaşı ve durumudur. Donanım yenileme kural ve prosedürlerinin mevcut olup olmadığı kontrol edilmelidir. Donanımların bakım ve tamir geçmişleri de gelecekte ortaya çıkacak maliyetler için önemlidir.

 

Veri merkezleri ve tesisler için öncelikle dikkat edilmesi gereken başlıklar şunlardır;

  • Kapasite ve merkezin alanı
  • Yedekleme ve geri yükleme ekipmanları
  • Kesintisiz güç kaynakları, klima ve çevresel zararlara (doğal afetler gibi) karşı koruma tedbirleri
  • Bina veya tesisin yapı kalitesi ve kalan yaşam ömrü

 

Diğer incelenebilecek konular şu şekildedir;

  • Donanım ve diğer ekipman sağlayıcıları ve bina sahibiyle yapılmış kira sözleşmeleri
  • Telekomünikasyon şirketleri ile yapılmış hizmet sözleşmeleri
  • Altyapı, ağ, donanım ve tesislerin bakım ve servis sözleşmeleri
  • Kurulum, bakım ve değişiklik kontrolleri
  • Tedarikçilerin sorumlulukları
  • Sahip olma maliyetleri
  • Sistem yazılımı güvenliği

 

Sözleşmeler ve Uygunluk

 

Güvenlik, mahremiyet ve veri koruma ile ilgili sözleşmelerden incelenmesi gereken bazıları şunlardır;

  • Yazılım Lisansları (Yazılım lisanslaması ile ilgili çeşitli kurallar vardır. Bu kurallar ve maliyetler ülkelere ve müşterilere göre değişiklik gösterebilir.)
  • Sınırlayıcı düzenlemeler ( ör: şifreleme algoritmaları)
  • Ülkelere göre değişiklik gösteren avantajlar (ör: vergi avantajları, ekipman amortismanı gibi)
  • Yasalar ve düzenleyicilerle ilgili gelişmelerin takibi
  • Düzenli uygunluk kontrollerin yapıldığının kontrolü
  • Fikri mülkiyet hakları

 

İş Süreçlerinin Entegrasyonu

 

Bilgi teknolojileri iş süreçleri, müşteri hizmetleri, ürün ve hizmet arzı ile son derece sıkı bir ilişki içindedir. BT ile süreçler karşılıklı olarak birbirlerini etkiler. Bundan dolayı değerleme çalışması ve entegrasyon planı iş süreçlerinin birbiriyle eşleştirilmesini, yeniden yapılanmasını ve süreçleri çözümlemeyi içermelidir. Belirlenen sorunlar birleşme sonrası planların içine konmalıdır. İş süreçleri ve teknoloji simbiyotik bir ilişki içindedir. Telekom sektöründe ve finansal hizmetler sektöründe, BT hem hizmeti sunar hem de hizmetin kendisini, bununla birlikte diğer sektörlerde BT bir kontrol ve koordinasyon mekanizmasıdır. Örnek olarak bankacılık sektöründe hizmetin verildiği bütün kanallar, ATM’ler, İnternet bankacılığı ve kredi kartları BT bağımlı hizmetlerdir.

 

BT Araç ve Metodolojileri

 

Bütün programlama dillerinin, kontrol ve yönetim araçlarının,  uygulama geliştirme araçlarının ve versiyon kontrol araçlarının  içinde bulunduğu bir liste oluşturulmalıdır.

Özetlemek gerekirse:

  • BT geliştirme ortamları ve araçları
  • Ağ, sunucu ve uygulama kontrol araçları
  • Varlık yönetimi araçları ve süreçleri
  • Bilgi Yönetimi araçları ve süreçleri
  • Masaüstü uygulamaları

Genel olarak değerleme esnasında aşağıdaki süreçlerde bazı bulgularla karşılaşmak muhtemeldir;

  • BT yönetişimi
  • Proje yönetimi
  • Tedarikçi yönetimi ve ilişkileri
  • Yedekleme ve saklama
  • Bilgi  güvenliği stratejisi, altyapı mimarisi, dizin sistemi
  • İş sürekliliği planı, süreklilik tesisi ve araçları

 

Sistem yönetimi, varlık yönetimi, iş programlama, kapasite planlama, yardım masası yönetimi gibi konular da birleşme öncesinde gözden geçirilmelidir. Birleşme esnasında aynı tedarikçilerden hizmet alınan sistemler birleşen firmalar arasında bir sinerji yaratacaktır. BT değerleme çalışması BT yönetişim kurallarını ve prosedürlerini inceler. Değerleme çalışması firmanın proje yönetimi yaklaşımını, projeye nasıl başlandığını, yönetildiğini ve sonuçların analizini kontrol eder. Ayrıca proje yönetim metodolojisini ve projelerde kullanılan araçları sorgular. Personelin niteliği, tedarikçilere ve danışmanlara duyulan güven proje yönetiminde sorgulanacak diğer konulardır.

 

BT Değerleme Metodolojileri

 

BT değerlemesi çalışmalarında görülen en büyük eksiklik belli bir çerçeveye (COBIT, ITIL, ITADD vs.) bağlı kalınmadan gerçekleştirilmesidir. Bu metodolojiler içinde en önemlilerini kısaca şu şekilde özetleyebiliriz.

 

BCM Analizi (Bussiness Continuity Management)

Günümüz işletmeleri için en önemli konulardan biri iş sürekliliği yönetimidir.  İş sürekliliği Basel II standartları içerisinde de bulunmaktadır. İş sürekliliği analizi için kullanılana araçlardan biri PAS56 sertifikasyonudur. Bu sertifikasyon iş sürekliliği analizi sürecinin tümünü içeren altı puan kartını kapsar.

 

COBIT (Control Objectives for Information and related Technology)

COBIT; genel yönetime, BT yöneticilerine, BT personeline, organizasyon genelinde tüm personele ve nihai iç ve dış BT kullanıcılarına birtakım avantajlar sunmaktadır. Ayrıca COBIT çerçevesinde 34 IT süreci ile uygun kontrol objektifleri içerir.  Söz konusu avantajlardan bazıları şöyle sıralanabilir;

  • BT yönetiminin genel çerçevesinin belirlenmesinde bir temel teşkil etmektedir.
  • BT kontrolleriyle iş süreçleri arasındaki ilişki üzerinde durur ve kontrollerin önem sırasının belirlenmesinde etkin bir rol oynar.
  • BT yatırım kararlarının getiri/risk oranı yüksek projelere yönlendirilmesini sağlar.
  • Süreç denetiminin yalnızca çıktı üzerinden değil, aynı zamanda işleyiş üzerinden de yapılabilmesi imkanını verir.
  • COBIT’in “Planlama ve Organizasyon” bölümü, BT personeli ile diğer personel arasındaki iş ilişkilerini verimleştirme açısından önemli bir fırsat sunar.
  • BT Denetim personelinin uyguladığı kriterlerin temeline inebilme ve daha gelişmiş yöntemlere geçebilmesinde yardımcı olur.
  • İç ve dış kullanıcılar açısından gizlilik, güvenlik, bütünlük ve erişilebilirlik ihtiyaçlarının daha fazla karşılanmasını sağlar.

 

Information Technology Assessment Due Diligence Framework (ITADD)

2005 yılında bir çalışma grubu tarafından Teksas Üniversitesi’nde temelleri atılmıştır.  ITADD çerçevesi BT yöneticilerine birleşme sürecinde olan firmaların BT fonksiyonlarını değerlendirmelerine olanak verir. ITADD sadece bir metodoloji değildir. ITADD metodolojisiyle beraber ITADD değerleme araçlarıyla beraber geliştirilmiştir. ITADD BT profesyonellerine sadece birleşmeler için hazırlanmış bir metodoloji sunar.

 

BT Dengeli Puan Tabloları

Puan Tabloları Kaplan ve Norton tarafından geliştirilmiştir. Bir ölçüm sistemidir ve firmaların stratejilerini bu ölçümleme üzerine kurmalarına yardım eder. Üç katman ile dört farklı objektife sahiptir. Her objektif puanlama ile ölçülür ve bu analiz mevcut durumun değerlendirilmesine yardım eder. Dengeli puan tabloları BT yönetişimi için son derece uygun bir yapıya sahiptir.

 

ITIL (Information Technology Infrastructure Library)

Avrupa orijinli olan bu metodoloji 20 yıl önce BT hizmet yönetimi konusunda en iyi uygulamaların toparlanmasıyla oluşturulmuştur. BT hizmet yönetim uygulaması için bir metodoloji olan ITIL, OSI/IEC 20000 için de BT hizmet yönetimi standardı olmuştur.

 

Sonuç

BT Değerlemesi birleşme esnasındaki sinerjiyi ortaya çıkartır. BT varlıkları, BT kontakları, iş süreçleri ve ürünler veya hizmetlerin analizi, risklerin belirlenmesi ve ticari fırsatların ortaya çıkarılmasıdır. Etkin bir BT entegrasyon planının birleşmelerden sonra karlılık, satış, özkaynak ve varlıklardaki artışla direk ilişkisi vardır. Ama çoğu birleşmede BT değerlemesi yapılmaması birleşme sonrası entegrasyonda büyük zorluklar yaşanmasına sebep olmaktadır. BT değerleme çalışması yürütülen birleşmelerde BT varlıklarının daha iyi değerlendirilmesi, anlaşma stratejisinin belirlenmesine yardımcı olur. Olası BT entegrasyon riskleri önceden bilinir, buna uygun entegrasyon planı çizilir ve firmalar sürpriz maliyetlerden kendilerini korumuş olur.

 

Kaynaklar

 

1-  Barrett Sundberg, Zheng-Da Tan, Trey Baublits, Hae-Joon Lee, Grant Stanis and Huseyin Tanriverdi, A Framework for Conducting IT Due Diligence in Mergers and Acquisitions, ISACA Control Journal, Volume 6, 2006

2-   Mohan Bhatia, IT Merger Due Diligence: A Blueprint, ISACA Control Journal, Volume 1, 2007

3-     Joanne Wortman, Seven Deadly Sins of Due Diligence, Thomson Buyouts, 3 Mart 2008

4-    Joanne Wortman, IT Due Diligence for Distressed Acquisitions http://edgewatertech.wordpress.com

5- Bostjan Delak, Initial Due Diligence of Information Technology as Risk Identication before Capital Investment in Finance Industry, s. 4-5, Proceedings of CAiSE-DC 2008