Ettevõtet ei saa osta eelneva IT-auditita
Infosüsteemide toimimine on ettevõtluses elutähtis, isegi kui on tegu „vana kooli“ tüüpi tootmis- või teenindusfirmaga, kus IT-l pigem tugifunktsioon. Samas kasvõi andmeleke või klienditeenindussüsteemi rike halvavad tõsiselt ettevõtte tegevuse ning selliste olukordadega ei taha keegi kokku puutuda.
KPMG rahvusvaheliste uuringute põhjal on 90 protsenti ettevõtetest läbi elanud vähemalt ühe küberrünnaku ning 26 protsenti neist juhtumitest pani firma tegevuse ajutiselt seisma. Intsidendi mõju võib olla ettevõtte tegutsemisele väga ränk.
Seega M&A tehingute korral tuleb veenduda, mis seisus on ostetava või ühineva ettevõtte IT köögipool. Täiesti möödapääsmatu on IT-audit tehingutes, kus ostetakse tehnoloogilist toodet või teenust pakkuv ettevõte. Näiteks tarkvaratoode nõuab põhjalikku testimist, et kas see ikka töötab nii, nagu väidetakse. Siia alla käib tarkvaratoote lähtekoodi analüüs, et pärast ei selguks halva üllatusena, et see on auklik nagu Šveitsi juust.
IT-lahendustele keskenduvad idufirmad testivad oma toodet pidevalt, sest neile on ettevõtte müük äriplaani sisse kirjutatud. Kindlaid protsesse järgiv tootearendus loob tugeva vundamendi hilisemale exit’ile ning lubab ettevõtte eest küsida ka kõrgemat hinda. Sellele vaatamata peab ka idufirma omandamisega kaasas käima põhjalik ostueelne analüüs.
Küberturvalisuse kontroll on kriitilise tähtsusega
Tehingupoolte IT-lahendused peavad hästi haakuma ning lisaks toimepidevuse ja turvalisuse tagamisele looma sünergiat, mis on M&A tehingute üks eesmärk. Näiteks kui leivad ühte kappi panevad ettevõtted kasutavad erinevate tootjate, eri ajast pärit võrgulahendusi, siis nende integreerimisega kaasneb rahaline ja muu ressursikulu, mida peab arvesse võtma. Sama kehtib infoturbe vallas. Näiteks kui käibel on küberkaitse lahendused, mida viimati uuendati 4-5 aastat tagasi, siis võivad need olla lootusetult ajale jalgu jäänud.Auditi käigus tuleb uurida küberturbe poliitikat ja teisi infoturbe alaseid dokumentatsioone ning nende rakendamist Lisaks tuleks läbi viia haavatavusanalüüs ja turvariskide hindamine, et tuvastada võimalikud nõrkused.
Mida kontrollida infoturbes?
- Infoturbesüsteemi lähem vaatlus näitab, kuidas on süsteem üles ehitatud ning kas olemasolev süsteem tagab piisava kaitse.
- Tuleb veenduda, kuidas käitlevad kolmandad osapooled ettevõtte infot.
- Kas ühises pilvedokumentide keskkonnas on juurdepääsuvolitused selgelt paigas, et ettevõtte võrku ei jõuaks lunavara või kutsumata külalised.
- Töötajate pädevus peab tagama adekvaatse käitumise küberintsidentide puhul.
- Vajalik on saada ülevaade protsessidest ja juhenditest, kuidas hallatakse võimalikku intsidenti organisatsiooni sees ja vajadusel koos väliste partneritega.
Ostueelne IT-audit tuleb dokumenteerida
IT-audit aitab müüjatel ja ostjatel mõista ettevõtte tehnoloogilist keskkonda, hinnata riske ja tagada sujuv üleminek uutele omanikele. Enne auditit peavad müüja ja ostja kokku leppima, mis on protseduuri eesmärgid ja ootused. Tegu on andmemahuka ettevõtmisega, kuna audit võib hõlmata IT-süsteemide ja -seadmete inventuuri, ülevaadet tarkvarast, litsentsidest ja sertifikaatidest, toimepidevuse põhimõtteid jne.Auditiprotsessi käigus kogutud teave ja tulemused tuleb põhjalikult dokumenteerida. See peab hõlmama auditiprotsessi käiku, leitud puudusi ja soovitusi nende parandamiseks. Auditi eesmärk on ikkagi saada aus ja ammendav ülevaade tehingus osaleva ettevõtte IT-olukorrast ning vältida vaidlusi ostu-müügitehingu lõppfaasis või hiljem.
Audit tagab, et nii müüja kui ka ostja mõistavad täielikult ettevõtte tehnoloogilist keskkonda ja tuvastavad riskid, millega tegeleda. Ostjale annavad punased lipud IT-s aluse nõuda kas nende kõrvaldamist või tingida ettevõtte hinna üle. Müüja saab korralikult sooritatud IT-auditi korral kinnituse, et pakutav kaup on aus ning üllatusi pole oodata kummalegi poolele.
Mihkel Kukk
KPMG küberturvalisuse teenuste juht
Viimased artiklid
Töösuhete muutumine ja küberturvalisuse väljakutsed
Töömaailm on viimastel aastatel oluliselt muutunud: infotehnoloogia areng, kaugtöö ning partnere..
Küberturvalisus ei saa olla enam valikuline investeering
Küberturvalisuse maastik on pidevas muutumises ning selleks, et ettevõtet või organisatsiooni ei ..
E-ITS edukas rakendamine: kuidas tagada ettevõtte turvalisus ning vastavus infoturbestandardile?
E-ITS ehk Eesti Infoturbestandard on rohkem kui lihtsalt juhend. See on üheltpoolt kohustus ja sa..
Üle tuhande Eesti organisatsiooni peab 2025. aasta lõpuks läbi viima infoturbe auditi
Eestis kehtib avalikke teenuseid osutavatele organisatsioonidele infoturbestandard ehk E-ITS (alte..
KPMG ekspert: kõige kiiremini tasub ära rutiine automatiseeriv AI-rakendus
Tehisintellekti rakendades toovad kõige kiiremini kulutused tagasi rahaliselt suure mõjuga lahendu..
KPMG ekspert: paljudel puudub arusaam küberturbest, riigi toetust on mõistlik ära kasutada
Kiirelt tegutsedes võivad Eesti ettevõtted tõsta oma küberturvalisuse taset, kasutades EASi kaudu ..
Muuda ohud võimalusteks
Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond!
Aitame luua vastupidava ja usaldusväärse digitaalse maailma,
isegi muutuvate ohtude korral.
KPMG Baltics OÜ
+372 626 8700itaudit@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
Võta meiega ühendust
${i18n('ask_more')}
HR analüüs
HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
${i18n('ask_more')}
Ohuanalüüs
Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
${i18n('ask_more')}
Küpsusanalüüs
Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.