IT Due Diligence: IT-Risiken bei Fusionen und Übernahmen rechtzeitig erkennen

Zukunftsfähige IT-Systeme sind das Herzstück einer modernen und vollständig digitalisierten Bank. Schließlich müssen sie hochsensible Daten gut schützen und spezifische Compliance-Anforderungen erfüllen. Darum ist die IT-Landschaft mittlerweile auch mehr als nur ein Supportsystem und Kostenfaktor. Immer mehr Services basieren auf digitalen Technologien wie Cloud oder Künstliche Intelligenz und klassische Geschäftsmodelle werden in plattform- und datenbasierte Geschäftsmodelle umgewandelt. Das ist Grund genug, bei anstehenden Unter­nehmens­transaktionen die vorhandene IT zunehmend kritischer und als entscheidend für den Erfolg zu betrachten.

von Joachim Winterstein, Direktor kobaltblau Management Consultants

Bei Fusionen und Übernahmen (M&A) ist es darum immens wichtig, die IT-Risiken und Kosten zu kennen. Nicht erkannte Risiken drücken die Rendite von M&A-Deals oftmals deutlich. Darum ist eine umfassende IT Due Diligence im Vorfeld einer Transaktion unerlässlich, jedoch leider noch nicht Standard. Laut der aktuellen Studie „IT Due Diligence – Erfolgsfaktor IT bei Unternehmenstransaktionen“ von kobaltblau Management Consultants in Zusammenarbeit mit dem Marktforschungsunternehmen Lünendonk & Hossenfelder erkennen Investoren diese Entwicklungen zwar – trotzdem führt aktuell nur die Hälfte der Befragten (48 Prozent) regelmäßig eine IT Due Diligence durch. Investoren, die noch nicht darauf setzen (16 Prozent), planen allerdings, die IT-Bewertung künftig stärker zu fokussieren.

Die IT Due Dilligence umfasst die systematische Aufnahme und Beurteilung der vorhandenen IT, dazu gehören IT-Systeme, Software, Ressourcen, Prozesse, Standorte, Projekte, aber auch die IT-Security-Standards eines Unternehmens. Der Wert der IT und ihr strategischer Nutzen können dadurch festgestellt werden. Ein Aspekt in der Due-Diligence-Phase scheint bisher einen eher nachrangigen Stellenwert einzunehmen, wird aber in naher Zukunft an Bedeutung gewinnen:

Mit einem weltweiten Schaden von umgerechnet 820 Milliarden Euro, was circa einem Prozent der globalen Wirtschaftsleistung entspricht, stellt Cyberkriminalität mittlerweile ein hohes unternehmerisches Risiko dar.”

IT Due Diligence sollte zur Pflicht werden

Fehlendes Wissen und unerkannte Schwachstellen innerhalb der IT-Landschaft, sei es in der IT-Organisation oder in den Fachabteilungen durch Schatten-IT, verursachen einen höheren Aufwand und treiben die Kosten in die Höhe. In der Post-Deal-Phase wird dann womöglich der gesamte Business-Case infrage gestellt und Investoren müssen nachträglich mehr Kapital in die Modernisierung von IT-Systemen investieren. Eine gründliche IT Due Diligence könnte dies vermeiden. Die folgenden Aspekte sind im Hinblick auf die IT besonders entscheidend und können den Erfolg oder Misserfolg eines Deals beeinflussen.

Integrationsfähigkeit prüfen

Wenn in der Post-Merger-Phase eine Integration der IT-Infrastruktur und -Organisation geplant ist, sollte die Integrationsfähigkeit vorab unbedingt geprüft werden. Denn eine Zusammenführung von IT-Anwendungen und den zugehörigen Datenbeständen ist gerade in der Finanzbranche mit einem hohen organisatorischen und technischen Aufwand verbunden.

Können IT-Prozesse und -Systeme nicht in Einklang gebracht werden, gehen die im Investment-Case eingepreisten Synergiepotenziale verloren.”

Im schlimmsten Fall können Übernahmen und Fusionen daran sogar scheitern. Deshalb sollten unbedingt Vertragslaufzeiten, Kosten und die Kompatibilität der IT-Systeme vorab geprüft werden.

Unternehmensausgliederung

Im umgekehrten Fall ist vielleicht eine Trennung von IT-Infrastrukturen im Zuge eines Carve-out-Projektes geplant. Die Ausgliederung von Unternehmensteilen bringt für die IT neue Chancen, aber auch hohe Risiken mit. Es ist sehr schwierig, IT-Systeme an einem bestimmten Stichtag zu trennen und den Aufwand vorab realistisch zu planen. Denn es geht nicht um eine reine Abschaltung von IT-Systemen, gleichzeitig müssen die Stamm-, Bewegungs- und Transaktionsdaten in neue Systeme übertragen werden. Das heißt, Applikationen müssen gespiegelt oder neu gebaut werden, sodass die Daten in neue Systeme übertragen werden können. Datenschutzrichtlinien müssen beachtet und Informationen und Altsysteme unter Einhaltung der gesetzlichen Vorgaben aufbewahrt werden. Diesen hohen Aufwand und die Kosten schauen sich Investoren daher besonders genau an.

Nach der Trennung der IT-Systeme beim Carve-out bietet sich jedoch die Chance, die IT-Landschaft zu modernisieren und optimal auf die Unternehmensstrategie anzupassen. Daher kann sich diese Investition lohnen.”

Schwachstellen aufdecken – von veralteten Systemen bis hin zu Sicherheitslücken

IT ist in der Finanzbranche inzwischen ein wichtiger Wertschöpfungsfaktor. Darum werden ihre Relevanz und ihr digitaler Reifegrad in Zukunft bei M&A-Plänen deutlich mehr berücksichtigt werden. Verdeckte Folgekosten müssen darum transparenter und kalkulierbarer werden. Im Zuge einer angemessenen IT Due Diligence werden daher meist die folgenden Felder unter die Lupe genommen:

▪ Technische Schulden und Legacy-IT

Technische Schulden, wie z. B. veraltete Systemlandschaften, unterdimensionierte, nicht skalierbare Infrastruktur oder unzureichend dokumentierte Individualsoftware beeinträchtigen Innovationen und die Umsetzung neuer Ideen und Projekte. Sie machen es darüber hinaus schwieriger, auf Marktveränderungen zu reagieren und schränken im schlimmsten Fall die Wettbewerbsfähigkeit ein. Veraltete Systeme und Prozesse können außerdem die Gesamtbetriebskosten (TCO) erhöhen und führen so wiederum zu Gewinneinbußen. Darüber hinaus stellen sie mitunter ein hohes Sicherheitsrisiko dar.

▪ Softwarelizenzen und Nutzungsrechte

Fehlende Lizenzen, Datenverfügbarkeit oder Schwierigkeiten bei der weiteren Nutzung von gruppenweiten IT-Services des Mutterkonzerns wie zum Beispiel Zugangssystemen, zentralen HR-Applikationen, Archivsystemen und Zeiterfassung werden oftmals unterschätzt.

Bei einem Carve-out reichen die möglichen Konsequenzen von überhasteter Ersatzbeschaffung, deutlichen Preisaufschlägen in den Lizenz-Nachverhandlungen bis hin zu Betriebsstillständen und Lieferunterbrechungen. Im schlimmsten Fall können sie den Erfolg der Transaktion gefährden.”

▪ IT-Architektur

Die Vielfalt von IT-Architekturen kann bei Unternehmenszusammenschlüssen zu ebenso vielfältigen Problemstellungen bei deren Integration führen. Legen Investoren bereits in der Pre-Deal-Phase ein besonderes Augenmerk auf die Struktur einzelner IT-Architekturen, ermöglicht ihnen eine IT-Due-Diligence-Prüfung die bessere Einschätzung des Aufwands und der Kosten zur Integration, Modernisierung oder Standardisierung der IT-Landschaft ihrer Targets.

▪ Cybersecurity

Die Bewertung der IT-Security-Prozesse ist für eine deutliche Mehrheit der für die IT Due Diligence Studie Befragten (67 Prozent) besonders wichtig. Angriffsflächen für Cyberkriminelle liefern beispielsweise veraltete IT-Systeme oder Programmierfehler. Da der Quellcode größerer Software-Produkte mehrere Millionen Programmierzeilen lang sein kann, sind solche Software-Schwachstellen nicht selten. Legacy-IT weist neben veralteten Codes vor allem Mängel im Design auf. So fehlt es oft an der Spezifikation von Zugriffsrechten, Schnittstellen, Datenformaten und Übertragungsprotokollen. Aber auch bei der Neukonfiguration können sich Schwachstellen einschleichen. Beispielsweise können bei der Implementierung einer neuen Software bestimmte Sicherheitsfunktionen deaktiviert oder Zugriffsrechte nicht restriktiv genug konfiguriert werden.

▪ Qualifizierte IT-Fachkräfte und internes Know-how

Die wenigsten Investorengesellschaften und M&A-Abteilungen prüfen in der Pre-Deal-Phase die Skills der IT-Mitarbeiter. In der genannten Studie war dieser Punkt nur für 18 Prozent der befragten Unternehmen sehr oder eher wichtig. Für neun beziehungsweise 26 Prozent sind die Skills innerhalb der IT-Abteilung dagegen eher bis ganz unwichtig. In Zeiten steigender Bedeutung der IT für den Geschäftserfolg sowie wegen des weiterhin hohen Mangels an Fachkräften mit digitalen Qualifikationen ist es jedoch empfehlenswert, nicht nur auf die klassischen IT-Organisationsstrukturen zu schauen. Denn die Mitarbeiter in einer IT-Abteilung einschließlich ihrer Kenntnisse, Fähigkeiten und Erfahrungen sind Teil der gesamten Unternehmens-IT – und die Gefahr durch die Abwanderung von Wissensträger sollten Investoren nicht unterschätzen.

Das Fehlen von spezifischen Skills in der Organisation bedeutet mittlerweile auch, dass bestimmte Betriebsmodelle nur durch die Einbindung externer Dienstleister realisierbar sind.”

Das erweist sich bei der Ambition, neue Geschäftsfelder wie z. B. FinTechs zu erschließen, als kritischer Erfolgsfaktor. IT-Experten sind mittlerweile in vielen Themenbereichen, selbst bei globaler Suche, Mangelware geworden.

Externe Unterstützung bei der IT-Analyse heranziehen

Die Mehrheit der Investoren zieht zur IT Due Diligence externe Dienstleister heran. Bei zunehmender Unternehmensgröße werden bestehende IT-Prozesse komplexer – die steigende Menge erschwert die Analyse der Gegebenheiten weiter. Besonders bei Themen, für die Spezialkenntnisse erforderlich sind, sind externe IT-Beratungsunternehmen gefragt: IT-Security-Assessments, Bewertungen der Softwarefunktionalität, Kostenbenchmarks, Fragen zur Zukunftsfähigkeit der Systemlandschaft und der IT-Architektur, dem Grad der Digitalisierung und der Standardisierung oder die Skizzierung eines passenden Target-Operating-Models für die IT. Oft ist eine gewisse Fachkenntnis erforderlich, um beispielsweise CRM-Systeme, Core-Banking-Systeme oder Systeme zur Zahlungsverkehrs-, Kredit- und Wertpapierabwicklung im spezifischen Geschäftskontext zu bewerten oder um Benchmarks zu IT-Kennzahlen im Branchenvergleich zu erstellen. Aufgrund des fehlenden Wissens innerhalb der Käuferorganisation, der Vielfalt an Aufgaben rund um die IT-Bewertung und die Tiefe der erforderlichen Erfahrung im jeweiligen IT-Spezialthema ist es für die Mehrheit der Investoren sinnvoll, mit externen Experten zusammenzuarbeiten.Joachim Winterstein, kobaltblau