“Hoe kan de toegevoegde waarde van een IT auditor …...De toegevoegde waarde van een IT auditor...

“Hoe kan de toegevoegde waarde van een IT auditor binnen een due diligence onderzoek worden verhoogd?”

Studenten: Niels Bond en Lars Dijkhuis Studentnummers: 9981273 en 9981274 Teamnummer: 833 Afstudeerbegeleider: Robin Knip Bedrijfscoach: Marcel Bongers

Hoe kan de toegevoegde waarde van een IT auditor binnen een due diligence onderzoek worden verhoogd? Teamnr: 833

2

Voorwoord Ter afsluiting van onze studie EDP-auditing aan de Vrije Universiteit Amsterdam hebben wij een scriptie geschreven over de onderzoeksvraag “Hoe kan de toegevoegde waarde van een IT auditor binnen een due diligence onderzoek worden verhoogd?”. Gezien de actualiteit van het onderwerp en de toenemende invloed van IT binnen organisaties, vinden wij due diligence een zeer interessant onderwerp. Vanuit de Vrije Universiteit is de heer Robin Knip aangewezen als onze afstudeerbegeleider. Wij willen hem bedanken voor de goede inhoudelijke ideeën, uitleg en het doorlezen van onze stukken. Wij willen onze bedrijfsbegeleider Marcel Bongers bedanken voor de uitleg en het lezen van onze stukken. Verder willen we de geïnterviewde personen bedanken voor hun tijd en zienswijze op het onderwerp. Niels Bond Lars Dijkhuis Amsterdam, maart 2008


3

Management samenvatting Algemeen In Europa vinden op dit moment veel fusies en fusiepogingen plaats. Deze fusies en fusie pogingen hebben recent plaats gevonden bij onder andere financiële instellingen (ABN AMRO-Fortis), energiebedrijven (Gaz de France-Suez/Nuon-Essent) en de levensmiddelen industrie (Numico-Danone). In de beslissing om wel of niet over te gaan tot fusie of overname is een due diligence (hierna: DD) onderzoek belangrijk. De betreffende partijen willen geen zogenoemde “lijken in de kast” vinden. Daarnaast wordt getoetst of de verkoopprijs of overname prijs overeenkomstig de reële waarde is. De berichtgeving rondom DD onderzoeken zijn veelal van financiële aard, terwijl IT één van de meest kritische factoren kan zijn bij fusies en overnames. Het is daarom niet in alle gevallen duidelijk wat de rol van een IT auditor (zowel intern als extern) kan zijn in een DD onderzoek. Belangrijk in deze is de vraag welke invloed de IT auditor kan hebben op de uiteindelijke beslissing om wel of niet over te gaan tot een fusie of overname. Kan de waardering van de betreffende onderneming worden beïnvloed door de uitkomsten van het werk van de IT auditor? Tijdens ons onderzoek hebben we de volgende definitie van DD opgesteld: “Due diligence betreft een onderzoek waarbij de financiële, operationele en strategische waarde van de onderneming wordt beoordeeld, waarbij zowel het heden als de toekomst in kaart wordt gebracht” Due diligence Een DD onderzoek wordt doorgaans uitgevoerd om de prijs voor de overname van een onderneming te bepalen. Hierin wordt meegenomen of de verwachtingen van de koper realistisch zijn en of er geen verborgen gebreken of kosten (“lijken in de kast”) zijn. In de praktijk kunnen DD onderzoeken onderverdeeld worden in vendor en acquisitie DD. Een vendor DD wordt uitgevoerd in opdracht van de partij die zichzelf te koop aan wil bieden. Bij een acquisitie DD ligt het initiatief bij de kopende partij. In dit geval wordt een DD onderzoek uitgevoerd bij de over te nemen partij. Binnen de verschillende DD onderzoeken kan ook een onderscheid gemaakt worden in een volledige overname, gedeeltelijke overname en pakket overname. Een DD onderzoek wordt veelal uitgevoerd door een multidisciplinair team waarbij onder andere een accountant/financieel specialist, jurist, tax specialist, processpecifieke deskundige, HR specialist en een IT specialist betrokken zijn. De IT auditor binnen het due diligence onderzoek De opdrachtgever bepaalt welke werkzaamheden door de IT auditor worden uitgevoerd binnen een DD onderzoek. Een IT auditor kan in dit geval verschillende opdrachtgevers hebben zoals de accountant (indien het DD onderzoek wordt uitgevoerd door een extern accountantskantoor), IT management (de CIO of het management kan opdrachtgever zijn van de interne IT auditor) of de Raad van Bestuur. De opdrachtgever is van belang voor het bepalen van de scope van het DD onderzoek. Een rapportage voor het IT management zal gedetailleerder zijn dan voor de Raad van Bestuur. Op dit moment wordt een IT auditor binnen een DD onderzoek veelal ingezet om de lopende IT contracten, projecten en licenties te evalueren. Daarnaast wordt de IT auditor ingezet om ondersteuning te bieden bij het inschatten van de immateriële waarde van een organisatie. Hierbij kan bijvoorbeeld gedacht worden aan Youtube. Deze organisatie is overgenomen door Google voor 1,65 miljard dollar. Als alleen de materiële waarde wordt geëvalueerd, zal hieruit een relatief lage waarde worden geschat. De immateriële waarde van het bedrijf Youtube ligt vele malen hoger. Met name de waarde die het bedrijf heeft voor de overnemende partij speelt een grote rol bij de waardebepaling. Google heeft het relatieve hoge bedrag van 1,65 miljard betaald, omdat dit een commerciële kans was/is voor Google.


4

De invloed van IT op de waardebepaling van een organisatie is veelal afhankelijk van de omvang van de overname. In veel gevallen heeft bij de overname van twee kapitaal intensieve organisaties de volwassenheid van IT geen invloed op de uiteindelijke prijs die wordt betaald door de overnemende partij. Een goed voorbeeld hiervan is Fortis dat ABN AMRO heeft overgenomen. Deze twee organisaties zijn van dermate grote omvang dat IT een beperkte invloed heeft op de overname prijs. Toch lopen ook deze organisaties op IT gebied risico’s. Beide organisatie zijn weliswaar professioneel en van grote omvang, uiteindelijk willen deze organisaties naar één organisatie toe. In dit geval wil de organisatie één systeem en proces voor bijvoorbeeld Retail bankieren. Dit houdt in dat ingrijpende veranderingen (systeem migratie, nieuwe bedrijfsprocessen die voor beide organisaties gaan gelden, etc) noodzakelijk zijn. De technische realisatie kan relatief eenvoudig plaatsvinden. De “echte” integratie van IT en bedrijfsprocessen is een groot risico. Visie op de toekomst In de huidige scope van DD onderzoeken wordt voornamelijk aandacht besteed aan het beoordelen van de IT omgeving alsmede de technische integratie van beide informatiesystemen. Wij zijn van mening dat momenteel onvoldoende aandacht wordt besteed aan de specifieke onderdelen van het toekomstige integratietraject. De toekomstige aansluiting tussen de business processen en informatiesystemen wordt onvoldoende belicht. Wij zijn van mening dat de IT-afhankelijkheid van de organisatie de diepgang van het PMI (Post Merger Integration) onderzoek bepaalt. Met name bij overnames van grote organisaties, waarbij de IT-afhankelijkheid groot is, dient de aansluiting van het toekomstige informatiesysteem met de toekomstige business processen diepgaand te worden onderzocht. Het blijkt dat de IT auditor op dit moment niet altijd betrokken is bij de scoping en opdrachtaanvaarding van een DD onderzoek. Hierdoor kan onduidelijkheid bestaan over de visie die de overnemende partij heeft met de over te nemen partij. Wij zijn van mening dat de rol van de IT auditor in alle stadia van het DD onderzoek verbeterd kan worden. De deskundigheid van de IT auditor wordt onvoldoende gebruikt, waardoor de IT omgeving onvoldoende wordt onderzocht. Een “best practice” situatie kan ontstaan wanneer bij elk DD onderzoek de teamleider kan vaststellen of IT audit expertise vereist is en in welke mate. De opdrachtgever krijgt op deze wijze al in het voortraject een goed beeld van de afhankelijkheid van IT binnen zijn organisatie. De IT afhankelijkheid van een organisatie kan onderverdeeld worden in “noise”, “data”, “information”, “knowledge” en “wisdom”. In het geval een organisatie beslissingen neemt op basis van “noise” wordt er gebruik gemaakt van informatie die niet gebaseerd is op feiten en speelt IT veelal een kleine rol. Bij “knowledge” en “wisdom” maakt de organisatie gebruik van informatie gebaseerd op feiten. Deze informatie is afkomstig uit meerdere bronnen, waardoor de invloed van IT groot is. Om de IT afhankelijkheid te bepalen en tot een juiste opdrachtomschrijving te komen, dient de communicatie tussen de opdrachtgever en de IT auditor uitstekend te zijn. Wij zijn van mening dat hiervoor een multidisciplinair team nodig is binnen een DD onderzoek. Ook het IT team zal multidisciplinair opgebouwd moeten worden. Zowel een IT auditor (intern en extern) als een IT specialist is benodigd om een goede beoordeling uit te voeren op de IT omgeving. Bovendien kan zo’n team een goed advies geven ten aanzien van het toekomstige informatiesysteem. We hebben geconstateerd dat er geen eenduidige richtlijn wordt gebruikt tijdens het uitvoeren van een DD onderzoek. Tevens zijn er geen standaard werkprogramma’s en normenkaders beschikbaar. Per DD onderzoek wordt veelal een eigen specifieke werkwijze gebruikt. Wij adviseren binnen de Post-doctorale EDP audit opleiding (aan de VU) extra aandacht te besteden aan DD onderzoeken. Bovendien kan de mogelijkheid worden onderzocht om een standaard aanpak (richtlijn, normenkader en werkprogramma) op te stellen per typologie.


5

Conclusie De toegevoegde waarde van een IT auditor binnen een DD onderzoek kan worden verhoogd door:

1. Tijdige betrokkenheid van IT auditors: hiertoe zullen strakke communicatielijnen noodzakelijk zijn. Ter ondersteuning van de besluitvorming hebben wij een model geïntroduceerd, waarmee teamleiders de mate van IT audit inzet kunnen bepalen aan de hand van een inschatting van de IT afhankelijkheid van het bedrijf in kwestie.

2. Uitbreiding van de focus van technische integratie naar de integratie van IT en bedrijfsprocessen (Post Merger Integration focus).

3. Verbetering van de consistentie in kwaliteit en diepgang van de inzet van IT auditors bij DD onderzoeken, door het opzetten van een gestandaardiseerde aanpak (richtlijn, normenkader en werkprogramma) en het uitbreiden van de Post-doctorale EDP audit opleiding.


6

Inhoudsopgave 1 Inleiding ..................................................................................................................................................... 7

1.1 Aanleiding en de doelstelling van het afstudeeronderzoek .......................................................... 7 1.2 Afbakening ................................................................................................................................... 7 1.3 De onderzoeksvragen ................................................................................................................... 7 1.4 Het theoretisch kader ................................................................................................................... 8 1.5 Leeswijzer .................................................................................................................................... 8

2 Due Diligence ............................................................................................................................................ 9 2.1 Introductie .................................................................................................................................... 9 2.2 Begripsvorming .......................................................................................................................... 10 2.3 Definitie due diligence ............................................................................................................... 10 2.4 Doel van een due diligence onderzoek ...................................................................................... 11 2.5 Fasering ...................................................................................................................................... 13 2.6 Rolverdeling bij due diligence onderzoeken .............................................................................. 15 2.7 Huidige werkzaamheden IT auditor bij IT DD onderzoeken ..................................................... 16

2.7.1 Opdrachtgever ....................................................................................................................... 16 2.7.2 IT integratie strategie ............................................................................................................. 17 2.7.3 Beoordeling IT omgeving ...................................................................................................... 17

3 Toegevoegde waarde van een interne of externe IT auditor binnen een due diligence onderzoek .......... 21 3.1 De toekomstige integratie van de IT omgeving van fuserende ondernemingen (PMI) ............. 21 3.2 De IT auditor binnen het DD team ............................................................................................. 22 3.3 IT specialist versus IT auditor .................................................................................................... 26 3.4 Richtlijnen voor een DD onderzoek ........................................................................................... 26

4 Conclusies en aanbevelingen ................................................................................................................... 28 4.1 Conclusies .................................................................................................................................. 28 4.2 Aanbeveling ............................................................................................................................... 29

5 Bronnen .................................................................................................................................................... 30 6 Due diligence interview vragen ............................................................................................................... 31


7

1 Inleiding

Deze scriptie is het sluitstuk van de postdoctorale EDP-Audit opleiding, welke wij hebben gevolgd aan de Vrije Universiteit van Amsterdam. Deze scriptie bevat de uitkomsten van ons onderzoek en geeft antwoord op onze hoofdonderzoeksvraag: Hoe kan de toegevoegde waarde van een IT auditor binnen een due diligence (hierna: DD) onderzoek worden verhoogd?

1.1 Aanleiding en de doelstelling van het afstudeeronderzoek

In Europa vinden op dit moment veel fusies en fusiepogingen plaats. Deze fusies en fusiepogingen hebben recent plaatsgevonden bij onder andere financiële instellingen (ABN AMRO), energiebedrijven (Gaz de France-Suez/Nuon-Essent) en de levensmiddelen industrie (Numico-Danone). In de beslissing om wel of niet over te gaan tot fusie of overname is een DD onderzoek belangrijk. De betreffende partijen willen geen zogenoemde “lijken in de kast” vinden. Daarnaast wordt getoetst of de prijs overeenkomstig de reële waarde is. De berichtgeving rondom DD onderzoeken is veelal van financiële aard, terwijl IT één van de meest kritische factoren kan zijn bij fusies en overnames. Het is daarom niet in alle gevallen duidelijk wat de rol van een IT auditor (zowel intern als extern) kan zijn in een DD onderzoek. Belangrijk in deze is de vraag welke invloed de IT auditor kan hebben op de uiteindelijke beslissing om wel of niet over te gaan tot een fusie of overname. Kan de waardering van de betreffende onderneming worden beïnvloed door de uitkomsten van het werk van de IT auditor? Gezien de actualiteit van dit onderwerp en de vele fusies en fusiepogingen, is dit onderwerp gekozen voor deze scriptie.

1.2 Afbakening

Bij dit onderzoek hebben wij ons met name gericht op IT DD. Het onderzoek is uitgevoerd door het verrichten van een definitiestudie, vooronderzoek van vakliteratuur en het afnemen van interviews. De hierbij verkregen informatie is geanalyseerd.

1.3 De onderzoeksvragen

De afstudeerscriptie heeft als doel om een antwoord te geven op de onderzoeksvraag: "Hoe kan de toegevoegde waarde van een IT auditor binnen een due diligence onderzoek worden verhoogd?” Om antwoord te geven op genoemde onderzoeksvraag zullen de volgende deelvragen worden beantwoord:

– Wat is het doel van een due diligence onderzoek?


8

– Wat is de huidige rol van een interne auditor en een externe (IT) auditor binnen een due diligence onderzoek?

– Hoe kunnen de rapportages van een IT auditor gebruikt worden?

1.4 Het theoretisch kader

Het theoretisch kader van het afstudeeronderzoek is opgebouwd uit een aantal gebruikte methoden en technieken :

- Literatuurstudie; - Het houden van interviews; - Brainstormsessies.

Om te komen tot een antwoord op de onderzoeksvragen hebben wij de volgende activiteiten uitgevoerd:

1. Wat is het doel van een due diligence onderzoek? Deze onderzoeksvraag is met name uitgevoerd aan de hand van de literatuurstudie. Voor de definitie van DD hebben wij diverse interviews gehouden en vakbladen geraadpleegd, zoals de “Compact” en de “EDP-Auditor”.

2. Wat is de huidige rol van een interne auditor en een externe (IT) auditor binnen een due diligence

onderzoek? Voor het beantwoorden van deze onderzoeksvraag hebben wij diverse interviews gehouden met ervaringsdeskundigen. Hierbij hebben wij de verschillende opvattingen geanalyseerd. Uit deze analyse hebben wij een conclusie gevormd.

3. Hoe kunnen de rapportages van een IT auditor gebruikt worden?

Voor het beantwoorden van deze onderzoeksvraag is uitsluitend gebruik gemaakt van de interviews met de ervaringsdeskundigen.

1.5 Leeswijzer

In hoofdstuk 2 wordt ingegaan op het onderwerp DD: wat is het; wie zijn er bij betrokken en wat is de rol van een IT auditor daarbij. In hoofdstuk 3 wordt de effectiviteit van de huidige betrokkenheid geanalyseerd om vervolgens in te gaan op de wijze waarop de toegevoegde waarde van een IT auditor kan worden vergroot. In hoofdstuk 4 zijn onze bevindingen en aanbevelingen ter verbetering nog eens beknopt samengevat.


9

2 Due Diligence

Dit hoofdstuk beschrijft DD onderzoeken en het doel hiervan. In paragraaf 2.1 is een introductie opgenomen over de herkomst en geschiedenis van DD. In paragraaf 2.2 en 2.3 wordt de definitie DD nader geanalyseerd en toegelicht. In paragraaf 2.4 wordt het doel van het DD onderzoek beschreven. Paragraaf 2.5 beschrijft de fasering van het DD onderzoek. In paragraaf 2.6 is de rolverdeling binnen het DD onderzoek beschreven. Tot slot is in paragraaf 2.7 toegelicht wat de huidige werkzaamheden zijn van de IT auditor binnen een DD onderzoek.

2.1 Introductie

De term due diligence is gemeengoed geworden als gevolg van de US Securities Act in 1933. Deze Act bevatte een “Due diligence-verdediging”, die gebruikt kon worden door brokers en dealers wanneer deze beschuldigd werden van een ontoereikbare verstrekking van beleggersinformatie bij de verkoop van effecten. (Bron: www.wikipedia.org) Brokers en dealers voerden een DD onderzoek uit bij de onderneming, waarvan zij de aandelen verkochten. Indien zij de resultaten van het onderzoek aan de investeerders rapporteerden, konden zij niet aansprakelijk worden gesteld voor onvolledige of onjuiste informatie die onbelicht bleef tijdens dat onderzoek. Het uitvoeren van een DD onderzoek is daarna een standaard onderdeel bij investeringen geworden. Oorspronkelijk is de term due diligence gerelateerd aan beleggingen in aandelen, maar in de loop van tijd is DD ook gebruikt voor overnames en fusies. Dagelijks vinden in de financiële dagbladen diverse berichtgevingen plaats over fusies en overnames. Vooral de Nederlandse organisaties lijken in trek bij de buitenlandse organisaties. In het eerste kwartaal van 2007 heeft een recordaantal fusies en overnames plaatsgevonden, met een totale waarde van 54 miljard (ref.). Als we kijken naar overnames, fusies, en fusiepogingen in 2007 levert dat een aanzienlijke lijst op:

- Numico / Danone - Essent / Nuon - BinckBank / Alex - Gaz de France / Suez - ABN AMRO / Fortis (RBS/Banco Santander) - Corus/Tata Steel - Akco Nobel / ICI industries - Etc.

Van een fusie is sprake als beide ondernemingen in het nieuw te vormen bedrijf een vergelijkbare inbreng hebben. Van een overname wordt gesproken als de ene onderneming meer aandelen heeft in het nieuwe bedrijf dan de andere onderneming. Waar in de praktijk en in de media gesproken wordt over fusies, betreft het meestal overnames. Immers, de kans is klein dat ondernemingen exact dezelfde waarde hebben.


10

Bij overnames en fusies vindt meestal een onderzoek plaats bij de te overnemen organisatie of partner. Deze onderzoeken worden ook wel DD onderzoeken genoemd. Het DD onderzoek kan worden uitgevoerd door een interne partij (bijv. Internal Audit) of een externe partij (externe accountant). De keuze voor een interne of externe partij is afhankelijk van de capaciteit, kwaliteit en onafhankelijkheid van de mensen van de eigen organisatie.

2.2 Begripsvorming

In deze scriptie maken wij geen nader onderscheid in DD bij fusies en DD bij overnames. Om begripsverwarring te voorkomen, hanteren wij in het vervolg van deze scriptie de term “overname” voor zowel fusies als overnames. Daarnaast zijn de verschillende soorten DD in dit rapport niet uitputtend. Een DD onderzoek wordt afgestemd op de betreffende organisatie.

2.3 Definitie due diligence

Tijdens onze literatuurstudie is gebleken dat er geen eenduidige definitie wordt gehanteerd voor DD onderzoeken. Binnen het bedrijfsleven zijn er verschillende variaties van definities. We kunnen de volgende definities onderkennen naar aanleiding van de literatuurstudie en de interviews. “Een due diligence-onderzoek is een door de verkoper of koper zorgvuldig uitgevoerd onderzoek naar een organisatie, in het kader van een voorgenomen waardeoverdracht.” “Een diepgaande en grondige analyse van de financiële en operationele toestand van een bedrijf dat het doel is voor een investering, fusie of overname.” “Het doorlichten van een bedrijf op financieel, juridisch en operationeel gebied, waarbij de uitgangspunten waardering en toekomstverwachting worden getoetst.” “Het nader onderzoeken of hetgeen aangeboden wordt onverwachte risico's of repercussies met zich kan brengen, zowel op korte termijn als op lange termijn. Bijzondere aandacht vragen onderdelen als: dubieuze debiteuren, aangegane (lange en korte termijn) verplichtingen en contracten, pensioenverplichtingen naar personeel, afgesproken afvloeiingsregelingen, CAO, integratievraagstukken die het snel integreren kunnen bemoeilijken, belangrijke afspraken met klanten, zaken op de balans maar ook off balance verplichtingen, lopende servicecontracten (outsourcing, onderhoud, sla's, etc.) en overige zaken.” “Een boekenonderzoek waarbij de volgende zaken van belang zijn:

� Valideren waarde � Beoordelen synergie voordelen � Business risks � Maturity van de organisatie”

“ Een onderzoek in de boeken van ondernemingen bij fusies en overnames. “ “ Onafhankelijk onderzoek naar kwaliteit en waardering van het object.” “In kaart brengen van de juiste waarde van de over te nemen partij, waarbij adequate aandacht wordt besteed aan afbreukrisico’s voor de waarde van de onderneming.”


11

Conclusie Uit de diverse definities die door de verschillende personen worden gehanteerd blijkt het volgende: Hoewel geen eenduidige definitie gehanteerd wordt, bevatten de verschillende definities overeenkomstige elementen, zijnde:

� Financiële waardering bedrijf � Operationele evaluatie bedrijf � Business risks (evaluatie van de mogelijke risico’s)

De financiële waardering van het bedrijf is bijna in alle definities (in)direct terug te vinden. Hieruit maken wij op, wat we tevens in ons praktijkonderzoek tegen zijn gekomen, dat de financiële waardering van het bedrijf één van de belangrijkste onderzoekselementen is. Naast het financiële aspect wordt de operationele bedrijfsvoering en business risks als kritische overname factor gezien. Opmerkelijk is dat IT niet expliciet in de definities voorkomt. Op basis van bovenstaande elementen komen wij tot de volgende definitie: “Due diligence betreft een onderzoek waarbij de financiële, operationele en strategische waarde van de onderneming wordt beoordeeld, waarbij zowel het heden als de toekomst in kaart worden gebracht.“

2.4 Doel van een due diligence onderzoek

Uitgaande van de definitie uit de vorige paragraaf zal een DD doorgaans worden uitgevoerd om de volgende zaken te onderzoeken c.q. vragen te beantwoorden:

- Zijn de verwachtingen van de koper realistisch? - Bepaling van de prijs voor een overname van een onderneming - Zijn er geen verborgen gebreken (“lijken in de kast”) of verborgen kosten (“hidden CAPEX1”) - In kaart brengen van de kosten, de tijd en maatregelen die vereist zijn na de overname. - In kaart brengen van kansen en bedreigingen - Het bepalen van de strategische waarde van de onderneming

In de praktijk komen de volgende soorten DD onderzoeken veelal voor:

- Vendor due diligence - Acquisitions and mergers

Vendor due diligence Bij deze vorm van DD wordt het onderzoek uitgevoerd bij de organisatie die zichzelf ter overname of verkoop beschikbaar wil stellen, zodat de verbeterpunten in kaart kunnen worden gebracht. Dit DD onderzoek wordt uitgevoerd in opdracht van het bedrijf zelf, zodat het DD onderzoek maar één keer uitgevoerd hoeft te worden. Als deze DD uitgevoerd wordt door de koper, dan zal de organisatie meerdere keren onderwerp zijn van een DD onderzoek. Bij een uiteindelijke overname van de organisatie worden de kosten van het DD onderzoek veelal door de overnemende of kopende organisatie betaald. De kosten van het DD onderzoek zijn namelijk opgenomen in de P&L van het bedrijf van onderzoek. Het is verstandiger dat een VDD niet wordt uitgevoerd door de huisaccountant in verband met onafhankelijkheid. 1 Capital Expenditures: de kosten voor ontwikkeling of levering van niet-verbruikbare onderdelen van een product of systeem (bron: wikipedia)


12

Acquisitie due diligence Bij dit DD onderzoek voert een externe organisatie een onderzoek uit op de over te nemen organisatie om eventuele “lijken in de kast” te achterhalen. De volgende soorten komen minder geregeld voor (bron: Bruyndonkx, Dirk) :

- Beursnoteringen aandelenkoersen - Herfinanciering van schulden, leningen of risicokapitaal - Joint ventures of strategische allianties - Vijandige overnames of de verdediging daartegen - Management buy-outs of management by-ins - Overnames van bedrijfsschulden - Financiële fraude en diefstal - Onderschrijven van verzekeringen - Intellectueel eigendom

Daarnaast wordt door bedrijven vaak onderstaand verschil gemaakt binnen DD opdrachten:

• Gedeeltelijke overname • Volledige overname • Pakket overname

Gedeeltelijke overname Wanneer men spreekt over een gedeeltelijke overname zal de overnemende partij een gedeelte van de “over te nemen partij” overnemen. Bijvoorbeeld het beleggingsonderdeel van een bank. Het gaat in dit geval vaak om afdelingen van organisaties die grotendeels zelfstandig kunnen opereren. Belangrijke aandachtspunten bij een gedeeltelijke overname zijn de contracten en licenties die nog lopen. Daarnaast is het belangrijk om in kaart te brengen welke wederzijdse afhankelijkheden bestaan tussen het over te nemen onderdeel en de moederorganisatie. Volledige overname Een volledige overname houdt in dat de overnemende partij de “over te nemen partij” volledig overneemt. Dit houdt in dat de overnemende partij juridisch gezien volledig verantwoordelijk wordt voor de over te nemen partij. De overnemende partij neemt de volledige bedrijfsvoering van de “over te nemen partij” over. In een DD voor een volledige overname is het belangrijk aandacht te besteden aan de lopende contracten en licenties. Dit geldt zowel voor financiële en IT contracten en licenties. Pakket overname Een overnemende partij kan ervoor kiezen alleen een software pakket over te nemen van een andere partij. In dit geval is een aantal specifieke aandachtspunten belangrijk om mee te nemen binnen het DD onderzoek. Voor het pakket zijn waarschijnlijk licenties aangeschaft, zijn deze licenties nog bruikbaar voor de overnemende partij? Daarnaast zijn wellicht service contracten opgesteld voor het onderhoud en de ondersteuning van het software pakket. Gelden deze contracten nog steeds na de overname ? Expliciete aandacht voor deze onderwerpen bij een DD kunnen de overnemende partij veel geld en kosten besparen.


13

2.5 Fasering

Figuur 1 De fases in het DD onderzoek (bron: Beek, van J.J. en Donkers, J.A.M. en Lof, K.M.)

Voor DD onderzoeken zijn geen eenduidige richtlijnen beschikbaar. Op basis van literatuur en gesprekken met ervaringsdeskundigen hebben wij de volgende fases onderscheiden (bron: gehouden interviews en Bruyndonckx, Dirk) :

• Contact • Scoping • Opdrachtaanvaarding • Due diligence • Rapportage

Contact In deze fase wordt contact gelegd tussen de kopende partij en de over te nemen partij. Scope Bij deze fase wordt de scope vastgesteld voor het DD onderzoek. De scope is afhankelijk van de doelstellingen die de overnemende partij heeft. Hierbij worden de volgende zaken beschreven:

- Onderzoeksobjecten - Tijdslijnen - Bemensing

Opdrachtaanvaarding Indien de uitvoerende partij voldoende vertrouwen heeft in het uit te voeren onderzoek wordt de opdracht aanvaard, waarbij de scope duidelijk wordt vastgelegd.


14

Due diligence De organisatie waar de DD uitgevoerd wordt, stelt een data room beschikbaar. In deze data room wordt documentatie beschikbaar gesteld, die door het DD (audit) team ingezien mag worden. Deze zogenoemde data room kan een fysieke locatie binnen de organisatie zijn of een e-room. Als het om een fysieke locatie gaat is de kamer vaak gevuld met fysieke dossiers. Als het om een e-room gaat betekent dit dat de documentatie op een website/server elektronisch beschikbaar is. In dit geval kan de documentatie alleen worden ingezien, het is niet mogelijk de documenten aan te passen, te kopiëren of op te slaan. Eventuele documentatie die niet direct beschikbaar is in de data room kan worden opgevraagd. Of deze ook wordt opgeleverd, bepaalt de over te nemen organisatie zelf. Naast bovenstaand proces loopt gelijktijdig het Q&A proces (Questions & Answers) Hierbij kan de externe partij vragen stellen aan de te overnemen partij. Deze zal indien een antwoord beschikbaar is, antwoord geven. Het werkelijke onderzoek wordt veelal onderverdeeld in de volgende stappen (bron: interviews): • Vaststellen van activa en verplichtingen

Bij deze activiteit wordt onderzocht welke activa onderdeel is van de te overnemen partij. Bovendien worden de schulden en verplichtingen in kaart gebracht.

• Analyseren van huidige en toekomstige problemen

Hierbij wordt een analyse gemaakt van de huidige knelpunten binnen de over te nemen partij. Daarnaast wordt onderzocht welke problemen deze knelpunten voor de overname kunnen veroorzaken.

• Evalueren van het personeel en hun bekwaamheden

Een belangrijk onderdeel in het DD onderzoek is het personeel. Met verschillende medewerkers worden gesprekken gevoerd om vast te stellen of deze medewerkers voldoende bekwaam zijn voor het uitvoeren van de betreffende functies in de nieuw te vormen onderneming.

• Het marktaandeel onderzoeken

Investeerders en overname partijen nemen een partij over om daar in de toekomst een voordeel over te behalen. Door het onderzoeken van het marktaandeel kan onderzocht worden of deze verwachting gegrond is.

Rapportage De bevindingen worden gerapporteerd in een concept rapportage. Deze concept rapportage wordt in het geval van een vendor DD aan de onderzochte onderneming voorgelegd. Hierbij zal veelal een discussie ontstaan over de gerapporteerde bevindingen. Bij een M&A DD is dit minder het geval, omdat de rapportage meestal rechtstreeks naar de overnemende partij zal gaan. De definitieve rapportage wordt opgesteld nadat het management commentaar heeft gegeven op de concept rapportage. Deze rapportage wordt opgeleverd aan de opdrachtgever.


15

2.6 Rolverdeling bij due diligence onderzoeken

De samenstelling van een DD team is afhankelijk van de aard van de opdracht, de aard van het onderzoeksobject en vooral de deskundigheid van de teamleider. De afhankelijkheid van IT zal essentieel zijn voor het wel of niet opnemen van een IT auditor in een DD team. DD teams bevatten veelal de volgende functiegroepen (bron: interviews):

- Accountant De accountant is verantwoordelijk voor de beoordeling van de financiële componenten van het DD onderzoek, waaronder dubieuze debiteuren, lopende schulden/contracten, financiële toekomstverwachtingen etc. - Processpecifieke deskundigen De processpecifieke deskundigen zijn verantwoordelijk voor de beoordeling van specifieke processen die van primair belang zijn voor de bedrijfsvoering. Hierbij kan men denken aan een fabricageproces in een industrieel bedrijf. De financiële processen binnen zo’n organisatie zijn voor rekening van de accountant.

- Jurist De jurist is verantwoordelijk voor het beoordelen van juridische aspecten die een overname altijd heeft. Daarnaast is hij/zij verantwoordelijk voor het in kaart brengen van de huidige contracten, SLA en licenties etc. - Tax specialist De Tax specialist beoordeelt de fiscale consequenties van de overname. Bovendien beoordeelt hij/zij de openstaande belastingschulden of vorderingen. - HR specialist De HR specialist is verantwoordelijk voor het beoordelen van de personeelsvoorwaarden inclusief pensioenen en de personeelscompetenties.

- IT Specialist De IT specialist is verantwoordelijk voor de beoordeling van de IT middelen, processen en mogelijkheden van de betreffende organisatie. Het onderzoek dat de IT specialist in dit kader uitvoert, wordt ook wel IT DD genoemd.


16

Accountant

HRM

Tax

Legal

IT

Teamleider

Opdrachtgever

Figuur 2 Organisatie due diligence team

Bovenstaand figuur geeft de organisatie van een DD team weer. De onderste laag van het DD team is verantwoordelijk voor het werkelijk uitvoeren van het DD onderzoek. Daarnaast zorgt de teamleider voor de juiste kennis en capaciteit binnen het DD onderzoek. Het kan voorkomen dat bepaalde functies niet in het DD team opgenomen worden, omdat deze geen toegevoegde waarde leveren aan het onderzoek. De verschillende disciplines in de onderste laag communiceren zowel met elkaar als met de teameider(s). De teamleider is de brug tussen de uitvoerende disciplines en de opdrachtgever (topmanagement).

2.7 Huidige werkzaamheden IT auditor bij IT DD onderzoeken

Dit hoofdstuk bevat de werkzaamheden zoals deze op dit moment worden uitgevoerd door IT auditors bij DD onderzoeken. Wij hebben ons gebaseerd op zowel literatuur als informatie uit de interviews. 2.7.1 Opdrachtgever De opdrachtgever bepaalt welke werkzaamheden door de IT auditor worden uitgevoerd binnen een DD onderzoek. Een IT auditor kan binnen een DD onderzoek verschillende opdrachtgevers hebben:

• Accountant (indien het een externe IT auditor is van een accountantskantoor is de accountant vaak de opdrachtgever van de IT auditor)

• IT Management / CIO (de RvB, de CIO of het management kan de opdrachtgever zijn van een interne IT auditor van de overnemende partij)

• Raad van Bestuur (de RvB van de overnemende partij kan een IT auditor vragen om naar de IT aspecten te kijken binnen een DD onderzoek)

De opdrachtgever is van belang bij het bepalen van de scope van het IT DD onderzoek. Voor het IT management zal het rapport gedetailleerder (specifieke processen) in gaan op de IT aspecten van de te onderzoeken organisatie. Een rapportage voor een Raad van Bestuur zal meer gericht zijn op de evaluatie


17

van de IT omgeving als geheel op een hoog niveau. De rapportage voor de accountant wordt afgestemd met de eisen van de opdrachtgever van de accountant. 2.7.2 IT integratie strategie De toegevoegde waarde van de IT systemen van beide organisaties wordt op een hoog niveau ingeschat. Deze inschatting bepaalt wat de IT integratie strategie wordt. De overnemende partij maakt hierbij keuze uit 3 alternatieven (bron: Beek, van J.J. en Donkers, J.A.M. en Lof, K.M.):

• Gescheiden informatievoorziening • Partiële integratie • Volledige integratie

Gescheiden informatievoorziening De overnemende partij kan ervoor kiezen om de informatiesystemen van de over te nemen partij niet te integreren met de eigen informatiesystemen. Hiervoor kan gekozen worden als de informatiesystemen onmogelijk geïntegreerd kunnen worden, maar de over te nemen partij wel voldoende strategische waarde heeft. In dit geval zullen beide partijen op hun oorspronkelijke systemen blijven werken. Partiële integratie Bij partiële integratie kan de overnemende partij ervoor kiezen om delen van informatiesystemen van de over te nemen partij te integreren met de eigen informatiesystemen. Hierbij worden de voor synergie belangrijke processen en systemen geïntegreerd. De minder belangrijke systemen worden hierin niet meegenomen. Volledige integratie Een volledige integratie van systemen brengt de meeste risico’s met zich mee. Hierbij kan bijvoorbeeld worden gekozen voor het systeem van één van de partijen, indien de capaciteit van het systeem dit toelaat. Daarnaast kunnen twee systemen in elkaar worden geschoven. Deze variant is vaak moeilijk te realiseren. 2.7.3 Beoordeling IT omgeving De keuze voor een IT integratiestrategie is van belang voor de scope van het DD onderzoek. Afhankelijk van de IT integratiestrategie kunnen systemen al dan niet opgenomen worden in de scope van het DD onderzoek. Voor het bepalen van de huidige waarde van de IT systemen maken we onderscheid tussen een materiële waarde en een immateriële waarde. De materiële waarde van een onderneming is vaak goed in kaart te brengen door het inventariseren van onder andere de hardware en software van een IT omgeving. Bij het bepalen van de waarde van de IT omgeving wordt zowel de huidige waarde van de IT omgeving onderzocht als de toekomstige waarde. De immateriële waarde van een IT omgeving ligt met name bij de strategische waarde hiervan. Hieronder is een casus weergegeven, waarin zowel de materiële waarde als de immateriële waarde worden beschreven.


18

Bij organisaties is de immateriële waarde van een onderneming veelal van groter belang dan de materiële waarde. Deze immateriële waarde wordt onder andere bepaald door de volgende aspecten:

� Potentiële waarde binnen de markt � Potentiële waarde voor de kopende partij � Kennis binnen de IT organisatie � Personeel � Continuïteit

IT is de afgelopen jaren steeds meer een succesfactor voor bedrijven geworden. Internetbeleggen verlaagt bijvoorbeeld de kosten voor beleggers. Uit interviews is gebleken dat de invloed van IT op de waardebepaling van een organisatie veelal afhankelijk is van de omvang van de overnames. In veel gevallen blijkt dat bij de overname van twee kapitaal intensieve organisaties de volwassenheid van IT geen invloed heeft op de uiteindelijke prijs die de overnemende partij betaalt. Deze overnames worden vanuit strategisch belang uitgevoerd. De overnemende partij gaat er vaak vanuit dat de informatiesystemen van voldoende kwaliteit zijn. Bovendien is de waarde van IT maar een klein onderdeel van het overnamebedrag. In het geval van “kleine” overnames van hoog geautomatiseerde omgevingen kan IT wel degelijk van invloed zijn op het overnamebedrag. Het is weliswaar mogelijk om vast te stellen wat alle hardware momenteel waard is. Echter, het is niet eenvoudig om de waarde van de software in combinatie met de hardware te bepalen. Om de huidige waarde van IT vast te stellen dienen de volgende aspecten te worden onderzocht:

� ICT kosten � ICT management � ICT organisatie � Betrouwbaarheid en Continuiteit � Informatiesystemen � Lopende ICT projecten � ICT infrastructuur � Juridische aspecten ICT

ICT kosten In kaart brengen van de kosten van de aanwezige hard- en software en het ICT personeel, waardoor ook een toekomstige schatting van de ICT kosten gemaakt kan worden.

Overname Youtube In 2006 heeft Google Youtube overgenomen voor een bedrag van 1,65 miljard. De materiële waarde van Youtube zal met name bestaan uit gebouwen, inventaris en IT systemen. De materiële waarde van de IT middelen van Youtube kan worden bepaald door de actuele waarde van hardware te beoordelen in relatie tot de boekwaarde. De immateriële waarde van Youtube is afhankelijk van de potentiële waarde van Youtube in de markt. Indien een grote stijging is te verwachten van het aantal bezoekers, zal deze waarde alleen maar stijgen. Dit terwijl de materiële waarde van de IT systemen van Youtube vele malen lager is. De nadruk van het DD onderzoek dat in deze situatie wordt uitgevoerd, zal met name liggen bij de toekomstige mogelijkheden van het doelbedrijf. De huidige waardebepaling zal weinig tot geen invloed hebben op de beslissing tot overname.


19

ICT management Een belangrijke vraag is of het ICT management activiteiten uitvoert volgens de strategie van de organisatie. Tevens wordt beoordeeld of het management bekwaam is in het uitvoeren van het gedefinieerde takenpakket. ICT Organisatie structuur De ICT organisatie structuur wordt beoordeeld op een aantal punten zoals de afhankelijkheid van medewerkers, documentatie, kwaliteitsmanagement etc. Betrouwbaarheid & Continuïteit Een beoordeling wordt uitgevoerd op verschillende beveiligings- en continuiteitaspecten. Hierbij kan worden gedacht aan het informatiebeveiligingsbeleid, de continuiteitsplanning , fysieke toegangsbeveiliging en logische toegangsbeveiliging. Informatiesystemen Voor de beoordeling van informatiesystemen wordt de functionele en technische kwaliteit in kaart gebracht en geanalyseerd of deze zijn voorbereid op externe factoren. Op hoofdlijnen wordt een beoordeling uitgevoerd op de technische integratie van systemen. Lopende ICT projecten, contracten en licenties Tijdens deze stap wordt geanalyseerd welke projecten op dit moment bij de desbetreffende organisatie lopen. Hoe lang lopen deze projecten nog door en wat zijn de kosten? Uit ons literatuuronderzoek en interviews is gebleken dat de waardebepaling van IT zich met name richt op licenties, contracten en projecten. Voor deze aspecten zijn door het doelbedrijf veelal verplichtingen aangegaan. Deze verplichtingen kunnen toekomstige kosten tot gevolg hebben. In onderstaande casus worden twee scenario’s geschetst, waarin de risico’s van deze verplichtingen zijn weergegeven.

Bedrijf A neemt Bedrijf B over Bedrijf A heeft vergevorderde plannen om Bedrijf B in zijn geheel over te nemen. Bedrijf B werkt met een SAP systeem, waarbij een licentieovereenkomst is aangegaan voor 5 jaar voor 2000 gebruikers. Op het moment van overname loopt de overeenkomst nog 3 jaar door. Daarnaast is Bedrijf B een project gestart om de functionaliteit van SAP uit te breiden. Via een additioneel contract heeft Bedrijf B met een externe partij afspraken gemaakt om dit realiseren. De looptijd van het project is twee jaar. Scenario 1 Bedrijf A voert een DD onderzoek uit, waarin onder andere de waarde van het SAP systeem in kaart wordt gebracht. Hierbij wordt slechts onderzocht wat de waarde van het systeem is in de boeken van Bedrijf B. De doelstelling van Bedrijf A is de integratie van het SAP systeem van Bedrijf B in het eigen SAP systeem. Hiervoor kan Bedrijf A gebruik maken van de door Bedrijf B afgesloten licentie. Echter, het SAP systeem van Bedrijf A beschikt over alle benodigde modules. Bedrijf A komt tot de ontdekking dat Bedrijf B een projectcontract heeft afgesloten. Deze verplichting brengt veel onverwachte kosten met zich mee. Scenario 2 Bedrijf A voert een DD onderzoek, waarin onder andere de waarde van het SAP systeem in kaart wordt gebracht. Hierbij wordt slechts onderzocht wat de waarde van het systeem is in de boeken van Bedrijf B. Bedrijf A maakt gebruik van het ERP systeem JD Edwards. De doelstelling is om Bedrijf B in dit ERP systeem op te nemen. Hierdoor wordt Bedrijf A met onverwachte kosten geconfronteerd door de afgesloten licentie en projectcontracten.


20

Naast bovenstaande scenario’s kunnen outsourcing contracten hoge kosten veroorzaken. Indien het overnemende bedrijf een eigen IT afdeling heeft, heeft het outsourcing contract als die strategie wordt voortgezet geen waarde. De kosten van het outsourcing contract dienen derhalve in de waardebepaling meegenomen te worden. Het ontbinden van het contract met de outsourcing partij zal immers kosten met zich mee brengen. ICT Infrastructuur Deze stap bevat het in kaart brengen van de waarde van hardware, software, het netwerk en de werkplek. Juridische aspecten ICT Deze stap bevat het in kaart brengen van de huidige ICT contracten die de organisatie heeft lopen. Daarbij is de reikwijdte en de scope van de contracten belangrijk. Wat gaat het kosten om bepaalde contracten te ontbinden en bijvoorbeeld intellectuele eigendomsrechten over te nemen? Naast bovengenoemde punten en gedeeltelijk tijdens het onderzoeken van bovengenoemde punten zal de IT auditor op zoek gaan naar “IT lijken in de kast”. Hierbij kan worden gedacht aan bijvoorbeeld oude legacy systemen waar geen documentatie meer van aanwezig is. Dit betreft aandachtspunten die onverwacht veel kosten op kunnen leveren en van invloed kunnen zijn op de uiteindelijke waarde van de onderneming.


21

3 Toegevoegde waarde van een interne of externe IT auditor binnen een due diligence onderzoek

Dit hoofdstuk is verdeeld in vier paragrafen die ingaan op de aspecten binnen een DD onderzoek waar de IT auditor toegevoegde waarde kan leveren.

3.1 De toekomstige integratie van de IT omgeving van fuserende ondernemingen (PMI)

In hoofdstuk 2 worden de huidige werkzaamheden beschreven, zoals deze door een IT auditor worden uitgevoerd bij een IT DD onderzoek. Uit de interviews is gebleken dat de huidige scope van DD onderzoeken met name is gericht op het bepalen van de waarde van de IT omgeving alsmede de technische integratie van beide informatiesystemen. Aan de integratie zijn hoge kosten verbonden, die feitelijk horen bij de waarde van de onderneming bij de overname. Uit de interviews blijkt dat lopende projecten, contracten en licenties worden onderzocht op huidige waarde en eventuele toekomstige waarde. Dit onderzoek heeft invloed op de kosten voor de toekomstige integratie. Via een beoordeling op de technische integratie wordt op hoog niveau ingeschat wat de voordelen, nadelen en kosten zijn van de integratie. De toekomstige integratie van twee fuserende ondernemingen wordt ook wel PMI (Post Merger Integration) genoemd. Uit onze interviews blijkt dat de toekomstige integratie van de informatiesystemen met de business processen onderbelicht blijft. De DD beperken tot een globale beoordeling van de technische integratie kan er echter wel toe leiden dat een overname uiteindelijk toch mislukt. Evaluatie en aanbeveling Wij zijn van mening dat momenteel onvoldoende aandacht wordt besteed aan de specifieke onderdelen van het toekomstige integratietraject. Uit interviews blijkt dat de toekomstige aansluiting tussen de business processen en de informatiesystemen onvoldoende wordt belicht. Op een hoog niveau wordt de technische compatibiliteit van beide informatiesystemen onderzocht. Echter, de consequenties van het toekomstige informatiesysteem op de business processen wordt niet onderzocht. De risico’s hiervan zijn weergegeven in de volgende case.

Bedrijf Y heeft bedrijf X overgenomen Bedrijf Y heeft bedrijf X overgenomen en is gestart met de integratiefase. Bedrijf Y heeft als doelstelling de software en hardware van bedrijf X te integreren, hiermee is bedrijf Y al enige maanden geleden gestart. Tijdens deze integratiefase zijn echter problemen ontstaan en tot nu toe zijn de IT specialisten er niet in geslaagd de applicaties van bedrijf X te integreren. De maanden van extra werk voor de IT specialisten en de extra problemen die zich hebben voorgedaan zorgen voor veel extra kosten. Deze kosten zijn niet ingecalculeerd door de directie en er is na 3 maanden besloten de integratie te stoppen. De directie en IT specialisten van bedrijf Y zien geen mogelijkheden meer tot integratie van de applicaties van bedrijf X. Daarnaast loopt bedrijf Y op dit moment tegen het probleem aan dat er geen specialisten en kennis beschikbaar is voor het beheer van de applicaties en infrastructuur van bedrijf X. Bedrijf Y moet een externe partij inschakelen om het beheer van de applicaties en infrastructuur van bedrijf X op zich te nemen. Uiteindelijk is de integratie van de bedrijfsprocessen met de IT systemen niet uitgevoerd, waardoor de dienstverlening van onvoldoende kwaliteit blijft. Dit kost Bedrijf Y veel klanten.

Fusie KLM – Alitalia (bron: www.logistiek.nl) In 2000 is de fusie tussen KLM en Alitalia mislukt onder andere doordat beide partijen geen overeenstemming konden vinden over het te gebruiken ERP-systeem. KLM is later gefuseerd met Air France, omdat Air France een gevorderde gebruiker was van SAP.


22

De manier waarop een DD onderzoek wordt uitgevoerd is ook afhankelijk van de frequentie waarmee een organisatie overnames uitvoert. Indien een organisatie eens in de vijf jaar een andere organisatie overneemt, zal de ervaring bij dit soort trajecten niet groot zijn. Indien een organisatie meerdere keren per jaar een bedrijf overneemt, dan kan hieruit een “best practice” ontstaan, omdat geleerd kan worden van eerdere fouten. Onderstaande case beschrijft de werkwijze van een bedrijf dat DD onderzoeken als een periodiek (wekelijks/maandelijks) proces uitvoert:

Tijdens ons onderzoek is gebleken dat bovenstaande case een uitzonderlijk geval is. Bovendien hanteert genoemd bedrijf voor elk DD onderzoek dezelfde IT integratiestrategie. Hierdoor kan nagenoeg elk DD onderzoek op dezelfde wijze worden uitgevoerd. Wij zijn van mening dat de IT-afhankelijkheid van de organisatie de diepgang van het PMI onderzoek bepaalt. Met name bij overnames van grote organisaties, waarbij de IT-afhankelijkheid groot is, dient de aansluiting van het toekomstige informatiesysteem met de toekomstige business processen diepgaand te worden onderzocht. Vooral bij het gebruik van ERP systemen zoals SAP is de IT-integratie in de business processen groot. Ook al heeft zowel de overnemende als de over te nemen partij een zelfde ERP systeem, betekent dit niet dat de integratie een eenvoudig proces is. Immers, de ERP systemen bij beide organisaties zijn afgestemd op de bedrijfsspecifieke processen. Het samenvoegen van beide systemen heeft invloed op zowel de parametrisering van het nieuwe ERP systeem als de structuur van de nieuwe bedrijfsprocessen. Een dergelijk proces is derhalve risicovol.

3.2 De IT auditor binnen het DD team

Uit onze interviews blijkt dat de IT auditor niet altijd betrokken is bij de scoping en opdrachtaanvaarding. Hierdoor kan onduidelijkheid bestaan over de visie die de overnemende partij heeft met de over te nemen partij. De teamleider (veelal een accountant) stelt een team samen, die de doelstellingen van de opdrachtgever moeten behalen. Een IT auditor wordt pas ingezet bij het werkelijke DD onderzoek. De visie van de opdrachtgever is hierdoor onbekend bij de IT auditor. Veel DD onderzoeken worden uitgevoerd door accountantskantoren. IT DD onderzoeken worden weliswaar uitgevoerd door deze organisaties, echter de interne organisatie van de accountantskantoren zijn hier nog niet op ingericht. Uit interviews blijkt dat een DD onderzoek voor accountantskantoren geen kernactiviteit is. Hierdoor worden DD onderzoeken uitgevoerd naast bijvoorbeeld de reguliere jaarrekening audits. Deze audits leveren normaliter al een grote werkdruk op.

DSM DSM richt zich op Nutrition, Pharma, Performance Materials, Polymer Intermediates en Base Chemicals and Materials. DSM heeft ervoor gekozen om bij elke overname, de informatiesystemen van DSM bij de over te nemen partij te implementeren. Enkel specifieke of industriële systemen die benodigd zijn bij het productieproces worden behouden. Informatiesystemen voor wat betreft het grootboek en administraties worden door DSM opnieuw geïmplementeerd. Op deze wijze zorgt DSM ervoor dat alle dochterondernemingen werken met DSM informatiesystemen, waardoor deze goed aansluiten op de dochter. Hiertoe heeft het bedrijf een due diligence werkprogramma opgesteld. Hierbij wordt een standaard werkwijze gehanteerd. Deze werkwijze omvat onder meer een kostenschatting per werkplek. Op basis van deze kostenschatting en eventuele meerkosten kan ongeveer bepaald worden wat de integratiekosten zullen zijn. Doordat DSM uit ervaring kosten in kaart heeft gebracht, kan DSM efficiënt informatiesystemen van het aangekochte bedrijf integreren met informatiesystemen van DSM.


23

Uit de interviews blijkt dat de communicatie tussen de IT auditor en de andere teamleden niet optimaal is, doordat vaak onduidelijk is welke werkzaamheden een IT auditor uit kan voeren. Daarnaast is het uurtarief van een IT auditor hoger dan van accountants, waardoor inzet van IT auditors leidt tot een hogere druk op het budget (vaak een reden om minder IT audit in te schakelen dan noodzakelijk). Evaluatie en aanbeveling Wij zijn van mening dat de rol van de IT auditor in alle stadia van het DD onderzoek verbeterd kan worden. De opdrachtformulering wordt veelal afgestemd met de teamleider (meestal een accountant/financieel deskundige). Hierdoor wordt de deskundigheid van de IT auditor niet gebruikt, waardoor IT ten onrechte onvoldoende in de afbakening van de DD wordt meegenomen. De overnemende partij loopt het risico dat toekomstige kosten (bijv. integratie en kosten veroorzaakt door contracten) niet worden opgemerkt. Een “best practice” situatie kan ontstaan, wanneer bij elk DD onderzoek de teamleider zelf kan vaststellen of IT audit expertise vereist is en in welke mate. De inzet van IT audit expertise zal sterk samenhangen met de IT afhankelijkheid van een organisatie. De IT afhankelijkheid van de organisatie kan door een teamleider zelf, eventueel in samenspraak met een IT auditor, worden bepaald aan de hand van het volgende model (PSC Advisory services).

Het Content Progression model geeft aan hoe IT opereert en geïntegreerd is met de business processen en technologie. De kwaliteit van informatie die IT levert aan de organisatie kan worden bepaald aan de hand van vijf IT volwassenheidsfactoren binnen het Content Progression Model:

� Noise � Data � Information � Knowledge � Wisdom

De volwassenheid van informatie en de ondersteuning van IT hierin kan groeien van “Noise” naar “Wisdom”.


24

Indien een organisatie beslissingen neemt op basis van “Noise”, wordt er gebruik gemaakt van informatie die niet gebaseerd is op feiten. Veelal zal IT hierin een kleine rol spelen. Bij “Knowledge” en “Wisdom”, maakt de organisatie gebruik van informatie die gebaseerd is op feiten. Deze informatie kan afkomstig zijn uit meerdere bronnen, waardoor de invloed van IT groot is. IT zorgt voor het samenvoegen en verrijken van data, zodat waardevolle informatie beschikbaar is voor de organisatie. De volwassenheidsfactoren binnen het model hebben effect op een viertal eigenschappen van de organisatie:

� Command & control � Maturity � Customer needs � Competitive position

Indien een organisatie op het niveau van “Wisdom” opereert, zal zij door de hoge kwaliteit van informatie meer in control zijn, strategischer kunnen werken én een goede concurrentiepositie in kunnen nemen. De customer needs zijn naar onze mening altijd van belang, ongeacht de kwaliteit van de beschikbare informatie. Wij zijn van mening dat het gebruik van dit model de bruikbaarheid van het DD onderzoek (incl. de opdrachtomschrijving) verbetert, omdat de inhoud van het IT DD onderzoek afhankelijk is van de mate waarin IT wordt gebruikt binnen de organisatie. Aan de hand van de IT afhankelijkheidsfactor, kan de teamleider vervolgens bepalen in welke mate de IT auditor ingezet dient te worden. Wij hebben een globaal raamwerk samengesteld waarin de werkzaamheden in relatie tot de afhankelijkheidsfactor is weergegeven.

Noise

Data

Information

Knowledge

Wisdom

Inzet IT AuditorIT afhankelijkheid

IT afhankelijkheid minimaal. Inzet IT auditor niet vereist. Onderzoek kan uitgevoerd worden door bijvoorbeeld de financieel specialist.

IT afhankelijkheid laag. Inzet IT auditor binnen DD onderzoek : Quick Scan IT omgeving.

IT afhankelijkheid volledig geintegreerd met de business processen. Inzet IT auditor binnen DD onderzoek: Volledig DD onderzoek waarbij tevens onderzoek wordt uitgevoerd naar PMI en systeemintegratie



Figuur 3 Inzet IT-auditor


25

Onder een quick scan onderzoek wordt verstaan het in kaart brengen van de huidige IT omgeving. Op deze wijze wordt een globaal beeld verkregen van de waarde van IT. Bij het volledige DD onderzoek dient zowel de huidige waarde als de toekomstige integratie onderzocht te worden. Hierbij is het essentieel hoe het toekomstige informatiesysteem geïntegreerd is met de business processen. Wij zijn van mening dat vanaf de IT volwassenheid “Information” tot en met “Wisdom” een volledig IT DD onderzoek moet worden uitgevoerd. Bij deze IT afhankelijkheidniveaus is de IT sterk verweven binnen de bedrijfsprocessen. De business processen kunnen in dit geval niet goed functioneren zonder IT. Om de IT afhankelijkheid te bepalen en tot een juiste opdrachtomschrijving te komen dient de communicatie tussen de accountant en de IT auditor uitstekend te zijn. Wij zijn van mening dat dit wordt verstoord door de drukte van de dag. Veel accountantskantoren hebben geen gespecialiseerde (IT) DD afdelingen, die zich alleen richten op DD onderzoeken. Het is waarschijnlijk commercieel niet verantwoord om hier een aparte afdeling voor op te zetten. De DD teams kunnen ons inziens in projectvorm (fysiek) afzonderlijk worden geplaatst, zodat de communicatie verbeterd wordt. Onderstaand figuur geeft weer in hoeverre de communicatie lijnen volgens ons zouden moeten lopen. In huidige DD onderzoeken wordt nog te weinig gecommuniceerd tussen de verschillende partijen. Wij zijn van mening dat communicatie één van de belangrijkste aandachtspunten binnen een DD onderzoek is.

Accountant

HRM

Tax

Legal

IT

Teamleider

Opdrachtgever

Figuur 4 Communicatie due diligence team


26

3.3 IT specialist versus IT auditor

Huidige DD onderzoeken worden veelal uitgevoerd door een multidisciplinair team, waar de IT auditor/IT specialist ook onderdeel van uitmaakt. Binnen ons onderzoek hebben wij niet kunnen constateren dat werkzaamheden specifiek door een interne of externe IT auditor worden uitgevoerd. Uit interviews blijkt dat de inzet vaak beperkt wordt tot één type IT’er (een auditor of een specialist). De IT auditor of de IT specialist beschikken individueel niet over alle benodigde eigenschappen. De IT auditor en IT specialist zijn complementair en vullen elkaar op bepaalde punten aan. De tabel hieronder geeft de eigenschappen van beide functies weer: IT auditor IT specialist De IT auditor is getraind in het identificeren van relevante risico’s.

De IT specialist is niet-risico gedreven.

De IT auditor is getraind in IT als geheel, waardoor hij/zij onderscheid kan maken in hoofd- en bijzaken.

De IT specialist is vaak gespecialiseerd in bepaalde IT systemen en de details hiervan.

Een IT auditor is getraind in het aansluiten van de “business requirements” met IT. Hij/zij kan de integratie tussen IT en de business processen beoordelen/vormgeven.

De IT specialist heeft technische en functionele kennis, maar heeft minder oog voor de integratie van IT met de bedrijfsprocessen.

Evaluatie en aanbeveling Uit interviews blijkt dat IT steeds vaker deel uitmaakt van het DD onderzoek. Wij zijn mening dat zowel de IT auditor (intern en extern) als de IT specialist vereist zijn in een DD onderzoek. De afhankelijkheid van IT binnen de over te nemen partij is van belang voor het bepalen van de inzet van deze IT professionals. Deze functies hebben gezamenlijk de meeste kennis om de toekomstige integratie te beoordelen. De externe IT auditor kan vanuit zijn meer onafhankelijke rol worden ingezet bij het bepalen van de huidige IT situatie van de onderneming en het ondersteunen van en samenwerken met de interne IT auditor. De interne IT auditor zal ons inziens samen met de IT specialist betrokken moeten zijn bij het PMI onderzoek. De externe IT auditor kan hiervoor Quality Assurance bieden, waarbij hij/zij benchmarks kan toepassen vanuit zijn eigen ervaringen.

3.4 Richtlijnen voor een DD onderzoek

Tijdens interviews hebben wij geconstateerd dat er geen eenduidige richtlijn wordt gebruikt tijdens het uitvoeren van DD onderzoeken. Bovendien zijn er geen standaard werkprogramma’s en normenkaders beschikbaar. Per DD onderzoek wordt veelal een eigen specifieke werkwijze gebruikt. Bovendien hebben we geconstateerd dat in de Post-doctorale EDP audit opleiding (aan de VU) beperkt aandacht wordt besteed aan het uitvoeren van IT DD onderzoeken. Evaluatie en aanbeveling Als gevolg van het ontbreken van een algemeen raamwerk c.q. gestandaardiseerde aanpak voor de IT audit werkzaamheden bij DD onderzoeken, zal de afbakening en diepgang van de werkzaamheden bij DD per IT auditor verschillen. De mate waarin essentiële risico’s aan het licht worden gebracht, zal daardoor ook per IT auditor verschillen. Wij adviseren om binnen de Post-doctorale EDP audit opleiding (aan de VU) extra aandacht te besteden aan DD onderzoeken. Bovendien kan de mogelijkheid worden onderzocht om een standaard aanpak (richtlijn, normenkader en werkprogramma) op te stellen per typologie. Dit zou


27

bijvoorbeeld gedistribueerd kunnen worden vanuit de NOREA. Op deze wijze zorgt de aanwezigheid van de IT auditor (RE) binnen het DD team voor een extra toegevoegde waarde.


28

4 Conclusies en aanbevelingen

In dit hoofdstuk zijn onze conclusies en aanbevelingen opgenomen.

4.1 Conclusies

Het doel van een DD onderzoek is inzicht krijgen in de financiële en strategische waarde en operationele processen van de over te nemen partij, waarbij zowel het heden als de toekomst van belang zijn. Bij beantwoording van onze onderzoeksvraag: “Hoe kan de toegevoegde waarde van de IT auditor binnen een DD onderzoek worden verhoogd?” is gebleken dat de toegevoegde waarde van de IT auditor binnen een DD onderzoek wordt bepaald door de mate van afhankelijkheid van IT van de over te nemen partij. Indien IT sterk is verweven met de bedrijfsprocessen, is het integreren van twee informatiesystemen naar één complexer. Beide informatiesystemen zijn namelijk afgestemd op de eigen bedrijfsprocessen. Bovendien is minder inzicht op de benodigde verandermanagement inspanningen (i.e. het aanpassen van bedrijfsprocessen). Het levert in de praktijk dan ook vaak problemen op. De IT auditor is als onderdeel van het DD onderzoek betrokken bij de evaluatie van de huidige en toekomstige IT. De IT auditor beoordeelt de IT contracten, projecten en licenties. Contracten kunnen namelijk langere tijd lopen, waardoor deze gevolgen hebben voor de kosten na de overname. Daarnaast besteed de IT auditor aandacht aan de toekomstige integratie van de informatiesystemen van beide partijen. Momenteel wordt de toekomstige integratie van informatiesystemen alleen op overkoepelend (technisch) niveau geëvalueerd, wat naar onze mening onvoldoende is. De IT auditor wordt niet in alle fases van het DD onderzoek betrokken. De IT auditor wordt in veel gevallen pas ingezet als de opdrachtaanvaarding is voltooid. Naast de IT auditor wordt vaak een IT specialist ingehuurd binnen het DD team. Tijdens ons onderzoek is gebleken dat de IT specialist niet altijd over alle benodigde eigenschappen beschikt om zelfstandig (i.p.v. de IT auditor) een volwaardig en kwalitatief DD onderzoek uit te voeren. De IT specialist is gespecialiseerd in bepaalde informatiesystemen of de techniek hiervan, waardoor hij/zij moeite heeft met het scheiden van hoofd- en bijzaken. Daarnaast richt een IT specialist zich op oplossingen en mogelijkheden en vergeet hij/zij de risico’s te identificeren. Binnen ons onderzoek hebben wij niet kunnen constateren dat werkzaamheden specifiek door een interne IT auditor of externe IT auditor worden uitgevoerd. Wel zijn we van mening dat zowel de interne als de externe auditor zijn/haar eigen specifieke kwaliteiten heeft. De interne IT auditor heeft meer kennis van de eigen IT omgeving. De externe auditor staat verder van de organisatie af en kan een evaluatie of advies geven, op basis van zijn brede ervaring. De externe auditor kan daarbij gebruik maken van benchmarks, zoals hij/zij dit bij andere organisatie heeft ondervonden. Het IT DD onderzoek levert een rapportage op. Deze rapportage wordt op dit moment voornamelijk gebruikt om inzicht te verkrijgen in de IT omgeving. Daarnaast wordt op een hoog niveau het toekomstige integratieproces van informatiesystemen (op technisch gebied) van beide partijen in kaart gebracht. De bedrijfsprocessen en de integratie van deze processen met de informatiesystemen is geen onderdeel van het DD onderzoek. Als het om een DD onderzoek van grote omvang gaat, hebben de rapportages van de IT auditor vaak weinig invloed op de uiteindelijke beslissing om de koop wel of niet door te laten gaan.


29

Binnen een DD onderzoek wordt geen standaard werkprogramma of normenkader gebruikt. We hebben geconstateerd dat DD onderzoeken qua opdrachtformulering en afbakening zeer uiteenlopend zijn, waardoor standaard werkplannen of normenkaders niet opgesteld worden.

4.2 Aanbeveling

Een IT auditor kan met name toegevoegde waarde leveren tijdens het DD onderzoek wanneer de over te nemen partij sterk afhankelijk is van IT. De toegevoegde waarde van de IT auditor kan worden verhoogd door tijdens het DD onderzoek aandacht te besteden aan de toekomstige integratie van de informatiesystemen en bedrijfsprocessen. De IT auditor kan de risico’s definiëren en aangeven wat de complexiteit is van de integratie. Dit geeft de opdrachtgever een inzicht in de inspanningen alsmede een schatting van de tijd die benodigd is om tot een volledig geïntegreerd bedrijf te komen. Om dit te bewerkstelligen adviseren wij altijd een multidisciplinair IT team samen te stellen, waarin zowel een externe IT auditor, een interne IT auditor en een IT specialist is opgenomen. De interne IT auditor van de overnemende partij kan in samenwerking met de interne IT auditor van de over te nemen partij goed inschatten wat de risico’s zijn bij de toekomstige integratie van informatiesystemen. De IT specialist kan hen hierbij ondersteunen met zijn specialistische kennis van de systemen. De externe IT auditor heeft een meer onafhankelijke blik op beide organisaties, en kan beide auditors helpen met Quality Assurance. Bovendien kan de externe IT auditor zogenoemde “benchmarks” toepassen op de specifieke situatie. De bruikbaarheid van de rapportages van de IT auditor is tweeledig. Enerzijds kan de IT auditor een beeld schetsen van de processen en informatiesystemen binnen de over te nemen organisatie. Deze rapportage kan het management gebruiken om de kwaliteit van zowel de bedrijfsvoering als de IT processen te bepalen. Bij hoog geautomatiseerde ondernemingen kan deze rapportage van groot belang zijn. Daarnaast kan de rapportage van de IT auditor de kosten en complexiteit van de toekomstige integratie en de daarmee samenhangende risico’s weergeven. De kans is hierdoor kleiner dat tijdens het PMI proces onverwachte kosten worden gemaakt, waardoor de overname minder voordeel oplevert dan verwacht. Om meer bewustwording en specifieke IT DD kennis te creeren bij IT auditors stellen wij voor om de Post-doctorale EDP audit opleiding verder uit te breiden. Via cases uit de praktijk kan de rol van de IT auditor bij DD onderzoeken worden weergegeven. Bovendien kan de mogelijkheid worden onderzocht om een standaard aanpak (richtlijn, normenkader en werkprogramma) op te stellen per typologie, dat vanuit de NOREA gedistribueerd kan worden. De toegevoegde waarde van een IT auditor binnen een DD onderzoek kan worden verhoogd door een toekomstgericht (PMI) werkprogramma/normenkader/beoordelingsaanpak te creëren dat door een multidisciplinair IT team wordt uitgevoerd.


30

5 Bronnen

Geraadpleegde literatuur Bruyndonckx D. IT due diligence Kluwer 2003 Beek, van J.J. Donkers, J.A.M. Lof, K.M. Het belang van ICT binnen due diligence onderzoeken Compact 1999 Kersten, Bert IT due diligence website ww.cs.vu.nl/~hkersten PSC Advisory Services IT due diligence: assessing IT Value http://www.psclistens.com/enTouchCMS/FileUplFolder/ITDueDiligence.pdf Sisco, Michael Preparing for IT due diligence 6 Augustus 2002, CNET Networks Business Sisco, Michael The on-site discovery visit 13 November 2002, CNET Networks Business http://www.actueel.nl/196667/Recordaantal_fusies_en_overnames Recordaantal fusies en overnames http://www.logistiek.nl/nieuws/id3553-Fusie_KLM__Alitalia_mislukte_door_ERP.html Fusie KLM – Alitalia mislukte door ERP Overzicht gehouden interviews • Senior Manager IT audit, Accountantskantoor • Manager Accountant, Accountantskantoor • Director Transaction department, Accountantskantoor • Directeur Internal Audit afdeling, Energiebedrijf • Strategy consultant, energiebedrijf • DSM • Due Diligence specialist, hoogleraar VU • Etc.


31

6 Due diligence interview vragen

1. Wat is het doel van een due diligence onderzoek ? 2. Wat is de rol van een accountant bij een due diligence onderzoek? 3. Wat is de rol van een IT auditor bij een due diligence onderzoek? 4. Hoe gaat de samenwerking tussen accountants en de IT auditor? 5. Welke verschillende soorten due diligence onderzoeken kent u en bent u bij betrokken geweest? 6. Wat is de toegevoegde waarde van een rapportage van een IT Auditor bij een due diligence

onderzoek? 7. Is een IT Auditor vereist bij alle due diligence onderzoeken? Zo ja, waarom. Zo nee, waarom niet? 8. In welke stadia in het DD onderzoek speelt de IT auditor op dit moment een grote rol, en zou u dit

anders willen zien? (Onderhoud, versies, CAPEX, OPEX) 9. Wat zijn vaak knelpunten binnen een due diligence onderzoek?

“Hoe kan de toegevoegde waarde van een IT auditor …...De toegevoegde waarde van een IT auditor...

Documents

Transcript of “Hoe kan de toegevoegde waarde van een IT auditor …...De toegevoegde waarde van een IT auditor...