За даними аудиторських компаній, до 30% угод M&A провалюються або значно ускладнюються через невиявлені IT-ризики, які виявляються вже після завершення транзакції. Це включає застаріле обладнання, необліковане ліцензійне ПЗ, вразливості кібербезпеки та невідповідність регуляторним вимогам. Комплексний IT-аудит є невід’ємною частиною Due Diligence, що дозволяє покупцеві отримати повну картину стану IT-інфраструктури цільової компанії.
Softline IT, як системний інтегратор з 1995 року, рекомендує починати з формування чітких цілей аудиту, які відповідатимуть стратегії поглинання: інтеграція, оптимізація витрат, або масштабування. Це дозволить сфокусувати увагу на найбільш критичних аспектах IT-інфраструктури.
Оцінка серверної інфраструктури та систем зберігання даних
Першочерговим завданням є інвентаризація та оцінка стану серверної інфраструктури. Необхідно перевірити вік та конфігурацію фізичних серверів (наприклад, HPE ProLiant DL380 Gen10, Dell PowerEdge R750, Lenovo ThinkSystem SR650), їхню продуктивність, наявність та стан гарантійних зобов’язань. Особливу увагу слід приділити системам зберігання даних (СГД) — це можуть бути NetApp FAS/AFF, HPE 3PAR/Primera, Dell PowerStore. Важливо оцінити їхню ємність, рівні RAID (наприклад, RAID 5, RAID 6, RAID 10), продуктивність (IOPS, пропускна здатність) та ступінь заповнення. Не менш важливим є аналіз рішень для гіперконвергентної інфраструктури (HCI), таких як HPE SimpliVity або Nutanix, якщо вони використовуються, включаючи версії програмного забезпечення та плани масштабування.
| Категорія | Ключові показники для аудиту | Потенційні ризики |
|---|---|---|
| Сервери | Вік, модель, конфігурація (CPU, RAM), гарантія, завантаження ресурсів | Високий TCO, відсутність підтримки вендора, низька продуктивність |
| СГД | Тип (SAN/NAS), ємність, рівні RAID, IOPS, пропускна здатність, версія прошивки | Недостатня ємність, низька продуктивність, ризик втрати даних |
| Гіперконвергенція | Виробник (HPE SimpliVity, Nutanix), версія ПЗ, кількість вузлів, плани масштабування | Проблеми з масштабованістю, ліцензійні ризики, залежність від одного вендора |
Аудит корпоративної мережі та кібербезпеки
Аналіз корпоративної мережі включає перевірку активного мережевого обладнання: маршрутизаторів, комутаторів (наприклад, Cisco Catalyst 9300, Aruba 2930F), точок доступу Wi-Fi enterprise (Cisco Meraki, Aruba Instant On), а також рішень SD-WAN. Необхідно оцінити архітектуру мережі, її пропускну здатність, наявність надмірності, рівень сегментації та відповідність сучасним стандартам. З точки зору кібербезпеки, аудит повинен охоплювати стан Next-Generation Firewall (NGFW) від Fortinet, Check Point або Palo Alto Networks, наявність та ефективність EDR/XDR рішень, SIEM-систем, DLP-систем. Важливо перевірити наявність політик безпеки, регулярність оновлень, впровадження багатофакторної автентифікації (MFA) та VPN-рішень. Окремо слід оцінити відповідність регуляторним вимогам, таким як GDPR або вимоги українського законодавства щодо захисту персональних даних.
Перевірка віртуалізації, резервного копіювання та хмарних рішень
Ключовим аспектом є аудит платформ віртуалізації, таких як VMware vSphere, Microsoft Hyper-V або Citrix Virtual Apps and Desktops для VDI. Необхідно перевірити версії гіпервізорів, конфігурацію кластерів, наявність і ефективність механізмів відмовостійкості (HA, DRS). Для резервного копіювання (backup) слід оцінити використовувані рішення (Veeam Backup & Replication, Commvault), їхню архітектуру, регулярність створення копій, показники RPO (Recovery Point Objective) та RTO (Recovery Time Objective), а також наявність планів аварійного відновлення (Disaster Recovery). У разі використання хмарних рішень, таких як Microsoft 365 або Azure, необхідно перевірити конфігурацію підписок, рівень використання ресурсів, безпекові налаштування та архітектуру гібридних середовищ, включаючи міграцію з on-prem інфраструктури.
Аудит ліцензійного програмного забезпечення та уніфікованих комунікацій
Недотримання ліцензійних угод є значним ризиком при поглинанні. Аудит ліцензійного ПЗ включає перевірку всіх використовуваних програмних продуктів: операційних систем, офісних пакетів (Microsoft 365 Business Premium), віртуалізації (VMware vSphere Enterprise Plus), резервного копіювання (Veeam Universal License), антивірусів (ESET Endpoint Security, Bitdefender GravityZone), а також спеціалізованого графічного ПЗ. Необхідно звірити кількість встановлених копій з придбаними ліцензіями, перевірити терміни дії підписок та відповідність ліцензійним моделям (наприклад, CSP для Microsoft). У сфері уніфікованих комунікацій слід оцінити використовувані платформи, такі як Microsoft Teams або Cisco Webex, а також стан IP-телефонії, включаючи АТС та абонентські лінії.
IT-керівнику, що готується до поглинання, рекомендується розпочати з запиту повної інвентаризації IT-активів цільової компанії, включаючи список обладнання, ліцензій та діючих сервісних контрактів. На основі цих даних слід сформувати попередній список питань для технічної команди цільової компанії та визначити ключові ризикові зони, які потребуватимуть детального аудиту. Перед розмовою з інтегратором підготуйте очікувані сценарії інтеграції IT-систем та потенційні вимоги до майбутньої інфраструктури. Це дозволить інтегратору запропонувати найбільш релевантний та ефективний план аудиту.