IT Due Diligence aanpak

| Sieuwert van Otterloo | Quality
joao-silas-IT-due-diligence

Een IT Due Diligence (IT DD) onderzoek is een onderzoek in opdracht van een investeerder naar de IT-systemen en organisatie van een doelbedrijf (een bedrijf waarin geïnvesteerd wordt). Deze onderzoeken moeten extra zorgvuldig uitgevoerd worden omdat omdat het vaak om grote bedragen gaat en omdat er twee partijen bij betrokken zijn (investeerder en doelbedrijf). Ook is er vaak tijdsdruk. Wij hebben een vast proces om een diepgaand  IT DD onderzoek in korte tijd uit te voeren.

Team en doelen

Als ons gevraagd wordt om een compleet, zelfstandig IT DD onderzoek uit te voeren, zoeken we een klein team van 2 of 3 experts. Het doel van het team is om de investeerder zo goed op de hoogte te brengen van de IT-gerelateerde risico’s van het doelbedrijf. De investeerder kan daarna de juiste beslissing nemen. Voorbeelden van mogelijke problemen waar naar gekeken wordt is onbekende of moeilijk aanpasbare technologie, slecht leesbare code, problemen met schaalbaarheid of het ontbreken van benodigde skills in het huidige team.

Er wordt gekeken naar risico’s die samenhangen met software-ontwikkeling en IT-organisatie. Eventuele marktrisico’s zullen in een commerciële Due Diligence moeten worden onderzocht of door de investeerder zelf worden ingeschat.

Snelheid en transparantie

Om een IT DD onderzoek snel te kunnen uitvoeren, is het belangrijk dat het onderzoek in één keer goed gedaan wordt. ICT Institute werkt daarom met een vast proces, waarvan de invulling vooraf besproken wordt met investeerder en doelbedrijf. In het proces zit al hoor- en wederhoor ingebakken, zodat iedereen weet wat er wanneer gedeeld wordt.

Om discussie na afloop te voorkomen, wordt het onderzoek zo transparant mogelijk uitgevoerd. Alle betrokkenen en dus ook het doelbedrijf krijgen van te voren inzicht in het proces. Er is een kickoff waarin het doelbedrijf kan aangeven wat voor hen de randvoorwaarden en aandachtspunten zijn. Tijdens het proces krijgen ze inzicht in meetresultaten en de mogelijkheid toelichting te geven. Ook de opdrachtgever wordt tussentijds, bijvoorbeeld na elke meeting, op de hoogte gehouden van de voortgang.

Om te zorgen voor de juiste kennis wordt gewerkt met een team van 2 tot 3 experts die bij het hele onderzoek betrokken zijn. Het team wordt per opdracht samengesteld en bestaat uit een ervaren reviewer en 1-2 personen met relevante technologiekennis. Op deze manier wordt voorkomen dat de voorkeuren van 1 reviewer de uitkomsten beïnvloedt.

Diepgang door broncode-onderzoek

ICT Institute vraagt altijd om de broncode te kunnen reviewen. Dit leidt namelijk tot meer betrouwbare uitkomsten. Ten eerste kunnen we hierdoor zelf controleren wat alle gebruikte technologie is. Veel moderne systemen hebben meerdere programmeertalen en frameworks, en bij een mondelinge bespreking wordt er andere technologie vergeten.

Ten tweede zorgen we hiermee dat we de juiste mensen spreken. Door in de validatie de echte broncode als voorbeelden te gebruiken, zorgen we ervoor dat de echte developers ook aan tafel komen en hun ervaring delen.

Ten derde krijgen we hierdoor een beter beeld van de ontwikkeling van IT door de tijd heen. Een IT DD is een momentopname, en het is niet met interviews te controleren of de software-ontwikkeling altijd volgens een goed proces is gedaan. Door de te kijken naar de broncode zie je hoe er de afgelopen tijd is ontwikkeld.

Tot slot zijn er een paar specifieke risico’s die met codereview eenvoudig zijn uit te sluiten. Men kan zien hoeveel open source er is gebruikt, of er een grote afhankelijkheid van third party code is en of de code overdraagbaar is indien nodig.

Bij het onderzoek naar onderhoudbaarheid maakt ICT Institute gebruik van standaard metrieken zoals volume, complexiteit, duplicatie en foutafhandeling. Hierdoor is het oordeel van onderhoudbaarheid objectief, herhaalbaar en onderbouwd.

Uitkomsten

De detailresultaten worden altijd terugvertaald naar conclusies op hoofdlijnen. Dit gebeurt door de uitkomsten te vertalen in business-impact (benodigde resources, tijd of middelen). Concreet betekent dit dat niet elke kleine bevinding tot een risico leidt: we rapporteren alleen een probleem op managementniveau als er een significant probleem is dat niet direct oplosbaar is.

De conclusies van de IT Due Diligence worden gedeeld in een managementpresentatie. In deze presentatie worden gevonden risico’s en aandachtspunten benoemd. In de managementsamenvatting wordt dit vertaald naar tijd en kosten, o.a. door aan te geven hoeveel developers er nodig zijn om het systeem te onderhouden of delen opnieuw te bouwen. Met deze informatie kan de investeerder zelf de business case aanpassen, en in gesprek gaan met het doelbedrijf om een oplossing te vinden.

In de presentatie is voor elke besproken onderwerp een onderbouwing opgenomen, bestaande uit de gebruikte informatie van het doelbedrijf, metingen, schermvoorbeelden of code-voorbeelden. Deze onderbouwing wordt van te voren gedeeld met het doelbedrijf zodat zij de juistheid van alle objectieve feiten kan controleren.

Kosten en doorlooptijd

Een compleet, zelfstandig IT DD onderzoek heeft een doorlooptijd van 1.5-3 weken en een inspanning van 8-12 consultingdagen. Meestal wordt vooraf een totaalprijs afgesproken, inclusief alle kosten binnen Nederland. Het onderzoek wordt daarna vervolgens voor deze vaste prijs uit, zonder onverwachte meerkosten.

Andere opties

In de meeste situaties is een compleet, zelfstandig IT DD onderzoek de beste manier om snel goed inzicht te krijgen. Mocht dit echter niet gewenst zijn omdat er reeds een goed onderzoek beschikbaar is, dan kan ICT Institute ook andere modellen bieden: bijvoorbeeld reviewen van beschikbare stukken, of bijwonen en advies geven tijdens een interview of stuurgroep. In deze gevallen geven we ook van te voren aan wat het aantal consultingdagen is en daarmee de kosten.

Appendix: Proces in detail

  1. Opdrachtgever en ICT Institute bespreken wat de omvang, technologie en aantal teams is van het doelbedrijf en of er nog bijzondere aandachtspunten of onderzoeksvragen zijn. Op basis hiervan maakt ICT Institute een voorstel voor een vaste prijs en stelt een team samen van 2-3 experts die alle benodigde kennis hebben.
  2. ICT Institute plant een kickoff met het doelbedrijf om de opzet van het onderzoek te bespreken en de aanlevering van documentatie en broncode te bespreken.
  3. Het doelbedrijf levert de gevraagde stukken aan en de besproken broncode aan. ICT Institute analyseert en reviewt de stukken en code. Dit gebeurt initieel met analyse-tools en vervolgens worden de uitkomsten handmatig geanalyseerd door het team.
  4. ICT Institute bezoekt het doelbedrijf en interviewt de CTO en lead developers / architecten. Het doelbedrijf mag nog extra stukken aanleveren om vragen te beantwoorden
  5. ICT Institute maakt een document met ‘initial results’ en bespreekt dit met het doelbedrijf (eindpresentatie v0.9). Hierdoor wordt gevalideerd of gevonden afwijkingen en bijzonderheden inderdaad problemen zijn en hoe het doelbedrijf zelf hiermee omgaat. Vaak ontstaat er naar aanleiding van de getoonde voorbeelden een zinvolle discussie over achterliggende oorzaken en benodigde procesverbeteringen.
  6. ICT Institute past de ‘initial results’ presentatie aan naar aanleiding van de besproken correcties en aanvullingen en breidt het uit met conclusies en aanbevelingen op managementniveau voor de investeerder.
  7. ICT Institute presenteert de eindpresentatie aan de investeerder (v1.0). Indien er nog aanvullende vragen of opmerkingen zijn worden deze direct besproken en indien gewenst in de dagen na de presentatie toegevoegd.
  8. De investeerder neemt een investeringsbeslissing. Indien het tot een investering komt, dan wordt meestal de eindpresentatie gedeeld met het managent team van het doelbedrijf zodat zij aan de slag kunnen met de aanbevelingen.
  9. Als er opmerkingen zijn over software-kwaliteit wordt soms ook nog een workshop gehouden met het ontwikkelteam van doelbedrijf om hen op weg te helpen met verbeteren van kwaliteit. Dit is gratis nazorg.

Meer informatie

Afbeelding: Joao Silas via unsplash

Sieuwert van Otterloo
Author: Sieuwert van Otterloo
Dr. Sieuwert van Otterloo is IT-expert en startup enthusiast. Hij heeft veel ervaring met scrum, agile, IT-beveiling, IT-contracten, IT-strategie. Sieuwert is als expert toegelaten bij NVBI, LRGD en SGOA.