来源:Forbes
作者:Yair Kuznitsov
翻译:汪越洋,上海交通大学法学院硕士生
在生活中,有些事情是完全无法预料的。事实证明,新冠疫情并没有像人们所担心的那样对风险投资和并购造成巨大的冲击。事实上,根据安永EY的说法,"有史以来风险投资最多的两年正是疫情这段时间"。在经历了2020年上半年的急剧下滑之后,投资并购在第四季度强势回归,根据普华永道的说法,2021年宣布的交易数量比2020年 "前所未有地增长了24%",而2022年应该是另一个 "超级大年"。
随着这种增长,再加上市场对越来越多的法规的关注,现在是考虑数据隐私和信息安全领域的尽职调查程序是否可以升级的好时机。
以前,确定一个目标的隐私和安全状况是尽职调查的事后想法。根据美国律师协会的说法,买家会进行有限的隐私和安全尽职调查,但是与并购有关的资料却很少讨论相关风险。目标公司的隐私和安全状况可能会被检查,以确保没有明显的问题会威胁到交易。但除非一家公司特别依赖数据,否则隐私和安全 "对收购者来说是次要的考虑因素"。
然而,确定目标公司在隐私和安全合规方面的成熟度已经成为并购和风险投资尽职调查的一个重要方面:
这一方面是因为收购方需要减少因违规行为而产生的法律和声誉风险;
另一方面也是因为收购方认识到了隐私和安全方面的合规成熟度是一个业务促进点。
数据:评估侵犯隐私或安全的风险
政府的处罚、品牌的损害、信任的丧失,这些影响只是投资企业时没有对隐私和安全实践进行充分的尽职调查的部分结果。
对数据安全和隐私进行尽职调查是减少风险的明显答案,但买方如何评估目标公司的数据和安全?一种可能性是采访CISO(信息安全官)或DPO(数据隐私官),给他们一份关于公司对GDPR或其他适用框架的合规性的调查问卷,这可能会得出更全面的信息。
如果目标公司的管理层真的很努力,信息技术和安全可以对框架或政策进行差距分析。这些方法提供了一些洞察力,但也有局限性。信息的好坏只取决于它所依据的数据以及填写表格的人的真实性、知识和准确性。
沿着这个思路还有一个选择。如果目标公司通过了ISO 27001认证,或通过了SOC 2审计,投资者可以查看这些文件。但这并不能替代尽职调查。ISO 27001认证反映了一个管理标准,加上管理层对什么是可接受的风险水平的判断,但是一个买家对数据进行独立评估,可能不会得出与管理层相同的结论。同样,仅仅拥有SOC 2并不一定能给潜在的收购者或投资者提供足够的信息来决定是否进行收购。
相反,通过查看目标公司的安全和隐私合规性,以及合规性所基于的数据,公司可以依靠客观事实。数据比报告、证书和谈话更可靠;虽然后几项反映了目标公司对合规相关问题的回答或管理层对可容忍风险的善意判断,但毕竟这些来源与实际数据是有差距的。
如果买方能够获得目标公司的合规性相关数据,就可以更准确地评估目标公司的安全和隐私泄露的风险,然后使用“风险量化法”为任何此类风险设定一个价值。然后,买方可以考虑是否继续进行交易,以及考虑哪些合同条款、风险分配甚至定价变化对交易的进行是必要的。
这样一来,在公司投入资金和声誉之前,它就清楚地知道自己收购的是什么。
数据:因为合规的成熟度可以推动业务
对尽职调查的关注通常是基于发现隐藏的风险。但是当尽职调查的重点是目标公司的安全和隐私合规性时,这将产生另一个优势:对目标公司的业务增长潜力的无与伦比的洞察力。
买家想知道,基于真实的数据,目标公司是否能够增长。它能否兑现扩大规模和渗透到新市场或新行业的承诺?越来越多的人认为,一个公司的合规性项目可以促进业务增长。当合规控制被嵌入到业务流程的每一步时,公司就可以成长并适应不断变化的环境,同时保持对确保客户信任至关重要的安全和隐私惯例。
事实上,根据普华永道的2022年全球数字信任洞察力调查,良好的数据安全的一个好处是增加收入。当安全合规性是基于持续的数据流动的时候,这一点就更加合理了;基于数据的合规性使公司更容易跟踪新的机会,因为只有流通的数据才是一直有效的。
使用数据作为尽职调查的基础,类似于并购者分析公司的其他方面。例如,为了确定目标公司销售管道的健康状况,收购者不会仅仅采访销售总监,而是希望获得独立、准确的数据,这些数据只能从销售管理工具中获得。同样,收购者如果想了解目标公司的真实安全和隐私状况,就会查看目标公司的合规性工具提供的数据,以便对目标公司的安全和隐私强度进行独立评估。
尽职调查需要数据
对目标公司的数据隐私和安全进行基于数据的尽职调查可以使买方或风险投资人准确了解目标公司的风险和增长潜力。分析客观数据越来越成为收购方的一种有效方法,以确保目标公司没有意外或只有好的意外。
声明:本文来自数据法盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
