是时候更好地确定并购交易中的网络安全风险成本了

在过去的十年中,在大型并购交易中出现了许多备受关注的网络安全问题,这引起了企业高管的担忧。

2017年,雅虎在将其互联网业务出售给Verizon的谈判中披露了三项数据泄露[披露:Verizon媒体是TechCrunch的母公司]。由于披露的结果,Verizon随后将其购买价格降低了3.5亿美元,约为购买价格的7%,卖方承担了因数据泄露而造成的未来责任的50%。

尽管雅虎的股东已经感觉到了网络威胁的后果并在新闻中广为报道,但这是一次非凡的事件,在并购从业者中引起了人们的注意,但并没有从根本上改变标准的并购惯例。但是,鉴于网络威胁带来的高昂潜在成本和突发事件的频繁发生,收购方需要找到更全面,更便捷的方法来应对这些风险。

是时候更好地确定并购交易中的网络安全风险成本了

如今,随着在并购过程中围绕网络安全问题的讨论加速,企业高管和并购专业人员将指出改进的流程和外包服务,以识别和预防安全问题。尽管财务主管的意识增强,并且有更多解决网络安全威胁的外包解决方案,但收购方继续报告已收购目标的网络安全事件数量不断增加,通常是在目标已经被收购之后。尽管如此,收购方仍将尽职调查活动集中在财务,法律,销售和运营上,通常将网络安全视为辅助领域。

尽管过去或潜在的网络威胁在尽职调查过程中不再被忽略,但事实是,数据泄露事件仍在增加,并可能导致负面的财务影响,这一事实在交易完成后很长一段时间就会显现出来,这凸显了并购方继续改进的更大需求他们的方法并应对网络威胁。

当前对网络安全问题的关注不足部分归因于并购市场的动态。大多数中型市场公司(构成并购交易的名义多数)通常会在拍卖过程中出售,在此过程中,卖方与投资银行合作,通过促进感兴趣的竞标者之间的竞争动态来最大化价值。为了提高竞争力,银行家通常会尽快推动交易过程。在时间紧迫的情况下,买方被迫优先考虑其尽职调查活动,否则交易过程中就有落后的风险。

私人公司的典型交易过程将如下:

卖方公司的投资银行家与潜在买家联系,提供了一份机密信息备忘录(CIM),其中包含有关公司历史,运营以及历史和预期财务业绩的摘要信息。在决定继续前进之前,通常会给潜在买家三到六周的时间来审查材料。除非存在以前已知的网络安全问题,否则CIM通常不会解决潜在或当前的网络安全问题。

在最初的审查期之后,所有感兴趣的投标人都应提交感兴趣的指示(IOI),他们将被要求指出估值和交易结构(现金,股票等)。

提交IOI后,投资银行家将与卖方合作选择最高出价者。评估的关键标准包括估值,以及其他考虑因素,例如时间,完成交易的确定性和买方完成交易的信誉。

通常在IOI日期后的四到六周内选择要前进的投标人,以深入研究关键的尽职调查,在卖方数据室中查看信息,与目标公司管理层进行管理介绍或问答,并进行现场访问。这是可以最有效地解决网络安全问题的第一阶段。

当投标人重申估价并提出独占期时,即有意向书,在该期间中,将独家选择一名投标人以完成其尽职调查并完成交易。

签署意向书后,投标人通常有30至60天的时间完成最终协议的谈判,该协议将详细概述收购的所有条款。在此阶段,收购方还有另一个机会来解决网络安全问题,通常使用第三方资源,其好处是可以以排他性期限提供的更大确定性投资大量费用。相对于其他优先级,将第三方资源定向到网络安全的程度差异很大,但是一般来说,网络安全并不是一个高度优先的项目。

在签署最终协议的同时进行结案,或者在其他情况下,通常在签署后由于监管机构的批准而结案。无论哪种情况,一旦签署交易并确定所有关键条款,购买者就无法再单方面退出交易。

在此过程中,收购方必须平衡内部资源,以充分评估目标并迅速采取行动以保持竞争力。同时,并购交易中的主要决策者往往来自财务,法律,战略或运营背景,很少具有有意义的IT或网络安全经验。在有限的时间和很少的网络安全背景下,并购团队倾向于把重点放在交易过程中更紧急的交易领域,包括谈判关键业务条款,业务和市场趋势分析,会计,债务融资和内部批准。在签署之前只有2-3个月的时间来评估交易,网络安全通常只受到有限的关注。

在评估网络安全问题时,它们严重依赖于卖方关于过去问题和现有内部控制的披露。当然,卖方无法披露他们不知道的信息,并且大多数组织都不了解可能已经在其网络中的攻击者或他们不知道的重大漏洞。不幸的是,这种评估是一种单向的对话,依赖于卖方的真实和全面的披露,从而给“买权人”一词赋予了新的含义。因此,Forescout最近对IT专业人员进行的一项调查显示,由于网络安全问题,有65%的受访者表示对买方的mor悔,这并非偶然。只有36%的被调查者认为他们有足够的时间评估网络安全威胁。

尽管大多数并购流程通常不会优先考虑网络安全,但是当在并购过程中或之前发生已知问题时,并购过程通常会直接关注网络安全问题。就Verizon收购Yahoo而言,三项重大数据泄露事件的披露导致购买价格大幅下降,以及关键条款发生了变化,其中包括规定卖方应承担由此产生的任何未来负债的一半费用数据泄露。在2019年4月,Verizon和Yahoo未被收购的部分最终将因数据泄露而拆分1.17亿美元。在最近的一个例子中,自2018年以来,Spirit AeroSystems对Asco的收购一直悬而未决,交易延迟推迟的主要原因是勒索软件对Asco的攻击。在2019年6月,

在Spirit和Verizon的收购中,网络安全问题主要通过估值和交易结构解决,这限制了财务损失,但对于防止买方未来出现问题(包括客户和投资者之间的信心损失)几乎没有作用。与Spirit和Verizon的收购类似,收购方通常会利用交易的结构要素来限制经济损失。可以利用各种机制和结构(包括代表,担保,赔偿和资产购买)来有效转移可识别的网络安全问题的直接经济责任。但是,他们无法补偿声誉风险或重要商业秘密的损失所造成的更大损失。

Spirit和Verizon的例子表明,网络安全风险具有可量化的价值。不积极评估并购目标的收购方可能会在不缓解风险的情况下将风险引入其交易中。鉴于时间表有限以及目标网络安全问题的内在不透明性,收购方将从无需依赖目标或从其输入信息的外包解决方案中受益匪浅。

这种评估的范围理想地揭示了目标安全性以及业务系统和关键资产(包括数据和公司机密或知识产权)的安全性和暴露方面以前未知的缺陷。没有此类知识,收购方将达成部分不知情的交易。当然,行业最佳实践是降低风险。添加这种网络安全评估方法在当今是一种很好的做法,并且将来可能是强制性要求。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除。