top of page

Review Security dalam Due Diligence

Due Diligence, dalam kamus Merriam Webster, memiliki 2 definisi. Definisi dalam praktik bisnis adalah ''research and analysis of a company or organization done in preparation for a business transaction (such as a corporate merger or purchase of securities)'', sementara definisi dalam hukum adalah ''the care that a reasonable person exercises to avoid harm to other persons or their property''.


Merger & Acquisition (M&A) umumnya dimulai dengan melakukan Synergy Assessment (untuk Merger), dan Due Diligence (untuk Acquisition). Due Diligence mencakup aspek keuangan (antara lain kualitas dari pendapatan dan pajak) serta operasi perusahaan. Operasi ini mencakup semua aspek non-finansial yang dirasa penting bagi calon pembeli (buyer) dalam proses pengambilan keputusannya untuk mengakuisisi.



Cyber Due Diligence adalah proses mereview postur security dari target akusisi untuk kepentingan calon pembeli/investor.


Secara historis, hanya sedikit transaksi yang memasukan cyber due diligence sebelum transaksi dilakukan. Ini disebabkan oleh adanya pandangan bahwa hanya bisnis dengan sistem yang kompleks memerlukan adanya review tersebut. Kenyataannya bisnis yang simple atau “sederhana” sering kali menimbulkan kejutan yang mahal dan memerlukan upaya perbaikan yang rumit dan mahal.


Due diligence security/keamanan pada tingkat tertentu diperlukan di hampir setiap transaksi, dan Private Equity (PE) Firm di luar negeri semakin sadar bahwa investasi mereka harus dilindungi.


Mengapa Perlu Pertimbangan Cyber dalam Due Diligence?


Cyber breach atau pelanggaran dunia maya bisa menghancurkan merk dan bisnis. Sehingga kesepakatan transaksi perlu meng-adress kepatuhan terhadap standar industri serta peraturan perundangan terkait keamanan cyber dan perlindungan data pribadi.


Infrastruktur cyber yang kuat sebenarnya merupakan salah satu indikator utama kedisplinan organisasi. Terkadang, pihak asuransi pun memerlukan hasil cyber due diligence dalam termin ''Representations & Warranty''.


Pandangan ini juga muncul dalam Harvard Law School Forum on Corporate Governance and Financial Regulation, yang menyebutkan bahwa “Cybercrime has emerged as one of the foremost threats a company faces … It should come as little surprise, then, that cybersecurity has become a key risk factor in mergers and acquisitions..”


Meskipun banyak organisasi berpikir mereka mungkin tidak memiliki jenis data yang dicari oleh hacker/peretas, kenyataannya semua informasi memiliki nilai. Lingkungan pengendalian yang efektif dapat mengurangi kemungkinan adanya breach, meningkatkan deteksi dan respons insiden, serta mempercepat upaya pemulihan untuk membatasi kerusakan.


Apa Yang Perlu Dilakukan

Cakupan dari area yang perlu dilihat dapat bervariasi dan tentunya harus sesuai dengan kebutuhan dan prioritas dari calon pembeli / investor.



Sehingga penting untuk memahami kebutuhan investor, dan memahami industri dari target perusahaan, karena tentunya ada minimum yang perlu dilihat.


Basis awal tentu diperlukan pemahaman mengenai key IT security yang dipraktikan di perusahaan target. Kumpulkan fakta dan bukti yang diberikan oleh perusahaan target. Pahami juga mungkin ada keterbatasan terhadap sistem dan akses, sehingga informasi yang disampaikan dalam hasil due diligence akan menyajikan fakta dan bukti sepanjang akses yang dimiliki, seta analisis potensi risiko dan investasi yang mungkin diperlukan kedepan.


Comments


bottom of page