Bilgi Teknolojileri (BT) Değerlemesi. Candaş Üçer

Transkript

1 Bilgi Teknolojileri (BT) Değerlemesi Candaş Üçer Giriş Şirket değerleme süreci satın alma veya birleşmeye konu olan bir firmada yürütülen başlangıç çalışmalarından biridir. Çoğu zaman şirket değerlemesi dendiğinde likidite, yatırımlar ve risk yönetimi konuları ile ilgilenilmektedir. Günümüzde ise BT değerlemesi yapmak finansal tabloları analiz etmek kadar önem kazanmıştır. Finans kurumlarının BT altyapılarına yatırımlarının artması, bilgi güvenliği ve mahremiyetin önem kazanması, bu kurumların teknoloji egemen bir yapı haline dönüşmeleri BT değerleme çalışmasını gerekli kılmıştır. BT değerlemesi çok kapsamlı bir çalışma olup bilgi güvenliği ve operasyonel risk gibi konuları içinde barındırır. BT değerlemesi var olan BT varlıklarının, kaynakların, firmanın düzenlemeler ile uygunluğunun ve risklerinin bir analizidir. BT değerlemesi bilgi güvenliği, risk yönetimi gibi konularda değerli bilgiler sağlarken birleşme sürecinde BT entegrasyon planını oluşturma ve bu planın maliyetini hesaplama imkanı verir. BT Değerlemesi firmadaki teknoloji varlıklarını ve süreçlerini belirlemeyi sağlar.. Söz konusu firmanın gelecekteki nakit akışı, maliyetleri ve gelirleri üzerindeki BT risklerinin tahmini yapılır. BT departmanının stratejik hedeflerinin firmanın hedefleri ile aynı doğrultuda olup olmadığı kontrol edilir. BT değerlemesi birleşmeye konu olan firmanın risklerinin belirlenmesi ve bu risklerin ölçümüne olanak verir. Değerleme bu riskleri azaltmayı ve yönetmeyi mümkün kılar. BT değerlemesi firmanın değerini belirlemenin yanı sıra, gelecekteki potansiyel maliyetleri, riskleri indirgemek için gerekli sermayenin miktarını ve operasyonel riskleri belirler. Örnek olarak, finans kurumları için BT değerlemesi birkaç sebepten ötürü önem taşır. Finans kurumlarında BT organizasyonları diğer sektörlere oranla daha geniştir ve kurumsal yapıda merkezi bir noktada yer alır. BT harcaması toplam gelirim %10 u ile %20 si arasında olmakla beraber sabit kıymet harcamalarının da %30 u BT için yapılmaktadır. İkincil olarak BT sistemlerinin entegrasyonu zor ve pahalıdır. Son olarak da finans kurumlarında ürün ve hizmet arzı ile operasyonlar ve iş modeli BT ile sıkı bir ilişki içinde olduğu söylenebilir.. Detaylı bir değerleme BT entegrasyonunda zaman ve maliyetler bakımından büyük kolaylıklar sağlayacaktır. BT değerlemesi söz konusu firmanın BT varlıklarının ve süreç/operasyonlarının nicel ve nitel anlamda aşağıdaki başlıklar üzerinden gözden geçirilmesidir; BT yapısı ve değişiklik yönetimindeki etkisi Ağ, uygulama ve bilgi güvenliği mimarisi Veri merkezleri, bina ve tesisler Personel, tedarikçiler, ortaklar ve müşterilerle olan sözleşmeler Müşteri segmentleri, ürünler ve iş süreçleri BT araçları ve yöntemleri 1

2 Etkin bir BT değerlemesi entegrasyon planı için de aşağıdaki konular üstünde çalışacaktır; Birleşme stratejisi Birleşme amaçlarının BT tarafından nasıl desteklendiği Birleşecek firmalardaki var olan teknoloji ve altyapı çözümleri Teknolojik trendler BT değerlemesi esnasında herhangi bir metodoloji kullanılmaması durumunda bulgular gözden geçiren kişi ya da grubun bakış açısı ile değerlendirilecektir. Bu iki problemi doğurur. Birincisi firmanın iş süreçlerine ilişkin bulgular derinlemesine incelenmeyebilir. İkinci problem ise metodoloji takip edilmeden gerçekleşen çalışmalarda işletmenin birleşme esnasında kazanacağı deneyimin yeniden kullanımı mümkün olmayacaktır. Bir BT değerlemesindeki en önemli nokta kurum kültürü farklılıklarını, düzenleyici ve sözleşmelerden doğan gereksinimleri ve personel gereksinimlerini belirlemektir. Bu analiz organizasyonel yapı, teknolojik risk yönetimi, altyapı, planlama ve tedarikçi yönetimi için gerekli personel sayısını ve niteliğini belirlemeyi sağlar. BT yapılanmasının operasyonel standartlar ve prosedürlere uygunluğu ayrıca bu analiz ile ortaya çıkacaktır. Değerleme önemli uygulama tedarikçilerini ve durumlarını değerlendirecek, BT organizasyonunda bu tedarikçilerin rollerini ve bu tedarikçilerin BT fonksiyonunda ne kadar egemen olduklarını açıklayacaktır. BT sektöründeki hızlı değişimler sebebiyle uygulama tedarikçilerinin sektördeki durumlarını, yeni versiyon planlarının sorgulanması gereklidir. Diğer bir risk ise bir veya iki çalışanın kritik bir BT sistemi kurmaları, bu süreçte gerekli dokümantasyonu hazırlamamaları ve az bilinen bir teknoloji veya programlama diliyle bu projeyi gerçekleştirmeleridir. Bu çalışanlar söz konusu uygulama üstünde önemli bir baskı mekanizması oluşturabilir. Uygulamalar ile ilgili aşağıdaki dokümanlar değerleme esnasında incelenebilir; Dışardan eleman desteği sağlayan tedarikçilerle yapılmış sözleşmeler ve bu elemanların yetkinliklerini gösteren belgeler Uygulamalara ayrılan bütçe çalışması ve harcamalardaki esneklik Ağ, Uygulama ve Enformasyon Altyapısı BT değerlemesi ağ ve altyapı tasarımının değerlendirilmesidir. Bu değerlendirme sistemlerin entegrasyonu için gerekli zaman, bütçe ve insan kaynağının tahmin edilmesini kolaylaştırır. Değerlendirmede aşağıdaki konulara dikkat edilmelidir. BT sistemlerinin entegrasyonu için gereksinimler Birleşmenin müşteri hizmetleri ve dağıtım kanallarındaki olası etkileri Firmalardaki otomasyon seviyesi Dış kaynak kullanım miktarı BT yatırımı miktarı Bu analiz uygulama teknolojilerini, platformları ve firmaya özel modifikasyonların miktarını anlamamıza yardımcı olur. Ayrıca uygulamaların firmada kullanım sürelerini de dikkate almak bu uygulamamalar için gerekli dış desteğin belirlenmesine yardımcı olur. Eski teknolojiye sahip 2

3 uygulamalar için dış destek alınması pahalıdır ve çoğunlukla bu uygulama üzerinde uzman teknisyenlere ihtiyaç duyar. Aşağıdaki ağ, uygulama ve altyapı seviyelerinde çalışan yazılımların belirlenmesi gereklidir; Hizmet kanalları ve Müşteri hizmetleri Back Office ve muhasebe Veritabanları Ağ sistemleri ve altyapı yönetim uygulamaları Ara katman yazılımları Ağ, uygulama ve BT altyapısının mevcut durumunun analizi için platformlar belirlenmeli (istemcisunucu, mainframe, web tabanlı sistemler vb.), finans ve vergiyle ilgili farklı ülkelerde eş zamanlı çalışan uygulamalar incelenmeli, dış destek analizi, ömrünü tamamlamış uygulamalar ve ikame uygulamalar kontrol edilmelidir. Örnek olarak bir bankanın değerleme çalışmasında ağ mimarisi, dizaynı ve protokolü öncelikle incelenmelidir. Ayrıca iş modelleri ve kullandıkları uygulamalar arasındaki benzerlikler gözden geçirilmelidir. Ağ ekipmanları, router lar, hub lar ve switch ler incelenmeli ve bu ağ altyapısını kullanacak ATM ler, İnternet bankacılığı, mobil bankacılık, çağrı merkezleri ve telefon bankacılığı gibi kanalların ağ entegrasyonu sürecindeki etki analizleri hazırlanmalıdır. Aşağıdaki dokümanların incelenmesi bu analizi gerçekleştirmemize yardımcı olacaktır; Ağ, uygulama ve altyapısı için hazırlanmış topoloji ve dokümantasyonlar Kapasite, ölçeklenirlik, performans ve entegrasyon raporları Operasyon politika ve prosedürleri Standartlar, kurallar, proje yönetimi metodolojisi, dokümantasyon geliştirme ve eğitim prosedürleri Sistem Odaları, Binalar, Tesisler Veri merkezlerinde dikkat edilmesi gereken en önemli konular donanım, merkezin büyüklüğü ve yönetim araçlarıdır. Birleşecek firmalar arasındaki donanım benzerlikleri ve farklılıkları belirlenmelidir. Sunucu ve mainframe lerin sayısını azaltarak maliyetleri indirmek mümkün olacaktır. Donanımların türünün (ağ yazıcısı,uygulama sunucusu, web sunucusu) ve donanım tedarikçilerinin belirlenmesi önemlidir. Bir BT değerleme çalışmasında donanımların ne kadarının kiralık olduğu sorgulanmalıdır. Kiralama sözleşmeleri incelenmelidir. Donanımlar için dikkat edilmesi gereken bir diğer konu ise donanımların yaşı ve durumudur. Donanım yenileme kural ve prosedürlerinin mevcut olup olmadığı kontrol edilmelidir. Donanımların bakım ve tamir geçmişleri de gelecekte ortaya çıkacak maliyetler için önemlidir. Veri merkezleri ve tesisler için öncelikle dikkat edilmesi gereken başlıklar şunlardır; Kapasite ve merkezin alanı Yedekleme ve geri yükleme ekipmanları Kesintisiz güç kaynakları, klima ve çevresel zararlara (doğal afetler gibi) karşı koruma tedbirleri 3

4 Bina veya tesisin yapı kalitesi ve kalan yaşam ömrü Diğer incelenebilecek konular şu şekildedir; Donanım ve diğer ekipman sağlayıcıları ve bina sahibiyle yapılmış kira sözleşmeleri Telekomünikasyon şirketleri ile yapılmış hizmet sözleşmeleri Altyapı, ağ, donanım ve tesislerin bakım ve servis sözleşmeleri Kurulum, bakım ve değişiklik kontrolleri Tedarikçilerin sorumlulukları Sahip olma maliyetleri Sistem yazılımı güvenliği Sözleşmeler ve Uygunluk Güvenlik, mahremiyet ve veri koruma ile ilgili sözleşmelerden incelenmesi gereken bazıları şunlardır; Yazılım Lisansları (Yazılım lisanslaması ile ilgili çeşitli kurallar vardır. Bu kurallar ve maliyetler ülkelere ve müşterilere göre değişiklik gösterebilir.) Sınırlayıcı düzenlemeler ( ör: şifreleme algoritmaları) Ülkelere göre değişiklik gösteren avantajlar (ör: vergi avantajları, ekipman amortismanı gibi) Yasalar ve düzenleyicilerle ilgili gelişmelerin takibi Düzenli uygunluk kontrollerin yapıldığının kontrolü Fikri mülkiyet hakları İş Süreçlerinin Entegrasyonu Bilgi teknolojileri iş süreçleri, müşteri hizmetleri, ürün ve hizmet arzı ile son derece sıkı bir ilişki içindedir. BT ile süreçler karşılıklı olarak birbirlerini etkiler. Bundan dolayı değerleme çalışması ve entegrasyon planı iş süreçlerinin birbiriyle eşleştirilmesini, yeniden yapılanmasını ve süreçleri çözümlemeyi içermelidir. Belirlenen sorunlar birleşme sonrası planların içine konmalıdır. İş süreçleri ve teknoloji simbiyotik bir ilişki içindedir. Telekom sektöründe ve finansal hizmetler sektöründe, BT hem hizmeti sunar hem de hizmetin kendisini, bununla birlikte diğer sektörlerde BT bir kontrol ve koordinasyon mekanizmasıdır. Örnek olarak bankacılık sektöründe hizmetin verildiği bütün kanallar, ATM ler, İnternet bankacılığı ve kredi kartları BT bağımlı hizmetlerdir. BT Araç ve Metodolojileri Bütün programlama dillerinin, kontrol ve yönetim araçlarının, uygulama geliştirme araçlarının ve versiyon kontrol araçlarının içinde bulunduğu bir liste oluşturulmalıdır. Özetlemek gerekirse: BT geliştirme ortamları ve araçları Ağ, sunucu ve uygulama kontrol araçları Varlık yönetimi araçları ve süreçleri Bilgi Yönetimi araçları ve süreçleri Masaüstü uygulamaları 4

5 Genel olarak değerleme esnasında aşağıdaki süreçlerde bazı bulgularla karşılaşmak muhtemeldir; BT yönetişimi Proje yönetimi Tedarikçi yönetimi ve ilişkileri Yedekleme ve saklama Bilgi güvenliği stratejisi, altyapı mimarisi, dizin sistemi İş sürekliliği planı, süreklilik tesisi ve araçları Sistem yönetimi, varlık yönetimi, iş programlama, kapasite planlama, yardım masası yönetimi gibi konular da birleşme öncesinde gözden geçirilmelidir. Birleşme esnasında aynı tedarikçilerden hizmet alınan sistemler birleşen firmalar arasında bir sinerji yaratacaktır. BT değerleme çalışması BT yönetişim kurallarını ve prosedürlerini inceler. Değerleme çalışması firmanın proje yönetimi yaklaşımını, projeye nasıl başlandığını, yönetildiğini ve sonuçların analizini kontrol eder. Ayrıca proje yönetim metodolojisini ve projelerde kullanılan araçları sorgular. Personelin niteliği, tedarikçilere ve danışmanlara duyulan güven proje yönetiminde sorgulanacak diğer konulardır. BT Değerleme Metodolojileri BT değerlemesi çalışmalarında görülen en büyük eksiklik belli bir çerçeveye (COBIT, ITIL, ITADD vs.) bağlı kalınmadan gerçekleştirilmesidir. Bu metodolojiler içinde en önemlilerini kısaca şu şekilde özetleyebiliriz. BCM Analizi (Bussiness Continuity Management) Günümüz işletmeleri için en önemli konulardan biri iş sürekliliği yönetimidir. İş sürekliliği Basel II standartları içerisinde de bulunmaktadır. İş sürekliliği analizi için kullanılana araçlardan biri PAS56 sertifikasyonudur. Bu sertifikasyon iş sürekliliği analizi sürecinin tümünü içeren altı puan kartını kapsar. COBIT (Control Objectives for Information and related Technology) COBIT; genel yönetime, BT yöneticilerine, BT personeline, organizasyon genelinde tüm personele ve nihai iç ve dış BT kullanıcılarına birtakım avantajlar sunmaktadır. Ayrıca COBIT çerçevesinde 34 IT süreci ile uygun kontrol objektifleri içerir. Söz konusu avantajlardan bazıları şöyle sıralanabilir; BT yönetiminin genel çerçevesinin belirlenmesinde bir temel teşkil etmektedir. BT kontrolleriyle iş süreçleri arasındaki ilişki üzerinde durur ve kontrollerin önem sırasının belirlenmesinde etkin bir rol oynar. BT yatırım kararlarının getiri/risk oranı yüksek projelere yönlendirilmesini sağlar. Süreç denetiminin yalnızca çıktı üzerinden değil, aynı zamanda işleyiş üzerinden de yapılabilmesi imkanını verir. COBIT in Planlama ve Organizasyon bölümü, BT personeli ile diğer personel arasındaki iş ilişkilerini verimleştirme açısından önemli bir fırsat sunar. BT Denetim personelinin uyguladığı kriterlerin temeline inebilme ve daha gelişmiş yöntemlere geçebilmesinde yardımcı olur. İç ve dış kullanıcılar açısından gizlilik, güvenlik, bütünlük ve erişilebilirlik ihtiyaçlarının daha fazla karşılanmasını sağlar. 5

6 Information Technology Assessment Due Diligence Framework (ITADD) 2005 yılında bir çalışma grubu tarafından Teksas Üniversitesi nde temelleri atılmıştır. ITADD çerçevesi BT yöneticilerine birleşme sürecinde olan firmaların BT fonksiyonlarını değerlendirmelerine olanak verir. ITADD sadece bir metodoloji değildir. ITADD metodolojisiyle beraber ITADD değerleme araçlarıyla beraber geliştirilmiştir. ITADD BT profesyonellerine sadece birleşmeler için hazırlanmış bir metodoloji sunar. BT Dengeli Puan Tabloları Puan Tabloları Kaplan ve Norton tarafından geliştirilmiştir. Bir ölçüm sistemidir ve firmaların stratejilerini bu ölçümleme üzerine kurmalarına yardım eder. Üç katman ile dört farklı objektife sahiptir. Her objektif puanlama ile ölçülür ve bu analiz mevcut durumun değerlendirilmesine yardım eder. Dengeli puan tabloları BT yönetişimi için son derece uygun bir yapıya sahiptir. ITIL (Information Technology Infrastructure Library) Avrupa orijinli olan bu metodoloji 20 yıl önce BT hizmet yönetimi konusunda en iyi uygulamaların toparlanmasıyla oluşturulmuştur. BT hizmet yönetim uygulaması için bir metodoloji olan ITIL, ISO/IEC için de BT hizmet yönetimi standardı olmuştur. Sonuç BT Değerlemesi birleşme esnasındaki sinerjiyi ortaya çıkartır. BT varlıkları, BT kontakları, iş süreçleri ve ürünler veya hizmetlerin analizi, risklerin belirlenmesi ve ticari fırsatların ortaya çıkarılmasıdır. Etkin bir BT entegrasyon planının birleşmelerden sonra karlılık, satış, özkaynak ve varlıklardaki artışla direk ilişkisi vardır. Ama çoğu birleşmede BT değerlemesi yapılmaması birleşme sonrası entegrasyonda büyük zorluklar yaşanmasına sebep olmaktadır. BT değerleme çalışması yürütülen birleşmelerde BT varlıklarının daha iyi değerlendirilmesi, anlaşma stratejisinin belirlenmesine yardımcı olur. Olası BT entegrasyon riskleri önceden bilinir, buna uygun entegrasyon planı çizilir ve firmalar sürpriz maliyetlerden kendilerini korumuş olur. 6

7 Kaynaklar 1- Barrett Sundberg, Zheng-Da Tan, Trey Baublits, Hae-Joon Lee, Grant Stanis and Huseyin Tanriverdi, A Framework for Conducting IT Due Diligence in Mergers and Acquisitions, ISACA Control Journal, Volume 6, Mohan Bhatia, IT Merger Due Diligence: A Blueprint, ISACA Control Journal, Volume 1, Joanne Wortman, Seven Deadly Sins of Due Diligence, Thomson Buyouts, 3 Mart Joanne Wortman, IT Due Diligence for Distressed Acquisitions 5- Bostjan Delak, Initial Due Diligence of Information Technology as Risk Identication before Capital Investment in Finance Industry, s. 4-5, Proceedings of CAiSE-DC