CTOMultiplier

Wie man sich auf eine technische Due Diligence vorbereitet

Wie man sich auf eine technische Due Diligence vorbereitet
Gerónimo
Gerónimo
Fractional CTO
8 min read

Wenn Sie in einem Startup arbeiten, ist es möglich, dass Sie früher oder später eine Due Diligence durchlaufen müssen. Sei es, weil ein anderes Unternehmen Sie kaufen oder in Sie investieren möchte, oder weil ein großer Kunde Ihre Dienste oder Produkte in Anspruch nehmen will. Persönlich habe ich Due-Diligence-Prozesse von beiden Seiten erlebt, zunächst als CTO, wenn Investoren investieren wollten, und dann als Fractional CTO in der Rolle des Auditors für einige Kunden.

Die Due Diligence ist ein Auditprozess, dem sich ein Unternehmen unterzieht, um seinen tatsächlichen Wert besser zu verstehen. Normalerweise werden verschiedene Aspekte untersucht, wie der technische, funktionale, finanzielle oder rechtliche Bereich. Das Ziel ist es, so viele Informationen wie möglich über die interne Funktionsweise des Startups zu sammeln, um die Investitions- oder Kaufhypothese zu validieren und mögliche Risiken und Probleme zu erkennen, die von außen nicht offensichtlich sind. Dafür wird eine gründliche Analyse durchgeführt, bei der man buchstäblich in die Küche geht, mit den Köchen spricht, das Essen probiert, untersucht, wie gekocht wird, nach Qualitätsproblemen beim Essen sucht und sogar mit den Kunden sprechen kann.

In diesem Beitrag werde ich mich auf die technische Due Diligence konzentrieren, die die vom Startup entwickelten Produkte und technologischen Vermögenswerte bewertet, zusammen mit den Engineering-Teams, ihren Arbeitsmethoden und allen technischen Aspekten, die für die Aufrechterhaltung des Geschäfts notwendig sind, wie Sicherheit, Compliance usw.

Welche Aspekte werden in der technischen Due Diligence überprüft

Normalerweise werden die folgenden Aspekte untersucht:

  • Technologische Vermögenswerte. Es wird versucht zu verstehen, wie die Produkte des Startups entwickelt sind, welcher Technologie-Stack verwendet wird, die technische Architektur, die Infrastruktur und der Quellcode. Das Ziel ist es, Fragen zu beantworten wie: Wird ein aktueller und geeigneter Technologie-Stack verwendet? Wie teuer wird es sein, das Produkt weiterzuentwickeln und zu warten? Bietet die Infrastruktur ausreichend Resilienz, um den Service auch bei Ausfällen am Laufen zu halten? Ist das Niveau der technischen Schulden angemessen niedrig?

  • Sicherheit. Wie sind das System und seine Daten geschützt? Gibt es bewährte Praktiken, die das Risiko der Einführung von Schwachstellen minimieren? Gibt es Profile oder Teams, die sich der Sicherheit widmen? Wird eine aktive Sicherheitsüberwachung durchgeführt?

  • Team. Wie gut sind die technischen Führungskräfte? Ist die Dimensionierung der Teams angemessen? Gibt es QA-Profile? Gibt es DevOps? Gibt es Product Manager? Ist die Fluktuation gering?

  • Prozesse. Welche Arbeitsmethodik verfolgen die Engineering-Teams? Gibt es eine Kultur der kontinuierlichen Verbesserung? Wie wird das Produkt-Backlog definiert? Gibt es gut definierte Prinzipien, die die Arbeit leiten? Gibt es geeignete Prozesse zur Unterstützung und Aufrechterhaltung des Service?

  • Compliance. Hat das Startup Verfahren zur Einhaltung der DSGVO? Verfügt es über ISO-Zertifizierungen (ISO 27001, ISO 9001, ISO 22301, … )?

  • Technologieanbieter. Wurden Dienstleistungen externer Anbieter beauftragt? Welche Teile sind ausgelagert? Gibt es ausgelagerte Core-Bereiche?

Probleme und Muster, die sich in Due-Diligence-Prozessen wiederholen

Es ist üblich, dass man bei der Durchführung einer Due Diligence als Auditor wiederholt eine Reihe von Mustern und Problemen beobachtet. Nach meiner Erfahrung sind dies einige der wichtigsten:

  • Mangel an agiler Kultur und einer robusten Umsetzung. Ziemlich verbreitet habe ich eine recht mangelhafte Einführung und Umsetzung agiler Methoden beobachtet. Scrum scheint der König der agilen Frameworks in Startups zu sein, die Softwareprodukte entwickeln. In der überwiegenden Mehrheit werden die vorgeschriebenen Zeremonien befolgt, aber es gibt kein wirkliches Verständnis der agilen Prinzipien und Philosophie, was dazu führt, dass eine veraltete Denkweise unter dem Etikett der Agilität weiter verwendet wird. Ein Muster, das mir wiederholt begegnet ist, ist die Durchführung regelmäßiger Retrospektiven, aber ohne echte Auswirkungen, ohne kontinuierliche Verbesserung. Über die Methodik hinaus gibt die Untersuchung, wie sie mit Scrum arbeiten, viele Informationen über die Kultur preis.

  • Die Einführung von QA Automation und DevOps ist niedriger, als es scheint. Obwohl es bereits mehr als ein Jahrzehnt her ist, seit ihre Einführung begann, ist es überraschend zu sehen, wie viele Unternehmen sie immer noch nicht nutzen oder nur sehr partielle Implementierungen haben, die zu sehr auf manuellem Testing und manuellen Deployments basieren.

  • Der Qualitätsstandard ist zu niedrig. Oft wird eine hohe Anzahl von Incidents in der Produktion als akzeptabel angesehen. Eines der Dinge, die ich bei einer Due Diligence am meisten beobachte, ist die Anzahl der Bugs und Incidents in der Produktion im letzten Jahr. Und es hat mich überrascht, dass diese Zahl normalerweise nicht niedrig ist.

  • Sicherheit wird oft als zweitrangiger Aspekt behandelt, der aufgeschoben wird, bis er unvermeidbar ist, hauptsächlich aufgrund von Zeitmangel und weil sie nicht als Geschäftspriorität angesehen wird. In einigen extremen Fällen bin ich auf schlechte Praktiken gestoßen, wie Passwörter und API-Schlüssel im Klartext in Code-Repositories. Ein Fehler dieser Art legte vor einigen Monaten eine beträchtliche Anzahl von Repositories von Mercedes Benz offen, zum Beispiel.

  • Es wird wenig Product Management betrieben, viele Startups haben keine gut definierten Roadmaps und keine Product-Management-Profile. Es ist recht üblich, dass die Anforderungen eines Kunden direkt in Features übersetzt werden, mit wenig Analyse darüber, wie sie in die Produktstrategie passen.

Wie bereitet man sich vor?

Einige Dinge, die mir wichtig erscheinen, um sich auf eine technische Due Diligence vorzubereiten, sind:

  • Den bewerteten Deal verstehen. Dieser Aspekt ist entscheidend, denn er bestimmt, wie der Auditor oder die Auditoren die Due Diligence durchführen werden und worauf sie achten werden. Zu wissen, ob ein Kauf des Unternehmens oder eine Investition bewertet wird, und welche Absichten im Falle einer Realisierung bestehen, das heißt, ob man das Startup in das kaufende Unternehmen integrieren möchte oder ob man es als unabhängiges Unternehmen beibehalten will. Wenn die Integration des Startups in Betracht gezogen wird, gewinnen Aspekte wie der Technologie-Stack, das Team und die Kultur an Bedeutung.

  • Mit Qualität und Vollständigkeit antworten. Fast alle Due Diligences werden von Fragebögen begleitet, in denen gebeten wird, eine Reihe von Fragen zu beantworten, die Themen wie Technologie, Sicherheit, Personen, Prozesse, Compliance oder Lieferanten betreffen können. Es ist häufig, dass die Ingenieure, die mit der Beantwortung dieser Fragebögen beauftragt sind, sehr beschäftigte Leute sind und diese als lästige Formalität sehen, die ihnen den Fokus von ihren täglichen Aufgaben nimmt. Außerdem wird für solche Arbeiten normalerweise nicht viel Zeit eingeplant, was dazu führt, dass die Antworten oft schnell, ohne ausreichende Qualität und mit unvollständigen Informationen gegeben werden. Das Problem dabei ist, dass wir einerseits den Auditoren wenig Aufmerksamkeit für Qualität zeigen und andererseits ihre Arbeit erschweren, was wahrscheinlich negative Auswirkungen haben wird. Es stimmt, dass viele Auditoren sich der Gründe bewusst sind, die Ingenieure dazu bringen, die Fragebögen auf diese Weise zu beantworten, aber der Auditor kann nicht erraten, was nicht gesagt oder unvollständig dargestellt wird. Und mit all dem riskieren wir eine ungünstige und wenig realitätsgetreue Bewertung, mit allem, was das für die Strategie und die Zukunft des Startups bedeutet.

  • Vermeiden, ein unrealistisches Bild zu vermitteln. Die Auditoren, die die Due Diligence durchführen, haben wahrscheinlich genug Erfahrung, um zu wissen, dass es überall Probleme gibt. Und sie wissen auch, dass Startups manchmal versuchen, eine Vorstellung ihres Wertes zu verkaufen, die weit von der Realität entfernt ist. Eines der Dinge, die mich als Auditor am meisten misstrauisch machen, ist ein Startup, das alle technischen Checks zu erfüllen scheint (z.B.: sie verwenden Best Practices, haben praktisch keine Incidents in der Produktion, nutzen agile Methoden, die sich durch Metriken kontinuierlich verbessern, haben keine Fluktuation und verfügen über ausgezeichnete Sicherheit… und all das erreichen sie mit einem Team von 5 Ingenieuren). Aber die Fragebögen mit dem Versuch zu beantworten, ein zu perfektes Bild zu projizieren, hat normalerweise kurze Beine. Denn die Fragebögen werden üblicherweise von Meetings begleitet, in denen Nachweise zur Validierung der Antworten angefordert werden, sowie vom Zugang zu den Tools und Code-Repositories zur Überprüfung. Und wenn ein Auditor feststellt, dass man versucht hat, ihn zu täuschen, kann das ein Red Flag sein. Persönlich schätze ich Teams mehr, die in ihren Antworten ehrlich sind und zugeben, wenn sie einen bestimmten Check nicht erfüllen. Und wenn sie zusätzlich Nachweise liefern, dass sie diesen Punkt bereits identifiziert und eine Verbesserungsmaßnahme geplant haben, ist das ein großes Plus.

  • Die besten Ingenieure einbeziehen. Wie oben erwähnt, ist eine gute Beantwortung der Due-Diligence-Fragebögen entscheidend, und zweifellos ist der beste Weg, dies zu tun, die Ingenieure einzubeziehen, die die Technologie am besten kennen. Wenn außerdem der Kauf oder die Investition in ein Startup bewertet wird, ist einer der primären Aspekte das Team und das vorhandene Talent. Es ist fast sicher, dass der Auditor das Team aus erster Hand kennenlernen möchte, und vor allem die technischen Führungskräfte. Sie fordern es möglicherweise nicht explizit an, daher ist es gut, proaktiv die Besten einzubeziehen, um eine gute Bewertung im Teamaspekt zu erhalten. Ein Meeting, in dem die Ingenieure des Startups Seniority und Beherrschung der behandelten Themen und ihrer Fachgebiete demonstrieren, kann ein differenzierender Faktor sein… Genau wie bei Vorstellungsgesprächen.

Fazit

Wenn es dem Startup, in dem Sie arbeiten, gut geht, ist es sehr wahrscheinlich, dass Sie früher oder später mit einer Due Diligence konfrontiert werden, und in der Lage zu sein, eine gute Antwort auf den technischen Teil zu geben, ist entscheidend. Wie bei allem ist die Vorbereitung ausschlaggebend, ihr die verdiente Priorität zu geben, die besten Ingenieure einzubeziehen und nicht zu versuchen, ein unrealistisches Bild zu vermitteln, wird Ihnen helfen. Aber zweifellos ist der beste Weg, sich auf eine technische Due Diligence vorzubereiten, damit zu beginnen, noch bevor sie als entfernte Möglichkeit in Betracht gezogen wird. Denn was bewertet wird, ist der aktuelle Zustand des Startups und seiner Vermögenswerte, die das Ergebnis langwieriger Arbeit sind. Bei der Due Diligence können eine mangelhafte Kultur, schlechte Programmierpraktiken, Designfehler, Schwachstellen, Sicherheitslücken, DSGVO-Verstöße aufgedeckt werden… Und all das kann den Deal beeinflussen.

Blog cto due diligence Strategie Exit startup