最新新闻:

如何进行业务尽职调查

时间:2020-11-29 11:04:20来源:

RFA董事总经理George Ralph最近主持了一次早餐会,内容涉及私募股权公司的运营尽职调查。在知识丰富且多元化的小组中,他辩论了在对运营商进行尽职调查时绝对船形和水密性的重要性日益增加,并讨论了GDPR将如何影响所有人,以及如何确保公司不仅满足ODD要求,但也超过了它们。

ODD景观

对于私募股权基金来说,这是创纪录的一年,总资产现在达到2.83万亿英镑。对冲基金领域也重回正轨,因此对于资产管理来说确实是丰收的一年。但是,随着经济繁荣受到越来越多的审查,投资者变得越来越分散和知识渊博,他们不仅在审查管理者,而且在审查范围更广的公司,以及与所投资公司签约的服务提供商。服务提供商要问的主要问题是,这些人足够好吗?ODD团队可以并且将要求任命某些服务提供商,前提是他们知道他们比现有服务提供商更好或更合规。

ODD真的可以为管理人员提供机会吗?

那么,管理者如何才能更加乐观地赢得投资呢?一种方法是使用ODD流程突出显示您的业务运作的严格程度。ODD团队正在研究业务的每个要素,不仅会检查合同和业务条款,还会实际拜访服务提供商,以确保他们按照自己的意愿行事。实际上,一位小组成员(ODD专家)正在调查一家外包的灾难恢复服务提供商,发现前任IT经理离开时,DR服务的发票从未转移或付款,因此该服务已经在六个月前被切断。幸运的是,在此期间没有发生灾难。

在2017年进行的Prequin调查中,该公司表示有45%的投资者会排除任何不满足其治理要求的管理人员。这包括围绕控制和保护数据的治理,实际上,令大多数专家组感到震惊的是,该百分比并没有超过95%的投资者会排除不合规的经理。任何ODD团队值得其付出代价的都将发现违规行为,这将成为破坏交易的因素。很棒的是,ODD世界和监管世界似乎融为一体,ODD团队和监管者都在要求相同的事情。

其他压力和机遇

乔治(George)是GDPR认可的评估师,经常听到这对管理人员施加压力,因为他们试图确保他们符合行业法规和要求。

此外,越来越多的公司正在将自动化引入其人工管理流程中,一些公司正在研究AI和机器学习技术以提高效率和最大化利润,所有积极的举措以及投资者将其视为前瞻性思维和精明之举,但都来了后果自负。技术带来风险,而风险管理至关重要。

网络攻击通常更为普遍,或者至少被报道得更为广泛,确保服务提供商和管理人员正在采取一切步骤来确保数据安全,这已成为整个运营尽职调查工作的重要组成部分。

外包任务而非责任

最大的弱点之一,尤其是在中小型管理人员中外包服务,是其他人正在从事的工作,因此这不是经理的责任。这是完全错误的。确保您的服务提供商符合标准和要求仍然是您的责任。如果您的IT公司失败,那么您将失败,并且没有任何投资者会从怀疑中受益。您选择了该服务提供商,这是您的责任。监管机构是相同的,就GDPR而言,ICO将希望看到这种监督水平,这意味着,即使您的管理或交易平台已外包,经理和公司也完全处于控制之下,并且了解数据在哪里,谁有权访问它以及如何使用和存储它。

FCA在2016年发表了一篇名为FP16的论文,该论文围绕管理供应链和第三方进行,其中包含有关最小化供应链的项目。外包是完全可以接受的并且很平常的,但是公司应该注意密切关注您拥有的供应商,并且不要让其他服务提供商掩盖这些供应商。我建议客户应该与服务提供商直接签订电话或硬件等要素的合同,但允许IT服务提供商管理这些关系。对于监管机构和投资者而言,这是透明且清晰的,这意味着对客户而言,没有任何令人惊讶的惊喜,而这些惊喜隐藏在单个大型合同的背后。

当您外包时,您实质上会增加风险,并且正如某人强调指出的那样,已转移的风险仍然是风险。正是某些元素的这种转移会增加您在其他领域的风险。今年将扩大高级管理人员和认证制度,以包括FCA监管的公司,它将把负责公司失败的责任放在负责该领域的高级管理人员的脚下。这意味着,如果您已将IT职能外包,则对于任何违反FCA要求的行为,COO仍将承担责任,FCA要求的网络安全基于高级管理安排,系统和控制。

网络安全和数据保护至关重要

RFA始终建议客户采取严格的网络安全和数据保护方法,即使它是外包的也是如此。制定灾难恢复和业务连续性计划至关重要,更重要的是,必须对它们进行定期测试,而无需事先警告更广泛的业务。突击测试是检查在发生真正灾难时事情是否正常的最佳方法。

如果事实证明很难定期进行实际测试,我们还建议客户进行假设测试,其中将合适的人聚集在一个房间里,并提出一个场景,例如总公司烧毁。然后记录所有需要发生的事情,与场景相关的所有风险以及流程将是什么。员工是否可以在家工作,如果可以,他们是否可以正确,安全且快速地访问公司网络和所需的系统?他们可以在其他办公室工作吗?永久解决方案的启动和运行需要多长时间?如果您要接受调查,这将为监管者提供证据,也可以作为向投资者提供证据的一部分,以表明您已掌握了一切。

从GDPR中消除恐惧

经理可以为GDPR做准备的一些关键活动包括:

运行数据分析练习。您是否有任何个人数据,它是什么,谁可以访问它,以及您将其用作什么?

进行技术审查,以了解您的数据在哪里,如何安全以及如何从A到B。有新技术可以跟踪一旦安全发送的文件,阻止文件转发,甚至需要有人请求允许继续发送。这种技术可能是个大新闻,值得检查一下市场以了解市场情况。HR的一个快速解决方案示例是为申请人设置一个单独的电子邮件帐户,以便向其发送简历。可以将其设置为自动响应公司的政策信息,包括简历的存储位置,用途以及删除时间。

查看您的政策和程序。介绍数据隐私影响评估表和过程。这为您保护数据所做的工作设定了基准,RFA可以根据要求提供模板。确保您的策略可访问并且对团队的所有成员都可用。如果人们不读,那是无效的。

正式任命一个关键团队来管理GDPR。您确实需要有人需要对此拥有所有权。

最后,检查您的供应链,以确保您正确地进行管理,并完全监督谁在处理您的数据。无论如何,所有这些都与ODD要求很好地联系在一起,因此,只需将审查范围扩大到包括有关实际数据的详细信息即可。

RFA建议其客户全面地进行风险管理,ODD只是风险管理的另一个方面。如前所述,监管机构和投资者都在寻找相同的东西,这归结为有据可查,精心计划的风险管理策略。

声明:文章仅代表原作者观点,不代表本站立场;如有侵权、违规,可直接反馈本站,我们将会作修改或删除处理。

图文推荐

热点排行

精彩文章

热门推荐