Due Diligence IT dalam Merger & Akuisisi: Daftar Periksa Praktis

🇬🇧 Read this article in English

Ringkasan Eksekutif: Uji tuntas atau due diligence IT M&A (merger dan akuisisi) adalah garis pemisah antara integrasi yang menguntungkan dan bencana yang menghancurkan margin laba. Pihak pengakuisisi sering kali hanya berfokus pada pemodelan keuangan, mengabaikan utang teknis (technical debt), celah keamanan siber, dan kontrak vendor yang berantakan di balik layar. Daftar periksa ini memberikan kerangka kerja pragmatis untuk mengevaluasi tumpukan teknologi (technology stack) perusahaan target, memastikan realitas IT sejalan dengan tesis investasi awal.

Tim transaksi menghabiskan waktu berbulan-bulan meneliti EBITDA, biaya akuisisi pelanggan, dan pangsa pasar. Namun, ketika kesepakatan ditandatangani, kesuksesan transaksi sering kali bergantung pada sesuatu yang jarang dibahas pada tahap awal: kondisi teknologi perusahaan target. Tinjauan due diligence IT M&A yang tepat mencegah pengakuisisi membeli rumah dengan fondasi yang rapuh.

Selama 20 tahun lebih saya menjembatani keuangan dan IT perusahaan, saya telah melihat banyak akuisisi terhenti karena biaya integrasi sistem lama (legacy systems) melampaui proyeksi keuntungan finansial. Ketika latar belakang akuntansi bertemu dengan latar belakang arsitektur IT, Anda akan segera menyadari bahwa utang teknis secara langsung menguras kas perusahaan. Sistem ERP yang tertinggal zaman atau basis data yang sangat dikustomisasi dan tidak dapat diskalakan bukan sekadar masalah IT; ini adalah ancaman langsung terhadap kelayakan finansial dari kesepakatan tersebut.

Mengapa Transaksi M&A Gagal: Utang Teknis yang Tersembunyi

Tujuan inti dari due diligence IT M&A adalah untuk memvalidasi hipotesis investasi dari sudut pandang teknologi. Jika akuisisi didasarkan pada asumsi untuk meningkatkan skala operasi secara cepat, tetapi perusahaan target masih mengandalkan server lokal (on-premises) yang terfragmentasi dengan sistem operasi usang, maka hipotesis pertumbuhan tersebut sangat cacat.

Saya pernah meninjau akuisisi sebuah perusahaan manufaktur skala menengah di mana perusahaan target mengklaim memiliki ekosistem perangkat lunak rantai pasok (supply chain) yang sangat optimal. Pemeriksaan lebih dalam mengungkapkan bahwa ERP “kustom” mereka hanyalah sistem usang yang dimodifikasi secara ekstrem dan hanya didukung oleh satu kontraktor eksternal. Memperbarui sistem tersebut mustahil dilakukan tanpa merusak integrasi yang ada. Pihak pengakuisisi terpaksa memasukkan anggaran tak terduga bernilai miliaran rupiah untuk migrasi ERP secara mendadak hanya agar bisnis tetap beroperasi pasca-penutupan transaksi.

Untuk menghindari kejutan ini, proses due diligence harus metodis, objektif, dan terintegrasi secara mendalam dengan tinjauan keuangan. Jangan pernah menerima ekspor spreadsheet berisi biaya vendor sebagai bukti kesehatan IT. Anda harus memeriksa arsitektur, kontrak, dan budaya kerjanya.

Kerangka Kerja Inti: Daftar Periksa Praktis Due Diligence IT M&A

Penilaian IT yang menyeluruh harus mencakup lima pilar utama. Anggap daftar periksa ini sebagai dasar Anda untuk mengungkap risiko tersembunyi dan hambatan integrasi.

1. Penilaian Infrastruktur dan Arsitektur

Infrastruktur fisik dan cloud menentukan seberapa mudah Anda dapat meningkatkan skala entitas yang baru diakuisisi atau menggabungkannya ke dalam operasi Anda saat ini.

• Kematangan Cloud (Cloud Maturity): Apakah target sudah sepenuhnya bermigrasi ke penyedia cloud modern (AWS, Azure, GCP), atau mereka masih beroperasi dari pusat data lokal? Jika berbasis cloud, apakah mereka menggunakan arsitektur cloud-native, atau sekadar melakukan “lift-and-shift” dari server lama?
• Siklus Hidup Perangkat Keras: Minta inventaris aset lengkap. Identifikasi perangkat keras atau sistem operasi yang sudah mencapai akhir masa pakai (End-of-Life/EOL). Ini merepresentasikan kebutuhan pengeluaran modal (CapEx) langsung pada Hari ke-1.
• Pemulihan Bencana (DR) dan Pencadangan: Tinjau target waktu pemulihan (RTO) dan target titik pemulihan (RPO) mereka. Kapan terakhir kali mereka benar-benar menguji pemulihan sistem secara penuh? Rencana yang didokumentasikan tidak ada gunanya jika tidak pernah diuji dalam lingkungan simulasi.

2. Sistem Bisnis Inti dan Integrasi ERP

Di sinilah upaya integrasi sering kali menemui jalan buntu. Mengevaluasi sistem perencanaan sumber daya perusahaan (ERP), CRM, dan perangkat lunak operasional utama sangatlah kritis.

• Kustomisasi vs. Konfigurasi: Tentukan seberapa besar target telah memodifikasi sistem inti mereka. Kustomisasi kode sumber yang ekstensif mengunci perusahaan pada versi yang sudah ketinggalan zaman, membuat proses pembaruan menjadi sangat mahal.
• Kebersihan Data: Evaluasi praktik manajemen data master mereka. Jika Anda menggabungkan dua perusahaan, menggabungkan data pelanggan dan keuangan mereka akan menjadi pekerjaan besar. Data yang berantakan, duplikat, atau terstruktur dengan buruk akan menghentikan peta jalan integrasi.
• Perangkat Lunak Kepemilikan (Proprietary): Jika perusahaan membangun perangkat lunaknya sendiri, nilai kualitas basis kodenya. Jalankan alat analisis kode statis untuk mengukur utang teknis. Tinjau siklus hidup pengembangan perangkat lunak (SDLC) dan protokol manajemen rilis mereka.

3. Postur Keamanan Siber dan Kepatuhan

Membeli sebuah perusahaan berarti membeli kewajiban data mereka. Pelanggaran data yang tidak terungkap dapat memicu denda regulasi yang besar dan kerusakan reputasi tepat setelah akuisisi ditutup.

• Riwayat Insiden: Minta riwayat lengkap insiden keamanan, pelanggaran, dan insiden nyaris celaka (near-misses) selama lima tahun terakhir. Tinjau laporan remediasi pasca-insiden.
• Kerangka Kepatuhan: Nilai kepatuhan mereka terhadap standar yang relevan (SOC 2, ISO 27001, GDPR, PDP/UU Perlindungan Data Pribadi). Minta laporan audit terbaru dan tinjau pengecualian yang dicatat oleh auditor.
• Manajemen Identitas dan Akses (IAM): Bagaimana hak istimewa akses diberikan dan dicabut? Kurangnya autentikasi multi-faktor (MFA) atau akses administratif yang tersebar luas adalah tanda bahaya besar.

4. Keuangan IT dan Kontrak Vendor

Di sinilah perspektif akuntansi menjadi sangat berharga. Anda harus memetakan arsitektur IT ke dalam buku besar (general ledger).

• Analisis CapEx vs. OpEx: Tinjau anggaran IT. Apakah mereka secara agresif mengkapitalisasi biaya pengembangan perangkat lunak internal untuk menggelembungkan EBITDA secara artifisial? Gali fungsi sebenarnya dari aset yang dikapitalisasi tersebut.
• Klausul Perubahan Kontrol (Change of Control): Baca perjanjian layanan induk (MSA) untuk perangkat lunak kritis mereka. Banyak lisensi perangkat lunak perusahaan menyertakan klausul “perubahan kontrol” yang mengharuskan pengakuisisi untuk menegosiasikan ulang kontrak, sering kali dengan tarif yang jauh lebih tinggi, setelah akuisisi.
• Shadow IT: Bandingkan laporan pengeluaran (expense reports) dengan daftar vendor IT resmi. Kepala departemen sering kali mengabaikan IT untuk membeli alat SaaS menggunakan kartu kredit perusahaan. Pengeluaran yang terfragmentasi ini menunjukkan tata kelola IT yang buruk dan risiko keamanan yang tidak terukur.

5. Bakat, Tata Kelola, dan Budaya Organisasi

Sistem tidak berjalan dengan sendirinya. Orang-orang yang mengelola teknologi sama pentingnya dengan teknologi itu sendiri.

• Ketergantungan pada Individu Kunci (Key Person Dependency): Identifikasi individu yang memegang pengetahuan institusional eksklusif. Jika seluruh arsitektur jaringan hanya dipahami oleh satu insinyur senior, kepergian mereka pasca-akuisisi menghadirkan risiko operasional yang kritis.
• Kematangan Proses: Evaluasi kerangka tata kelola IT mereka. Apakah mereka menggunakan ITIL untuk manajemen layanan? Agile untuk pengembangan? Kurangnya proses formal biasanya menunjukkan departemen IT yang terus-menerus beroperasi dalam mode “pemadam kebakaran”.
• Kesiapan Integrasi: Nilai kecocokan budaya antara tim IT pengakuisisi dan tim target. Apakah tim IT startup yang terbiasa bergerak cepat akan memberontak terhadap proses manajemen perubahan yang kaku dari perusahaan pengakuisisi yang lebih besar?

Faktor AI Generatif dalam Due Diligence IT Modern

Dengan pesatnya perkembangan teknologi saat ini, ledakan AI generatif telah memperkenalkan lapisan kompleksitas yang sama sekali baru dalam penilaian due diligence IT M&A. Setiap jajaran direksi berlomba-lomba mendefinisikan kebijakan AI, dan perusahaan target harus dievaluasi berdasarkan realitas baru ini.

Selama due diligence, Anda harus menentukan bagaimana perusahaan target saat ini menggunakan AI dan risiko apa yang tanpa sadar telah mereka terima. Minta kebijakan penggunaan AI perusahaan mereka. Jika mereka tidak memilikinya, asumsikan bahwa karyawan menempelkan kode kepemilikan, data keuangan, dan informasi pelanggan ke dalam model AI publik untuk mempercepat pekerjaan mereka.

Selain itu, jika perusahaan target mengklaim produk “berbasis AI” sebagai keunggulan kompetitif, Anda harus memverifikasi kepemilikan kekayaan intelektual (IP) tersebut. Apakah mereka benar-benar membangun model pembelajaran mesin (machine learning) sendiri, atau mereka sekadar membungkus antarmuka pengguna dasar di sekitar API eksternal? Bergantung sepenuhnya pada penyedia AI pihak ketiga untuk fitur produk inti menciptakan ketergantungan vendor (vendor lock-in) yang ekstrem dan kerentanan margin. Due diligence harus mengungkap apakah kemampuan AI mereka adalah aset murni atau sekadar klaim pemasaran yang tidak berkelanjutan.

Transisi dari Penilaian ke Peta Jalan Integrasi

Fase due diligence tidak boleh hanya menghasilkan daftar masalah; ia harus membuahkan jalur strategis ke depan. Temuan dari daftar periksa due diligence IT M&A Anda harus secara langsung menginformasikan peta jalan integrasi.

Saya merekomendasikan penataan temuan ke dalam tiga kerangka waktu operasional:

• Hari 1 (Cutover): Tindakan segera yang diperlukan untuk kelangsungan bisnis. Ini termasuk mengamankan perimeter jaringan, memadukan manajemen identitas (sehingga karyawan dapat saling mengirim email dan mengakses intranet), dan mengamankan sistem pelaporan keuangan.
• Hari 100 (Konsolidasi): Inisiatif jangka menengah. Merasionalisasi duplikat lisensi perangkat lunak, memulai migrasi beban kerja non-kritis ke lingkungan cloud terpadu, dan menyelaraskan operasi meja layanan IT (IT service desk).
• Tahun 1 dan Seterusnya (Transformasi): Pekerjaan berat. Konsolidasi ERP secara penuh, penutupan pusat data, dan restrukturisasi organisasi yang mendalam.

Dengan memetakan biaya dan jadwal dari ketiga fase ini selama periode due diligence, tim transaksi dapat secara akurat menyesuaikan valuasi atau menyisihkan anggaran integrasi yang diperlukan sebelum transaksi ditutup.

Pertanyaan yang Sering Diajukan (FAQ)

Seberapa awal IT harus dilibatkan dalam proses M&A?

Kepemimpinan IT harus dilibatkan dalam diskusi saat Letter of Intent (LOI) ditandatangani, atau bahkan lebih awal selama penyaringan target awal. Menunggu hingga minggu-minggu terakhir due diligence legal untuk menilai teknologi akan menjamin bahwa biaya integrasi diremehkan. Keterlibatan awal memungkinkan IT untuk menandai ketidakcocokan struktural yang dapat mengubah struktur kesepakatan atau valuasi.

Apa tanda bahaya (red flag) paling umum dalam tinjauan due diligence IT?

Kurangnya dokumentasi yang komprehensif dan mutakhir adalah indikator paling konsisten dari masalah mendasar. Ketika sebuah perusahaan tidak dapat menghasilkan diagram topologi jaringan yang diperbarui, inventaris aset perangkat lunak yang akurat, atau prosedur pemulihan bencana yang didokumentasikan, hal itu menandakan kegagalan tata kelola sistemik. Dokumentasi yang buruk biasanya menyembunyikan utang teknis yang masif dan ketergantungan ekstrem pada individu kunci.

Bagaimana kita mengukur utang teknis selama due diligence?

Mengukur utang teknis membutuhkan penerjemahan defisiensi teknis menjadi angka finansial. Hitung biaya untuk memperbaiki masalah tersebut. Jika sebuah aplikasi memerlukan penulisan ulang total untuk bermigrasi ke cloud, perkirakan jam kerja rekayasa dan biaya perangkat lunak yang dibutuhkan. Jika perangkat keras sudah usang, hitung harga peralatan pengganti dan tenaga implementasinya. Sajikan angka-angka ini kepada tim transaksi sebagai pengeluaran modal yang diperlukan untuk memastikan akuisisi memenuhi tujuan operasionalnya.

Bagaimana kita harus mengevaluasi keamanan siber akuisisi jika waktu terbatas?

Ketika tenggat waktu sangat ketat, prioritaskan uji penetrasi (penetration test) eksternal dan tinjauan audit kepatuhan terbaru mereka (seperti laporan SOC 2 Type II). Selain itu, jalankan pemindaian dark web untuk kredensial yang disusupi terkait dengan domain mereka, dan tinjau konfigurasi manajemen identitas dan akses mereka. Meskipun tidak menyeluruh, langkah-langkah ini akan mengungkap kerentanan paling kritis yang dapat mengarah pada pelanggaran langsung.

Pemikiran Akhir

Melakukan due diligence IT M&A yang efektif menuntut kita untuk melihat melampaui presentasi vendor yang dipoles dan ringkasan manajemen yang mengkilap. Ini membutuhkan pendekatan pragmatis berbasis bukti untuk mengungkap realitas teknis dari sebuah organisasi. Teknologi adalah sistem saraf pusat dari operasi bisnis modern; jika Anda mengakuisisi sistem saraf yang gagal, keseluruhan badan perusahaan akan kesulitan untuk berkinerja, terlepas dari seberapa menguntungkannya model keuangan tersebut di atas kertas.

Tujuannya bukanlah untuk menemukan target dengan teknologi yang sempurna—perusahaan semacam itu jarang ada. Tujuannya adalah untuk mengidentifikasi risiko, mengukur biaya remediasi, dan memasuki transaksi dengan mata terbuka lebar. Dengan menerapkan daftar periksa ini secara sistematis, tim eksekutif dapat bertransisi dari mengambil alih kewajiban teknis menjadi mengeksekusi integrasi yang sukses dan bernilai tambah dengan penuh keyakinan.