Юридический аудит IT-компании: практический взгляд
Рубрика "IT Law"
Журнал "Юрист" № 1/2019
Индустрия информационных технологий стремительно развивается, и это обусловливает большой интерес к IT-компаниям со стороны частных и институциональных инвесторов (венчурные, инвестиционные фонды, банки и т.д.).
До принятия решения об инвестировании инвесторы обычно проводят юридический аудит (проверку), или Legal Due Diligence (далее — LDD). Результат LDD играет важную роль в принятии решения об инвестировании, а также о способах инвестирования.
В каких целях проводят LDD? Что учитывать IT-компаниям при подготовке к LDD? Является ли LDD обязательной процедурой?
Автор:
Николай АРТЕМЬЕВ,
магистр права,
старший юрист
Borovtsov & Salei
Для чего и для кого?
В отличие от финансового аудита LDD — это анализ различных аспектов объекта инвестирования (доля в капитале или отдельные активы в виде оборудования, лицензионного ПО) с точки зрения оценки правовых рисков. В частности, LDD проводят в целях:
— анализа состояния объекта инвестирования, включая процессы управления объектами IP и IT (авторское право, ноу-хау, лицензии и т.п.);
— выявления проблемных зон, нарушений и иных «слабых сторон» объекта инвестирования, оценки их существенности, возможных послед-
ствий для компании и инвестора;
— устранения проблем, а также минимизации их последствий (претензий, судебных перспектив со стороны контрагентов и партнеров, штрафных санкций со стороны госорганов и т.п.);
— выбора наиболее оптимальной структуры сделки с точки зрения правовых, в том числе налоговых, последствий. Например, осуществления инвестиций в уже действующую или специально созданную компанию (иностранную холдинговую компанию, SPV).
Независимое представление об объекте инвестирования может явиться основанием для обсуждения коммерческих условий сделки, уменьшения объема инвестиций и т.д. Устранение компанией выявленных при LDD нарушений может стать одним из условий заключения сделки, перечисления денежных средств и т.п. (Conditions Precedent). Инвестору могут быть предоставлены заверения и гарантии (representations and warranties) устранения недостатков, а также предусмотрена компенсация за возможные негативные последствия (Indemnities). Использование некоторых таких инструментов в белорусской практике не всегда оправдано, поскольку они еще не «проверены» судебной практикой.
СПРАВОЧНО.
На сегодняшний день национальное законодательство предусматривает единственный случай, когда предоставление LDD является обязательным. Так, согласно п. 17 Положения о Парке высоких технологий, утвержденного Декретом Президента Республики Беларусь от 21.12.2017 № 8 «О развитии цифровой экономики», одним из требований для вступления в Парк высоких технологий (ПВТ) по проектам, предусматривающим создание и размещение цифровых знаков (токенов) или иное их использование (ICO), является обязательное получение по такому проекту заключения внешнего аудита, в том числе юридического.

Как проводить LDD?
Каких-либо законодательных требований к порядку и форме проведения LDD нет.
На практике процедура LDD обычно состоит из следующих этапов:
1) обсуждение объема исследуемых вопросов и подготовка перечня запрашиваемой информации (LDD Questionnaire and Request List), содержание которого зависит от различных факторов, в том числе предмета деятельности и модели бизнеса IT-компании, а также объекта инвестирования (компания — белорусский центр разработки, иностранная холдинговая компания и т.п.);
2) изучение и анализ документов и информации об объекте инвестирования, коммуникация по отдельным вопросам с менеджментом компании и ключевыми заинтересованными лицами (Stakeholders), включая представителей банков, государственных органов;
3) подготовка письменного отчета.

Результатом LDD является письменный отчет (LDD Report), который описывает риски, их последствия для инвестора, а также содержит рекомендации по устранению или минимизации рисков. В зависимости от потребностей инвестора может составляться подробный отчет с описанием не только проблемных моментов, но и истории создания компании, взаимоотношений с ключевыми контрагентами и т.п. Такой отчет обычно составляется при полной покупке объекта инвестирования, а также для целей выхода компании на IPO. При менее масштабных проектах составляется краткий отчет с описанием основных рисков и проблемных моментов (Red-Flag LDD Report).

Что важно для инвестора?
Как уже отмечалось выше, цель любого LDD — выявление уже возникших или потенциальных юридических рисков, их оценка с точки зрения влияния на потенциальную стоимость бизнеса, а также предоставление рекомендаций по их устранению или минимизации.
Не является исключением и проверка IT-компаний, которая наряду с общими для любого бизнеса рисками, связанными прежде всего с корпоративными процедурами, регуляторными требованиями, материальными активами, ключевыми сделками, налоговыми отношениями и существующими спорами, должна уделять особое внимание вопросам, оказывающим непосредственное влияние на успешность реализуемого компанией IT-проекта. Кроме прочего, к ним относятся вопросы интеллектуальной собственности (IP), отношений с ключевыми работниками, неконкуренции, коммерческой тайны и защиты персональных данных.

Чему уделять внимание при подготовке IT-компании к LDD?
Особое внимание к указанным ниже вопросам как в процессе повседневной деятельности, так и при непосредственной подготовке к LDD, на наш взгляд, будет способствовать увеличению инвестиционной привлекательности IT-компании и, соответственно, поможет ей соответствовать ожиданиям потенциальных инвесторов.

Интеллектуальная собственность (IP)
В отличие от бизнеса из реального сектора экономики ключевым фактором оценки стоимости IT-компании являются не материальные активы,
которые зачастую могут сводиться к нескольким десяткам компьютеров, а принадлежащие ей права на объекты интеллектуальной собственности и, соответственно, принятые меры по их защите. Помимо вопросов надлежащей регистрации объектов интеллектуальной собственности, управления авторскими правами на разработанные продукты особое внимание следует обратить на положения трудовых договоров (контрактов) с работниками, непосредственно вовлеченными в процесс разработки программного обеспечения.
В частности, в соответствии с абз. 1 п. 2 ст. 17 Закона Республики Беларусь от 17.05.2011 № 262-З «Об авторском праве и смежных правах» исключительное право на служебное произведение (каковым может являться, к примеру, программное обеспечение, созданное по заданию нанимателя) с момента его создания переходит к нанимателю (если иное не предусмотрено договором). Трудовым договором также может быть предусмотрено право работника на получение авторского вознаграждения за использование разработанного им программного обеспечения, что может значительно повлиять на размеры доходов самой компании.
Немаловажным является вопрос согласованности предмета договора на разработку программного обеспечения, а именно соответствия реально разработанного продукта (программное обеспечение, мобильное приложение) согласованному техническому заданию. Несоответствие последнего разработанному продукту может вызвать потенциальные споры с заказчиком, а также существенные финансовые и временные потери для разработчика.

Отношения с ключевыми работниками
Основным активом любого успешного IT-бизнеса являются работники компании, от чьего таланта, квалификации и трудолюбия напрямую зависит потенциальный успех реализуемых проектов и, соответственно, рыночная стоимость самого бизнеса. Прекращение трудовых отношений с такими работниками может в свою очередь привести к «параличу» бизнес-модели и ее фактическому обесцениванию.
Для минимизации рисков, связанных с потенциальной утратой человеческого капитала, при проведении LDD IT-компании следует обратить особое внимание на положения трудовых (гражданско-правовых) договоров с ключевыми работниками, регулирующие оплату труда и порядок премирования, срок и условия досрочного расторжения трудового договора, включая размер соответствующей компенсации или штрафа, а также на наличие положений или отдельного соглашения с работником о недопустимости заключения трудовых или гражданско-правовых договоров с конкурентами, а также осуществления самостоятельной конкурирующей деятельности (Non-Compete).

Коммерческая тайна
В процессе реализации сложных коммерческих проектов по разработке высокотехнологичных продуктов IT-компании зачастую используют собственные уникальные методы и подходы к решению стоящих перед ними задач, сведения о которых не являются общеизвестными и имеют существенную коммерческую ценность. Несмотря на значимость подобных сведений, представители IT-бизнеса не всегда предпринимают достаточные меры по их защите, в том числе путем установления предусмотренного законодательством режима коммерческой тайны.
Так, в соответствии со ст. 8 Закона Республики Беларусь от 05.01.2013 № 16-З «О коммерческой тайне» режим коммерческой тайны считается
установленным после определения состава сведений, подлежащих защите, и принятия совокупности мер, необходимых для обеспечения их
конфиденциальности. В ходе юридической проверки предстоит определить, был ли должным образом ограничен доступ к коммерческой тайне, произведен ли учет имеющих к ней доступ лиц, осуществлено ли регулирование отношений, связанных с доступом к коммерческой тайне, а также определены ли работники, ответственные за принятие указанных мер.

Защита персональных данных
Вопрос надлежащей защиты обрабатываемых персональных данных встал особенно остро после вступления в силу в мае 2018 г. Общего регламента о защите персональных данных Европейского союза (далее — GDPR), принятия в июне 2018 г. соответствующего Закона в штате Калифорния (англ. California Consumer Privacy Act of 2018) (далее — Закон Калифорнии) и опубликования проекта Закона Республики Беларусь
«О защите персональных данных». Разработка и принятие указанных актов недвусмысленно подтверждают общемировой тренд на ужесточение законодательства в области защиты персональных данных, а также усиление ответственности за его нарушение.
Для IT-компаний, активно осуществляющих свою деятельность на рынках Европейского союза и США, уже сегодня существует необходимость как минимум установить обязанность по соблюдению требований Закона Калифорнии и GDPR, нарушение которых может привести к существенным негативным последствиям как репутационного, так и финансового характера.
Анализ корпоративной структуры, бизнес-модели и маркетинговой стратегии, проводимый в процессе юридической проверки, призван определить применимость Закона Калифорнии и GDPR к данной IT-компании и выработать рекомендации по снижению соответствующих рисков.
Автор:
Илья САЛЕЙ,
LL.M, старший юрист
Borovtsov & Salei
Legal Due Diligence
Legal due diligence is the process of collecting, understandingand assessing all the legal risks associated during a M&A process. During due diligence, the acquirer reviews all the documents pertaining to a target company and sometimes even interviews people associated with it. The idea behind this investigation is to understand if there will be any future legal problems due to this acquisition.
SPV
A Special Purpose Vehicle (SPV) is a separate legal entity created by an organization. The SPV is a distinct company with its own assets and liabilities, as well as its own legal status. Usually, they are created for a specific objective, often which is to isolate financial risk. As it is a separate legal entity, if the parent company goes bankrupt, the special purpose vehicle can carry its obligations.
Conditions precedent
A condition precedent is a legal term describing a condition or event that must come to pass before a specific contract is considered in effect or any obligations are expected of either party.
Indemnity
Indemnity is compensation for damages or loss, and in the legal sense, it may also refer to an exemption from liability for damages. The concept of indemnity is based on a contractual agreement made between two parties, in which one party agrees to pay for potential losses or damages caused by the other party.
Stakeholders
A person, group or organization that has interest or concern in an organization.
Stakeholders can affect or be affected by the organization's actions, objectives and policies. Some examples of key stakeholders are creditors, directors, employees, government (and its agencies), owners (shareholders), suppliers, unions, and the community from which the business draws its resources.
Due Diligence Report
A due diligence report is the review for the contracting party or investor containing information on the
legal status of the company, identified defects and ways to eliminate them.
! LDD — это процедура
составления объектив-
ной независимой оценки
объекта инвестирования
с точки зрения правовых
рисков.
! Документы и информация в ходе LDD предоставляются в электронном виде через виртуальную комнату данных
(Virtual Data Room) либо
на бумажных носителях
(Physical Data Room).
Результатом LDD является письменный отчет
(LDD Report), который
описывает риски, их последствия для инвестора,
а также содержит рекомендации по устранению
или минимизации рисков.
Цель любого LDD — выявление уже возникших или
потенциальных юридических рисков, их оценка с точки зрения влияния на потенциальную стоимость бизнеса, а также предоставление рекомендаций по их устранению или минимизации.
! Выявление при LDD
существенных недостатков объекта инвестирования (Deal Breakers) является основанием
для отказа инвестора от сделки.
Ключевым фактором
оценки стоимости
IT-компании являются
принадлежащие ей права
на объекты интеллектуальной собственности и принятые меры по их защите.
! Если трудовым договором не установлено иное, исключительное право на разработанное работником программное обеспечение может перейти к его автору, если наниматель в течение
5 лет со дня, когда к нему
перешло исключительное
право на служебное произведение, не начнет использование этого произведения или не передаст
исключительное право
на это произведение другому лицу.
! Возможность заключения соглашений о неконкуренции — одно из наиболее прогрессивных положений белорусского
законодательства, направленных на улучшение инвестиционного климата и защиту интересов потенциальных инвесторов. Однако на сегодняшний день такая возможность предоставлена лишь компаниям —
резидентам ПВТ на основании Декрета № 8.
Режим коммерческой
тайны считается установленным после определения состава сведений, подлежащих защите, и принятия совокупности
мер, необходимых для обеспечения их конфиденциальности.
Читайте по теме:
Воронкевич С. Работаем
по правилам GDPR: при
чем здесь белорусские
компании? // Юрист. —
2018. — № 8. — С. 68–71.