Технологический Due Diligence — чекап здоровья IT-единорога

Инновационные анализы крови, грузовики на водороде, умные AR-мотошлемы и веганский майонез. Неплохой разброс мысли. Что в них общего? А то, что мысль эта пошла не туда. Конечно, возможно на раннем этапе авторы-инноваторы и планировали что-то такое прорывное, но на деле все свелось к банальному мошенничеству: подделкам результатов испытаний, махинациям с финансовой отчетностью, прямому обману сотрудников и инвесторов. Как этого избежать? Разбираемся вместе с Анатолием Земцовым, IT-юристом и сооснователем консалтинговой компании DFCenter, специализирующейся на экспертной поддержке юристов в сложных судебных спорах, связанных с IT.  

Почему фаундеры от реализации оригинальной идеи скатываются к банальному мошенничеству? Однозначного верного ответа нет. Возможно, кто-то из основателей недооценил сложность поставленной задачи и в питчах столько рассказывал инвесторам про прекрасное будущее, что и сам поверил. А в процессе реализации идеи, когда столкнулся с объективными и иногда технически неразрешимыми преградами — не нашел сил все остановить или хотя бы вовремя сделать пивот. Это, наверно, можно понять — часто побеждают самые упорные. А вот почувствовать грань, за которой упорство и вера в себя и команду уже сменяется маниакальной фазой и фанатизмом, — получается далеко не у всех.

Бывает и по-другому. С самого начала в действие введен план быстро «заработать»: собрать денег с инвесторов под красивые слова и красочные презентации, а потом потратить все не на развитие продукта и компании, а на личные нужды. Точнее на красивую жизнь со всеми ее атрибутами из тусовок, спорткаров и личных самолетов.

Истории про волшебные ампулы от Theranos и передовые грузовики от Nikola One постепенно становятся нарицательными, но и сегодня не все инвесторы знают о таких угрозах или уделяют им внимание. Хотя откровенные фейки, как этот, уже не проходят безболезненно.

А если и узнали, то как понять и правильно оценить? Ведь это что-то неслыханное ранее и ни с чем не сравнимое, так сказать, disruptive innovation.

Действительно, полностью защититься и гарантировать, что технология не основана, например, на неверной научной гипотезе — не сможет никто. А вот отфильтровать риск того, что продукт в реальности крайне далек от описания в презентации —  вполне реализуемая задача. MVP — это важная стадия, но если только на этом и остановился стартап, а «развитие» идет исключительно в письмах инвестору, лучше об этом узнать до того, как этот инвестор отдаст проекту свои деньги. Решить такую задачу помогает независимый аудит.

Под прединвестиционным аудитом обычно понимается Due Diligence — достаточно распространенная практика проверки компании, готовящейся к инвестированию или продаже. На Seed раунде встречается не всегда, а вот начиная с раунда А и выше или в больших M&A сделках (Mergers & Acquisitions — слияние и поглощение. Это два основных вида сделки, когда можно купить/продать бизнес или его часть, а также объединить компании. – Startup Jedi) — это must have.  Крупные инвесторы, чтобы получить представление о реальном положении дел у будущего «единорога», нанимают специализированных аудиторов, бухгалтеров и юристов. А те все проверяют и подготавливают независимое мнение о возможных финансовых и правовых рисках. Неоплаченные налоги, просрочки по контрактам, суды и права собственности на активы — все, что может негативно повлиять на стоимость компании и спокойствие инвестора, попадает в их поле зрения.

Во времена, когда инвестиционные деньги вкладывались в заводы, станки и прочие материальные активы, этого было вполне достаточно. А сегодня, когда главный актив многих стартапов — это интеллектуальная собственность, технология и программный код, в котором она воплощена, посмотреть только на «бумаги» мало. Неплохо было бы еще и код этот самый посмотреть. Проверить его качество, разобраться из чего он «сделан». Поэтому и Due Diligence должен быть технологическим.

У компаний, как правило, существует минимум два риска, связанных с их же продуктом. Судебная практика это регулярно подтверждает.

Например, open source (открытое/свободное программное обеспечение) — это очень хорошо и удобно. Но не стоит забывать, что open source, на самом деле, не всегда бесплатный и точно не бесхозный. Он распространяется на вполне конкретных условиях открытых лицензий и имеет четкие правила и ограничения на использование.

Совсем недавно, в середине октября 2021 года, в США правозащитная организация Software Freedom Conservancy (SFC) подала иск к производителю смарт-телевизоров Vizio Inc. Эта далеко не маленькая даже по американским меркам компания — миллиардные обороты, акции на Нью-Йоркской бирже. Ситуация следующая: Vizio использует в своих коммерческих продуктах open source с лицензией GPL, что само по себе не запрещено. Однако согласно правилам GPL, если используешь open source в своих разработках — обязан предоставить исходные тексты своих продуктов по первому требованию любого лица. Но какая коммерческая компания готова поделиться с рынком своими наработками просто так? Вот и Vizio не готова. С 2018 года SFC писала требования и жалобы в Vizio, но компания их игнорировала. И теперь дело дошло до калифорнийского суда.

Еще одним риском для IT-компании может стать, как ни странно, профессиональный бэкграунд сотрудников. Иногда уволившийся сотрудник забирает с собой разработки бывшего работодателя. И использует их потом на новом рабочем месте, часто без ведома нового работодателя, или же в своем собственном проекте.

Регулярно своим бывшим сотрудникам подобные претензии предъявляет Apple. А бывший инженер Google Энтони Левандовски не только сам получил 18 месяцев тюрьмы за копирование из корпоративных баз материалов, связанных с разработками беспилотников, но и подставил Uber. Именно этой компании он продал свой стартап, основанный на краденых секретах, а сам занял там пост вице-президента по технологиям. Когда все вскрылось, Google подала в суд на Uber, обвинив в использовании украденной интеллектуальной собственности и ущербе в $500 млн.

Подобные случаи, хотя и с меньшим штрафами, сегодня вовсе не редкость и в российских судах.

1. Понадобится команда независимых IT-специалистов, разбирающихся в написании и анализе кода. Это может быть и отдельный эксперт, если проект небольшой. Но одних навыков программирования мало — нужно иметь понимание ситуации в сфере IT в целом: проблемы, тенденции, перспективы, а также иметь опыт в смежных с IT областях. 

Еще понадобятся навыки юридически значимого сравнения кода. Этим занимается компьютерно-техническая экспертиза, которая помогает разобраться в сложных судебных спорах о правах на софт или, например, в случаях плагиата. Поэтому в команде обязательно должен быть специалист, знакомый с этой практикой. И конечно же у этой команды должна быть инфраструктура, позволяющая запускать и исследовать такие проекты. 

2. Необходимо передать экспертам код либо предоставить удаленный доступ к нему. Это может быть как просто записанный на флешку программный текст, так и доступ к GitHub. 

Какой-то небольшой пример можно передать и на этапе обсуждения, но основной объем кода для анализа крайне желательно предоставлять при наличии договора и особенно обязательства о конфиденциальности. Мы же говорим о минимизации рисков, а не об их увеличении.

3. Следующим этапом подключатся IP/IT-юристы, которые проводят оценку рисков. Если риски есть, они помогают с их устранением, например с «очисткой прав» или с верным лицензированием. 

В итоге — все в выигрыше и «единороги» спокойно растут на радость их основателям.