银行业充满了合并与收购(M&As) 。过去，当决策者考虑合并与收购活动的战略目标时，他们通常会关注一笔交易商业方面的问题；而没有将信息安全的前端评估放在同等重要的位置。而今，这一切都已经改变了。

　　今天，不论在参与评估还是确保并购活动安全运作方面，信息安全已经成为整个M&A过程中关键的一部分。商业界正逐渐认识到，对于收购公司而言，安全审计的结果对收购目标的价值有直接影响，比如品牌、消费者信任和行业声誉。现在，由于在总体战略规划、风险分析和尽职调查阶段中都需要考虑操作安全，收购企业需要能够采用某种方法来衡量安全风险，同时要确保企业能够理解并且可以立即实行这种方法。

　　M&A安全框架

　　为了涵盖并购过程中收购者所适用的以及所碰到的安全领域的方方面面，我设计出了一个名为“确定. 启动. 保证. 收集. 观察. 核实. 评估. 汇报”的简单框架。该框架概述了安全职业人员应在并购运作中应该遵循的主要步骤。此外，该框架使得在并购各阶段，收购者在结合安全适当级别的同时，仍然主要关注商业策略。这个框架可以分为如下几个主要部分：

　　确定目的和目标

　　通过明确确定并购过程中的商业目的和安全目标，可以减少徒劳，并且在尽职调查阶段可以建立一个基线来确定企业的安全要求。即使企业将安全排除在尽职调查任务之外，仍然需要安全来确保该组织基本并购管理程序的安全性。

　　启动安全工作流程

　　一旦确定了一个潜在的收购目标，应当使用预先定义好的工作流程，来保留支持性文件和所有相关的信息。安全应当应用到工作流程基本组织中，来保护机密信息，并控制进入有关潜在交易的数据。在并购的早期关键阶段，无论在外部还是内部，应当确保下属理解并执行机密性协议，以防数据泄露。包含尽职调查活动的安全评估应当提交给审计小组。同时执行一个交流计划，来回答与并购活动有关的问题。

　　保证程序、数据传输和工作地点的安全

　　确保在一定级别的安全控制之下，文件系统、存储地点、电子邮件和本地文件是安全的。确保尽职调查小组在物理和逻辑上独立于普通的内部流量区域之外。大多数组织在并购过程中会需要转移信息，因此，要确保组织可以提供加密的文件传输，尤其当并购小组正在使用诸如电子邮件的公共网络或服务时。

　　收集评估数据

　　只要安全评估反馈回来，立即将其储存在内部的保护区域，并实施一个确保质量的步骤，对负面结果进行积极扫描；这有助于在收购目标所提供的信息中澄清答案或找出差距。及时解决知识差距提供了巨大的价值，并可以转化优势，企业在切商谈判阶段可以利用这种优势。

　　观察安全进程和程序

　　尤其在安全尽职调查阶段，观察收购目标组织中现行的备有证明文件的安全过程和程序。审查关键程序的内容包括：信息交流、事故响应、安全意思培训、信息来源、法律效力和内部审计评估。此外，对所有第三方的安排和商业伙伴，要检查合同的组织结构和主服务协议语言。

　　核实安全基准和衡量标准

　　务必要对收购目标安全评估的两个关键性能进行审计：设计测试和有效性测试。设计测试，即观察与受到质疑的核心程序有关的策略/程序文件。有效性测试，即实际上观测策略/程序是如何通过检查结果、报告和标准来实施的。

　　评估公众声誉和问题

　　这个行为可以发现许多经验，在谈判中，这些经验可以成为并购小组的优势。搜索公众记录、因特网搜索引擎、以及社交网站和博客，了解更多关于收购公司的理念。确定该公司是否有任何备有文件证明的安全漏洞、内部欺诈案件或曾受过法律执行或管理实体的调查。在线论坛和消费者投诉网站可以提供大量的信息，这些信息可能与实际不符。当这些信息交流反馈到核心尽职调查小组时，肯定会有价值。

　　汇报风险（可能性与影响）

　　成功实施并购的关键是交流。对于每一个观察到或发现的结果，构建一个快捷的报告组织结构来证明问题的可能性，以及问题可能对企业产生的影响。在提交信息时，最为重要的是将问题合理地转为风险矩阵。只有采用这种方法，企业才能理解并立即做出决定。

　　通过采用“确定. 启动. 保证. 收集. 观察. 核实. 评估. 汇报”框架，对于任何并购活动，安全小组都将准备好做出积极的贡献，并保证该组织组最基本的并购管理程序的安全。