Дью Дилижанс для IT-стартапа: Что проверять

Никита Веремеев

27.02.2026 | 6 мин чтения

Обновлено: 27.02.2026

С 2016 года я развиваю COREDO как партнера предпринимателей и инвесторов, которым важны точность, скорость и предсказуемость при выходе на международные рынки. За это время команда COREDO реализовала сотни проектов в Европе, Азии и странах СНГ: от регистрации компаний в ЕС, Чехии, Словакии, на Кипре и в Эстонии до запуска структур в Великобритании, Сингапуре и Дубае. Мы прошли полный цикл сопровождения сделок: инвестиции и M&A, получение финансовых лицензий (крипто, форекс, платежные услуги и e‑money), настройка AML/KYC, а также инвестиционный и технический due diligence IT‑стартапа.

В этой статье я собрал практику прединвестиционной проверки, которую мы встраиваем в комплексную поддержку клиентов. Моя задача: дать вам методику, которая экономит месяцы, уменьшает неопределенность и укрепляет переговорную позицию. Примеры и инструменты основаны на реальных проектах COREDO: без лишней теории, с акцентом на actionable‑результаты.

Нужен ли due diligence для IT‑стартапа

Иллюстрация к разделу «Нужен ли due diligence для IT‑стартапа» у статті «Due Diligence IT-стартапа – на что смотреть»

Инвестиционный Due Diligence стартапа, это не «галочка для комплаенса», а способ увидеть истинную картину: качество технологии, легальность IP, устойчивость выручки и зрелость процессов безопасности. Проверка IT‑стартапа влияет на оценку стартапа перед инвестицией, структуру сделки и постинтеграционный план, а значит — на ROI и скорость масштабирования.

Наш опыт в COREDO показал, что именно совмещение технического due diligence, юридического due diligence стартапа, финансового анализа SaaS и коммерческой проверки контрактов делает выводы надежными. Если пропустить хотя бы один контур — риск неприятных сюрпризов высок: от дефектов лицензий open source и скрытых CVE до проблем с GDPR и непризнанной выручки.

Я придерживаюсь принципа «мерить дважды, резать один раз». Значит, до подписания SPA/SSA или SAFE нужно проверить IP, каптейбл, регуляторные ограничения, ARR/MRR и технологический риск на уровне архитектуры, DevOps и безопасности данных. Так появляется уверенность, что интеграция пройдет без шока для команды и клиентов, а юрисдикционная и налоговая часть не подставит под удар.

Модель проверки COREDO: 6 контуров

Иллюстрация к разделу «Модель проверки COREDO: 6 контуров» у статті «Due Diligence IT-стартапа – на что смотреть»

В модели проверки COREDO предусмотрены шесть контуров оценки, которые всесторонне охватывают как бизнес, так и риски проекта. Один из ключевых контуров, юридический due diligence и вопросы IP, фокусируется на договорах, правах на технологии и возможных рисках, способных существенно повлиять на судьбу стартапа.

Юридический due diligence стартапа и IP

Начинаю с IP due diligence, потому что именно права на исходный код и бренд позволяют защитить основную ценность сделки. Я запрашиваю реестр объектов: код, библиотеки, патенты, товарные знаки и домены, а также договоры об отчуждении прав (assignment agreements) со всеми сотрудниками и подрядчиками. Важно убедиться, что у основателей были полномочия, а цепочка прав чистая и не нарушает несостыковки с open source лицензиями (GPL, MIT, Apache).

Отдельное внимание уделяю software escrow и условиям релиза исходников: особенно при зависимости от ключевого поставщика. Я проверяю лицензионные соглашения с клиентами, экзит‑клаузы и non‑compete, а также юрисдикцию споров, арбитраж, force majeure и механизм разрешения споров. В отраслях с экспортным контролем и ограничениями на криптографию или dual‑use технологии вопросы комплаенса включаются в обязательный чек.

Корпоративная структура и сделки

Чистота cap table, один из частых стоп‑факторов. Я анализирую каптейбл, опционные планы, vesting и cliff, drag‑along / tag‑along, liquidation preference и anti‑dilution, а также convertible notes и SAFE: условия конвертации, преференции, потенциальную дилюцию инвесторов. В ряде случаев требуется cap table clean‑up до закрытия, что влияет на календарь и цену.

Практика COREDO подтверждает важность background check основателей: судебные, коммерческие и медиа‑проверки, адверс‑медиа мониторинг и оценка репутационных рисков. Параллельно я просматриваю гранты, субсидии и условия государственной помощи, чтобы исключить скрытые обременения. Нельзя игнорировать судебные дела, претензии и contingent liabilities: от этого зависит структура гарантий и удержаний в расчетах.

Регуляторный контур AML/KYC

Регуляторные риски определяют границы масштабирования. Для финтех‑моделей я анализирую PSD2, местное Лицензирование платежных услуг и требования к KYC для корпоративных клиентов. Команда COREDO настраивала AML/KYC‑рамки, включающие эмбарго и санкционные списки (OFAC, EU), PEP‑скрининг и транзакционную аналитику: это база для прохождения банковского комплаенса и партнерских проверок.

GDPR и локальные законы о данных остаются критичными. Я проверяю безопасность данных и GDPR проверка: DPA с процессорами, DPIA (оценка воздействия), международную передачу данных (SCC, BCR) и последствия Schrems II. При data residency в отдельных странах Европы, Азии и Африки нужна архитектурная сегментация. Решение, разработанное в COREDO, обычно сочетает правовые механизмы с технологическими контролями: шифрование, сегрегация ролей и аудиторские следы.

Финансовый due diligence SaaS

Финансовые KPI: зеркала реальности. Я сопоставляю ARR, MRR, churn, gross margin и burn multiple с моделью монетизации и договорной базой. Для SaaS критичны признание дохода и deferred revenue, корректность подписочных циклов и дисконтов. Мы нередко делаем кохортный анализ, проверяем retention и NPS, чтобы увидеть устойчивость потоков.

Unit economics, еще один маркер: CAC, LTV, payback period и contribution margin. Если CAC «съедает» LTV или период окупаемости выходит за рамки гипотез, я предлагаю сценарии коррекции. Налоговая комплаенс и VAT/налог на цифровые услуги в ЕС влияют на net‑экономику; проверяю регистрацию по VAT, OSS/IOSS и правильность инвойсинга. При рекуррентных платежах важны PCI DSS, chargeback‑риски и выбор платежного провайдера.

Проверка клиентов и контрактов

Коммерческая валидация, это reference customers, pilot agreements, PoC и верификация pipeline. Я оцениваю customer concentration risk, условия enterprise contracts, SLA и штрафы за недоступность, а также экзит‑клаузы. Команда COREDO nередко связывается с клиентами для независимых референсов и сверки метрик: как проверить реальность ARR и MRR, не подставные ли клиенты — отвечают перекрестные сверки контрагентов, банковских поступлений и выверка CRM.

Технический due diligence

Технологическая оценка — это «рентген» архитектуры, DevOps и безопасности. Проверка IT‑стартапа включает аудит исходного кода стартапа, проверку истории коммитов и репозитория Git, анализ unit тестов, покрытия и CI/CD процессов, код‑сканирование на уязвимости и SAST, а также penetration тест и результаты pentest. Я смотрю на governance: код‑ревью практики, branch protection rules, SBOM и управление third‑party зависимостями.

Технический due diligence: метод COREDO

Иллюстрация к разделу «Технический due diligence: метод COREDO» у статті «Due Diligence IT-стартапа – на что смотреть»

Для оценки продукта и инфраструктуры мы применяем методику COREDO в рамках глубокого технического due diligence, что позволяет заранее выявлять архитектурные ограничения и технические риски. Далее перейдём к анализу архитектуры и масштабируемости: ключевым аспектам, определяющим способность системы расти и выдерживать нагрузку.

Архитектура и масштабируемость

Я начинаю с архитектуры: техническая архитектура — монолит vs микросервисы, зрелость контрактов между сервисами, модель согласованности и отказоустойчивости. Масштабируемость покрывает горизонтальное и вертикальное масштабирование, бутылочные горлышки производительности (latency, throughput), а также проектирование очередей и backpressure. В сложных продуктах применимы архитектурные паттерны CQRS и event‑sourcing с message queues (Kafka).

База данных должна поддерживать шардирование и репликацию; проверяю стратегию консистентности, индексацию и hot‑partition риски. Рейтингую технологический риск через SLI/SLO и error budget по SRE‑подходу: без наблюдаемости прогнозировать поведение системы невозможно. Там, где нет SLO, я помогаю зафиксировать цели и увязать их с контрактными SLA.

Репозиторий и код разработки

Проверка репозитория Git, это не только история коммитов. Я оцениваю репутацию и provenance кода: подписанные коммиты, CLA и contributor license agreement, авторство и участие внешних контрибьюторов. Для оценки technical debt я использую метрики: maintainability index, cyclomatic complexity и частоту изменений в горячих файлах.

Процессы важны не меньше кода. Я проверяю code review и branch protection rules, наличие unit/integration/e2e тестирования и % покрытия кода, практики feature flags, canary releases и blue‑green deployment. Отдельно просматриваю roadmap продукта, backlog health и приоритизацию технического долга, а также качество релизов и post‑mortem процессы после инцидентов.

Инфраструктура DevOps и CI/CD

Зрелость CI/CD, это пайплайны, артефакты и signed builds. В идеале сборки reproducible, а артефакты подписаны и хранятся в доверенном реестре. Инфраструктура как код (Terraform, Ansible) позволяет отслеживать drift и ускоряет аудит. Контейнеризация (Docker) и оркестрация (Kubernetes) дают гибкость, но требуют контроля образов: image signing и сканирование на уязвимости.

Обозреватель зависимости: SBOM и software bill of materials — становится стандартом. С этим связан SCA (Software Composition Analysis) и управление лицензиями, чтобы исключить правовые и уязвимые third‑party зависимости. Supply chain attack риск после примеров уровня SolarWinds — не теория; я оцениваю цепочку сборки, доступы и изоляцию сред. Секреты и управление ключами (Vault, KMS, HSM) плюс IAM, RBAC, least privilege и MFA — обязательные элементы.

Уязвимости и безопасность приложений

Безопасность приложений строится вокруг OWASP Top 10, SAST и DAST инструментов. Я проверяю, как команда ведет CVE и управление уязвимостями, как выстраивается приоритизация через CVSS. Нужны не только отчеты, но и remediation roadmap с сроками и ответственными. Penetration testing, bug bounty программы и контроль закрытия findings показывают зрелость культуры безопасности.

Если я вижу незакрытые уязвимости, я предлагаю план купирования: временные mitigations, ускоренный патчинг и контрактные гарантии (escrow/holdback) до полного закрытия. Практика COREDO подтверждает, что прозрачный план исправлений часто важнее «идеальной» текущей картины — инвестор видит управляемый риск.

Шифрование данных и соответствие

Данные требуют системного подхода: шифрование данных в покое и при передаче (encryption at rest/in transit), классификация, ключевая политика и ротация секретов. Я оцениваю журналирование, мониторинг и наблюдаемость (observability), чтобы проверить полноту аудиторских следов. Для зрелых компаний важна проверка соответствия стандарта ISO27001 или SOC2 — и реальность внедренных контролей.

Резервное копирование, стратегия retention и тестирование восстановления, базовые вещи, которые часто недооценивают. Я сверяю RTO и RPO, а также план аварийного восстановления (DRP). Без регулярного теста восстановления бэкапы, просто дорогая иллюзия безопасности.

Вендоры и сторонние зависимости

Third‑party vendor risk assessment, не формальность: провайдеры облака, аналитики, PSP и провайдеры KYC влияют на доступность и комплаенс. Я проверяю DPA, SLA, штрафы, право на аудит и условия миграции. Контракты на поставку ПО, соглашения об уровне сервиса и штрафы должны синхронизироваться с вашими обещаниями клиентам. Для критичных компонентов обсуждаем software escrow и условия релиза исходников.

Кейсы COREDO: типичные сценарии

Иллюстрация к разделу «Кейсы COREDO: типичные сценарии» у статті «Due Diligence IT-стартапа – на что смотреть»

В практике COREDO мы систематизируем типичные сценарии и кейсы, чтобы дать практические ориентиры по сложным трансграничным операциям. Первый пример — покупка европейского SaaS из Словакии фондом из Сингапура — наглядно показывает ключевые юридические, налоговые и корпоративные вопросы, с которыми чаще всего сталкиваются участники.

Сингапурский фонд купит словацкий SaaS

Инвестор вышел на нас с запросом «как провести технический due diligence стартапа перед покупкой». Стартап показывал здоровые ARR и MRR, но churn маскировали за счет промо‑периодов. Команда COREDO провела финансовый due diligence SaaS, выверила признание выручки и deferred revenue, а затем коммерческую проверку клиентов и контрактов с фокусом на enterprise‑SLA.

Технический due diligence выявил узкие места в масштабируемости базы (отсутствие шардирования и горячие партиции) и незрелый процесс DPA. Мы подготовили roadmap: оценка масштабируемости архитектуры и узких мест, внедрение кеширования (Redis, CDN) для снижения latency и настройка SCC для международной передачи данных. Сделка закрылась со снижением цены на 7% и escrow‑пулом под выполнение SLO.

Лицензируемый финтех в Эстонии

Клиент развивал платежный сервис в ЕС и искал партнерство с банками. Решение, разработанное в COREDO, включало лицензирование в Эстонии, проверку локального регулирования и лицензирования в странах присутствия, настройку AML/KYC (PEP‑скрининг, санкции EU/OFAC), а также проверку политики AML/KYC для корпоративных клиентов. Технический блок включал PCI DSS, контроль секретов (KMS), шифрование и SAST/DAST.

По итогам due diligence мы обновили DPIA, усилили IAM и RBAC, установили MFA и приземлили DRP с RTO/RPO под банковские требования. Партнерский банк прошел нашу документацию без замечаний; лицензия и комплаенс открыли доступ к крупным enterprise‑клиентам и снизили стоимость фондирования.

Интеграция в портфель корпорации и M&A

Корпорация приобретала стартап с микросервисной архитектурой на Kubernetes. Возникли M&A риски: integration complexity, tech harmonization и различающиеся стандарты ISO/SOC. Команда COREDO разработала integration playbook: унификация CI/CD с signed builds, SCA и SBOM на уровне всей группы, политика image signing и единая уязвимостная матрица с CVSS‑приоритизацией.

Мы синхронизировали SLA и SLO, внедрили единый observability‑стек и провели vendor risk assessment для общих поставщиков. Интеграция прошла без даунтайма; коммерческие команды смогли аггрегировать pipeline без задержек, а ITSM‑инциденты снизились на 30% за квартал.

Чек-листы и вопросы для основателей, CTO

Иллюстрация к разделу «Чек-листы и вопросы для основателей, CTO» у статті «Due Diligence IT-стартапа – на что смотреть»

Чек‑листы, точные вопросы и контрольные точки для основателей и CTO помогают быстро выявить пробелы в процессе, оценить риски и понять, где нужны подтверждающие документы. Ниже приведён обязательный список документов и доказательств, которые я запрашиваю всегда, чтобы подтвердить заявленные метрики и принять обоснованное решение.

Документы и доказательства которые прошу

IP и правовые: реестр IP, договоры об отчуждении прав на код (сотрудники и подрядчики), патенты и товарные знаки, software escrow и условия релиза, лицензии open source и SCA‑отчеты.
Коммерческие: список топ‑клиентов, контракты, SLA, штрафы, экзит‑клаузы, non‑compete, референсы, пилотные соглашения и PoC.
Финансовые: отчеты по ARR/MRR/churn, признание дохода и deferred revenue, cohort‑анализ, unit economics (CAC, LTV, payback), выверка платежей и chargeback‑статистика.
Регуляторные: лицензии и разрешения (включая PSD2/финансовые), DPA, DPIA, SCC/BCR, политика data residency, ISO27001/SOC2, PCI DSS.
Безопасность и техника: отчеты SAST/DAST, результаты pentest, remediation roadmap, SBOM, политика управления секретами (Vault/KMS/HSM), IAM/RBAC, планы DRP и тесты восстановления.
Корпоративные: cap table, опционные планы (vesting, cliff), SAFE/конвертируемые ноты, ликвидационные преференции, анти‑размывающие положения, протоколы советов и акционеров.
Судебные и комплаенс: текущие/угрожающие споры, регуляторные переписки, санкционные и PEP‑проверки контрагентов, налоговая комплаенс и VAT в ЕС.

Вопросы CTO на прединвестционном аудите

Что проверить в исходном коде при инвестировании в стартап: ownership, покрытие тестами, сложность и зависимости.
Как оценить масштабируемость архитектуры SaaS‑проекта: целевые SLO, текущие узкие места latency/throughput, план шардирования/кеширования.
Что включает проверка DevOps‑практик: reproducible и signed builds, IaC и drift‑контроль, политика релизов (canary, blue‑green), post‑mortems.
Как оценить риски использования open source: SBOM/SCA, лицензии GPL/MIT/Apache, процесс обновлений и CVE‑закрытия.
Как ограничить риски при интеграции чужого сервиса: vendor risk assessment, SLA, право на аудит, escrow, миграция и lock‑in‑оценка.
Какие гарантии требовать по резервному копированию и RTO/RPO: регламент тестов восстановления, отчеты, независимая верификация.
Как проверить соответствие GDPR и трансграничную обработку: DPA/DPIA, SCC/BCR, data mapping, минимизация и logging.

Сопровождение COREDO: как снизить риск

Я строю работу по фазам с четкими артефактами. На старте фиксируем гипотезу сделки, географию и регуляторный периметр: ЕС, Чехия/Словакия, Кипр/Эстония, Великобритания, Сингапур и Дубай: там практика COREDO особенно сильна. Далее раскрываем виртуальную комнату данных и запускаем параллельные треки: юридический, регуляторный/AML, финансовый, коммерческий и технический.

Каждый трек имеет свои deliverables: от отчета по юридическому due diligence стартапа и IP‑карте до технической матрицы рисков с оценкой технологического риска и планом ремедиации. На выходе — сводный инвестиционный меморандум, где риск‑пункты связаны с экономикой сделки: корректировка цены, условия escrow/holdback, гарантийные обязательства и KPI‑блоки. Такой подход сокращает переговоры и упрощает пост‑closing интеграцию.

Отдельный вектор, лицензирование и регистрация. Если для модели требуется лицензия (крипто, форекс, платежные услуги), команда COREDO берет на себя структурирование, подготовку AML/KYC‑политик, настройку транзакционной аналитики и сопровождение перед регулятором. Для регистрации юрлиц в ЕС, Великобритании, Сингапуре или Дубае мы формируем набор учредительных документов, банковский пакет и план налоговой комплаенс.

Как договорно купировать красные флаги

Незакрытые критические CVE и провал pentest. Решение: remediation roadmap с дедлайнами, escrow/holdback до закрытия, reps & warranties и право на независимый re‑test.
Отсутствие договоров об отчуждении прав на код у части команды. Решение: срочный assignment, корректировка каптейбла, частичный price‑adjustment.
Customer concentration и хрупкие enterprise‑контракты. Решение: earn‑out, расширенные SLA, страхование ответственности, пилоты с диверсификацией.
Слабый GDPR и отсутствие SCC/BCR при трансграничной передаче. Решение: DPA/DPIA до closing, контролируемый релиз в регионы, архитектурная сегментация.
Проблемы с признанием выручки и deferred revenue. Решение: рестейтмент, корректировка оценки, ковенанты на финансовую отчетность.
Налоговые и VAT‑риски. Решение: резерв в цене, добровольное исправление, post‑closing сопровождение и регистрация в схемах OSS/IOSS.

Найм ключевой команды по регионам

Региональные риски в Европе, Азии и Африке отличаются по локализации, лицензированию и стабильности поставщиков. Я рекомендую заранее проверить локальное регулирование и лицензирование в странах присутствия, экспортный контроль и ограничения на криптографию. В ряде регионов требуется data residency, что влечет за собой сегментацию инфраструктуры и дублирование процессов DR.

Требования к найму и визовая миграционная практика для ключевой команды часто влияют на дорожную карту. Команда COREDO помогает с релокацией, оформлением разрешений и корректировкой опционных планов с учетом местных норм. ESG и корпоративное управление становятся фактором инвестиционной оценки: прозрачный совет директоров, политика по этике и защите данных улучшают доступ к капиталу и партнерствам.

Выводы

Инвестиционный due diligence стартапа — это не набор разрозненных проверок, а связанная система, в которой юридический, финансовый, коммерческий и технический блоки усиливают друг друга. Когда этот механизм работает слаженно, оценка стартапа перед инвестицией становится точнее, а структура сделки, безопаснее. В моем подходе COREDO играет роль интегратора: от регистрации компаний и получения финансовых лицензий до AML‑консалтинга и глубокой технической экспертизы.

Я честно говорю клиентам: сложностей хватает, но их можно предсказуемо решать. Практика COREDO подтверждает, что прозрачность процессов, проверяемые метрики и продуманные договорные механики снимают ключевые риски: от IP и GDPR до CVE и SLA. Если вам важно принять инвестиционное решение без догадок и с контролем над пост‑интеграцией, этот фреймворк станет надежной основой, а команда COREDO, вашим долгосрочным партнером.