Odeslat požadavek
COREDO > Blog > Due Diligence IT startupu – na co si dát pozor

Due Diligence IT startupu – na co si dát pozor

Avatar photo
Aktualizováno: 27.02.2026
Obsah článku

Od roku 2016 rozvíjím COREDO jako partnera podnikatelů a investorů, pro které jsou při vstupu na mezinárodní trhy důležité přesnost, rychlost a předvídatelnost. Za tuto dobu tým COREDO realizoval stovky projektů v Evropě, Asii a zemích SNS: od registrace společností v EU, v Česku, na Slovensku, na Kypru a v Estonsku až po zakládání struktur ve Spojeném království, v Singapuru a v Dubaji. Prošli jsme celý cyklus doprovodu transakcí: investice a M&A, získání finančních licencí (krypto, forex, platební služby a e‑money), nastavení AML/KYC, a také investiční a technický due diligence IT startupu.

V tomto článku jsem shromáždil praxi předinvestiční prověrky, kterou začleňujeme do komplexní podpory klientů. Mým úkolem je poskytnout vám metodiku, která šetří měsíce, snižuje nejistotu a posiluje vyjednávací pozici. Příklady a nástroje jsou založeny na reálných projektech COREDO: bez zbytečné teorie, s důrazem na prakticky použitelné výsledky.

Potřebuje IT startup důkladnou prověrku?

Ilustrace k oddílu „Potřebuje IT startup due diligence?“ v článku „Due Diligence IT-startupu – na co se dívat“

Investiční Due Diligence startupu není „zaškrtávací políčko pro compliance“, ale způsob, jak vidět skutečný obraz: kvalitu technologie, legálnost IP, stabilitu tržeb a zralost bezpečnostních procesů. Kontrola IT startupu ovlivňuje ocenění před investicí, strukturu transakce a postintegrační plán, a tedy ROI a rychlost škálování.
Naše zkušenost v COREDO ukázala, že právě kombinace technického due diligence, právního due diligence startupu, finanční analýzy SaaS a obchodní kontroly smluv činí závěry spolehlivými. Pokud vynecháte aspoň jeden okruh, riziko nepříjemných překvapení je vysoké: od vad licencí open source a skrytých CVE až po problémy s GDPR a neuznaný výnos.

Řídím se principem „měř dvakrát, řež jednou“. To znamená, že před podpisem SPA/SSA nebo SAFE je třeba prověřit IP, cap table, regulační omezení, ARR/MRR a technologické riziko na úrovni architektury, DevOps a bezpečnosti dat. Tím vzniká jistota, že integrace proběhne bez šoku pro tým a zákazníky, a že jurisdikční a daňová část nepřivede do potíží.

Model prověrky COREDO: 6 okruhů

Ilustrace k oddílu «Model prověrky COREDO: 6 okruhů» ve článku «Due Diligence IT-startupu – na co se dívat»

V modelu prověrek COREDO je předpokládáno šest hodnoticích okruhů, které komplexně pokrývají jak byznys, tak rizika projektu. Jeden z klíčových okruhů, právní due diligence a otázky duševního vlastnictví (IP), se soustředí na smlouvy, práva k technologiím a možné rizika, která mohou zásadně ovlivnit osud startupu.

Právní due diligence startupu a IP

Začínám IP due diligence, protože právě práva k zdrojovému kódu a značce umožňují ochránit hlavní hodnotu transakce. Žádám registr objektů: kód, knihovny, patenty, ochranné známky a domény, stejně jako smlouvy o postoupení práv (assignment agreements) se všemi zaměstnanci a dodavateli. Je důležité ujistit se, že zakladatelé měli potřebná oprávnění a že řetězec práv je čistý a neporušuje podmínky open source licencí (GPL, MIT, Apache).

Korporátní struktura a transakce

Čistota cap table, jeden z častých stop‑faktorů. Analyzuji cap table, opční plány, vesting a cliff, drag‑along / tag‑along, liquidation preference a anti‑dilution, stejně jako convertible notes a SAFE: podmínky konverze, preference, potenciální ředění investorů. V některých případech je před uzavřením potřeba cap table clean‑up, což ovlivňuje harmonogram a cenu.
Praxe COREDO potvrzuje důležitost background check zakladatelů: soudní, obchodní a mediální prověrky, advers‑media monitoring a hodnocení reputačních rizik. Současně prohlížím granty, dotace a podmínky veřejné podpory, abych vyloučil skrytá zatížení. Nelze ignorovat soudní spory, nároky a contingent liabilities: od toho závisí struktura záruk a zadržení v kalkulacích.

Regulační okruh AML/KYC

Regulační rizika určují hranice škálování. Pro fintech modely analyzuji PSD2, místní Licencování platebních služeb a požadavky na KYC pro korporátní klienty. Tým COREDO nastavoval AML/KYC‑rámce, zahrnující embarga a sankční seznamy (OFAC, EU), PEP‑screening a transakční analytiku: to je základ pro absolvování bankovního compliance a partnerských prověrek.
GDPR a lokální zákony o datech zůstávají kritické. Kontroluji bezpečnost dat a GDPR prověrku: DPA s procesory, DPIA (posouzení dopadu), mezinárodní přenos dat (SCC, BCR) a důsledky Schrems II. Při data residency v některých zemích Evropy, Asie a Afriky je potřeba architektonická segmentace. Řešení vyvinuté v COREDO obvykle kombinuje právní mechanismy s technologickými kontrolami: šifrování, oddělení rolí a auditní stopy.

Finanční due diligence SaaS

Finanční KPI: zrcadla reality. Porovnávám ARR, MRR, churn, gross margin a burn multiple s modelem monetizace a smluvní základnou. Pro SaaS jsou kritické uznání příjmů a deferred revenue, správnost předplatných cyklů a slev. Často provádíme kohortovou analýzu, kontrolujeme retention a NPS, abychom viděli udržitelnost toků.

Unit economics, další ukazatel: CAC, LTV, payback period a contribution margin. Pokud CAC «sežere» LTV nebo doba návratnosti vyjde mimo rámec hypotéz, navrhuji korekční scénáře. Daňový compliance a VAT/daň z digitálních služeb v EU ovlivňují čistou ekonomiku; kontroluji registraci pro VAT, OSS/IOSS a správnost fakturace. Při opakovaných platbách jsou důležité PCI DSS, rizika chargebacků a výběr platebního poskytovatele.

Prověrka zákazníků a smluv

Komerční validace, to jsou reference customers, pilot agreements, PoC a verifikace pipeline. Hodnotím customer concentration risk, podmínky enterprise contracts, SLA a sankce za nedostupnost, a také exit‑klauzule. Tým COREDO často kontaktuje zákazníky pro nezávislé reference a porovnání metrik: jak ověřit realitu ARR a MRR, zda nejsou klienti fiktivní – k tomu slouží křížové ověření kontrahentů, bankovních příjmů a kontrola CRM.

Technická prověrka

Technologické hodnocení je «rentgen» architektury, DevOps a bezpečnosti. Prověrka IT startupu zahrnuje audit zdrojového kódu startupu, kontrolu historie commitů a repozitáře Git, analýzu unit testů, pokrytí a CI/CD procesů, skenování kódu na zranitelnosti a SAST, stejně jako penetration test a výsledky pentest. Dívám se na governance: praktiky code‑review, branch protection rules, SBOM a řízení third‑party závislostí.

Technická prověrka: metoda COREDO

Ilustrace k oddílu „Technický due diligence: metoda COREDO“ v článku „Due Diligence IT‑startupů – na co se dívat“

Pro hodnocení produktu a infrastruktury používáme metodiku COREDO v rámci hlubokého technického due diligence, která umožňuje předem odhalit architektonická omezení a technická rizika. Dále přejdeme k analýze architektury a škálovatelnosti: klíčovým aspektům určujícím schopnost systému růst a zvládat zátěž.

Architektura a škálovatelnost

Začínám architekturou: technická architektura – monolit vs. mikroservisy, zralost kontraktů mezi službami, model konzistence a odolnosti vůči selháním. Škálovatelnost zahrnuje horizontální i vertikální škálování, úzká hrdla výkonu (latence, propustnost), stejně jako návrh front a backpressure. Ve složitých produktech se uplatňují architektonické vzory CQRS a event‑sourcing s message queues (Kafka).
Databáze by měla podporovat sharding a replikaci; kontroluji strategii konzistence, indexaci a rizika hot‑partition. Hodnotím technologické riziko pomocí SLI/SLO a error budgetu podle SRE přístupu: bez observability nelze predikovat chování systému. Tam, kde nejsou SLO, pomáhám stanovit cíle a provázat je s kontraktními SLA.

Repozitář a vývojový kód

Kontrola Git repozitáře není jen historie commitů. Hodnotím reputaci a původ (provenance) kódu: podepsané commity, CLA (contributor license agreement), autorství a účast externích přispěvatelů. Pro posouzení technical debt používám metriky: maintainability index, cyklomatickou složitost (cyclomatic complexity) a frekvenci změn v „horkých“ souborech.

Procesy jsou stejně důležité jako kód. Kontroluji code review a branch protection rules, dostupnost unit/integration/e2e testování a % pokrytí kódu, praktiky feature flags, canary releases a blue‑green deployment. Samostatně prověřuji roadmapu produktu, stav backlogu a priorizaci technického dluhu, stejně jako kvalitu releasů a post‑mortem procesy po incidentech.

Infrastruktura DevOps a CI/CD

Dospělost CI/CD znamená pipeliney, artefakty a signed builds. Ideálně jsou sestavení reproducible a artefakty podepsané a uložené v důvěryhodném registru. Infrastructure as code (Terraform, Ansible) umožňuje sledovat drift a urychluje audit. Kontainerizace (Docker) a orchestrace (Kubernetes) poskytují flexibilitu, ale vyžadují kontrolu image: image signing a skenování na zranitelnosti.

Přehled závislostí: SBOM a software bill of materials – se stává standardem. S tím souvisí SCA (Software Composition Analysis) a řízení licencí, aby se eliminovaly právní a zranitelné third‑party závislosti. Riziko supply chain útoku po případech jako SolarWinds není teorie; hodnotím build pipeline, přístupy a izolaci prostředí. Tajemství a správa klíčů (Vault, KMS, HSM) plus IAM, RBAC, princip least privilege a MFA jsou povinné prvky.

Zranitelnosti a bezpečnost aplikací

Bezpečnost aplikací je postavena kolem OWASP Top 10, SAST a DAST nástrojů. Kontroluji, jak tým vede CVE a správu zranitelností, jak se nastavuje priorizace pomocí CVSS. Potřebné jsou nejen reporty, ale i remediation roadmap s termíny a odpovědnými. Penetrační testování, bug bounty programy a kontrola zavírání findings ukazují zralost bezpečnostní kultury.
Pokud vidím nezavřené zranitelnosti, navrhuji plán mitigace: dočasná mitigace, zrychlené patchování a smluvní záruky (escrow/holdback) až do úplného uzavření. Praxe COREDO potvrzuje, že transparentní plán oprav je často důležitější než „ideální“ aktuální stav – investor vidí řízené riziko.

Šifrování dat a soulad

Data vyžadují systematický přístup: šifrování dat v klidu i při přenosu (encryption at rest/in transit), klasifikace, politika klíčů a rotace tajemství. Hodnotím logování, monitoring a observability, abych ověřil úplnost auditních stop. Pro zralé společnosti je důležitá kontrola souladu s normami ISO27001 nebo SOC2 – a realita nasazených kontrol.

Zálohování, retention strategie a testování obnovy, základní věci, které se často podceňují. Porovnávám RTO a RPO, stejně jako plán obnovy po havárii (DRP). Bez pravidelného testu obnovy jsou zálohy jen drahou iluzí bezpečí.

Dodavatelé a externí závislosti

Hodnocení rizik third‑party vendorů není formalita: poskytovatelé cloudu, analytiky, PSP a poskytovatelé KYC ovlivňují dostupnost a compliance. Kontroluji DPA, SLA, sankce, právo na audit a podmínky migrace. Smlouvy o dodávce softwaru, dohody o úrovni služeb a sankce by měly být synchronizované s vašimi sliby klientům. U kritických komponent diskutujeme software escrow a podmínky uvolnění zdrojových kódů.

Případy COREDO: typické scénáře

Ilustrace k oddílu „Případy COREDO: typické scénáře“ v článku „Due Diligence IT-startupu – na co se dívat“

V praxi COREDO systematizujeme typické scénáře a případy, abychom poskytli praktická vodítka pro složité přeshraniční transakce. První příklad – nákup evropského SaaS ze Slovenska fondem ze Singapuru – názorně ukazuje klíčové právní, daňové a korporační otázky, s nimiž se účastníci nejčastěji setkávají.

Singapurský fond koupí slovenský SaaS

Investor se na nás obrátil s dotazem «jak provést technický due diligence startupu před koupí». Startup vykazoval zdravé ARR a MRR, ale churn maskovali pomocí promo‑období. Tým COREDO provedl finanční due diligence SaaS, ověřil uznávání výnosů a odložené výnosy, a poté komerční prověrku klientů a smluv s důrazem na enterprise‑SLA.
Technický due diligence odhalil úzká místa v škálovatelnosti databáze (chybějící sharding a „hot partitions“) a nezralý proces DPA. Připravili jsme roadmapu: zhodnocení škálovatelnosti architektury a úzkých míst, zavedení cachování (Redis, CDN) ke snížení latence a nastavení SCC pro mezinárodní přenos dat. Transakce byla uzavřena se snížením ceny o 7 % a escrow‑fondem k zajištění plnění SLO.

Licencovaný fintech v Estonsku

Klient rozvíjel platební službu v EU a hledal partnerství s bankami. Řešení vyvinuté v COREDO zahrnovalo licencování v Estonsku, prověření místní regulace a licencování v zemích působení, nastavení AML/KYC (PEP‑screening, sankce EU/OFAC), a také kontrolu politiky AML/KYC pro korporátní klienty. Technická část zahrnovala PCI DSS, správu tajemství (KMS), šifrování a SAST/DAST.
Na základě due diligence jsme aktualizovali DPIA, posílili IAM a RBAC, zavedli MFA a upravili DRP s RTO/RPO podle bankovních požadavků. Partnerská banka prošla naši dokumentaci bez připomínek; licence a compliance otevřely přístup k velkým enterprise‑klientům a snížily náklady na financování.

Integrace do korporátního portfolia a při fúzích a akvizicích

Korporace kupovala startup s mikroslužbovou architekturou na Kubernetes. Vznikla M&A rizika: složitost integrace, harmonizace technologií a rozdílné standardy ISO/SOC. Tým COREDO vypracoval playbook pro integraci: unifikace CI/CD s podepsanými buildy, SCA a SBOM na úrovni celé skupiny, politika podepisování image a jednotná matice zranitelností s CVSS‑prioritizací.
Synchronizovali jsme SLA a SLO, zavedli jednotný observability‑stack a provedli vendor risk assessment pro společné dodavatele. Integrace proběhla bez výpadku; obchodní týmy dokázaly agregovat pipeline bez zpoždění a ITSM‑incidenty se snížily o 30 % za čtvrtletí.

Kontrolní seznamy a otázky pro zakladatele a technického ředitele

Ilustrace k oddílu „Kontrolní seznamy a otázky pro zakladatele, CTO“ v článku „Due Diligence IT-startupu – na co se dívat“

Kontrolní seznamy, přesné otázky a kontrolní body pro zakladatele a CTO pomáhají rychle odhalit mezery v procesu, zhodnotit rizika a pochopit, kde jsou potřeba potvrzující dokumenty. Níže je uveden povinný seznam dokumentů a důkazů, které vždy požaduji, abych potvrdil uváděné metriky a přijal fundované rozhodnutí.

Dokumenty a důkazy, které požaduji

  • IP a právní: rejstřík IP, smlouvy o postoupení práv ke kódu (zaměstnanci a dodavatelé), patenty a ochranné známky, software escrow a podmínky vydání, licence open source a SCA zprávy.
  • Obchodní: seznam top zákazníků, smlouvy, SLA, pokuty, exit‑klauzule, non‑compete, reference, pilotní dohody a PoC.
  • Finanční: výkazy ARR/MRR/churn, uznání tržeb a odložené výnosy (deferred revenue), cohort‑analýza, unit economics (CAC, LTV, payback), ověření plateb a statistika chargebacků.
  • Regulační: licence a povolení (včetně PSD2/finančních), DPA, DPIA, SCC/BCR, politika data residency, ISO27001/SOC2, PCI DSS.
  • Bezpečnost a technika: zprávy SAST/DAST, výsledky pentestů, plán nápravy, SBOM, politika správy tajemství (Vault/KMS/HSM), IAM/RBAC, plány DRP a testy obnovy.
  • Korporátní: cap table, opční plány (vesting, cliff), SAFE/konvertibilní noty, likvidační preference, anti‑dilution ustanovení, zápisy z jednání představenstva a akcionářů.
  • Právní a compliance: probíhající/hrozící spory, komunikace s regulátory, sankční a PEP kontroly protistran, daňová compliance a DPH v EU.

Otázky pro CTO při předinvestičním auditu

  • Co zkontrolovat ve zdrojovém kódu při investování do startupu: vlastnictví (ownership), pokrytí testy, složitost a závislosti.
  • Jak posoudit škálovatelnost architektury SaaS projektu: cílové SLO, současná úzká místa latency/throughput, plán shardování/cacheování.
  • Co zahrnuje kontrola DevOps praktik: reprodukovatelné a podepsané buildy, IaC a drift‑kontrola, politika vydávání (canary, blue‑green), post‑mortemy.
  • Jak posoudit rizika používání open source: SBOM/SCA, licence GPL/MIT/Apache, proces aktualizací a uzavírání CVE.
  • Jak omezit rizika při integraci cizí služby: hodnocení rizik dodavatele, SLA, právo na audit, escrow, migrace a hodnocení lock‑inu.
  • Jaké záruky požadovat pro zálohování a RTO/RPO: pravidla testů obnovy, reporty, nezávislá verifikace.
  • Jak ověřit soulad s GDPR a přeshraniční zpracování: DPA/DPIA, SCC/BCR, mapování dat, minimalizace a logování.

Doprovod COREDO: jak snížit riziko

Pracuji etapami s jasnými artefakty. Na začátku zaznamenáme hypotézu transakce, geografii a regulační perimetr: EU, Česko/Slovensko, Kypr/Estonsko, Velká Británie, Singapur a Dubaj: tam je praxe COREDO zvláště silná. Dále otevíráme virtuální datovou místnost a spouštíme paralelní stopy: právní, regulační/AML, finanční, komerční a technické.

Každá stopa má své výstupy: od zprávy právního due diligence startupu a IP‑mapy až po technickou matici rizik s hodnocením technologického rizika a plánem nápravy. Na výstupu – souhrnné investiční memorandum, kde jsou rizikové body propojeny s ekonomikou transakce: úprava ceny, podmínky escrow/holdback, záruky a bloky KPI. Takový přístup zkracuje vyjednávání a usnadňuje integraci po uzavření transakce.

Samostatný směr: licencování a registrace. Pokud model vyžaduje licenci (krypto, forex, platební služby), tým COREDO zajišťuje strukturování, přípravu AML/KYC politik, nastavení transakční analytiky a zastupování před regulátorem. Pro registraci právnických osob v EU, Velké Británii, Singapuru nebo Dubaji vytváříme soubor zakladatelských dokumentů, bankovní balíček a plán daňové compliance.

Jak smluvně zmírnit červené vlajky

  • Neuzavřená kritická CVE a neúspěšný penetrační test (pentest). Решение: plán nápravy s termíny, escrow/holdback až do uzavření, prohlášení a záruky (reps & warranties) a právo na nezávislý re‑test.
  • Chybějící smlouvy o převodu práv ke kódu u části týmu. Решение: bezodkladné postoupení (assignment), úprava cap‑table, částečná úprava ceny (price‑adjustment).
  • Koncentrace zákazníků a křehké enterprise smlouvy. Решение: earn‑out, rozšířená SLA, pojištění odpovědnosti, pilotní projekty s diverzifikací.
  • Slabá shoda s GDPR a absence SCC/BCR při přeshraničním přenosu. Решение: DPA/DPIA před uzavřením, kontrolované uvolnění do regionů, architektonická segmentace.
  • Problémy s uznáním tržeb a odloženými příjmy (deferred revenue). Решение: restatement (oprava účetnictví), úprava ocenění, covenanty týkající se finančního výkaznictví.
  • Daňová a DPH rizika. Решение: rezerva v ceně, dobrovolné nápravy, podpora po uzavření transakce (post‑closing) a registrace v režimech OSS/IOSS.

Nábor klíčového týmu podle regionů

Regionální rizika v Evropě, Asii a Africe se liší co do lokalizace, licencování a stability dodavatelů. Doporučuji předem prověřit místní regulaci a licencování v zemích přítomnosti, exportní kontrolu a omezení v oblasti kryptografie. V některých regionech je vyžadováno lokální uložení dat (data residency), což vyžaduje segmentaci infrastruktury a duplikaci DR procesů.

Požadavky na nábor a vízová migrační praxe pro klíčový tým často ovlivňují plán. Tým COREDO pomáhá s relokací, vyřizováním povolení a úpravou opčních plánů s ohledem na místní předpisy. ESG a korporátní řízení se stávají faktorem investičního hodnocení: transparentní představenstvo, politika v oblasti etiky a ochrany dat usnadňují přístup ke kapitálu a navazování partnerství.

Závěry

Investiční due diligence startupu není soubor nesouvisejících kontrol, ale provázaný systém, ve kterém se právní, finanční, obchodní a technické bloky navzájem posilují. Když tento mechanismus funguje hladce, ocenění startupu před investicí je přesnější a struktura transakce bezpečnější. V mém přístupu hraje COREDO roli integrátora: od registrace společností a získání finančních licencí až po AML poradenství a hlubokou technickou expertízu.

Upřímně říkám klientům: komplikací je dost, ale dají se předvídatelně řešit. Praxe COREDO potvrzuje, že transparentnost procesů, ověřitelné metriky a promyšlené smluvní mechanismy odstraňují klíčová rizika: od IP a GDPR po CVE a SLA. Pokud pro vás záleží na tom učinit investiční rozhodnutí bez dohadů a s kontrolou nad post‑integrací, tento rámec se stane spolehlivým základem a tým COREDO vaším dlouhodobým partnerem.
ZANECHTE NÁM KONTAKTNÍ ÚDAJE
A ZÍSKEJTE KONZULTACI

    Kontaktováním nás souhlasíte s tím, že vaše údaje budou použity pro účely zpracování vaší žádosti v souladu s naší Zásadou ochrany osobních údajů.

    +420 228 886 867

    K Červenému dvoru 3269/25a, Praha, 130 00, Česká republika

    Mapa stránek    © 2026 Copyright © RES JUDICATA s.r.o. Všechna práva vyhrazena | llms.txt