Due diligence w SaaS B2B — kompletny przewodnik dla kupującego

SaaS B2B9 min czytania·2026-06-23

Kupujesz firmę SaaS B2B? Due diligence w tym segmencie rządzi się własnymi prawami. Sprawdź, jakie dokumenty zgromadzić, które metryki zweryfikować i na jakie czerwone flagi zwrócić szczególną uwagę przed podpisaniem umowy.

Dlaczego due diligence w SaaS B2B to osobna dyscyplina

Due diligence w transakcjach SaaS B2B różni się fundamentalnie od audytu klasycznej firmy usługowej czy produkcyjnej. Wartość biznesu opartego na oprogramowaniu tkwi w niematerialnych aktywach: kodzie, bazach klientów, kontraktach subskrypcyjnych i reputacji produktu. Kupujący, który pominie choćby jeden z kluczowych obszarów weryfikacji, może nabyć coś, co na papierze wygląda jak rosnący biznes, a w rzeczywistości skrywa poważne ryzyka pod cienką warstwą ładnie wyglądających metryk.

Na polskim rynku transakcji sprzedaży firm z branży SaaS obserwujemy rosnące zainteresowanie zarówno ze strony funduszy private equity, jak i kupujących strategicznych. Jednocześnie kultura due diligence w segmencie B2B SaaS dopiero dojrzewa — część sprzedających nie jest przygotowana na głębokość pytań, a część kupujących nie wie, czego właściwie szukać. Ten przewodnik wypełnia tę lukę i prowadzi przez siedem obszarów, które warto zweryfikować, zanim usiądziesz do stołu negocjacyjnego.

Warto na wstępie zaznaczyć jedną rzecz: dobrze przeprowadzony audyt to nie polowanie na haki, tylko narzędzie do urealnienia ceny i konstrukcji umowy. Większość znalezionych problemów nie zrywa transakcji — przekłada się na korektę wyceny, dodatkowe zabezpieczenia w umowie (earn-out, escrow, oświadczenia i zapewnienia) albo plan naprawczy na pierwsze 100 dni po przejęciu.


Obszar 1 — Metryki produktowe i finansowe specyficzne dla SaaS

Klasyczne wskaźniki finansowe (EBIT, marża brutto, przepływy gotówkowe) są konieczne, ale niewystarczające. W SaaS B2B priorytetem są metryki subskrypcyjne, bo to one opisują trwałość i jakość strumienia przychodów.

Kluczowe metryki do weryfikacji

  • MRR / ARR (Monthly/Annual Recurring Revenue) — żądaj miesięcznych zestawień z ostatnich 24–36 miesięcy, nie tylko sumarycznych raportów rocznych. Rozbicie miesięczne ujawnia sezonowość, jednorazowe skoki i ukryte spadki.
  • Churn rate — zarówno logo churn (utrata klientów), jak i revenue churn (utrata przychodu). Jako orientacyjny benchmark dla B2B przyjmuje się logo churn poniżej kilku procent rocznie; wartości kilkunastoprocentowe wymagają natychmiastowego wyjaśnienia.
  • Net Revenue Retention (NRR) — jeśli NRR przekracza 100%, firma rośnie na bazie obecnych klientów (upsell, cross-sell). Wartości wyraźnie poniżej 100% sygnalizują problem z produktem lub dopasowaniem do rynku.
  • Customer Acquisition Cost (CAC) i LTV — stosunek LTV do CAC w okolicach 3:1 lub niżej bywa traktowany jako sygnał ostrzegawczy, ale zawsze interpretuj go w kontekście etapu rozwoju firmy.
  • ARPU / ACV (Average Revenue Per User / Annual Contract Value) — pomaga zrozumieć jakość bazy klientów i ryzyko koncentracji.
  • Okres zwrotu CAC (CAC payback) — ile miesięcy zajmuje odzyskanie kosztu pozyskania klienta. Im dłuższy, tym większe obciążenie gotówkowe wzrostu.

Dokumenty do zgromadzenia: eksport z systemu CRM (np. HubSpot, Salesforce), eksport z platformy subskrypcyjnej (Stripe, Chargebee, Paddle), arkusze kohortowe, zestawienia faktur z podziałem na klientów. Zawsze porównuj liczby z różnych źródeł — rozjazd między CRM a systemem płatności to częsty sygnał, że raportowanie nie jest spójne.


Obszar 2 — Weryfikacja kontraktów i bazy klientów

Jeden duży kontrakt generujący 30–40% ARR to klasyczna czerwona flaga koncentracji przychodów. Jeśli ten klient odejdzie po przejęciu, biznes może stracić znaczną część wartości w ciągu kilku kwartałów.

Na co zwrócić uwagę w kontraktach

  1. Klauzule zmiany kontroli (change of control) — wiele umów B2B daje klientowi prawo do wypowiedzenia kontraktu przy zmianie właściciela. Szczególnie niebezpieczne w umowach z sektorem publicznym i z dużymi korporacjami.
  2. Terminy i warunki odnowień — sprawdź, ile kontraktów odnawia się automatycznie, a ile wymaga aktywnej renegocjacji każdego roku.
  3. SLA i kary umowne — czy zobowiązania SLA są realistyczne przy obecnej infrastrukturze? Czy historycznie dochodziło do naruszeń i wypłaty kar?
  4. Warunki płatności i zaległości — ARR na papierze nie równa się gotówce. Weryfikuj faktyczne wpływy i DSO (Days Sales Outstanding).

Przeglądając ogłoszenia sprzedaży firm w segmencie B2B, regularnie widzimy przypadki, w których sprzedający prezentuje ARR jako sumę wszystkich aktywnych kontraktów, pomijając fakt, że część z nich jest de facto zamrożona, w trakcie wypowiedzenia lub w renegocjacji. Dlatego zawsze proś o pomostowanie (reconciliation) między raportowanym ARR a listą żywych, opłacanych umów.


Obszar 3 — Technologia i kod źródłowy

To obszar, który wymaga zaangażowania zewnętrznego audytora technicznego (CTO-as-a-service lub firma specjalizująca się w code review na potrzeby M&A). Samodzielna ocena bez kompetencji technicznych jest ryzykowna.

Kluczowe pytania techniczne

  • Dług technologiczny — jak stary jest kod? Czy korzysta z przestarzałych frameworków lub bibliotek bez wsparcia producenta?
  • Skalowalność infrastruktury — czy architektura wytrzyma kilkukrotny wzrost liczby klientów bez fundamentalnej przebudowy?
  • Zależności od zewnętrznych API — jeśli produkt zależy krytycznie od jednego zewnętrznego dostawcy (np. konkretna usługa AI, bramka płatnicza), to istotne ryzyko operacyjne i cenowe.
  • Dokumentacja techniczna — jej brak to koszt ukryty; nowy zespół deweloperski straci tygodnie lub miesiące na rekonstrukcję wiedzy.
  • Testy automatyczne — niskie pokrycie testami w krytycznych modułach oznacza, że każda zmiana w kodzie niesie ryzyko regresji.
  • Bezpieczeństwo łańcucha dostaw kodu — kto ma dostęp do repozytorium, jak zarządzane są sekrety i klucze, czy istnieje kontrola dostępu do produkcji.

Dokumenty do zgromadzenia: dostęp read-only do repozytorium kodu, diagram architektury, lista używanych bibliotek i ich wersji, wyniki narzędzi do statycznej analizy kodu (np. SonarQube, Snyk), historia incydentów produkcyjnych.


Obszar 4 — Bezpieczeństwo danych i zgodność z regulacjami

W SaaS B2B przetwarzanie danych klientów to serce biznesu. Brak odpowiedniej dokumentacji RODO lub historia wycieków danych może skutkować karami i — co często ważniejsze — masowym churnem po upublicznieniu transakcji.

Checklist bezpieczeństwo / compliance

  • Czy firma posiada aktualną dokumentację RODO (rejestr czynności przetwarzania, umowy powierzenia przetwarzania danych z klientami)?
  • Czy przeprowadzano audyty bezpieczeństwa lub testy penetracyjne? Jak dawno i przez kogo?
  • Czy certyfikaty takie jak ISO 27001, SOC 2 Type II lub inne są wymagane przez obecnych klientów enterprise?
  • Czy produkt przechowuje dane wrażliwe (np. medyczne, finansowe)? Jeśli tak, jakie certyfikacje są wymagane?
  • Czy w historii firmy zdarzały się incydenty bezpieczeństwa lub naruszenia ochrony danych?

> Uwaga: weryfikacja zgodności z RODO i przepisami prawa autorskiego dotyczącego oprogramowania wymaga oceny prawnika specjalizującego się w prawie IT i ochronie danych osobowych. Powyższe punkty stanowią punkt wyjścia do rozmowy z doradcą i nie są poradą prawną.


Obszar 5 — Prawa własności intelektualnej

To jeden z najczęściej zaniedbywanych obszarów w polskich transakcjach SaaS. Kupujesz oprogramowanie — upewnij się, że sprzedający je faktycznie posiada i ma prawo nim rozporządzać.

Kluczowe pytania o własność IP

  1. Czy wszyscy deweloperzy podpisali umowy przenoszące autorskie prawa majątkowe na firmę? W polskich realiach konieczna jest odpowiednia klauzula w umowie o pracę, umowie zlecenia albo kontrakcie B2B.
  2. Czy firma korzystała z freelancerów lub zewnętrznych agencji do budowy produktu? Sprawdź, czy prawa zostały prawidłowo przeniesione, a nie jedynie udzielono licencji.
  3. Czy w kodzie są komponenty open-source na licencjach typu copyleft (GPL, AGPL)? Mogą nakładać obowiązki, których naruszenie tworzy ryzyko prawne.
  4. Czy marka (nazwa, logo) jest zarejestrowana jako znak towarowy i czy nie narusza cudzych praw?

> Kwestie prawnomajątkowe związane z prawem autorskim do oprogramowania są złożone. Zalecamy konsultację z radcą prawnym lub adwokatem specjalizującym się w prawie IT przed finalizacją transakcji.


Obszar 6 — Zespół i ryzyko kluczowych osób

W małych i średnich firmach SaaS wiedza często koncentruje się w jednej lub dwóch osobach. Jeśli założyciel-deweloper odchodzi po sprzedaży, a dokumentacji technicznej brak, kupujesz problem, a nie aktywo.

Weryfikacja ryzyka personalnego

  • Kto jest kluczowym pracownikiem? Czy jego odejście zatrzymałoby development lub obsługę klientów?
  • Jakie są warunki earn-out i zobowiązania do pozostania w firmie po transakcji (tzw. lock-up)?
  • Jaka jest rotacja w zespole? Wyraźnie podwyższona rotacja w ostatnich kwartałach to czerwona flaga.
  • Czy umowy pracownicze zawierają klauzule zakazu konkurencji i poufności?
  • Sprawdź dostępne publicznie sygnały (np. profile zawodowe) — czy kluczowe osoby nie szukają aktywnie nowej pracy w trakcie procesu sprzedaży?

Obszar 7 — Roadmapa produktu i pipeline sprzedażowy

Kupujesz nie tylko obecny stan, ale przede wszystkim potencjał. Weryfikacja roadmapy i pipeline'u pozwala ocenić, czy prognozowany wzrost jest realistyczny, czy oparty na życzeniowym myśleniu.

Pytania o przyszłość produktu

  • Czy roadmapa produktu jest udokumentowana i skonsultowana z klientami, czy żyje wyłącznie w głowie założyciela?
  • Jaki odsetek obecnych funkcji pochodzi z bezpośrednich próśb klientów, a jaki z wizji założyciela?
  • Jaki jest stan pipeline'u sprzedażowego (qualified leads, demo-to-close rate, długość cyklu sprzedaży)?
  • Czy są podpisane listy intencyjne (LOI) lub umowy pre-sprzedażowe, które sztucznie zawyżają krótkoterminowe ARR?

Warto sięgnąć do naszych poradników dla kupujących, gdzie szerzej omawiamy techniki weryfikacji prognoz finansowych w transakcjach M&A.


Czerwone flagi — zestawienie praktyczne

Poniżej zebraliśmy najczęściej spotykane sygnały ostrzegawcze w transakcjach SaaS B2B:

  • Brak kohortowej analizy churnu — sprzedający nie potrafi pokazać, jak zachowują się kolejne grupy klientów w czasie.
  • ARR rośnie, ale przepływy gotówkowe są ujemne — może oznaczać agresywną politykę odroczonych płatności lub ukryte koszty.
  • Jeden klient odpowiada za znaczną część ARR — ryzyko koncentracji, które trzeba wycenić i zabezpieczyć w umowie.
  • Deweloperzy pracują na kontraktach B2B bez cesji praw autorskich — własność IP jest niejasna.
  • Brak dokumentacji RODO lub umów powierzenia (DPA) z klientami — realne ryzyko regulacyjne.
  • Bardzo niskie ceny przy wysokim ARR — klienci mogą płacić „historyczne" stawki, a próby podwyżek spotkają się z oporem i churnem.
  • Sprzedający nie potrafi wyjaśnić churnu — dobry founder wie, dlaczego klienci odchodzą i co z tym robi.
  • Skokowy wzrost tuż przed sprzedażą — sprawdź, czy to nie efekt jednorazowej promocji lub kampanii, a nie trwały trend.

Praktyczna checklista dokumentów — co zebrać przed podpisaniem SPA

Dokumenty finansowe

  • [ ] Sprawozdania finansowe za ostatnie 3 lata (lub od założenia)
  • [ ] Miesięczny breakdown MRR/ARR z ostatnich 24–36 miesięcy
  • [ ] Zestawienie klientów z wartością kontraktów (najpierw zanonimizowane pod NDA, potem pełne)
  • [ ] Historia fakturowania i faktyczne wpływy vs. zafakturowane ARR
  • [ ] Zestawienie kosztów operacyjnych (infrastruktura, licencje, wynagrodzenia)

Dokumenty prawne

  • [ ] Umowy ze wszystkimi klientami (w tym klauzule change of control)
  • [ ] Umowy z pracownikami i współpracownikami (cesja praw autorskich)
  • [ ] Dokumentacja RODO i umowy powierzenia (DPA)
  • [ ] Rejestracje znaków towarowych
  • [ ] Wszelkie spory sądowe lub roszczenia

Dokumenty techniczne

  • [ ] Dostęp read-only do repozytorium kodu
  • [ ] Diagram architektury systemu
  • [ ] Lista zależności i użytych bibliotek
  • [ ] Historia incydentów produkcyjnych i naruszeń SLA
  • [ ] Wyniki audytów bezpieczeństwa

Podsumowanie

Due diligence w SaaS B2B to proces wielowymiarowy, który wymaga zaangażowania ekspertów z różnych dziedzin: finansistów rozumiejących metryki subskrypcyjne, prawników specjalizujących się w prawie IT oraz audytorów technicznych zdolnych ocenić jakość kodu i architektury. Pominięcie któregokolwiek z opisanych obszarów może skutkować zakupem aktywów o wartości znacznie niższej niż negocjowana cena.

Na polskim rynku sprzedaży firm technologicznych standardy due diligence dojrzewają, ale wciąż zdarzają się transakcje, w których kupujący dowiaduje się o kluczowych problemach dopiero po zamknięciu. Solidnie przeprowadzony audyt kosztuje czas i pieniądze — ale jest to koszt, który chroni przed znacznie większymi stratami po przejęciu, a często pozwala też renegocjować cenę na korzyść kupującego.

Najczęstsze pytania

Ile trwa due diligence w transakcji sprzedaży firmy SaaS B2B?

Zazwyczaj od kilku do kilkunastu tygodni, w zależności od złożoności produktu, liczby klientów i kompletności dokumentacji po stronie sprzedającego. Im lepiej przygotowany data room, tym krócej. Duże transakcje z udziałem funduszu private equity zwykle trwają dłużej ze względu na głębokość weryfikacji technicznej i prawnej.

Jaki poziom churnu jest akceptowalny w SaaS B2B?

Zależy od segmentu. W obsłudze mniejszych klientów (SMB) wyższy logo churn bywa traktowany jako naturalny, a w segmencie enterprise nawet kilkuprocentowy churn potrafi być sygnałem ostrzegawczym. Ważniejszy od samego logo churn jest revenue churn i NRR — jeśli rosnące kontrakty z pozostałymi klientami kompensują odejścia (NRR powyżej 100%), sytuacja jest znacznie lepsza, niż wskazują suche liczby utraconych logo.

Czy w Polsce kupując firmę SaaS automatycznie nabywam prawa do kodu?

Nie automatycznie. Autorskie prawa majątkowe do oprogramowania należą co do zasady do twórców, chyba że zostały prawidłowo przeniesione w umowie. Konieczna jest weryfikacja umów z każdą osobą, która pisała kod — pracownikami i zewnętrznymi współpracownikami. To temat wymagający oceny radcy prawnego lub adwokata; powyższe nie jest poradą prawną.

Co to jest klauzula change of control i dlaczego jest ważna w due diligence?

To zapis w umowie z klientem, który daje mu prawo do wypowiedzenia kontraktu lub renegocjacji warunków w przypadku zmiany właściciela firmy. W transakcjach SaaS B2B może oznaczać, że klienci generujący znaczną część ARR mają opcję odejścia tuż po zamknięciu transakcji. Weryfikacja tych klauzul jest jednym z priorytetów prawnego due diligence.

Czy muszę angażować zewnętrznego audytora technicznego do weryfikacji kodu?

Przy transakcjach o istotnej wartości — zdecydowanie tak. Samodzielna ocena kodu przez kupującego bez doświadczenia technicznego jest niewystarczająca. Audytor techniczny (CTO-as-a-service lub wyspecjalizowana firma) oceni dług technologiczny, bezpieczeństwo i skalowalność. Koszt takiego audytu to zwykle ułamek potencjalnych strat z tytułu ukrytych problemów technicznych.

Szukasz konkretnej oferty?

Przeglądaj aktualne ogłoszenia sprzedaży firm na Biznes Atlas.

Powiązane poradniki