Dlaczego due diligence w SaaS B2B to osobna dyscyplina
Due diligence w transakcjach SaaS B2B różni się fundamentalnie od audytu klasycznej firmy usługowej czy produkcyjnej. Wartość biznesu opartego na oprogramowaniu tkwi w niematerialnych aktywach: kodzie, bazach klientów, kontraktach subskrypcyjnych i reputacji produktu. Kupujący, który pominie choćby jeden z kluczowych obszarów weryfikacji, może nabyć coś, co na papierze wygląda jak rosnący biznes, a w rzeczywistości skrywa poważne ryzyka pod cienką warstwą ładnie wyglądających metryk.
Na polskim rynku transakcji sprzedaży firm z branży SaaS obserwujemy rosnące zainteresowanie zarówno ze strony funduszy private equity, jak i kupujących strategicznych. Jednocześnie kultura due diligence w segmencie B2B SaaS dopiero dojrzewa — część sprzedających nie jest przygotowana na głębokość pytań, a część kupujących nie wie, czego właściwie szukać. Ten przewodnik wypełnia tę lukę i prowadzi przez siedem obszarów, które warto zweryfikować, zanim usiądziesz do stołu negocjacyjnego.
Warto na wstępie zaznaczyć jedną rzecz: dobrze przeprowadzony audyt to nie polowanie na haki, tylko narzędzie do urealnienia ceny i konstrukcji umowy. Większość znalezionych problemów nie zrywa transakcji — przekłada się na korektę wyceny, dodatkowe zabezpieczenia w umowie (earn-out, escrow, oświadczenia i zapewnienia) albo plan naprawczy na pierwsze 100 dni po przejęciu.
Obszar 1 — Metryki produktowe i finansowe specyficzne dla SaaS
Klasyczne wskaźniki finansowe (EBIT, marża brutto, przepływy gotówkowe) są konieczne, ale niewystarczające. W SaaS B2B priorytetem są metryki subskrypcyjne, bo to one opisują trwałość i jakość strumienia przychodów.
Kluczowe metryki do weryfikacji
- MRR / ARR (Monthly/Annual Recurring Revenue) — żądaj miesięcznych zestawień z ostatnich 24–36 miesięcy, nie tylko sumarycznych raportów rocznych. Rozbicie miesięczne ujawnia sezonowość, jednorazowe skoki i ukryte spadki.
- Churn rate — zarówno logo churn (utrata klientów), jak i revenue churn (utrata przychodu). Jako orientacyjny benchmark dla B2B przyjmuje się logo churn poniżej kilku procent rocznie; wartości kilkunastoprocentowe wymagają natychmiastowego wyjaśnienia.
- Net Revenue Retention (NRR) — jeśli NRR przekracza 100%, firma rośnie na bazie obecnych klientów (upsell, cross-sell). Wartości wyraźnie poniżej 100% sygnalizują problem z produktem lub dopasowaniem do rynku.
- Customer Acquisition Cost (CAC) i LTV — stosunek LTV do CAC w okolicach 3:1 lub niżej bywa traktowany jako sygnał ostrzegawczy, ale zawsze interpretuj go w kontekście etapu rozwoju firmy.
- ARPU / ACV (Average Revenue Per User / Annual Contract Value) — pomaga zrozumieć jakość bazy klientów i ryzyko koncentracji.
- Okres zwrotu CAC (CAC payback) — ile miesięcy zajmuje odzyskanie kosztu pozyskania klienta. Im dłuższy, tym większe obciążenie gotówkowe wzrostu.
Dokumenty do zgromadzenia: eksport z systemu CRM (np. HubSpot, Salesforce), eksport z platformy subskrypcyjnej (Stripe, Chargebee, Paddle), arkusze kohortowe, zestawienia faktur z podziałem na klientów. Zawsze porównuj liczby z różnych źródeł — rozjazd między CRM a systemem płatności to częsty sygnał, że raportowanie nie jest spójne.
Obszar 2 — Weryfikacja kontraktów i bazy klientów
Jeden duży kontrakt generujący 30–40% ARR to klasyczna czerwona flaga koncentracji przychodów. Jeśli ten klient odejdzie po przejęciu, biznes może stracić znaczną część wartości w ciągu kilku kwartałów.
Na co zwrócić uwagę w kontraktach
- Klauzule zmiany kontroli (change of control) — wiele umów B2B daje klientowi prawo do wypowiedzenia kontraktu przy zmianie właściciela. Szczególnie niebezpieczne w umowach z sektorem publicznym i z dużymi korporacjami.
- Terminy i warunki odnowień — sprawdź, ile kontraktów odnawia się automatycznie, a ile wymaga aktywnej renegocjacji każdego roku.
- SLA i kary umowne — czy zobowiązania SLA są realistyczne przy obecnej infrastrukturze? Czy historycznie dochodziło do naruszeń i wypłaty kar?
- Warunki płatności i zaległości — ARR na papierze nie równa się gotówce. Weryfikuj faktyczne wpływy i DSO (Days Sales Outstanding).
Przeglądając ogłoszenia sprzedaży firm w segmencie B2B, regularnie widzimy przypadki, w których sprzedający prezentuje ARR jako sumę wszystkich aktywnych kontraktów, pomijając fakt, że część z nich jest de facto zamrożona, w trakcie wypowiedzenia lub w renegocjacji. Dlatego zawsze proś o pomostowanie (reconciliation) między raportowanym ARR a listą żywych, opłacanych umów.
Obszar 3 — Technologia i kod źródłowy
To obszar, który wymaga zaangażowania zewnętrznego audytora technicznego (CTO-as-a-service lub firma specjalizująca się w code review na potrzeby M&A). Samodzielna ocena bez kompetencji technicznych jest ryzykowna.
Kluczowe pytania techniczne
- Dług technologiczny — jak stary jest kod? Czy korzysta z przestarzałych frameworków lub bibliotek bez wsparcia producenta?
- Skalowalność infrastruktury — czy architektura wytrzyma kilkukrotny wzrost liczby klientów bez fundamentalnej przebudowy?
- Zależności od zewnętrznych API — jeśli produkt zależy krytycznie od jednego zewnętrznego dostawcy (np. konkretna usługa AI, bramka płatnicza), to istotne ryzyko operacyjne i cenowe.
- Dokumentacja techniczna — jej brak to koszt ukryty; nowy zespół deweloperski straci tygodnie lub miesiące na rekonstrukcję wiedzy.
- Testy automatyczne — niskie pokrycie testami w krytycznych modułach oznacza, że każda zmiana w kodzie niesie ryzyko regresji.
- Bezpieczeństwo łańcucha dostaw kodu — kto ma dostęp do repozytorium, jak zarządzane są sekrety i klucze, czy istnieje kontrola dostępu do produkcji.
Dokumenty do zgromadzenia: dostęp read-only do repozytorium kodu, diagram architektury, lista używanych bibliotek i ich wersji, wyniki narzędzi do statycznej analizy kodu (np. SonarQube, Snyk), historia incydentów produkcyjnych.
Obszar 4 — Bezpieczeństwo danych i zgodność z regulacjami
W SaaS B2B przetwarzanie danych klientów to serce biznesu. Brak odpowiedniej dokumentacji RODO lub historia wycieków danych może skutkować karami i — co często ważniejsze — masowym churnem po upublicznieniu transakcji.
Checklist bezpieczeństwo / compliance
- Czy firma posiada aktualną dokumentację RODO (rejestr czynności przetwarzania, umowy powierzenia przetwarzania danych z klientami)?
- Czy przeprowadzano audyty bezpieczeństwa lub testy penetracyjne? Jak dawno i przez kogo?
- Czy certyfikaty takie jak ISO 27001, SOC 2 Type II lub inne są wymagane przez obecnych klientów enterprise?
- Czy produkt przechowuje dane wrażliwe (np. medyczne, finansowe)? Jeśli tak, jakie certyfikacje są wymagane?
- Czy w historii firmy zdarzały się incydenty bezpieczeństwa lub naruszenia ochrony danych?
> Uwaga: weryfikacja zgodności z RODO i przepisami prawa autorskiego dotyczącego oprogramowania wymaga oceny prawnika specjalizującego się w prawie IT i ochronie danych osobowych. Powyższe punkty stanowią punkt wyjścia do rozmowy z doradcą i nie są poradą prawną.
Obszar 5 — Prawa własności intelektualnej
To jeden z najczęściej zaniedbywanych obszarów w polskich transakcjach SaaS. Kupujesz oprogramowanie — upewnij się, że sprzedający je faktycznie posiada i ma prawo nim rozporządzać.
Kluczowe pytania o własność IP
- Czy wszyscy deweloperzy podpisali umowy przenoszące autorskie prawa majątkowe na firmę? W polskich realiach konieczna jest odpowiednia klauzula w umowie o pracę, umowie zlecenia albo kontrakcie B2B.
- Czy firma korzystała z freelancerów lub zewnętrznych agencji do budowy produktu? Sprawdź, czy prawa zostały prawidłowo przeniesione, a nie jedynie udzielono licencji.
- Czy w kodzie są komponenty open-source na licencjach typu copyleft (GPL, AGPL)? Mogą nakładać obowiązki, których naruszenie tworzy ryzyko prawne.
- Czy marka (nazwa, logo) jest zarejestrowana jako znak towarowy i czy nie narusza cudzych praw?
> Kwestie prawnomajątkowe związane z prawem autorskim do oprogramowania są złożone. Zalecamy konsultację z radcą prawnym lub adwokatem specjalizującym się w prawie IT przed finalizacją transakcji.
Obszar 6 — Zespół i ryzyko kluczowych osób
W małych i średnich firmach SaaS wiedza często koncentruje się w jednej lub dwóch osobach. Jeśli założyciel-deweloper odchodzi po sprzedaży, a dokumentacji technicznej brak, kupujesz problem, a nie aktywo.
Weryfikacja ryzyka personalnego
- Kto jest kluczowym pracownikiem? Czy jego odejście zatrzymałoby development lub obsługę klientów?
- Jakie są warunki earn-out i zobowiązania do pozostania w firmie po transakcji (tzw. lock-up)?
- Jaka jest rotacja w zespole? Wyraźnie podwyższona rotacja w ostatnich kwartałach to czerwona flaga.
- Czy umowy pracownicze zawierają klauzule zakazu konkurencji i poufności?
- Sprawdź dostępne publicznie sygnały (np. profile zawodowe) — czy kluczowe osoby nie szukają aktywnie nowej pracy w trakcie procesu sprzedaży?
Obszar 7 — Roadmapa produktu i pipeline sprzedażowy
Kupujesz nie tylko obecny stan, ale przede wszystkim potencjał. Weryfikacja roadmapy i pipeline'u pozwala ocenić, czy prognozowany wzrost jest realistyczny, czy oparty na życzeniowym myśleniu.
Pytania o przyszłość produktu
- Czy roadmapa produktu jest udokumentowana i skonsultowana z klientami, czy żyje wyłącznie w głowie założyciela?
- Jaki odsetek obecnych funkcji pochodzi z bezpośrednich próśb klientów, a jaki z wizji założyciela?
- Jaki jest stan pipeline'u sprzedażowego (qualified leads, demo-to-close rate, długość cyklu sprzedaży)?
- Czy są podpisane listy intencyjne (LOI) lub umowy pre-sprzedażowe, które sztucznie zawyżają krótkoterminowe ARR?
Warto sięgnąć do naszych poradników dla kupujących, gdzie szerzej omawiamy techniki weryfikacji prognoz finansowych w transakcjach M&A.
Czerwone flagi — zestawienie praktyczne
Poniżej zebraliśmy najczęściej spotykane sygnały ostrzegawcze w transakcjach SaaS B2B:
- Brak kohortowej analizy churnu — sprzedający nie potrafi pokazać, jak zachowują się kolejne grupy klientów w czasie.
- ARR rośnie, ale przepływy gotówkowe są ujemne — może oznaczać agresywną politykę odroczonych płatności lub ukryte koszty.
- Jeden klient odpowiada za znaczną część ARR — ryzyko koncentracji, które trzeba wycenić i zabezpieczyć w umowie.
- Deweloperzy pracują na kontraktach B2B bez cesji praw autorskich — własność IP jest niejasna.
- Brak dokumentacji RODO lub umów powierzenia (DPA) z klientami — realne ryzyko regulacyjne.
- Bardzo niskie ceny przy wysokim ARR — klienci mogą płacić „historyczne" stawki, a próby podwyżek spotkają się z oporem i churnem.
- Sprzedający nie potrafi wyjaśnić churnu — dobry founder wie, dlaczego klienci odchodzą i co z tym robi.
- Skokowy wzrost tuż przed sprzedażą — sprawdź, czy to nie efekt jednorazowej promocji lub kampanii, a nie trwały trend.
Praktyczna checklista dokumentów — co zebrać przed podpisaniem SPA
Dokumenty finansowe
- [ ] Sprawozdania finansowe za ostatnie 3 lata (lub od założenia)
- [ ] Miesięczny breakdown MRR/ARR z ostatnich 24–36 miesięcy
- [ ] Zestawienie klientów z wartością kontraktów (najpierw zanonimizowane pod NDA, potem pełne)
- [ ] Historia fakturowania i faktyczne wpływy vs. zafakturowane ARR
- [ ] Zestawienie kosztów operacyjnych (infrastruktura, licencje, wynagrodzenia)
Dokumenty prawne
- [ ] Umowy ze wszystkimi klientami (w tym klauzule change of control)
- [ ] Umowy z pracownikami i współpracownikami (cesja praw autorskich)
- [ ] Dokumentacja RODO i umowy powierzenia (DPA)
- [ ] Rejestracje znaków towarowych
- [ ] Wszelkie spory sądowe lub roszczenia
Dokumenty techniczne
- [ ] Dostęp read-only do repozytorium kodu
- [ ] Diagram architektury systemu
- [ ] Lista zależności i użytych bibliotek
- [ ] Historia incydentów produkcyjnych i naruszeń SLA
- [ ] Wyniki audytów bezpieczeństwa
Podsumowanie
Due diligence w SaaS B2B to proces wielowymiarowy, który wymaga zaangażowania ekspertów z różnych dziedzin: finansistów rozumiejących metryki subskrypcyjne, prawników specjalizujących się w prawie IT oraz audytorów technicznych zdolnych ocenić jakość kodu i architektury. Pominięcie któregokolwiek z opisanych obszarów może skutkować zakupem aktywów o wartości znacznie niższej niż negocjowana cena.
Na polskim rynku sprzedaży firm technologicznych standardy due diligence dojrzewają, ale wciąż zdarzają się transakcje, w których kupujący dowiaduje się o kluczowych problemach dopiero po zamknięciu. Solidnie przeprowadzony audyt kosztuje czas i pieniądze — ale jest to koszt, który chroni przed znacznie większymi stratami po przejęciu, a często pozwala też renegocjować cenę na korzyść kupującego.


