IT due diligence selvittää ostettavan tai myytävän yrityksen tietojärjestelmien ja tietoturvan tilaa

IT due diligencen tavoitteena on selvittää ostajalle kaupan kohteena olevan yrityksen tieto- ja viestintäteknologiaympäristön eli ICT -ympäristön riskejä ja vastuita. Yhä tärkeämmäksi näkökulmaksi yritysjärjestelyissä on noussut yrityksen tietoturvan tila.

Tietojärjestelmät ovat yrityksen toiminnan ytimessä eikä yksikään yritys tänä päivänä pysty toimimaan ilman niitä. Yritysfuusioidenkin onnistumiseen vaikuttaa merkittävästi tietojärjestelmien yhdistäminen tai päätös siitä, minkä yrityksen järjestelmillä yhdistymisen jälkeen jatketaan vai hankintaanko kokonaan uudet järjestelmät. Tämä ei ole kuitenkaan pelkkä tietojärjestelmäprojekti, vaan tilaisuus määritellä yrityksen prosessit uudelleen. Selvitettäessä ostettavan tai myytävän yrityksen tietojärjestelmien tilaa ja tietoturvaa, IT DD on yksi tärkeimmistä toimenpiteistä.

Tietoja pidetään yhä kasvavissa määrin yrityksen arvokkaimpana omaisuutena. Samaan aikaan säilytettävä data voi hyvinkin olla myös yrityksen suurin riskinlähde. Tietoturva onkin yksi yrityksen arvon merkittävimmistä tekijöistä. Ostajan on tärkeää varmistaa, että hän ymmärtää täysin hankkimiensa tietovarojen arvon sekä kohdeyrityksen kohtaaman kyberuhan ja haavoittuvuuden tason. Ostajan on myös pystyttävä määrittämään yrityksen kyberturvallisuusvalmiuden tai sen puutteen mahdolliset taloudelliset vaikutukset kauppahintaan.

IT due diligencen tulee sisältää myös OSINT (Open Source Intelligence) -tutkinta, joka tarkoittaa julkisiin tietolähteisiin perustuvaa tiedustelua, vakoilua ja varjostusta. OSINT-tutkinnassa tehdään analyysi ostettavan yrityksen, sen avainhenkilöiden sekä valikoitujen toimitusketjun kumppaneiden Dark Webiin, sosiaalisen mediaan ja internetiin jättämästä jalanjäljestä.

ICT -järjestelmissä on kyse korkeista taloudellisista panoksista

ICT-kulut ovat keskimäärin lähes 5 prosenttia yrityksen liikevaihdosta. Toimialojen välillä on kuitenkin suuria eroja: ohjelmisto- ja pelialan yrityksissä, sekä rahoituslaitoksissa ja muissa ICT -intensiivisissä yrityksissä kulut ovat tyypillisesti 10-20 prosenttia. Näillä toimialoilla koko yrityksen toiminta tuote- ja palvelutarjonnasta toiminta- ja liiketoimintamalliin perustuu täysin ICT -järjestelmiin.

IT due diligence -selvityksen tavoitteena on tunnistaa sulautumisen synergiaedut tietojärjestelmien osalta. Selvityksessä käydään läpi IT-omaisuudet, -prosessit, -sopimukset sekä tietosuojan ja tietoturvan taso. Näiden tietojen pohjalta arvioidaan tietojärjestelmien ja prosessien sopivuutta tulevan liiketoiminnan tavoitteiden saavuttamiseksi.

Ostettavassa yrityksessä IT:n toiminta ei välttämättä ole täysin tukenut yrityksen strategiaa eikä liiketoiminnan tarpeita. Liiketoimintaprosessien integrointi on tärkeä osa yritysfuusiota ja se vaikuttaa IT-integraatioon ja päinvastoin. Siksi IT due diligencessä ja IT -integroinnin suunnittelussa on otettava huomioon liiketoimintaprosessien integrointi – myös mahdollinen prosessien uudelleen määrittely ja toteutus.

IT DD auttaa omalta osaltaan määrittämään ostettavan yrityksen arvoa ja tunnistamaan tulevat kustannukset, säästöt, tarvittavat investoinnit ja suurimmat operatiiviset riskit. IT due diligencessä selvitetään tietosuojaa ja tietojen säilyttämistä koskevat säännökset ostettavan yrityksen kotimaassa tai toiminta-alueella. Kaikki nämä vaikuttavat kauppahintaan ja sulautumiseen liittyviin riskeihin. ICT -järjestelmien yhdistäminen on haastavaa ja kallista.

Kattava IT due diligence auttaa IT -toimintojen yhdistämisessä ja uudelleen järjestelemisessä, jotta toiminnot saadaan synkronoitua sekä tukemaan paremmin liiketoiminnan tavoitteita.

IT due diligence -selvityksen keskeisiä osa-alueita ovat:

  • IT -ympäristön yleinen arviointi
  • Strategiatuki
  • IT:n toiminta
  • IT -omaisuus
  • Järjestelmä- ja tietoturva
  • Liiketoiminnan jatkuvuus
  • IT -henkilöstöasiat
  • IT -tarkastukset