Sisältöön

IT-due diligence - SecMeter

Ohita valikko
Ohita valikko

IT-due diligence

Yritysturvallisuus > Johtaminen
IT-due diligencen strateginen merkitys yrityskauppaympäristössä


Digitalisaatio on muuttanut perustavanlaatuisesti yritysten arvonmuodostuksen logiikkaa. Aikaisemmin yritysten markkina-arvo rakentui pääosin aineelliselle omaisuudelle, kuten tuotantolaitoksille, infrastruktuurille ja fyysisille resursseille.

Nykyisessä tietointensiivisessä taloudessa kilpailukyky perustuu kuitenkin yhä enemmän aineettomiin resursseihin, kuten dataan, ohjelmistoihin, algoritmeihin, digitaalisiin alustoihin, kyberturvallisuuteen sekä organisaation teknologiseen osaamiseen.

Tätä kokonaisuutta voidaan kutsua digitaaliseksi pääomaksi. Digitaalinen pääoma ei ole pelkästään liiketoimintaa tukeva resurssi, vaan monilla toimialoilla koko yrityksen olemassaolon ja kasvun perusta.

Samanaikaisesti teknologinen determinismi on noussut keskeiseksi näkökulmaksi yritysten strategisessa analyysissä. Teknologisen determinismin mukaan teknologinen kehitys ei ainoastaan tue yhteiskunnallisia ja taloudellisia muutoksia, vaan aktiivisesti ohjaa niitä.

Teknologinen determinismi tarkoittaa ajatusta, että teknologia toimii yhteiskunnallisen ja taloudellisen muutoksen keskeisenä ajurina. Yritysmaailmassa se näkyy erityisesti siinä, kuinka digitaalinen infrastruktuuri, ohjelmistot ja teknologinen osaaminen vaikuttavat yritysten kilpailukykyyn, arvonmuodostukseen ja strategisiin päätöksiin. Yritysjärjestelyissä tämä tarkoittaa sitä, että:

  • yrityksen teknologinen kyvykkyys vaikuttaa sen markkina-arvoon
  • vanhentunut teknologia heikentää kilpailukykyä
  • digitaalinen pääoma voi olla tärkeämpää kuin fyysinen omaisuus

Yritysjärjestelyissä tämä tarkoittaa sitä, että kohdeyrityksen teknologinen infrastruktuuri, ohjelmistoarkkitehtuuri ja digitaalinen kyvykkyys voivat ratkaisevasti määrittää yrityskaupan onnistumisen tai epäonnistumisen.

Teknologia ei siis ole enää vain operatiivinen tukifunktio, vaan strateginen tuotannontekijä, joka vaikuttaa suoraan yrityksen markkina-arvoon, riskitasoon ja tulevaisuuden kasvupotentiaaliin.

IT-due diligence (ITDD) on noussut keskeiseksi osaksi yritysjärjestelyjä. Perinteisesti due diligence ymmärrettiin lähinnä taloudellisena ja juridisena tarkastusprosessina, jonka tavoitteena oli tunnistaa yrityskauppaan liittyviä riskejä.

Digitalisaation myötä ITDD:n merkitys on kuitenkin laajentunut merkittävästi. Nykyisin se toimii strategisena analyysityökaluna, jonka avulla arvioidaan kohdeyrityksen teknologista kyvykkyyttä, digitaalista pääomaa sekä valmiutta integroitua osaksi ostavan organisaation liiketoimintaa.

IT-due diligence ei siten ole enää pelkkä tekninen tarkastuslista, vaan moniulotteinen prosessi, jossa yhdistyvät teknologiajohtaminen, riskienhallinta, tietoturva, liiketoimintastrategia ja yrityksen arvonmääritys.

Sen tehtävänä on tunnistaa ne teknologiset tekijät, jotka voivat joko vahvistaa tai heikentää yrityskaupan strategista arvoa. Erityisen keskeisiä analyysikohteita ovat tekninen velka, tietoturvariskit, järjestelmäarkkitehtuurin laatu sekä integraatiokyvykkyys.
Yrityksen IT Due Diligence -tehtävälista yritysjärjestelyä varten
Strateginen ja liiketoiminnallinen analyysi
Tavoite: Arvioida, kuinka hyvin kohdeyrityksen teknologia tukee liiketoimintastrategiaa ja tulevaa kasvua.

  1. Selvitä yrityksen digitaalinen strategia ja teknologinen roadmap
  2. Arvioi IT:n rooli liiketoiminnan kilpailuedussa
  3. Tunnista kriittiset liiketoimintajärjestelmät
  4. Arvioi järjestelmien skaalautuvuus tulevaisuuden kasvulle
  5. Selvitä riippuvuus yksittäisistä teknologioista tai toimittajista
  6. Tarkista IT-investointien nykytila ja tulevat kustannukset
  7. Arvioi pilvipalveluiden ja modernien teknologioiden hyödyntäminen

Teknisen velan arviointi
Tavoite: Tunnistaa järjestelmien piilevät tekniset riskit ja tulevat modernisointitarpeet.

  1. Arvioi ohjelmistojen ikä ja elinkaari
  2. Selvitä käytössä olevat ohjelmointikielet ja teknologiat
  3. Tarkista järjestelmien dokumentaation taso
  4. Tunnista vanhentuneet tai tuesta poistuvat järjestelmät
  5. Arvioi koodin ylläpidettävyys ja arkkitehtuurin laatu
  6. Selvitä integraatioiden määrä ja monimutkaisuus
  7. Tunnista manuaaliset prosessit ja automaation puutteet
  8. Arvioi teknisen velan vaikutus ylläpitokustannuksiin
  9. Laske mahdolliset modernisointi- tai migraatiokustannukset

Tietoturva ja kyberriskit
Tavoite: Varmistaa, että kohdeyrityksen tietoturva täyttää liiketoiminnan ja sääntelyn vaatimukset.

  1. Arvioi tietoturvapolitiikat ja hallintamallit
  2. Tarkista käyttöoikeushallinta ja identiteetinhallinta
  3. Selvitä aiemmat tietoturvaloukkaukset ja niiden vaikutukset
  4. Tarkista varmuuskopiointi- ja palautusprosessit
  5. Arvioi kyberriskienhallinnan kypsyystaso
  6. Selvitä GDPR-vaatimustenmukaisuus
  7. Tarkista henkilötietojen käsittelyprosessit
  8. Arvioi verkko- ja infrastruktuuriturvallisuus
  9. Tarkista tietoturvapäivitysten hallinta
  10. Selvitä ulkoisten toimittajien turvallisuusriskit
  11. Arvioi henkilöstön tietoturvakoulutuksen taso

Infrastruktuurin ja järjestelmäarkkitehtuurin analyysi
Tavoite: Arvioida teknisen ympäristön vakaus, tehokkuus ja yhteensopivuus.

  1. Inventoi kaikki keskeiset järjestelmät ja palvelimet
  2. Arvioi pilvi- ja hybridiympäristöjen rakenne
  3. Selvitä kapasiteetti- ja suorituskykyongelmat
  4. Tarkista palveluiden käytettävyys ja SLA-tasot
  5. Arvioi järjestelmien redundanssi ja jatkuvuusratkaisut
  6. Selvitä teknologiset riippuvuudet
  7. Tarkista integraatioalustat ja API-ratkaisut
  8. Arvioi datan hallinta ja tietovarastoratkaisut
  9. Selvitä infrastruktuurin elinkaaririskit

Integraatio ja synergia-analyysi
Tavoite: Arvioida kuinka tehokkaasti kohdeyritys voidaan integroida ostavan yrityksen ympäristöön.

  1. Arvioi järjestelmien yhteensopivuus emoyhtiön kanssa
  2. Selvitä integraatioiden tekninen toteutettavuus
  3. Arvioi datamigraation vaikeusaste
  4. Tunnista päällekkäiset järjestelmät
  5. Arvioi mahdolliset synergiahyödyt
  6. Laske integraation aikataulu ja kustannukset
  7. Tunnista liiketoimintakatkosten riskit integraation aikana
  8. Arvioi henkilöstön osaamisen yhteensopivuus
  9. Selvitä mahdolliset lisenssi- ja sopimusesteet

Taloudellinen IT-analyysi
Tavoite: Ymmärtää IT:n vaikutus yrityksen taloudelliseen arvoon.

  1. Selvitä IT-kustannusrakenne
  2. Arvioi ohjelmistolisenssien kustannukset
  3. Tarkista ulkoistussopimukset ja palvelusopimukset
  4. Arvioi IT:n ylläpito- ja kehityskustannukset
  5. Laske teknisen velan taloudellinen vaikutus
  6. Arvioi mahdolliset säästöpotentiaalit
  7. Selvitä tulevat investointitarpeet
  8. Arvioi IT-riskien vaikutus yrityksen valuaatioon

Henkilöstö ja osaaminen
Tavoite: Arvioida yrityksen kyky ylläpitää ja kehittää teknologiaa.

  1. Selvitä avainhenkilöriippuvuudet
  2. Arvioi IT-tiimin osaamistaso
  3. Tarkista henkilöstön sertifikaatit ja erityisosaaminen
  4. Selvitä rekrytointi- ja resurssiriskit
  5. Arvioi organisaation kyky toteuttaa integraatio
  6. Tarkista dokumentoidut toimintamallit ja prosessit
  7. Selvitä ulkoisten konsulttien riippuvuudet

Riskienhallinta ja jatkuvuus
Tavoite: Varmistaa liiketoiminnan jatkuvuus yritysjärjestelyn jälkeen.

  1. Tarkista disaster recovery -suunnitelmat
  2. Arvioi liiketoiminnan jatkuvuussuunnitelmat
  3. Selvitä kriittiset yksittäiset vikapisteet
  4. Arvioi toimittajariippuvuudet
  5. Tarkista riskienhallinnan dokumentaatio
  6. Selvitä vakuutukset kyberriskien varalta
  7. Arvioi operatiiviset jatkuvuusriskit

Lopullinen arviointi ja raportointi
Tavoite: Muuttaa tekniset havainnot liiketoimintapäätöksiä tukeviksi johtopäätöksiksi.

  1. Laadi yhteenveto kriittisistä riskeistä
  2. Priorisoi löydökset vaikutuksen mukaan
  3. Arvioi vaikutus yrityksen valuaatioon
  4. Tunnista “deal breaker” -riskit. IT due diligence -prosessissa deal breaker -riskit viittaavat sellaisiin kriittisiin teknologisiin puutteisiin tai kyberriskeihin, jotka voivat tehdä yritysjärjestelystä liian riskialttiin tai estää odotettujen synergiahyötyjen saavuttamisen.
  5. Laadi integraation suositeltu etenemissuunnitelma
  6. Esitä suositukset teknologian modernisoinnista
  7. Arvioi investoinnin ROI-riskit
  8. Tuota johdolle strateginen ITDD-raportti
Digitaalinen pääoma yrityksen arvon perustana
Digitaalinen pääoma voidaan määritellä yrityksen hallussa oleviksi teknologisiksi ja aineettomiksi resursseiksi, jotka mahdollistavat kilpailuedun saavuttamisen digitaalisessa taloudessa. Näihin kuuluvat muun muassa ohjelmistot, tietokannat, pilvi-infrastruktuuri, tekoälyratkaisut, automaatiojärjestelmät sekä yrityksen digitaalinen osaaminen. Juuri nämä resurssit määrittävät yhä useammin yrityksen markkina-aseman ja kasvukyvykkyyden.

Yritysjärjestelyissä digitaalinen pääoma on erityisen tärkeää siksi, että ostaja ei hanki pelkästään nykyistä liiketoimintaa, vaan myös sen tulevaisuuden potentiaalin. Teknologisesti kehittynyt yritys kykenee usein skaalautumaan tehokkaammin, kehittämään uusia palveluita nopeammin ja vastaamaan markkinamuutoksiin ketterämmin kuin kilpailijansa. Tämän vuoksi digitaalinen kyvykkyys vaikuttaa suoraan yrityksen valuaatioon.

Teknologisen determinismin näkökulmasta yrityksen teknologia ei ole neutraali väline, vaan strateginen voima, joka ohjaa kehitystä. Yrityksen käyttämät teknologiat määrittävät esimerkiksi sen toimintamallit, tehokkuuden, asiakaskokemuksen ja innovointikyvyn. Yrityskaupassa ostaja arvioi siten myös sitä, kuinka hyvin kohdeyrityksen teknologinen infrastruktuuri tukee tulevaisuuden liiketoimintaa.

IT-due diligence toimii tässä arvioinnissa keskeisenä mekanismina. Sen avulla pyritään tunnistamaan, onko kohdeyrityksen digitaalinen pääoma aidosti kilpailukykyinen vai sisältääkö se piileviä riskejä, jotka voivat heikentää investoinnin arvoa tulevaisuudessa.

Tekninen velka arvon alentajana
Yksi IT-due diligencen tärkeimmistä analyysikohteista on tekninen velka. Käsitteen esitteli Ward Cunningham. Hän esitteli teknisen velan (technical debt) käsitteen vuonna 1992. Cunningham käytti metaforaa kuvatakseen tilannetta, jossa ohjelmistokehityksessä tehdään nopeita tai kompromissinomaisia ratkaisuja lyhyen aikavälin hyötyjen saavuttamiseksi, mutta jotka aiheuttavat myöhemmin lisätyötä, kustannuksia ja ylläpito-ongelmia.

Teknistä velkaa syntyy muun muassa, jos ohjelmistokehityksessä tehdään kompromisseja, joissa nopeus ja lyhyen aikavälin tehokkuus asetetaan pitkäaikaisen laadun edelle, esimerkiksi puutteellisesta dokumentaatiosta, vanhentuneista ohjelmointikielistä, heikosta järjestelmäarkkitehtuurista tai liian nopeasti toteutetuista ohjelmistoratkaisuista.

Yrityskauppatilanteessa tekninen velka muodostaa merkittävän riskin, koska ostaja perii kohdeyrityksen teknologiset ratkaisut sellaisinaan. Mikäli järjestelmät ovat vanhentuneita tai vaikeasti ylläpidettäviä, niiden modernisointi voi vaatia huomattavia lisäinvestointeja. Tämä vaikuttaa suoraan yrityksen arvoon sekä integraation kustannuksiin.

Tekninen velka voidaan nähdä piilevänä taloudellisena vastuuna. Vaikka se ei välttämättä näy yrityksen taseessa, sen vaikutukset konkretisoituvat kasvavina ylläpitokustannuksina, hitaampana ohjelmistokehityksenä ja lisääntyvinä operatiivisina riskeinä. Teknologisesti vanhentuneet järjestelmät heikentävät yrityksen kykyä reagoida markkinamuutoksiin ja hidastavat liiketoiminnan kehitystä.

IT-due diligencen tehtävänä on kvantifioida tämä velka mahdollisimman tarkasti. Käytännössä tämä tarkoittaa esimerkiksi järjestelmien elinkaaren arviointia, ohjelmistojen ylläpitokustannusten analysointia sekä teknologisen riippuvuuden tunnistamista.

Mikäli tekninen velka osoittautuu merkittäväksi, sillä voi olla suora vaikutus yrityskaupan ehtoihin. Ostaja voi esimerkiksi alentaa kauppahintaa, vaatia lisävakuuksia tai asettaa ehtoja järjestelmien modernisoinnille.

Näin tekninen velka toimii konkreettisena esimerkkinä siitä, kuinka teknologinen determinismi vaikuttaa yritysten taloudelliseen arvoon. Teknologiset ratkaisut eivät ole vain operatiivisia valintoja, vaan ne määrittävät yrityksen strategista liikkumavaraa ja pitkän aikavälin kilpailukykyä.

Tietoturva ja luottamuskapitaali
Digitalisoituneessa liiketoimintaympäristössä tietoturvasta on tullut keskeinen osa yrityksen luottamuskapitaalia. Asiakkaiden, sijoittajien ja yhteistyökumppaneiden luottamus perustuu siihen, että yritys kykenee suojaamaan datansa, järjestelmänsä ja liiketoimintaprosessinsa tehokkaasti. Tietoturva ei siten ole pelkkä tekninen kysymys, vaan olennainen osa yrityksen mainetta ja markkina-arvoa.

Yritysjärjestelyissä tietoturvariskit voivat muodostua erityisen kriittisiksi. Mikäli kohdeyrityksellä on puutteellinen kyberturvallisuus tai heikko vaatimustenmukaisuus, ostaja voi tietämättään hankkia merkittäviä juridisia ja taloudellisia vastuita. Esimerkiksi tietomurrot, henkilötietojen väärinkäsittely tai GDPR-rikkomukset voivat johtaa huomattaviin sakkoihin sekä pitkäaikaisiin mainehaittoihin.

IT-due diligence analysoi kohdeyrityksen tietoturvaa usealla tasolla. Teknisen turvallisuuden lisäksi arvioidaan hallinnollisia käytäntöjä, riskienhallintaprosesseja ja yrityksen kyberturvallisuuskulttuuria. Erityisen tärkeää on selvittää, kuinka hyvin yritys tunnistaa ja hallitsee omat tietoturvariskinsä.

Tietoturva liittyy läheisesti myös teknologiseen determinismiin. Yhteiskunnan digitalisoituessa yritysten riippuvuus teknologiasta kasvaa jatkuvasti, mikä samalla lisää niiden haavoittuvuutta kyberuhille. Yrityksen kilpailukyky ei enää määräydy vain sen tuotteiden tai palveluiden perusteella, vaan myös sen kyvystä ylläpitää turvallista digitaalista toimintaympäristöä.

Mikäli IT-due diligence epäonnistuu tunnistamaan kriittisiä tietoturvariskejä, seurauksena voi olla niin sanottu myrkyllinen yrityskauppa. Tällöin ostaja joutuu kantamaan vastuun ongelmista, jotka voivat realisoitua vasta kaupan toteutumisen jälkeen. Tämä korostaa ITDD:n strategista merkitystä osana yritysjärjestelyjen riskienhallintaa.

Integraatio ja synergiaetujen realisoituminen
Yrityskauppojen keskeinen tavoite on yleensä synergiaetujen saavuttaminen. Synergia tarkoittaa tilannetta, jossa yritykset tuottavat yhdessä enemmän arvoa kuin yritykset erillisinä toimijoina. Käytännössä tämä voi tarkoittaa kustannussäästöjä, tehokkaampia prosesseja, parempaa asiakaskokemusta tai uusia liiketoimintamahdollisuuksia.

Tietojärjestelmät ovat synergiaetujen realisoitumisen ytimessä. Mikäli kahden yrityksen teknologiset ympäristöt ovat yhteensopivia, integraatio voidaan toteuttaa tehokkaasti ja suunnitellut hyödyt saavutetaan nopeammin. Jos järjestelmät sen sijaan ovat siiloutuneita, vanhentuneita tai teknisesti epäyhteensopivia, integraatiosta tulee kallis ja hidas prosessi.

IT-due diligence arvioi kohdeyrityksen integraatiokyvykkyyttä analysoimalla esimerkiksi järjestelmäarkkitehtuuria, datarakenteita, pilvipalveluita ja ohjelmistojen yhteensopivuutta. Tavoitteena on selvittää, kuinka helposti kohde voidaan liittää osaksi ostajan teknologista ekosysteemiä.

Integraatiohaasteet voivat vaikuttaa merkittävästi yrityskaupan investointikannattavuuteen (ROI). Mikäli integraatio vaatii odotettua enemmän aikaa, resursseja ja investointeja, alkuperäiset synergiaodotukset voivat jäädä toteutumatta. Tämä puolestaan heikentää koko yritysjärjestelyn strategista arvoa.

Teknologinen determinismi näkyy tässäkin selvästi. Yritysten toimintakyky määräytyy yhä enemmän niiden teknologisten järjestelmien perusteella. Yritys, jonka järjestelmät ovat joustavia ja integroitavia, kykenee hyödyntämään yritysjärjestelyjen tuomat mahdollisuudet huomattavasti tehokkaammin kuin teknologisesti jäykkä toimija.

Johtopäätökset
Tekninen velka, tietoturva ja integraatiokyvykkyys ovat keskeisiä tekijöitä, jotka vaikuttavat yritysjärjestelyjen onnistumiseen. Tekninen velka voi heikentää yrityksen arvoa ja kasvattaa integraatiokustannuksia, kun taas puutteellinen tietoturva voi muodostaa merkittävän juridisen ja taloudellisen riskin. Samalla järjestelmien yhteensopivuus määrittää pitkälti sen, kuinka tehokkaasti synergiaedut voidaan saavuttaa.

Teknologisen determinismin näkökulmasta teknologia toimii yritysten kehitystä ohjaavana voimana. Yrityskaupoissa tämä tarkoittaa sitä, että teknologiset ratkaisut vaikuttavat suoraan yrityksen kilpailukykyyn, strategiseen joustavuuteen ja pitkän aikavälin menestykseen.

Ilman syvällistä ymmärrystä kohdeyrityksen teknologisesta tilasta yrityskauppa perustuu väistämättä puutteelliseen informaatioon. Tämä lisää merkittävästi pääoman menetyksen riskiä ja voi johtaa tilanteeseen, jossa odotetut synergiahyödyt jäävät saavuttamatta.
Ohita valikko
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön