Flera undersökningar visar att man ofta tar för lätt på IT-delen vid en due diligence i samband med ett företagsförvärv eller fusion. 

– På säljsidan borde CIO:n (IT-chefen, red:s anmärkning) ha ett ständigt krav på sig att förbereda inför försäljning. Men det sker inte särskilt ofta, säger Jens Lantz, expert på IT-delen av due diligence, på IT-konsultföretaget Enfo. 

Traditionellt har IT-avdelningen krav på sig kring IT-revisioner, datahantering och säkerhet. Däremot har många inte prioriterat uppdaterad information nödvändig vid en due diligence.

– Men mycket av den information som köparen behöver ha vid en due diligence-process går att ha uppdaterad kontinuerligt helt automatiskt, säger Jens Lantz.

Enligt en undersökning från i höstas av Deloitte anser 85 procent av de svarande cheferna på säljsidan att de väsentligt hade kunnat förbättra IT-planen inför den senaste försäljningen. 70 procent på köpsidan säger att IT är den del av dess due diligence där det finns störst utrymme för förbättringar.

Den viktigaste frågan i en due diligence ur ett IT-perspektiv brukar enligt Jens Lantz handla om IT-säkerhet. Därefter kommer licensfrågor, leverantörsavtal och infrastruktur. 

– Men det är inte alltid man kommer så långt. Ofta stannar det på säkerhet och licens, säger Jens Lantz.

– Vi som står som genomförare skulle vilja ha betydligt mer. Men man anser att risken minskar längre ned i prioritetslistan.

Licensfrågan handlar om att se till att företaget har rätt licensavtal. Många bolag slarvar och vid en granskning från IT-leverantörerna kan det för stora bolag handla om större summor pengar i straffavgifter.

Om syftet med uppköpet är att slå samman den förvärvade med den befintliga verksamheten ställer det extra stora krav. Det kan handla om att integrera system som CRM (kundvårdssystem) och ERP (affärssystem).

– Det kan ta år att göra i större företag, säger Jens Lantz.

Men även om man inte genomför en total migrering kan det finnas möjligheter till snabbare integrationer. Exempelvis mot produktionsmiljöer för produktionsstyrning om det handlar om tillverkande företag. Eller samarbete i säljsystemen, även om de är olika.

– Om ett riskkapitalbolag gör uppköpet är det inte säkert att man vill slå ihop bolaget med ett annat utan bara driva det vidare under lite andra förhållanden. Då är det inte nödvändigt med en lika gedigen IT-due diligence, säger Jens Lantz.

Han har framför allt arbetat med M&A inom tillverkande industri, särskilt med brittiska bolag. En av kunderna gör relativt ofta uppköp.

– De har verkligen satsat på det här. Det är oerhört angeläget för dem att det förvärvade bolaget snabbt blir en del av deras företag. Samma dag som signeringen av uppköpet går igenom brandar de om. Alla i det uppköpta bolaget ska ha mejladresser och användarkonton i deras bolag. Vi har automatiserat det så efter att ett par timmar har alla tillgång till mejlsystem och intranät, säger Jens Lantz.

– Just idag säljer ett bolag vi jobbar med av en division för 5 miljarder kronor. Vi trycker mer eller mindre på en knapp så kommer hela bolaget att vara avknoppat. Det kräver IT-kunskap med ett djupare affärsperspektiv. Du behöver insikt i bolagets strategier.

Hur lång tid tar en IT-due diligence?
– Gör man bara de två delar vi oftast gör, en analys av hur man hanterar data och hur man i allmänhet arbetar med säkerhet plus en sårbarhetsanalys så att man inte kopplar ihop sitt bolag med ett annat där det finns säkerhetshål – då tar det cirka två månader, säger Jens Lantz.

Maja Wettergren, advokat och M&A-specialist på Cederquist advokatbyrå, berättar att legal IT-due diligence ingår som standard i de transaktioner som advokatbyrån rådger i. Byråens specialiserade IT-jurister sköter själva en hel del av kartläggning och analys – kring avtal, centrala IT-beroenden, vad bolagen sysslar med, hur IT-miljön driftas, vilka riskerna är et cetera. 

– Särskilt PE-köparna (Private Equity, red:s anmärkn) tar väldigt ofta in proffs som gör operationell IT-due diligence. Det kan vara IT-konsulter, managementkonsulter, eller revisionsbyråer.

– Vid mer strategiska förvärv, exempelvis IT-bolag som köper ett IT-bolag, är det inte ovanligt att köparbolagets interna IT-experter genomför IT-due diligence utan att ta in extern hjälp.

Maja Wettergren.
Foto: Cederquist.

Generellt beror omfattningen av IT-delen av due diligence på syftet med transaktionen.

– Är det centralt går du på djupet, annars kan det vara lite styvmoderligt behandlat, trots att IT idag är en naturlig del av varje företags DNA. Jag jobbar mycket med strategisk M&A, då är det inte lika vanligt att köparna tar in IT-konsulter för operationell IT-due diligence, säger Maja Wettergren.

Ur juridisk synvinkel går en IT-due diligence exempelvis ut på att titta på alla leverantörsavtal, hur företaget har byggt upp sin IT-miljö, om det handlar om egenutvecklat eller hyllvaror, vilka rättigheter bolaget har till sina centrala IT-system, om man äger rättigheterna, om systemen är licensbaserade eller molnbaserade, var och hur systemen driftas och hur IT-infrastrukturen ser ut.

– Hur ser rättigheterna och skyddet ut för den egna datan? Hur skyddar du den, och vilka rättigheter har du till datan? Det är särskilt viktigt vid molntjänster. Dessutom handlar det om möjligheten att få ut data i rätt format när man vill avbryta tjänsten.

Hur lång tid tar en IT-due diligence?
– Det beror på hur omfattande materien är. Men vanligen kring ett par veckor, säger Maja Wettergren.

Ur juridisk synpunkt handlar trenderna framåt inom IT-delen av due diligence särskilt om compliance, där GDPR fortsatt är en stor del, liksom IT- och informationssäkerhet. 

Från den tekniska sidan går trenden mot större automatisering med dashboards, virtuella tavlor, som i realtid håller koll på faktorer som licenser, användare, leverantörsavtal och så vidare och flaggar för brister – användbart även vid den dagliga driften.