ITデューデリジェンスとは？ 必要性と調査項目、進め方や注意点について解説

ITデューデリジェンスの概要

ITデューデリジェンスは、ITインフラやシステムに焦点を当てたデューデリジェンスです。「ITDD」「システムデューデリジェンス」と呼ばれることもあります。

デューデリジェンスとは、M&A（合併・買収）において、買い手企業が売り手企業を詳細に調査し、潜在的なリスクを洗い出すプロセスです。仮にリスクが発見された場合、最終的な買収価格に反映されたり、M&Aの実施そのものが破談になったりすることもあります。M&A実施後のトラブルやコスト発生を未然に防ぐために、デューデリジェンスは必要不可欠です。
デューデリジェンスには「法務デューデリジェンス」「税務デューデリジェンス」「財務デューデリジェンス」など、さまざまな種類があります。M&Aの目的や規模に応じたものを実施するのが一般的です。ITデューデリジェンスでは、M&A実施後のIT環境に必要な投資額や費用、そしてIT資産の価値を詳細に評価します。

また、デューデリジェンスを実施するのはM&Aの基本合意が結ばれた後です。実施予定のデューデリジェンスがすべて完了したら、それぞれの結果を買収価格に反映したうえで、最終合意に至ります。

ITデューデリジェンスが重要視される背景

ITデューデリジェンスは、近年特に重要視されています。その背景にあるのが、DX（デジタル・トランスフォーメーション）の普及です。
DX化が進む現在、企業にとってITシステムの導入は不可欠といえます。基幹業務をITシステムに依存するケースも少なくありません。そのため、M&Aにおいても、企業と業務に密接に結びついているITシステムについて調査する必要があるのです。

ITデューデリジェンスを実施せず、売り手企業のITインフラやシステムに関わるリスクを把握できなければ、M&A実施後に予期せぬ損失を招くおそれがあります。特に、システムがグループ会社のシステムおよび業務と連携している場合、切り離しが困難となり、想定を上回る時間とコストがかかることもあるでしょう。
また、リスクの有無だけでなく、買い手側の既存システムとの適合性を事前に評価することも重要です。

ITデューデリジェンスの調査項目

ITデューデリジェンスの主な調査項目としては、以下が挙げられます。

• ITインフラの構成
• ITシステムの運用コスト
• ITシステムの運用体制
• ITセキュリティリスクの対策
• ITインフラの親和性

それぞれ見ていきましょう。

ITインフラの構成

ITデューデリジェンスの初期段階では、売り手企業のITインフラ構成に関する徹底的な調査を実施します。この調査では、下記の項目に焦点を当て、詳細な分析を行います。

システム間の相互関係性

システム間の複雑な相互関係性を紐解き、それぞれのシステムが組織全体のなかでどのような役割を担っているのかを明確にする。

インフラを構成する各要素の整理

ハードウェア、ソフトウェア、サーバーなどについて、詳細なスペックやバージョン、ベンダー情報などを洗い出す。

このような多角的な調査は、ITリスクの全容を把握するうえで不可欠です。潜在的な問題や課題が浮き彫りになった場合には、適切な対応策を策定することで、譲渡後の統合プロセスを円滑に進めるための準備を整えることができます。

ITシステムの運用コスト

システムの開発・構築には相応の費用が伴います。そのため、売り手企業がシステムの運用・保守にどれだけのコストを費やしているのか、事前に把握することが重要です。コストに関する情報に何らかの漏れや不備があった場合、M&A成立後に予期せぬ損失が発生するリスクが高まります。

コストに関してチェックすべき項目の具体例としては、以下が挙げられます。

• 開発費
• 運用費
• 保守費
• 人件費
• ハードウェア費用
• ソフトウェア費用
• 外部委託費

ITシステムの運用体制

ITシステムの評価では、システムそのものの品質だけでなく、それを支える体制の重要性も看過してはなりません。システムが堅牢であっても、それを運用する体制に脆弱性があれば、システム全体の安定稼働が損なわれるおそれがあります。

実際に、売り手企業がITシステムを保有していたとしても、その管理や保守を外部企業に全面的に委託しているケースは多いです。このような場合、保守費用が想定外に高額になるリスクや、外部企業への依存度が高まることによるセキュリティリスクなどが危惧されます。
ITデューデリジェンスを実施することで、これらのリスクを事前に把握し、買収後のITシステム運用にかかるコストや体制構築の計画に反映させることが可能です。

ITセキュリティリスクの対策

売り手企業のITセキュリティ状況を詳細に調査することは、潜在的なリスクを特定し、適切な対策を講じるために欠かせません。UTMなどによるセキュリティ対策が適切に行われているかどうかなどの確認は、情報漏えいのリスクを最小限に抑えるうえで極めて重要です。
さらに、セキュリティインフラの整備状況のみならず、従業員のITリテラシー教育の実施状況も評価する必要があります。従業員が適切なIT知識を持ち、セキュリティ意識を持って日々の業務にあたっているかどうかは、組織全体のセキュリティリスクを評価するための重要な指標です。IT教育が行われていない場合、M&A後に追加の教育コストが発生しかねません。

ITインフラの親和性

ITデューデリジェンスでは、経営統合後のシステム連携の可能性と親和性を詳細に調査することも重要です。

この調査によって、M&A実施後にシステムの円滑な連携が可能か、事業運営に支障をきたす可能性は無いか、期待どおりのシナジー効果を生み出せるかといった確認を行います。調査の結果に問題があった場合は、対応策を適宜立案しましょう。
調査対象となる具体的な項目は多岐にわたりますが、主要なものは以下のとおりです。

• ネットワークの構成・機能
• ハードウェアおよびソフトウェア、セキュリティ対策の状況
• プロバイダとの契約条件、サービスレベル、契約期間
• 基幹システム（ERP、CRMなど）の種類バージョン、カスタマイズ状況、利用されているデータベース
• 各種ソフトウェアの種類、バージョン、相互運用性

ITデューデリジェンスの進め方

ITデューデリジェンスを実施する際の基本的な流れは次のとおりです。

1. 調査チームを組織する
2. 調査項目・調査方針を検討する
3. 秘密保持契約（NDA）を締結する
4. 資料や面談をもとに分析を行う
5. 調査結果をもとに取引を検討する

重視する事柄を意識したうえで、抜け漏れの無いよう進めていきましょう。

1. 調査チームを組成する

ITデューデリジェンスにおける最初のステップは、専門的な調査チームを編成することです。売り手企業のシステムやインフラを詳細に調査し、潜在的なリスクを洗い出すことを目的とする以上、調査チームには高度なIT知識を持つ人材が必要です。
また、ITデューデリジェンスは他の法務や税務といった、他のデューデリジェンスと並行して実施されることも多いため、IT以外の分野における横断的かつ専門的な知識も求められます。したがって、弁護士やM&Aコンサルタント、M&A仲介会社などの外部機関に依頼することが望ましいでしょう。

2. 調査項目・調査方針を検討する

ITデューデリジェンスは、買い手企業と売り手企業の状況によって、重視するべきポイントが大きく異なります。
例えば、金融業の企業を買収する場合には、セキュリティ面の調査が最重要課題となるでしょう。一方で、製造業の企業を買収する場合は、システム間の連携度や業務への適合度を重点的に調査しなければなりません。
このように、規模や業種によって重視すべき項目は異なるため、状況に応じた適切な調査方針を策定することが大切です。

3.秘密保持契約（NDA）を締結する

企業間の情報開示にあたっては、先だって秘密保持契約（NDA）を締結するのが通例です。売り手企業の機密情報を取り扱うこともあるITデューデリジェンスでは、情報漏えいなどのトラブルを回避するためにも、NDAは欠かせません。
もっとも、NDAのみで情報漏えいのリスクが無くなるわけではなく、ほかにも厳格な情報管理体制が必要です。情報漏えいは、損害賠償請求やM&Aの中止につながる可能性があるため、組織全体で情報セキュリティ意識を高めなくてはなりません。

4. 資料や面談をもとに分析を行う

続いて、売り手企業が開示する書類に基づいて分析を行います。この際、開示される情報が企業の魅力的な側面だけでなく、リスクにつながるネガティブな側面も含まれていることを確認しましょう。
注意したいのは、開示された書類のみでは情報が不足し、調査が不十分となる可能性がある点です。そういった事態を防ぐためには、インタビュー調査の実施が効果的です。売り手企業の経営陣や担当者との面談を通じて、必要なシステム情報や追加情報を収集します。
インタビュー調査が難しい場合には、質問書を送付し、回答を入手する形で追加情報を収集する方法もあります。

5.調査結果をもとに取引を検討する

調査結果に基づき、M&Aを問題無く実行できるかどうかを厳正に評価します。
一定以上のリスクが認められる場合には、取引価格の再調整が行われることが一般的です。特にリスクが高いと判断された場合には、M&A自体が中止となる可能性もあります。
M&Aは企業にとって大きな影響を与えるため、慎重な検討が求められます。そのため、ITを含むデューデリジェンスを実施し、適切なリスク評価を行いましょう。

ITデューデリジェンスを行う際の注意点

近年、ITデューデリジェンスの重要性は増大傾向にありますが、その実施率は決して高いとはいえません。とはいえ、売り手企業と買い手企業の特性によっては、実施が必須となる場合もあるでしょう。

典型的なのは、大手企業のグループ会社のうちの1社を買収する場合です。このようなケースでは、売り手企業のシステムの一部が親会社に依存している可能性があります。その実態に気付けなかった場合、買収後にシステムが利用できなくなり、システム復旧や代替手段の確保に多大なコストを要する事態に陥りかねません。

上記のような失敗のリスクを踏まえると、売り手企業の性質を詳細に分析し、ITデューデリジェンスの必要性を慎重に検討することが不可欠だといえます。

まとめ

ITデューデリジェンスは、M&Aにおけるプロセスの一つで、売り手企業のITインフラやシステムについて詳細に調査し、潜在的なリスクを確認するものです。これにより、重大なリスクを回避しつつ、最終的な合意に向けた適切な条件設定が可能になります。
このように、ITデューデリジェンスの成否は、M&A全体の結果にも大きく影響します。だからこそ、専門的な知見と豊富な経験を持つパートナーの支援が重要となるのです。

M&Aキャピタルパートナーズは、豊富な経験と実績を持つM&Aアドバイザーとして、中小M&Aガイドラインを遵守し、お客様の期待する解決・利益の実現のために日々取り組んでおります。
着手金・月額報酬がすべて無料、簡易の企業価値算定(レポート)も無料で作成。秘密厳守にてご対応しております。
以下より、お気軽にお問い合わせください。

※弊社の「中小M&Aガイドラインへの取り組み」に関してはこちらをご確認ください。