ITデューデリジェンスとはどのような工程か解説しています。目的や重要性、調査項目、手順についても紹介しています。ITデューデリジェンスについて調べている方は参考にしてください。
目次
- ITデューデリジェンス(IT-DD)とは
- ITデューデリジェンスの目的と重要性
- クロスボーダーM&AにおけるIT-DDの重要性
- ITデューデリジェンスの調査項目
- システムやアプリ、インフラの構成
- ITにかけるコスト
- IT運用の組織体制
- セキュリティリスク
- 統合に向けた親和性
- ITデューデリジェンスの基本的な手順・流れ
- 1. 調査チームを結成
- 2. 調査方針の検討
- 3. 開示資料に基づいて分析
- 4. ヒアリング(面談調査の実施)
- 5. 調査結果の報告と取引内容への反映
- ITデューデリジェンスの注意点
- AGSのITデューデリジェンス支援事例
- ITデューデリジェンスの相場や必要期間
- まとめ
すべて表示
AGSの「システムコンサルティングサービス資料」をダウンロードする
ITデューデリジェンス(IT-DD)とは
ITデューデリジェンスとは、M&Aにおいて買手側が売手側企業に対して実施する、ITシステムおよびIT管理体制に関する調査活動のことです。対象企業が保有するIT資産、システム構成、セキュリティ対策、契約関係などを精査して「潜在的なリスク」と「統合の難易度」を可視化し、対象企業の価値を評価するプロセスを指します。
通常、M&Aでは財務諸表を調査する「財務デューデリジェンス」が必須とされます。しかし、帳簿上の数字だけでは「システムの老朽化」や「セキュリティの脆弱性」といった課題は見抜けません。これらを見落としたままM&Aを実行すると、買収後に「システムがつながらない」「想定外の改修費が発生する」「情報漏えい事故が起きる」といった致命的な事態を招きます。
ITデューデリジェンスは、こうした事態を未然に防ぐことに役立ちます。また、財務諸表の作成プロセスがITシステムに依存している場合、「財務デューデリジェンス」と「ITデューデリジェンス」を合わせて実施することで、より効果的に対象企業が抱えるリスクを可視化することができ、買収価格の妥当性や買収後の統合作業を検証する上で重要な判断材料を提供することに役立ちます。
ITデューデリジェンスの目的と重要性
ITデューデリジェンスが重要である理由として、DXの加速に伴い、企業の競争力がITシステムに強く依存するようになった現状があります。
例えば、企業が利用しているITシステムは、単一のソフトウェアだけで完結せず、会計システム、販売管理システム、在庫管理システム、顧客管理システム(CRM)などが複雑に連携し合い、一つの業務プロセスを形成しています。ITデューデリジェンスを実施する第一の目的は、こうしたシステムの全体像や相互関係性を明らかにすることです。
また、システムの相互関係性が見える化されることは、企業の内部統制のリスク評価にも直結します。現代の財務数値はITシステムから生成されることが多いため、もしシステム上のデータ連携に不備があったり、アクセス管理がずさんで改ざんが可能だったりする場合、財務諸表の信頼性そのものが揺らぎます。ITデューデリジェンスによって、システム起因の不正リスクや誤りの可能性を洗い出すことは、財務数値の信憑性を裏付けるためにも不可欠です。
ITデューデリジェンスを通じて、対象企業のIT課題を把握できれば、買収後に必要となる追加投資のイメージを具体的に持つことができます。追加投資の例として、以下のようなものがあります。
- 老朽化したサーバーの入れ替え費用
- セキュリティ基準を自社基準に合わせるための対策費
- 会計データの統合統一に伴うシステム改修・データ移行費
- IT人材の採用や従業員へのトレーニングなどにかかる費用
これらのコストは、数千万円~数億円規模になることも珍しくありません。事前にこれらを把握することで、買収価格の減額交渉や、統合計画(PMI)の予算確保が可能になります。
クロスボーダーM&AにおけるIT-DDの重要性
海外企業を対象とした「クロスボーダーM&A」において、ITデューデリジェンスの重要性は、さらに高まります。諸外国にある対象会社は、物理的な距離や言語の壁があるだけでなく、ITに関する商習慣や法規制も日本とは大きく異なります。
また、現地ベンダーとの契約内容が不透明で、解約時に莫大な違約金が発生するといったリスクも否定できません。
こうした実態は、現地経営陣への一般的なヒアリングだけでは見えてきません。IT専門家が現地ベンダーと密にコミュニケーションを取り、システム構成や契約書、運用体制を直接調査することで初めて、潜在リスクや体制の実態を把握することが可能になります。
ITデューデリジェンスの調査項目
ITデューデリジェンスにおいて、調査すべき範囲は広範にわたる一方で、限られた時間の中でM&Aの意思決定に必要な情報を収集しなければなりません。ここでは、主要な5つの調査項目について、解説します。
- システムやアプリ、インフラの構成
- ITにかけるコスト
- IT運用の組織体制
- セキュリティリスク
- 統合に向けた親和性
システムやアプリ、インフラの構成
まず基本となるのが、対象企業がどのようなIT環境にあり、それらがどう構成されているかの現状把握です。主な調査項目としては、以下のようなものが挙げられます。
| 種類 | 内容 |
|---|---|
| アプリケーション構成 | 基幹システム(ERP)の種類、バージョン、カスタマイズの度合い。SaaS(クラウドサービス)の利用状況がどうなっているか。 |
| インフラ・ハードウェア | サーバー、ストレージ、PC端末などの物理的資産、OSやミドルウェアの状況はどうか。保守期限が切れていないか。 |
| ネットワーク構成 | 本社と支店、工場、あるいは海外拠点をつなぐネットワークの構成図、VPNの利用状況や帯域幅などはどうなっているか。 |
| 周辺環境・外部連携 | 取引先や銀行とのデータ連携など、社外とのインターフェース部分はどうなっているか。 |
このほか、会計システムを中心としたデータの流れも調査します。
売上データが会計システムに自動連携されているのか、あるいはExcelで加工して手入力しているのかなどによって、業務効率化の余地が大きく異なってきます。
ITにかけるコスト
対象企業のIT投資が適正に行われているか、財務データと突き合わせて評価します。主に、以下のような点を調査します。
| 種類 | 内容 |
|---|---|
| ITコストの妥当性 | 売上高や従業員数などの事業規模に照らして、ITにかけるランニングコストが適正水準にあるか。 |
| ライセンスおよび 保守費用 | ソフトウェアのライセンス料や、ハードウェアの保守契約費用。無駄なライセンス契約がないか、ライセンス違反がないか。 |
| 外部委託費 | システム保守や運用を依頼しているベンダーへの支払額。契約内容とサービスレベルが見合っているか。 |
なお、ITデューデリジェンスの結果、企業規模に照らして「ITコストが少なすぎる」というケースは少なくありません。
なかには、システムの老朽化を放置するなど、必要な投資を怠ってきた場合もあり、そうした場合、買収後に多額の更新投資を迫られる可能性があります。
IT運用の組織体制
ITデューデリジェンスでは、「誰がシステムを守っているのか」という人的・組織的な側面も調査します。
システムが立派でも、それを運用する体制が脆弱であれば、事業継続上のリスクとなるためです。主に、以下のような点を調査します。
| 種類 | 内容 |
|---|---|
| 内製・外注 | システム運用を社内のIT部門で行っているのか、それとも外部ベンダーに丸投げしているのか。 |
| IT人材の有無 | そもそも社内にIT部署が存在せず、総務や経理の担当者が兼任していないか。 |
| 属人性の度合い | 「担当者が辞めたらシステムが止まる」という属人化が発生していないか。 |
| 契約形態 | 外部委託している場合、どのような契約になっているか。特定のベンダーに依存しすぎて切り替えができない状態に陥っていないか。 |
セキュリティリスク
サイバー攻撃のリスクが高まる昨今、セキュリティ対策の不備は、買収後の企業価値を毀損する最大のリスク要因となります。
技術的な対策だけでなく、運用ルールも含め、主に以下のような点を調査します。
| 種類 | 内容 |
|---|---|
| 技術的対策 | ウイルス対策、暗号化、アクセスログの取得、パッチ適用状況などはどうなっているか。 |
| 体制・ルール面 | 情報セキュリティポリシーの策定状況、ID管理、アクセス権管理、私物端末の利用に関するルールなどはどうなっているか。 |
| インシデント対応 | ウイルス感染や情報漏えいが発生した際の対応フロー(緊急連絡網や初動対応手順)が整備されているか。 |
特に、セキュリティの脆弱性は致命的です。
過去に漏えい事故を起こしていないかどうかも含め、厳格なチェックが求められます。
統合に向けた親和性
M&A後のPMI(統合プロセス)を見据え、「買手側のシステムと統合が可能か」という評価を行います。
この項目の結果は、最終的な統合コストの算出に直結します。主な調査項目は、以下のとおりです。
| 種類 | 内容 |
|---|---|
| 統合の障害とコスト | 買手側のシステムに対象企業のデータを移行する場合、データ形式の違いやコード体系の違いがどの程度あるか。 |
| 継続利用・切り替え | 対象企業のシステムをそのまま使い続けるのか、買手側のシステムに統合するのか、新しいシステムを導入すべきか。 |
| ネットワークと ライセンスの統合 | 異なるネットワーク同士を接続する際の技術的課題や、ライセンス契約の名義変更可否などはどうなっているか。 |
| 人員配置 | 統合によって業務フローが変わる場合、現場のスタッフをどう配置するか、どのようなトレーニングが必要か。 |
システム統合は、金銭的なコストと業務的な負担が大きいです。
ITデューデリジェンスにおいても、楽観的な予測を排し、厳しい目での評価が必要です。
ITデューデリジェンスの基本的な手順・流れ
ITデューデリジェンスは、M&A全体のスケジュールに合わせて、限られた期間で集中的に行われます。
一般的な実施フローは以下の通りです。
- 調査チームを結成
- 調査方針の検討
- 開示資料に基づいて分析
- ヒアリング(面談調査の実施)
- 調査結果の報告と取引内容への反映
それぞれについて、解説します。
1. 調査チームを結成
ITデューデリジェンスを担当するチームには、自社の情報システム部門からITに詳しいメンバーを選抜します。
しかし、M&Aの経験がない場合はリスク評価のポイントがずれてしまうことがあり、通常業務と兼務で対応するのは非常に負担が大きいため、実務上は、外部のITコンサルタントや専門家を起用するケースが一般的です。
客観的な第三者視点が入ることで、売手側への忖度を防ぐ効果もあります。
2. 調査方針の検討
調査を開始する前に、「何のために、どこまで調べるか」というスコープ(範囲)を明確にします。
ITに関わるあらゆる項目を網羅的に調べるのが理想ですが、時間と予算には限りがあり、現実的ではありません。
例えば、「今回は会計システムとセキュリティを重点的に見る」「重要性の低い拠点は簡易調査に留める」というように、ディールの規模や目的に応じたメリハリのある調査計画を策定します。
3. 開示資料に基づいて分析
売手企業に対して「資料開示請求リスト」を送付し、必要なドキュメントの提出を求めます。そうして共有された資料を読み込み、分析を進めます。
主な要求資料としては、以下のようなものが挙げられます。
- システム構成図、ネットワーク図
- ハードウェア・ソフトウェア一覧
- IT関連費用の一覧
- システム保守契約書、ベンダーとの覚書
- システム投資予算計画書
- IT戦略ロードマップ
- 情報セキュリティ規定
- 障害対応履歴 など
この段階で、対象企業のIT管理レベルがある程度推測することができるでしょう。
例えば、資料の内容が古い場合は、ITに関する管理がずさんである可能性が高いと推測できます。
4. ヒアリング(面談調査の実施)
資料だけでは分からない実態を確認するために、対象企業のCIO(最高情報責任者)やIT部門長、実務担当者に対するヒアリングを実施します。
ヒアリングにおいて聞き出す内容は、例えば以下のようなものがあります。
- 資料の不明点や矛盾点の確認
- 現場が感じているシステムの課題や不満
- 現在進行中のプロジェクトや、将来の投資計画
クロスボーダーM&Aの場合、現地のIT担当者と英語や現地語での面談が必要になります。
通訳を介することもありますが、IT専門用語のニュアンスを正確に伝えるため、語学堪能なIT専門家が同席することが望ましいです。
5. 調査結果の報告と取引内容への反映
分析とヒアリングの結果を、報告書にまとめます。検出されたリスクとその影響度、統合にかかる概算コスト、改善に向けた推奨事項などが記載されます。この報告内容は、M&Aの最終的な意思決定に活用されます。例えば、以下のような内容を盛り込むことが考えられるでしょう。
- 契約への反映: 重大なリスクが見つかった場合、買収契約書(SPA)の「表明保証」条項に、ITに関する特定の保証を盛り込む。
- 価格調整: システム改修や統合にかかるコストを、買収価格から差し引くよう交渉する。
- クロージング条件: M&A実行(クロージング)までに、特定のセキュリティ不備を是正することを条件とする。
ITデューデリジェンスの結果だけで、M&A自体が見送りになるケースは少ないです。しかし、ITデューデリジェンスにより何らかのリスクが見つかった場合の、将来の追加投資額は高額であり、取引内容への影響は決して小さくありません。
ITデューデリジェンスの注意点
M&Aの対象が中小企業の場合、社内に専任のシステム部門(情シス)が存在しないケースがあります。社長や経理部長がIT担当の部門長を兼務している場合、「毎月いくら払っているか」といったコスト面は把握していても、システムの仕様やデータの保管場所、セキュリティの詳細は把握していないということも珍しくありません。この場合、社内の人間にいくらヒアリングをしても、核心的な情報は出てきません。
このようなケースでは、ITデューデリジェンスのプロセスに、初期段階から外部ベンダーを巻き込むことが極めて重要です。
しかし、外部ベンダーにとって、顧客のM&Aは必ずしも歓迎すべき話ではありません。「システム統合によって契約が切られるのではないか」という警戒心を持たれることもありますし、守秘義務の観点から情報開示に慎重になることもあります。また、ベンダーの担当者は技術的な専門用語で話すため、M&A担当者がITに詳しくないと会話が成立しない恐れもあります。
ここで重要になるのが、「ITとM&Aの両方の言語が分かる専門家」の存在です。専門家が間に入り、ベンダーに対して、M&Aの目的や必要な情報の範囲を適切に説明し、M&Aの視点から技術的な質問を投げかけることで、スムーズに情報を引き出すことができます。
AGSには、ITとM&Aの双方に精通し、両者の「言語」を深く理解する専門家が在籍しています。外部ベンダーとのデリケートな調整から専門的なリスク評価まで、お客様のM&Aを成功に導くための万全のサポートを提供いたします。お気軽にお問い合わせください。
AGSのITデューデリジェンス支援事例
AGSグループが実際に支援した、日系企業による海外(アジア圏)の現地企業買収案件(クロスボーダーM&A)の支援事例をご紹介します。
現地の売り手企業(対象会社)は、社内にIT担当者が不在であり、システム開発から日々の運用保守に至るまで、すべてを現地のITベンダーに依頼している状態でした。売り手企業にヒアリングを行っても、実態把握は進みませんでした。
そこで、売り手企業の許可を得た上で、現地のITベンダーに対して直接英語でヒアリングを実施しました。 しかし、現地のベンダーは、財務やM&Aの知識は持っていないため、「なぜこのデータが必要なのか」「統合後に何をするのか」といった目的が伝わっていませんでした。
そこで、売り手企業と現地ベンダーの間に入り、以下のご支援を行いました。
- M&Aのビジネス要件を、現地の技術者が理解できるIT用語に変換して説明。
- ベンダー任せになっていたシステム構成図やデータフローを、ヒアリングを通じて可視化。
言語や専門領域の壁を超えた「話の交通整理」を行うことで、IT環境の全容を解明し、買手企業様は、統合後のリスクとコストを正確に把握した上で、M&Aを実行することができました。
ITデューデリジェンスの相場や必要期間
ITデューデリジェンスの費用は、対象企業の規模(拠点数、システム数)や、調査の深さ(簡易調査か詳細調査か)によって変動します。
一律の価格表があるわけではありませんが、一般的には、数百万円のコストがかかると考えたほうがよいでしょう。簡易診断程度であれば、数十万円に抑えられることもあります。
ITデューデリジェンスには、おおよそ2ヵ月程度の期間を見込むのが一般的です。
M&Aのスケジュールは非常にタイトに進むことが多いため、財務デューデリジェンスや法務デューデリジェンスと並行して、効率よく進めることが求められます。
まとめ
DXが進む現代の企業活動において、ITシステムは、企業の競争力の源泉そのものです。それだけ、システム統合の失敗やセキュリティ事故は、M&Aの成否を揺るがす最大のリスク要因にもなり得ます。いまや、ITデューデリジェンスは、財務デューデリジェンスや法務デューデリジェンスと同様の重要性を持っているといえます。
ITデューデリジェンスによって、「IT環境の棚卸」「リスクの見える化」「投資額への反映」を行うことで、M&Aを成功させ、統合後のシナジーを最大限に生み出すことができるでしょう。
監修者
-
株式会社AGSコンサルティング
システムコンサルティング事業部長藤村 潤
-
株式会社AGSコンサルティング
国際事業部シンガポール支社・公認会計士柿原 剛
-
株式会社AGSコンサルティング
システムコンサルティング事業部岩元 明子
