Tekninen due diligence on IT-järjestelmän riskejä paljastava kuntotarkastus

Kukaan ei halua ostaa sikaa säkissä. Siksi yritykset tutkivat talousluvut ja sopimusvelvoitteet huolellisesti, kun ne hierovat yrityskauppoja tai ovat tekemässä sijoitusta liiketoimintaan. Numeroiden takaa voi paljastua ikäviä yllätyksiä, ellei due diligence -analyysia ole tehty myös teknologian näkökulmasta.

Mitä on tekninen due diligence?

Termi “due diligence” tarkoittaa suomeksi huolellista arviointia. Due diligence -analyysin on tarkoitus tuoda investointia harkitsevalle mahdollisimman hyvä ymmärrys tulevista hyödyistä ja riskeistä. Se on kuin luotettavan asiantuntijatiimin tekemä talon kuntotarkastus. 

Lopputuotteena on raportti, josta selviää, missä kunnossa ostokohde on, ja tuoko se toivottuja hyötyjä vai lähinnä kuluja mukanaan.

• Tekninen due diligence on ohjelmiston elinkaaren ja arkkitehtuurin tarkastelua sekä järjestelmien yhteensopivuuden arviointia. 
• Luupin alla on myös muita ohjelmistoratkaisun keskeisiä elementtejä, kuten erilaisten valmisohjelmien lisenssien käyttö ja lainsäädännön (mm. GDPR) vaatimusten mukaisuus. 
• Myös ohjelmiston kehittäneen tiimin osaamisen arvo on erittäin keskeinen seikka, samoin kuin se, miltä yrityskauppa ja siirtyminen uuden omistajan työntekijöiksi näyttää teknisen henkilöstön mielestä. Jos osaajia siirtyy muualle, onko vastaavaa osaamista helppoa löytää tilalle? 

Joskus taas tiimin uusiutuminen voi olla peräti toivottavaa. Dokumentoinnin ja käytäntöjen on oltava kunnossa, jotta ohjelmistokehitys voi siirtyä uusiin käsiin ilman suuria haasteita.

Ostettu ohjelmisto-omaisuus voi tuoda nollahyödyt, painaa kokonaisuuden miinukselle tai lunastaa lupauksensa eduista, kuten uudesta kassavirrasta. Due diligence -analyysin tavoitteena on antaa liiketoimintajohdolle tietoa päätöksenteon tueksi ja oikean hinnan haarukoimiseksi.

Miten paljon uusi hankinta söisi resurssejasi?

Tekninen due diligence keskittyy siis tietotekniseen osaan siitä kokonaisuudesta, jota yritys on ostamassa. Jos koko ostettava liiketoiminta perustuu ohjelmiston tuottamaan arvoon, perusteellinen tekninen selvitys on erityisen tärkeä.

Kahden ohjelmistobisneksen yhteensulauttaminen saattaa vaikuttaa liikkeenjohdon silmissä upean synergiselta idealta. Totuus voi osoittautua toiseksi, jos toinen ratkaisu on esimerkiksi rakennettu Microsoftin tuotteiden varaan, toinen luottaa open source -teknologioihin. Eri ohjelmistojen koodauskäytänteet ja suunnitteluratkaisut voivat myös olla kovin eri tasoilla. 

Kallista integrointityötä riittäisi siis sekä järjestelmien että tiimien välillä. Ohjelmiston tai sen osien elinkaari saattaa myös olla niin lopussa, ettet voi tuottaa liiketoiminnalle arvoa ilman mittavia remontteja. Pahimmassa tapauksessa turhautunut väki vaihtuu, ja joudut rakentamaan koko kehitystiimin nollasta asti uudelleen.

Ulkopuolinen arvioija antaa puolueettoman näkökulman

Investointia harkitseva yritys voi antaa teknisen due diligence -arvioinnin oman talon koodareiden tehtäväksi, mutta on hyvä tiedostaa siihen liittyvät haasteet:

• Omilla IT-asiantuntijoillasi on asiantuntemusta juuri niistä ohjelmistoista ja teknologioista, jotka tunnette tällä hetkellä. Näkemys ostokohteen erityispiirteistä saattaa olla vanhentunut tai vaillinainen.
• Yrityskauppoihin liittyy aina paljon tunteita. Kahden samankaltaisen ohjelmistotuotteen yhdistyessä voi olla jopa kannattavampaa lopettaa oma, vanha tuotelinja ja pistää kaikki paukut uuteen. Kuinka innokkaasti työntekijäsi kertoisivat sinulle tästä etukäteen?
• Jos pyydät alihankkijoitasi tekemään arviointia, he voivat kokea asetelman uhkaavana. 
• Usein ostavalla taholla ei edes ole ennestään ohjelmistokehittäjiä. Kyseessä saattaa olla aivan muulla kuin IT-alalla toimiva yhtiö, joka on tekemässä yritysostoa. Mukana tuleva softa on vain kiinnostava lisä kaupassa, ja koodaritiimi on tulossa taloon vasta yhdistymisen myötä. 

Puolueettomuus on siksi luotettavin lähtökohta tekniseen due diligence -analyysiin. Kannattaa valita kumppani, joka ei ole sitoutunut suosimaan tiettyjä teknologioita, kuten Microsoftin ratkaisuja tai avointa lähdekoodia, vaan on valmiina huomaamaan eri vaihtoehtojen vahvuudet ja ongelmat. Varmista, että saat käyttöösi asiantuntijat, joilla on laaja näkökulma sekä ohjelmistokehityksen hyviin käytäntöihin että eri toimialojen liiketoimintaan.

Monta tapaa tehdä teknistä due diligence -arviointia

1. Julkiset lähteet (ns. open-source-intelligence): Neuvonantopalvelua voi hankkia jo hyvin varhaisessa vaiheessa ostoprosessia. Ostokohde ei ehkä edes tiedä, että joku nuuhkii ilmaa. Pystymme löytämään runsaasti mielenkiintoista tietoa jo pelkkiä julkisia lähteitä käyttämällä. Suhteellisen kevyt kartoitus antaa suuntaviivat jatkoon.
2. Lähdekoodin ja dokumentaation tarkastelu: Jos neuvottelut ovat jo pidemmällä, saattaa tiimille tarjoutua mahdollisuus tutustua järjestelmän perustuksiin: mm. arkkitehtuuriin, dokumentaatioon, testisuunnitelmiin ja -tapauksiin, tehtäviin sekä bugeihin. Valjastamme salapoliisin työhön silloin asiantuntijoita, jotka ovat perehtyneet vastaavanlaisten ohjelmistojen kehittämiseen. Kirjastot voivat olla vanhentuneita, koodin rakenne ontuu tai kokonaisuus perustuu versioihin, joita ei enää tueta – löydökset kertovat teknisestä velasta.
3. Haastattelut ja näytöt rajatussa aikaikkunassa: Joskus ohjelmistoa myyvä taho sanelee tahdin: ostajaehdokas kutsutaan paikalle vain tunneiksi tai pariksi päiväksi. Materiaalia ei saa käyttöön etukäteen, vaan rajatussa aikaikkunassa on osattava kysyä täsmälleen oikeat kysymykset ja pyytää kohdeyritystä näyttämään työtapojaan. Tällaiselle käynnille tarvitaan asiantuntija, jolla on mahdollisimman laaja kokemus, sillä edessä voi olla mitä tahansa.

Huterat perustukset vai yllättäviä helmiä?

Julkisuudessa oli pari vuotta sitten suuri Vastaamo-tietomurto, johon kytkeytyi myös surullisenkuuluisa yrityskauppa. Tapausta tuntematta voi vain arvailla, mitä tapahtui ennen ostohetkeä ja sen jälkeen, kun tekniset puutteet eivät nousseet esiin. 

Ilmiö ei ole mitenkään tavaton yrityskaupoissa. Ostokohteen luvut näyttävät hyviltä, brändi on raikas. Tietoturvakulttuurissa voi kuitenkin olla ongelmia, ratkaisut saattavat pyöriä vanhoilla ja kiikkerillä teknologia-alustoilla tai regulaation noudattamisen kanssa on niin ja näin.

Due diligence -arvioissa kirjaamme ylös sellaisiakin seikkoja, jotka eivät nosta seinää pystyyn ostoaikeiden suhteen. Hintaneuvottelujen kannalta ne kaikki ovat silti tärkeitä tietoja. Joskus yllätykset ovat toisenlaisia: löydämmekin ohjelmistosta odottamattomia helmiä ja uusia yhtymäkohtia nykyiseen liiketoimintaan. Silloin kaupantekoa voi jatkaa erityisen luottavaisin mielin.