ITデューデリジェンス|M&A・事業統合のIT評価サービス 東京
買収・合併前のIT資産・リスク・コスト構造を可視化
このページの内容 5
評価項目
- IT資産・ライセンスの棚卸し
- セキュリティ・コンプライアンス評価
- 運用コスト構造の分析
- 統合リスクとタイムライン
- ベンダー契約・依存関係
- 技術的負債の特定
ITデューデリジェンスは、契約締結後の想定外コストを防ぎます。
写真: Pavel Danilyuk / Pexels
「ITは大丈夫」では済まない
M&Aの現場で、財務や法務のデューデリジェンスは当たり前に行われます。ところがITの調査は後回しにされがちで、統合後に想定外のコストやリスクが発覚するケースが少なくありません。
サーバールームを開けたら10年前のWindows Serverが動いていた。ERPのライセンスが対象企業の法人名義で、譲渡に追加費用がかかる。基幹システムが退職した一人のエンジニアにしか分からない構成だった。こうした問題は、事前のIT評価で防げます。
日本のIT環境は海外と前提が違う
海外本社がグローバル標準のITデューデリジェンスチェックリストを送ってくることがあります。しかし、日本拠点のIT環境にはそのリストでは拾いきれない固有の事情があります。
通信インフラの複雑さ。 NTTとの回線契約は法人名義の変更手続きが煩雑で、移転や統合時にリードタイムが数ヶ月かかることがあります。光回線の工事には建物管理会社との調整も必要です。「回線はすぐ切り替えられる」という本社の想定は、日本では通用しません。
SIerへの依存。 日本企業では特定のシステムインテグレーターに長年運用を委託しているケースが多く、ネットワーク構成図や運用手順がそのベンダーにしか存在しないことがあります。買収後にベンダーを切り替えるなら、引き継ぎコストとリスクを事前に把握する必要があります。
コンプライアンスの固有要件。 個人情報保護法(2022年改正で越境移転ルールが厳格化)やマイナンバー法には、ITシステム側の取扱い要件が細かく定められています。J-SOXのIT全般統制では文書化が必須です。対応状況が不十分な企業を買収すると、そのコンプライアンスリスクをそのまま引き継ぐことになります。
レガシーシステムの根深さ。 オンプレミスのファイルサーバー、独自開発の勤怠管理や経費精算システム、紙の稟議書による承認フローが現役で稼働している企業は珍しくありません。これらのクラウド移行にかかるコストと期間は、海外本社の想定を大幅に上回ることがあります。
イソリアの評価アプローチ
26年以上年にわたり東京で外資系企業のITを支援してきた実績から、表面的なチェックリストでは見えない部分を掘り下げます。
IT資産とライセンス
ハードウェア、ソフトウェア、クラウドサービスの棚卸しを行い、ライセンス形態(法人名義、ボリュームライセンス、サブスクリプション)と譲渡可否を確認します。Microsoft EA契約やOracle、SAPのライセンスは、M&A時の移転条件が複雑で、追加コストが発生することがあります。
セキュリティとコンプライアンス
個人情報保護法への対応状況、マイナンバーの取扱い体制、J-SOXのIT統制文書を確認します。ISO 27001やISMS認証の有無、過去のセキュリティインシデント、インシデント対応体制の成熟度も評価します。
運用コストと契約
IT運用の年間コスト構造を可視化します。通信回線費、保守契約、SIer委託費、ライセンス更新費、クラウド利用料など、統合後に引き継ぐコストの全体像を整理します。長期契約の中途解約ペナルティも見落としがちなポイントです。
統合リスクとロードマップ
メールシステム、Active Directory、ネットワークの統合に必要な作業量とリスクを評価します。Day 1(統合初日)に最低限必要な対応と、中長期の移行計画を分けて策定し、現実的なタイムラインを提示します。
日英バイリンガルでの報告
評価結果は日本語と英語の両方で報告書を作成します。海外本社の経営陣やグローバルIT部門が日本拠点のIT現状とリスクを正確に把握できる形式です。日本側のチームにも同じ内容を日本語で共有するため、認識のズレが起きません。
イソリアはこれまでに複数のM&A案件でITデューデリジェンスとシステムデューデリジェンスを実施してきました。M&Aデューデリジェンスの事例やM&A後のBPR事例もご参照ください。評価の進め方やスコープについては、お気軽にお問い合わせください。