Looking for Lemons - A Qualitative Study of Cybersecurity Due Diligence in Acquisitions
Master thesis
Permanent lenke
https://hdl.handle.net/11250/2777038Utgivelsesdato
2020Metadata
Vis full innførselSamlinger
Sammendrag
Å kjøpe opp et selskap kan være en god strategi for vekst, men det er også stor risiko knyttet til oppkjøp og sammenslåing. Virksomhetene gjennomfører derfor grundige undersøkelser av selskapet i forkant, såkalt due diligence. Undersøkelsene og vurderingene gjennomføres for å få oversikt over sårbarheter, eller “lemons” før et mulig oppkjøp. Grundige due diligence prosesser reduserer risikoen ved fusjoneringen eller oppkjøpet eller i det minste så er risikoene kjente før beslutning om oppkjøp skjer. Det vanlige har vært å gjennomgå det finansielle, juridiske og de kommersielle mulighetene i due diligence. Ofte har de største risikoene vært knyttet til disse feltene. Virksomhetene ser etter potensielle juridiske eller finansielle overtramp eller at lovet kommersielle fremtidsutsikter er mer optimistiske enn sannsynlige. De siste tiårene har det også vokst frem en ny stor risiko som kan føre til tap på flere måter - teknologi og cybersikkerhetsbrudd. Ettersom bedrifter i økende grad er avhengige av teknologi i operasjonell drift økes samtidig faren for hackerangrep eller på annen måte å bli utsatt for brudd på cybersikkerheten. Dette kan sette bedriften ut av daglig drift i lengre tid, gi store kostnader for å rydde opp, svekke omdømmet til bedriften, eller på en annen måte senke verdien til bedriften.
Ut fra dette ble forskningsspørsmålet utformet: Hvordan undersøker kjøper cybersikkerheten til selskapet de vurderer å kjøpe opp?Hvor relevant er målfirmaets cybersikkerhetsnivå for overtakelsesbeslutningen?
Denne masteroppgaven ser på hvordan norske selskaper undersøker potensielle selskaper før oppkjøp, og i hvilken grad undersøkelsen inneholder cybersikkerhet. Oppgaven ser på selskapenes generelle fokus på cybersikkerhet og i hvilken grad due diligence inkluderer cybersecurity.
Ved gjennomgang av eksisterende litteratur ble det identifisert et forskningsgap om temaet. Temaet vil være viktig å belyse, og denne masteroppgaven vil kunne bidra til forskningen på due diligence. Jeg har gjort en kvalitativ abductive undersøkelse med semi-strukturerte intervjuer av ledere i tre større norske selskaper. Ut fra dette har jeg vurdert og diskutert i hvilken grad cybersecurity inkluderes i due diligence ved oppkjøp i store norske selskaper, som har oppkjøp som strategi for vekst. Cybersikkerhetsnivået kan både påvirke selskapene som kjøper opp andre selskaper, og entreprenørielle virksomheter med plan om å bli kjøpt opp. Ut fra intervjuer og tilgjengelig litteratur forsøker jeg å finne svar på forskningsspørsmålene. På den måten bidrar studien inn på entreprenøriell forretningsutvikling og teknologiledelse.
Studien viser at selskapene ser på cybersecurity i due diligence-prosessen. Det skjer i varierende grad og resultatene blir vurdert forskjellig. Alle selskapene i studiet gjør due diligence av cybersecurity og resultatene av due diligence har en påvirkning i beslutningen hos alle selskapene. De to største funnene er likevel at funnene i en cybersecurity due diligence i størst grad påvirker hvilken pris de er villig til å gi og hvordan selskapene integreres inn i det nye morselskapet.
Et annet spennende funn i studien er at de siste seks årene har fokuset på cybersikkerhet i selskapsgjennomgangen før oppkjøp økt betydelig. Alle selskapene sier at det har blitt et generelt større fokus på cybersikkerhet og personvern de siste årene. Dette bekreftes fra intervjuene, selskapenes årsrapport, i tillegg til funn i litteraturstudien. Acquiring a firm is a good strategy for growth, but included is a great deal of risk associated with acquisitions. The companies, therefore, carry out thorough due diligence of the target firm. The investigations and assessments are carried out to get an overview of vulnerabilities, or "lemons,” before a possible acquisition. Thorough due diligence processes reduce the risk of the acquisition, or at least the risks will be known before the acquisition decision takes place. The usual due diligence is to review the financial and legal information in the firm, and also often the commercial possibilities in due diligence. Often the most significant risks have been associated with these fields. The companies are looking for potential legal or financial abuse or that the promised commercial prospects are more optimistic than probable.
In the last decades, a new significant risk has also emerged that can lead to losses in several ways - technology and cybersecurity incidents. As companies are increasingly dependent on technology in operations, the risks of hacker attacks or otherwise being exposed to cybersecurity breaches increase correspondingly. Security breaches can put the company out of daily operations for a more extended period, cause high costs to clean up, weaken the firm’s reputation, or in some other way, lower the firm’s value.
Based on this, the following research questions have been the focus of this study:
How does the Bidder assess the Target firm's cybersecurity before giving a bid?How relevant is the Target firm’s level of cybersecurity for the takeover decision?
This master's thesis looks at to which extent cybersecurity is considered during the due diligence process by acquiring companies when examining acquisition candidate companies.
The study shows that cybersecurity is considered in the due diligence of an acquisition by all companies in the study. However, notable findings are:Two of the three companies considered weak cybersecurity as an acquisition deal breaker.The level of cybersecurity does affect the offer price, The state of cybersecurity further affects how the acquirer chooses to integrate the acquired company’s technological infrastructure, which has a range of implications, including acquisition and integration costs.Over the last six years, also the focus on cybersecurity and data privacy has increased significantly.
Through a literature study, a literature gap was discovered in research on the topic. I have conducted a qualitative abductive survey with semi-structured interviews of managers in three major Norwegian companies. Based on this, I have discussed and concluded what is standard in the industries as of today. I have also concluded how the findings affect both the companies that acquire other companies and entrepreneurial companies with a plan to be acquired. In this way, the study contributes to entrepreneurial business development and technology management.