Et samarbeid kan se perfekt ut på papiret. Men skjulte forpliktelser, svake rutiner, uavklarte rettigheter eller dårlig sikkerhet kan bli ditt problem etter signering. Derfor bør du gjøre due diligence (aktsomhetsvurdering) før du binder deg.
Innholdsfortegnelse
- Hva betyr due diligence i partnerskap – og hvorfor er det viktig?
- Når trenger du grundig DD – og hvor dypt bør du gå?
- Oversikt: steg-for-steg prosess du kan følge
- Steg 1, Forberedelser: mål, ansvar og tidslinje
- Steg 2, Strukturert innsamlingsfase: datarom, DDQ og dokumentliste
- Steg 3, Analyse etter kategori (sjekkpunkter du faktisk kan bruke)
- Finansiell due diligence
- Juridisk due diligence
- Operasjonell og teknisk due diligence
- IT-sikkerhet og personvern (cyber / GDPR)
- IP, kontrakter og kommersielle forhold
- Governance, ledelse og kultur
- ESG, bærekraft og omdømme
- Forsikringer, regulatorisk compliance og bransjekrav
- Steg 4, Prioritering av funn: røde flagg, risiko-scoring og materialitet
- Steg 5, Anbefalinger, kontraktsklausuler og beslutningsmal (go/no-go)
- Praktisk logistikk: tidslinjer, roller og når du bør hente eksterne rådgivere
- DD-spørreskjema (DDQ) + komprimert sjekkliste (kopier til Excel)
- DDQ-mal (spørsmål per kategori)
- Komprimert sjekkliste (én side)
- Mini-case: hva skjer når DD er for svak – og når den er god?
- Neste steg etter DD: forhandlinger, dokumentasjon og overvåkning
- Verktøy og rådgivere: hva kan gi verdi (uten å gjøre det tungt)
- Oppsummering og handlingsliste (to uker)
- FAQ
- Hva er due diligence og hvorfor trenger vi det for en potensiell samarbeidspartner?
- Hvilke dokumenter må jeg be om i starten av en DD-prosess?
- Hvor lang tid tar en grundig due diligence for en leverandør eller medgründer?
- Når bør vi bruke eksterne rådgivere og hva koster det omtrent?
- Hva er de vanligste røde flaggene som bør stoppe en avtale?
- Hvordan sikre konfidensialitet (NDA) og sikker dokumentdeling (datarom)?
- Hvilke forskjeller er det mellom DD for leverandører, investorer og medgründere?
- Hva gjør vi hvis informasjonsdeling er ufullstendig eller motvillig?
- Kilder og videre lesning
Due diligence handler ikke bare om M&A. Det er like relevant når du velger en leverandør, inngår et strategisk partnerskap, tar inn en medgründer eller vurderer en investering.
Hva betyr due diligence i partnerskap – og hvorfor er det viktig?
Due diligence er en strukturert gjennomgang av fakta, dokumentasjon og risiko før du inngår avtale. Målet er å verifisere påstander, avdekke forpliktelser og forstå hva som må avklares i kontrakten.
Typiske gevinster:
- Færre overraskelser etter signering (kostnader, krav, driftsproblemer).
- Bedre forhandlingsgrunnlag (pris, vilkår, garantier, SLA).
- Lavere compliance- og omdømmerisiko (GDPR, bransjekrav, ESG).
- Klarere forventninger og samarbeidsform.
Hva du bør gjøre nå
- Avklar hvilken beslutning due diligence skal støtte (go/no-go, eller “go med vilkår”).
- Definer hvilke risikoer som er uakseptable for dere (f.eks. sikkerhet, regulatorisk, økonomi).
- Enig internt om hvem som eier prosessen.
Når trenger du grundig DD – og hvor dypt bør du gå?
Dybden bør stå i forhold til risiko og avhengighet. Tre vanlige scenarioer:
Leverandørvurdering / leverandør-DD
- Prioriter: IT-sikkerhet, personvern (GDPR), leveranseevne, kontinuitet, kontraktsvilkår, forsikringer.
- Dybde: høy hvis leverandøren får tilgang til data, er “single point of failure”, eller leverer kritiske tjenester.
Medgründer-sjekk
- Prioriter: rolle- og forventningsavklaring, økonomiske forhold, IP-eierskap, insentiver (vesting), konflikthåndtering, referanser.
- Dybde: ofte mer kvalitativ. Men dokumenter og rettigheter må være på plass.
Investeringsdue diligence (VC / M&A)
- Prioriter: finansiell kvalitet, juridiske forpliktelser, IP, kommersielle forhold, teknologi/operasjonell risiko.
- Dybde: ofte størst. Flere fagspor parallelt.
Hvis du fortsatt er i “utforskingsfasen”, start med å finne aktuelle kandidater først. Se Hvordan finne gode samarbeidspartnere for bedriften (steg-for-steg) og bruk due diligence når du har 1–3 reelle alternativer.
Hva du bør gjøre nå
- Lag en enkel risikomatrise: kritikalitet (lav/høy) × avhengighet (lav/høy).
- Bestem nivå: “lett”, “standard” eller “utvidet” DD før du ber om dokumenter.
- Sett en tidsboks. DD drar lett ut hvis alt er “nice to have”.
Oversikt: steg-for-steg prosess du kan følge
Praktisk prosesslinje:
- NDA (konfidensialitetsavtale) + avklare rammer
- Forberedelser (mål, scope, roller, tidslinje)
- Innsamling (DDQ + dokumentliste + datarom + Q&A)
- Analyse per kategori (finans, jus, drift, IT, ESG, osv.)
- Prioriter funn (materialitet, tiltak, røde flagg)
- Beslutning (go/no-go eller go med vilkår)
- Dokumentasjon og oppfølging (kontrakt, kontrollpunkter, periodiske reviews)
Steg 1, Forberedelser: mål, ansvar og tidslinje
Start med tre avklaringer:
Mål
- Hva skal samarbeidet brukes til?
- Hvilke “must have” må være sant for at dere skal signere?
- Hvilke risikoer tåler dere ikke?
Ansvar (RACI fungerer godt)
- Eier: én person som koordinerer alt.
- Fageiere: økonomi, juridisk, IT/sikkerhet, drift/leveranse, ESG/compliance.
- Beslutning: ledergruppe/styre.
Tidslinje
- Avtal frister for dokumentdeling og Q&A.
- Planlegg tid til å verifisere og stille oppfølgingsspørsmål.
Husk NDA før dere deler eller mottar sensitiv informasjon. Ofte kan dere også bruke en enkel intensjonsavtale (LOI) for å avklare prosess og forventninger.
Hva du bør gjøre nå
- Skriv ned 5–10 “må være sant”-punkter (deal breakers).
- Sett opp en enkel ansvarsoversikt og en datofestet plan.
- Klargjør en standard NDA-prosess internt.
Steg 2, Strukturert innsamlingsfase: datarom, DDQ og dokumentliste
Et datarom (virtual data room) gir bedre kontroll enn e-post og delte mapper. Du får tilgangsstyring, sporbarhet og versjonskontroll.
Anbefalt datarom-oppsett
- Mapper per kategori (Finans, Juridisk, IT, ESG, Kontrakter, osv.).
- Rollebasert tilgang (ikke alle trenger alt).
- Navnestandard på dokumenter (dato + tema + versjon).
- Én Q&A-liste (spørsmål, svar, status, ansvarlig, frist).
Dokumenter å be om tidlig (minimum)
- Selskapsinfo: firmaattest, vedtekter, aksjonærbok/oversikt, signaturfullmakter.
- Regnskap: årsregnskap, eventuell revisjonsberetning, perioderapporter.
- Nøkkelkontrakter: kunder, leverandører, leieavtaler, lisenser.
- IT og personvern: sikkerhetspolicy, oversikt over underleverandører, databehandleravtaler ved behov.
- Forsikringer: relevante poliser og eventuelle større skader/krav (på overordnet nivå).
Slik verifiserer du offentlige opplysninger (Norge)
- Bruk Brønnøysundregistrene til å sjekke organisasjonsnummer, roller, styre, registreringer og grunnleggende selskapsdata.
- Kryssjekk at oppgitte signatur-/prokura-forhold samsvarer med hvem som signerer avtaler.
- Vær ekstra nøye hvis det er komplekse strukturer eller utydelig eierskap.
Hva du bør gjøre nå
- Sett opp dataromstruktur før du sender DDQ. Det sparer mye tid.
- Start med minimumsdokumenter. Utvid først når dere ser behov.
- Lag én felles Q&A-logg som hele teamet bruker.
Steg 3, Analyse etter kategori (sjekkpunkter du faktisk kan bruke)
Under er en praktisk sjekkliste per hovedkategori. Ikke alt er relevant hver gang. Velg ut fra scenario.
Finansiell due diligence
Se etter bærekraft i økonomien, ikke bare omsetning.
Sjekkpunkter
- Inntektskvalitet: engangsinntekter vs. repeterende, rabatter, kredittnoter.
- Kundekonsentrasjon: avhengighet av få kunder.
- Likviditet: kontantstrøm, betalingsmønster, arbeidskapital.
- Gjeld og forpliktelser: lån, garantier, pant, leasing.
- Prognoser: antakelser bak budsjett og vekst, og hva som må til for å nå det.
- Skatt og avgift: avvik, uavklarte forhold (på overordnet nivå).
Hva du bør gjøre nå
- Be om forklaring på de største endringene mellom perioder.
- Lag en enkel “sensitivitets-test” på de viktigste driverne (pris, volum, churn).
- Flagge alt som ikke kan dokumenteres.
Juridisk due diligence
Juridisk DD handler ofte om forpliktelser som “følger med” samarbeidet.
Sjekkpunkter
- Selskapsstruktur og eierskap: hvem eier hva, og hvem kan binde selskapet.
- Pågående/varslede tvister: rettstvister, krav, konflikter med kunder/leverandører.
- Kontrakter: oppsigelsestid, endringsklausuler, eksklusivitet, prisjustering, ansvar/ansvarsbegrensninger.
- Personvern og compliance: avtalegrunnlag, databehandleravtaler, rutiner.
- Bransjekrav: lisenser, godkjenninger, særregler som må være oppfylt.
Hva du bør gjøre nå
- Lag en “kontraktsliste” med: motpart, verdi, varighet, oppsigelse, særklausuler.
- Sjekk at rett person signerer (i tråd med firmaattest/fullmakter).
- Be om skriftlig bekreftelse på at vesentlige tvister er opplyst.
Operasjonell og teknisk due diligence
Her sjekker du om partneren faktisk kan levere som lovet.
Sjekkpunkter
- Leveransemodell: kapasitet, flaskehalser, bemanning, underleverandører.
- Kontinuitet: beredskapsplaner, redundans, håndtering av avvik.
- Kvalitet: rutiner for kvalitetskontroll, feilrate/avvik (hvis relevant).
- Skalerbarhet: hva skjer ved dobling av volum eller nye krav.
- Teknologi/arkitektur (hvis relevant): modenhet, avhengigheter, dokumentasjon.
Hva du bør gjøre nå
- Be om en konkret leveranseplan og “hvem gjør hva”.
- Test et realistisk scenario (volumtopp, tidskritisk leveranse, endring i krav).
- Avklar hva som er standard, og hva som koster ekstra.
IT-sikkerhet og personvern (cyber / GDPR)
Dette er ofte en deal breaker i leverandørforhold.
Sjekkpunkter
- Sikkerhetsstyring: policy, ansvar, tilgangsstyring, opplæring.
- Hendelser: historikk på sikkerhetsbrudd (på overordnet nivå) og læringstiltak.
- Logging og overvåking: oppdagelse og respons.
- Underleverandører: hvem får tilgang til data, og hvilke avtaler gjelder.
- Personvern: behandlingsgrunnlag, dataminimering, sletting, rutiner for innsyn.
- Tekniske tester: sårbarhetstester/penetrasjonstester der det er naturlig.
Hva du bør gjøre nå
- Krev en tydelig oversikt over dataflyt: hvilke data, hvor lagres de, hvem har tilgang.
- Få på plass databehandleravtale ved behov, før produksjonsdata deles.
- Definer minimumskrav i kontrakt (sikkerhetsnivå, varsling, revisjonsrett).
IP, kontrakter og kommersielle forhold
Her verifiserer du verdier og bindinger.
Sjekkpunkter
- IP-eierskap: hvem eier kode, design, varemerke, patenter, domener.
- Lisenser: er de gyldige, overførbare, og dekker de bruken deres.
- Kunde- og leverandøravtaler: oppsigelse ved eierskifte, endring i kontroll, eksklusivitet.
- Pris- og marginlogikk: rabatter, volumavtaler, indeksregulering.
- Go-to-market: hvilke kanaler og partnere er kritiske.
Hva du bør gjøre nå
- Kartlegg hvilke rettigheter dere må ha for å bruke/videreutvikle leveransen.
- Se etter klausuler som kan trigges av nytt samarbeid (eksklusivitet, non-compete).
- Dokumenter avhengigheter som dere ikke kan kontrollere.
Governance, ledelse og kultur
Samarbeid feiler ofte på mennesker og styring, ikke på strategi.
Sjekkpunkter
- Styre og ledelse: kompetanse, stabilitet, rollefordeling.
- Nøkkelpersonrisiko: hva skjer hvis 1–2 personer slutter.
- Beslutningsprosesser: tempo, konflikthåndtering, eskaleringslinjer.
- Referansesjekk og omdømme: leveransekvalitet, integritet, “hvordan de oppfører seg når det brenner”.
- Kulturmatch: forventninger til kommunikasjon, dokumentasjon, transparens.
Slik gjør du en enkel referansesjekk
- Be om 2–3 referanser (gjerne både nåværende og tidligere).
- Still konkrete spørsmål: “Hva lovet de?”, “Hva leverte de?”, “Hvordan håndterte de avvik?”, “Ville du valgt dem igjen – hvorfor/hvorfor ikke?”
Hva du bør gjøre nå
- Gjennomfør minst én referansesamtale selv (ikke bare via salg).
- Avtal faste møtepunkter og eskaleringsrutine i kontrakt/SLA.
- Identifiser “single point of failure” i teamet deres.
ESG, bærekraft og omdømme
ESG-DD kan være et krav fra kunder, investorer eller egne retningslinjer.
Sjekkpunkter
- Policyer: etikk, menneskerettigheter, anti-korrupsjon, leverandørkrav.
- Sporbarhet: hvordan de følger opp underleverandører (særlig i risikoutsatte kjeder).
- Arbeidsforhold: rutiner og avvikshåndtering.
- Rapportering: hva de faktisk måler og dokumenterer.
Hva du bør gjøre nå
- Bestem et minimumsnivå for hva dere trenger dokumentert.
- Be om konkrete bevis på praksis, ikke bare policy.
- Vurder å legge ESG-krav inn i kontrakten (rapportering, revisjon, tiltak).
Forsikringer, regulatorisk compliance og bransjekrav
Dette blir viktig når konsekvensen av feil er stor.
Sjekkpunkter
- Forsikringsdekning: relevante poliser og begrensninger.
- Bransjegodkjenninger: krav som må være oppfylt for å levere lovlig.
- Internkontroll: rutiner for avvik, revisjon, etterlevelse.
- GDPR og informasjonssikkerhet: særlig ved behandling av personopplysninger.
Hva du bør gjøre nå
- Sjekk at forsikringene matcher risikoen dere faktisk tar.
- Dokumenter regulatoriske “musts” i en kravliste.
- Avklar hvem som har ansvar ved avvik (og hvordan det varsles).
Steg 4, Prioritering av funn: røde flagg, risiko-scoring og materialitet
Når funnene kommer, må de sorteres. En enkel modell fungerer ofte best:
Klassifisering
- Stopp (deal breaker): uakseptabel risiko eller manglende vilje til å dokumentere.
- Krever avklaring før signering: må lukkes gjennom dokumentasjon eller endring i vilkår.
- Akseptabel med mitigasjon: kan håndteres via kontrakt, tiltak eller overvåkning.
Risikoscoring (praktisk) Vurder hvert funn på:
- Sannsynlighet (lav/middels/høy)
- Konsekvens (lav/middels/høy)
- Påvirkning på dere (økonomi, drift, sikkerhet, omdømme)
Vanlige røde flagg
- Ufullstendig eller motvillig informasjonsdeling.
- Vesentlige kontrakter uten signatur, eller uklare fullmakter.
- Stor kundekonsentrasjon uten plan B.
- Svake sikkerhetsrutiner der leverandøren får tilgang til data.
- IP/eierskap som ikke kan dokumenteres.
- Uavklarte tvister eller gjentatte konflikter med kunder/leverandører.
Hva du bør gjøre nå
- Lag en “issues list” med: funn, risiko, anbefalt tiltak, eier, frist.
- Ikke bland “nice to have” med kritiske avvik.
- Bestem hva som må inn i kontrakten som betingelser.
Steg 5, Anbefalinger, kontraktsklausuler og beslutningsmal (go/no-go)
Oppsummering til ledelse/styre bør være kort, konkret og beslutningsklart.
Mal: Funnrapport (1–2 sider)
- Formål og scope: hva dere har vurdert (og hva dere ikke har vurdert).
- Konklusjon: go / go med vilkår / no-go.
- Topprisikoer (3–7 stk): hva, hvorfor, konsekvens, sannsynlighet.
- Tiltak før signering: hva må lukkes.
- Tiltak etter signering: overvåkning, revisjon, KPI/SLA.
- Vedlegg: issues list + dokumentliste.
Typiske kontraktstiltak basert på DD-funn
- Garantier/erklæringer (warranties) om forhold som må være sant.
- Skadesløsholdelse (indemnity) for spesifikke kjente risikoer.
- SLA og KPIer (leveranse, responstid, kvalitet, tilgjengelighet).
- Revisjonsrett og rapporteringskrav (sikkerhet, ESG, underleverandører).
- Oppsigelsesklausuler og “exit plan” (datautlevering, overgangsstøtte).
- For medgründere: vesting/tilbakekjøpsklausuler, IP-overdragelse, rollebeskrivelser.
Hva du bør gjøre nå
- Skriv beslutningsforslag før forhandlingene. Da blir det mindre vingling.
- Oversett funn til konkrete klausuler, ikke bare “risiko notert”.
- Legg inn oppfølging som en del av avtalen, ikke som en ettertanke.
Praktisk logistikk: tidslinjer, roller og når du bør hente eksterne rådgivere
En grundig DD kan gå raskt hvis dere er stramme på scope og jobber parallelt. Tidsbruk avhenger av kompleksitet, dokumenttilgjengelighet og hvor mye som må verifiseres.
Roller internt
- Prosesseier (koordinerer).
- Økonomi (finans og kommersielle tall).
- Juridisk/innkjøp (kontrakter, compliance, forhandling).
- IT/sikkerhet (cyber, GDPR, databehandlerforhold).
- Fagansvarlig for leveransen (drift og kvalitet).
Når eksterne rådgivere gir mest verdi
- Advokat: komplekse kontrakter, IP, tvister, regulatoriske krav.
- Revisor/finansrådgiver: kvalitet i regnskap, kontantstrøm, forpliktelser.
- Teknisk sikkerhetsekspert: modenhetsvurdering, testregime, sårbarheter.
- ESG-rådgiver: krav fra kunder/investorer, leverandørkjede, rapportering.
Kost/nytte handler ofte om konsekvens. Hvis feil kan stoppe drift, gi bøter, eller skade omdømme, er ekstern kvalitetssikring ofte billigere enn å “håpe”.
Hva du bør gjøre nå
- Definer terskler for når dere eskalerer (f.eks. sikkerhet, IP, regulatorisk).
- Bruk eksterne til spissede vurderinger, ikke til å eie hele prosessen.
- Sørg for at rådgivere jobber etter samme issues list og tidsplan.
DD-spørreskjema (DDQ) + komprimert sjekkliste (kopier til Excel)
Under får du en praktisk DDQ-mal. Kopier den inn i Excel/Sheets og legg til kolonnene: Svar, Dokumentlenke, Status, Kommentar, Eier.
DDQ-mal (spørsmål per kategori)
| Kategori | Spørsmål (eksempler) | Dokumentasjon du bør be om |
|---|---|---|
| Finans | Hva er de viktigste inntektskildene, og hva har endret seg siste 12 mnd? | Årsregnskap, perioderapporter, forklaringsnotat |
| Finans | Hvor stor andel av omsetning kommer fra topp 5 kunder? | Kundeliste (aggregert), kontrakter/ordreoversikt |
| Finans | Hvilke vesentlige forpliktelser finnes (lån, leasing, garantier)? | Låneavtaler, leasingoversikt, garantidokumenter |
| Juridisk | Hvem kan signere avtaler på vegne av selskapet? | Firmaattest, fullmakter |
| Juridisk | Finnes pågående/varslede tvister eller krav? | Oversikt over saker/krav, korrespondanse (der relevant) |
| Juridisk | Hvilke nøkkelkontrakter er kritiske for leveransen? | Kontraktsliste + kopi av nøkkelavtaler |
| Operasjonell | Hvordan sikrer dere leveranse ved sykdom/turnover? | Bemanningsplan, kontinuitetsplan |
| Operasjonell | Hvilke underleverandører er kritiske, og hvordan styres de? | Underleverandøroversikt, avtaler/krav |
| IT/GDPR | Hvilke typer data behandles, og hvor lagres data? | Dataflyt/arkitektur, datalagringsoversikt |
| IT/GDPR | Har dere databehandleravtaler der dere behandler data for kunder? | Mal DPA, oversikt over databehandlerforhold |
| IT-sikkerhet | Hvilke tiltak har dere for tilgangsstyring og logging? | Policy, rutinebeskrivelser, oversikt over verktøy |
| IT-sikkerhet | Har det vært sikkerhetshendelser, og hva ble gjort etterpå? | Incident-oversikt (høynivå), forbedringstiltak |
| IP | Hvem eier IP som brukes i leveransen (kode, design, varemerke)? | IP-oversikt, avtaler om overdragelse/lisens |
| Kommersiell | Hvilke SLA/KPIer kan dere forplikte dere til? | Standard SLA, kunderapporter (hvis finnes) |
| Governance | Hvem er nøkkelpersoner, og hva er deres rolle i leveransen? | Organisasjonskart, rollebeskrivelser |
| Kultur/referanser | Kan dere gi referanser som kan beskrive samarbeid i drift? | Referanseliste (kontaktpersoner) |
| ESG | Har dere etiske retningslinjer og krav til leverandører? | Etikkpolicy, supplier code of conduct |
| Forsikring/compliance | Hvilke relevante forsikringer har dere, og hva dekker de? | Poliser, oversikt over vesentlige unntak |
CTA: Vil du bruke dette som “nedlastbar” mal? Kopier tabellen til Excel og del den i datarommet som en levende Q&A-logg.
Komprimert sjekkliste (én side)
- [ ] NDA signert før sensitiv deling
- [ ] Scope og tidslinje avtalt (hva sjekkes / hva sjekkes ikke)
- [ ] Datarom opprettet med tilgangsstyring og versjonskontroll
- [ ] DDQ sendt og Q&A-logg etablert
- [ ] Finans: regnskap + forklaringer på avvik gjennomgått
- [ ] Juridisk: fullmakter, tvister, nøkkelkontrakter kontrollert
- [ ] Drift/leveranse: kapasitet, underleverandører, kontinuitet vurdert
- [ ] IT/GDPR: dataflyt, DPA, sikkerhetskrav og hendelser vurdert
- [ ] IP: eierskap/lisenser avklart skriftlig
- [ ] ESG/omdømme: minimumskrav dokumentert
- [ ] Funn prioritert (stopp / avklares / mitigasjon)
- [ ] Beslutning dokumentert + kontraktstiltak definert
Mini-case: hva skjer når DD er for svak – og når den er god?
Case 1: Leverandørsvikt som kunne vært oppdaget Et selskap outsourcet en kritisk driftstjeneste. DD ble begrenset til pris og salgspresentasjon. Etter oppstart kom flere avbrudd. Det viste seg at leverandøren var avhengig av én underleverandør uten klare SLAer. Og hadde svake rutiner for hendelseshåndtering. Med bedre operasjonell og IT-sikkerhets-DD kunne kunden krevd bedre SLA, rapportering og en tydelig exit-prosess.
Læring
- Avdekk kritiske avhengigheter tidlig.
- Kontrakt er et risikoverktøy, ikke bare “formalia”.
Case 2: Medgründerkonflikt som stoppet fremdrift To gründere startet samarbeid uten å avklare IP og roller. Etter noen måneder ble det uenighet om hvem som eide produktet og hvem som skulle jobbe hvor mye. Konflikten spiste tid og tillit. En enkel medgründer-DD med tydelig vesting, IP-overdragelse og beslutningsregler kunne redusert risikoen.
Læring
- “Myke” tema må ned på papir.
- Referanser og forventningsavklaringer er en del av DD.
Hva du bør gjøre nå
- Bruk casene som test: “Hvilken type svikt ville gjort mest skade hos oss?”
- Legg inn kontrollpunkter på nettopp de risikoene.
Neste steg etter DD: forhandlinger, dokumentasjon og overvåkning
Due diligence slutter ikke ved signering. Den blir verdifull når funn omsettes til drift.
Etter signering
- Sett en fast rytme: kvartalsvis leverandør-/partnerreview for kritiske samarbeid.
- Avtal rapportering: sikkerhet, hendelser, SLA, avvik, ESG (der relevant).
- Ha en “endringslogg”: når endrer de underleverandører, systemer eller prosess.
Hva du bør gjøre nå
- Lag en oppfølgingsplan før signering (hvem følger opp hva).
- Sørg for at exit og datatilbakelevering er konkret beskrevet.
- Revider DDQ årlig for kritiske leverandører/partnere.
Verktøy og rådgivere: hva kan gi verdi (uten å gjøre det tungt)
Du trenger ikke et stort system for å starte. Men noen verktøytyper kan gjøre jobben enklere:
- Datarom: for tilgangsstyring, sporbarhet og effektiv Q&A.
- GRC-/compliance-verktøy: hvis dere må følge mange krav over tid.
- Sikkerhetsverktøy og tredjepartsvurdering: når IT-risiko er sentral.
- Rådgivere: når funnene er komplekse, eller konsekvensen er høy.
Utvalgstips:
- Se etter god tilgangsstyring og eksportmuligheter (for Q&A og rapportering).
- Velg rådgivere som leverer klare funn og tiltak, ikke bare lange notater.
- Knytt verktøy og rådgiverbruk til konkrete risikoer, ikke “best practice” for alt.
Hva du bør gjøre nå
- Start med en stram prosess og en god DDQ. Skaler verktøy senere ved behov.
- Bruk eksterne målrettet på de to-tre mest kritiske risikoområdene.
Oppsummering og handlingsliste (to uker)
Dag 1–2
- Sett scope, terskler og roller.
- Klargjør NDA-prosess.
Dag 3–5
- Opprett dataromstruktur.
- Send DDQ + minimumsdokumentliste.
Dag 6–10
- Kjør analyse per kategori.
- Still oppfølgingsspørsmål i Q&A-logg.
Dag 11–12
- Prioriter funn (stopp / avklares / mitigasjon).
- Skriv kort funnrapport og beslutningsgrunnlag.
Dag 13–14
- Forhandle vilkår basert på funn.
- Avtal overvåkning, rapportering og exit.
Konklusjon: En grundig due diligence gir deg kontroll før du forplikter deg. Den viktigste effekten er ofte ikke at du sier nei, men at du signerer på riktige vilkår.
FAQ
Hva er due diligence og hvorfor trenger vi det for en potensiell samarbeidspartner?
Det er en strukturert aktsomhetsvurdering som verifiserer informasjon og avdekker risiko før avtale. Den beskytter økonomi, drift, compliance og omdømme.
Hvilke dokumenter må jeg be om i starten av en DD-prosess?
Start med firmaattest/fullmakter, regnskap/perioderapporter, nøkkelkontrakter, oversikt over underleverandører, sikkerhetspolicy og relevante forsikringer. Utvid deretter basert på funn.
Hvor lang tid tar en grundig due diligence for en leverandør eller medgründer?
Det varierer. En enkel leverandør-DD kan gjøres raskt hvis dokumentasjon er ryddig. Utvidet DD tar lenger tid, særlig ved mange kontrakter, komplekse dataflyter eller uavklarte rettigheter.
Når bør vi bruke eksterne rådgivere og hva koster det omtrent?
Bruk rådgivere når intern kompetanse ikke dekker risikoen dere tar, eller når konsekvensen av feil er høy (IP, tvister, regulatorisk, sikkerhet). Kostnad avhenger av omfang og kompleksitet, så avtal scope og leveranser tydelig.
Hva er de vanligste røde flaggene som bør stoppe en avtale?
Motvillig informasjonsdeling, uklare fullmakter, uavklarte tvister, udokumentert IP-eierskap, kritiske sikkerhetsmangler og sterk avhengighet av få kunder/enkeltpersoner uten tiltak.
Hvordan sikre konfidensialitet (NDA) og sikker dokumentdeling (datarom)?
Signer NDA før sensitiv deling. Bruk datarom med rollebasert tilgang, logging, versjonskontroll og en samlet Q&A-prosess.
Hvilke forskjeller er det mellom DD for leverandører, investorer og medgründere?
Leverandør-DD vektlegger leveranse, sikkerhet og kontinuitet. Investor/M&A vektlegger finans, jus, IP og skalerbarhet. Medgründer-DD vektlegger rolle, IP, insentiver og samarbeidsevne.
Hva gjør vi hvis informasjonsdeling er ufullstendig eller motvillig?
Be om forklaring og sett frister. Avgrens scope eller innfør forbehold. Hvis det gjelder kritiske forhold, klassifiser som rødt flagg og vurder no-go eller strengere kontraktsvilkår.
