Gestión de riesgos de terceros en fusiones, adquisiciones y desinversiones

Explore las mejores prácticas para gestionar el riesgo de terceros durante las transiciones empresariales, como fusiones, adquisiciones y desinversiones. Aprenda estrategias prácticas para proteger su organización y garantizar la resistencia operativa.

Personal de Mitratech
Personal de Mitratech Julio 22, 2024 10 minutos de lectura

Los cambios organizativos como las fusiones, adquisiciones y desinversiones (MAD) introducen complejidad y fragmentación en las estructuras empresariales. Estas transformaciones a menudo implican la incorporación y salida de vastas redes de terceros, vendedores, subcontratistas, proveedores y otras partes, cada una de las cuales conlleva riesgos potenciales desconocidos que podrían afectar negativamente a las operaciones empresariales.

La gestión de riesgos de terceros(TPRM) actúa como una fuente crítica de inteligencia en estos escenarios. Un programa robusto de TPRM ayuda a identificar y evaluar los riesgos asociados con terceros e implementa estrategias para mitigar esos riesgos durante los procesos de transición, salvaguardando las operaciones comerciales de su organización. En este artículo, profundizaremos en los conocimientos y herramientas necesarios para navegar por las complejidades del riesgo de terceros en fusiones, adquisiciones, desinversiones y otras transiciones empresariales.

El contexto es clave: Planificar varios escenarios de transición empresarial

Comprender el contexto de una transición empresarial es clave para abordar adecuadamente el riesgo de terceros y preparar a su equipo para el éxito. Esto permite a los equipos formarse y anticiparse a las distintas situaciones que puedan surgir. También proporciona información en medio de una mayor incertidumbre, ayudando a los equipos a comprender las posibles repercusiones en los procesos operativos. La planificación permite a los equipos crear un programa de GTPR operacionalmente resistente para fusiones, adquisiciones, desinversiones y otras transiciones. Entre los desencadenantes habituales de eventos empresariales se incluyen:

  • Fusión: Cuando dos empresas se combinan para formar una nueva empresa. Las fusiones también pueden incluir las relaciones con vendedores y proveedores de las entidades anteriormente independientes.
  • Adquisición: Cuando se produce un cambio en la propiedad o se adquiere otra empresa, incluidos sus proveedores externos y las cadenas de suministro asociadas.
  • Desinversión: Cuando una empresa vende o escinde una parte de sus inversiones empresariales o participaciones en una entidad.
  • Empresa conjunta: Cuando dos o más empresas se unen en una empresa comercial pero mantienen sus identidades diferenciadas.
  • Empresa nueva y ampliada:
    Incluye programas piloto o unidades de negocio independientes que se han convertido en empresas autónomas.
  • Fusiones y adquisiciones entre terceros y la cadena de suministro ampliada: Los proveedores, vendedores y otras partes pueden ser objeto de transiciones empresariales con un efecto ascendente.

Recomendaciones para el éxito del programa de fusiones, adquisiciones y desinversiones (MAD) de TPRM

Antes de entrar de lleno en el proceso de GTPR adaptado a las necesidades de su equipo, hay tres buenas prácticas universales que deben tenerse en cuenta. Estas recomendaciones sirven de base para gestionar y mitigar los riesgos potenciales durante todo tipo de transiciones empresariales.

1. Establecer relaciones con las principales partes interesadas

Para gestionar eficazmente las transiciones empresariales y anticiparse a los cambios, es importante mantener relaciones sólidas con las principales partes interesadas de su organización. Fomente la confianza y la colaboración con el consejo de administración, la alta dirección y los departamentos clave, como los de seguridad informática, jurídico, adquisiciones, cumplimiento, privacidad, finanzas y socios de la cadena de suministro.

El fortalecimiento de estas relaciones con las partes interesadas alinea sus estrategias de gestión de riesgos de terceros con objetivos empresariales más amplios y le informa sobre cambios organizativos inminentes. Esta alineación y concienciación facilitan una toma de decisiones rápida e informada cuando se producen cambios, mejorando su capacidad para gestionar los riesgos con eficacia.

2. Mantener una visión holística del riesgo de terceros

Una vez que haya determinado la criticidad de los servicios de terceros, evalúe los riesgos operativos más amplios que estas relaciones pueden plantear a su organización:

  • Financieros: Evalúe la salud financiera del tercero examinando las tendencias de ingresos y gastos, los riesgos de solvencia o quiebra, las calificaciones crediticias y los niveles de liquidez. Estos factores son cruciales para comprender su estabilidad y fiabilidad financieras.
  • Operaciones: Evalúe su resistencia operativa, gestión de recursos, índices de rotación de personal, experiencia con fusiones y desinversiones, y la capacidad de su infraestructura. Esto ayuda a calibrar su capacidad para cumplir las obligaciones contractuales en condiciones cambiantes.
  • Geopolítica/Concentración: Considere cómo gestiona el tercero los riesgos relacionados con cuestiones geopolíticas, catástrofes naturales y retos específicos de la ubicación, como los riesgos de deslocalización y concentración. Comprender estos aspectos es vital para planificar la mitigación de riesgos en entornos diversos.
  • Ciberseguridad y privacidad de los datos: Determine la eficacia de sus medidas de ciberseguridad. ¿Están adecuadamente protegidos contra ciberataques, filtraciones de datos, pérdida de datos y ransomware? Evalúe sus prácticas de gestión de amenazas y vulnerabilidades y su preparación frente a los ciberriesgos emergentes.
  • Medio ambiente, asuntos sociales y gobernanza (ESG):
    Analice cómo gestionan los terceros sus obligaciones ASG. ¿Son sólidas sus políticas medioambientales? ¿Se adhieren a las normas sociales y de gobernanza que se alinean con los valores de su empresa?
  • Cumplimiento y sanciones: Asegúrese de que el tercero cumple las leyes y reglamentos pertinentes que puedan afectar a su negocio. El incumplimiento podría exponer a su organización a riesgos legales y normativos.
  • Reputación: Evalúe la percepción pública y del sector de la tercera parte, incluida cualquier cobertura informativa negativa.

3. Construir un inventario ampliado de la cadena de suministro

Una vez que tenga una visión holística de sus riesgos operativos, evalúe a fondo el estado de toda su cadena de suministro. Es esencial identificar por adelantado a todos los proveedores y sus dependencias. Este enfoque proactivo ayuda a detectar posibles riesgos y facilita una gestión más eficaz de las futuras transiciones empresariales.

Catalogue sistemáticamente a estos proveedores y evalúe sus funciones, dependencias y posibles vulnerabilidades. Esto crea una cadena de suministro más resistente, capaz de adaptarse a nuevos escenarios empresariales, garantizando que su cadena de suministro apoye sus objetivos estratégicos en lugar de obstaculizarlos.

Gestión del riesgo de terceros durante las fusiones y adquisiciones

Una vez sentadas unas bases sólidas, pasemos a explorar algunas de las mejores prácticas de GTPR para fusiones y adquisiciones. En este escenario, es crucial contar con un sólido proceso de incorporación y evaluación. Los pasos clave son:

  1. Evalúe las necesidades de terceros: Determine si su empresa necesita que otro tercero le proporcione un producto o servicio similar. Consulte los inventarios de la cadena de suministro de su empresa y de la entidad adquirida. Compare estos inventarios y prepárese para evaluar, excluir los servicios que se solapen y rescindir los contratos en consecuencia.
  2. Revisión de contratos: Revisar los contratos con terceros de la empresa adquirida para garantizar que sus requisitos de auditoría coinciden con los de la empresa adquirente. Verifique que el tercero cumple sus niveles de servicio contractuales y sus indicadores clave de rendimiento (KPI).
  3. Realice una evaluación de riesgos inherentes: Al seleccionar un nuevo tercero asociado a una entidad adquirida para su incorporación, identifique los riesgos básicos que plantea a su organización. Utilice esta información para orientar el proceso de diligencia debida, aprovechando los criterios de criticidad señalados en la sección anterior.
  4. Validación de la evaluación de riesgos: Determine si el tercero tiene una evaluación de riesgos o certificación independiente, como una SOC 2 o una Declaración de Aplicabilidad (SOA) ISO, completada en los últimos 12 meses que pueda compartir con su organización.
  5. Diligencia debida para evaluaciones insuficientes: Lleve a cabo una diligencia debida adicional si la evaluación de riesgos del tercero no cumple las normas de su organización. Esto debe incluir una evaluación detallada del riesgo de terceros basada en un marco estandarizado como NIST o ISO.
  6. Supervisión continua: Utilizar herramientas y procesos de supervisión continua para validar las respuestas de la evaluación de riesgos e identificar nuevos riesgos que puedan surgir tras las evaluaciones iniciales.
  7. Revise las ampliaciones de las unidades de negocio: Evalúe cualquier ampliación de las relaciones existentes con terceros para detectar riesgos adicionales para su organización.

Actividades adicionales de diligencia debida a tener en cuenta durante las adquisiciones:

  • Relaciones ampliadas: Evalúe las relaciones de 4ª y 5ª parte para evitar riesgos de seguridad y duplicaciones innecesarias que pueden afectar a la rentabilidad.
  • Integración de adquisiciones: Desarrolle un proceso estructurado para incorporar las adquisiciones a su infraestructura tecnológica. Esto reducirá el riesgo organizativo y reforzará la resistencia operativa.
  • Lagunas en los contratos: Abordar los riesgos de seguridad en los contratos incluyendo derechos de auditoría, notificación de infracciones y obligaciones de terceros. Extienda los requisitos de seguridad de los datos a los subcontratistas y defina claramente las expectativas de seguridad de la información.
  • Excepciones de riesgo: Los problemas surgen cuando las unidades de negocio no logran mitigar los riesgos de terceros. Como mínimo, las unidades de negocio deben utilizar excepciones de riesgo que reconozcan y apliquen controles para los riesgos que no pueden mitigarse.

TPRM durante la desinversión

Si su equipo está gestionando una desinversión empresarial, es importante contar con un proceso establecido para dar de baja a proveedores externos, así como a funciones o departamentos internos.

Establezca un acuerdo de servicios de transición si se desvinculan funciones o unidades de negocio que continuarán su relación comercial con su organización como terceros. Considere quién gestionará el proceso y cuándo se podrá conceder acceso al adquirente una vez finalizada la desinversión. Revise si la entidad enajenada tendrá acceso a su infraestructura, conservará información sensible o realizará procesos internos críticos. Una vez completada, segregue la entidad enajenada para restringir el acceso hasta que se apliquen los controles. Esto ayudará a garantizar que el negocio o las operaciones no se interrumpan durante la desinversión.

Mejores prácticas para dar de baja a proveedores externos durante la desinversión

  • Mantenga abierta la comunicación: Gestione los riesgos potenciales comunicándose regularmente con el proveedor durante la incorporación. Informe a los proveedores de los plazos de incorporación, responda a sus preguntas y sea transparente sobre lo que pueden esperar.
  • Anule la autorización de acceso a edificios físicos, datos e infraestructura de TI: Cancele el acceso de un proveedor a datos confidenciales y propiedad intelectual. Elimine sus credenciales de inicio de sesión, solicite la devolución de la propiedad de la empresa, cambie los inicios de sesión, cancele el acceso a todas las aplicaciones y deniegue cualquier acceso a través de API.
  • Realice una revisión final del contrato: revise las cláusulas y disposiciones de rescisión del contrato para asegurarse de que tiene derecho a rescindir la relación con el proveedor o a transferirla a una entidad sucesora. Lleve a cabo una revisión final con los equipos jurídicos y de adquisiciones para identificar la ampliación del alcance y asegurarse de que el proveedor ha cumplido todas las obligaciones contractuales.
  • Pague las facturas pendientes: Programe los pagos finales una vez que reciba los productos finales del proveedor tras revisar los términos del contrato y aclarar cualquier obligación pendiente por ambas partes.
  • Evalúe el cumplimiento de la seguridad de la información y la privacidad de los datos: Asegúrese de que los procedimientos de rescisión se ajustan a sus obligaciones legales. Discuta todos los compromisos pendientes con el proveedor, incluidos los acuerdos de no divulgación, de no competencia y de confidencialidad.
  • Actualice su base de datos de gestión de proveedores: Documente el historial del proveedor con su organización, aportando pruebas que expliquen las razones para poner fin a la relación y registrando el proceso de rescisión. Conserve los registros para resolver los problemas con rapidez y evitar riesgos legales.
  • Supervise continuamente a los proveedores para detectar posibles riesgos futuros: Los riesgos no siempre terminan cuando finalizan las tareas de incorporación y se rescinde el contrato. Supervise las áreas de riesgo potencial durante un periodo posterior a la incorporación para gestionar los riesgos futuros, como las credenciales de usuario disponibles para su venta en la web oscura.

MEPC para empresas conjuntas

Las empresas conjuntas (JV) plantean retos únicos para la gestión del riesgo de terceros, especialmente cuando su organización comparte la propiedad de lo que podría ser un acuerdo temporal. En estos casos, es posible que deba tratar al socio comercial como un tercero.

Acciones críticas para gestionar el riesgo en las empresas conjuntas

  • Realice evaluaciones de riesgos exhaustivas:
    Lleve a cabo evaluaciones de riesgos exhaustivas para identificar los riesgos potenciales para la infraestructura y la información de su organización. Este paso fundamental es esencial para identificar vulnerabilidades y planificar estrategias eficaces de mitigación de riesgos.
  • Aplicaciones de control y segregación: Implemente y mantenga controles adecuados, garantizando una clara segregación para abordar los retos específicos que plantea la empresa conjunta. A medida que evolucione la empresa conjunta, evalúe si se requieren medidas adicionales para salvaguardar los intereses de su organización.
  • Colaborar en la gestión de riesgos: Consolidar toda la experiencia de terceros para garantizar el éxito de la empresa conjunta. Organice sesiones para ayudar a todas las partes a comprender los riesgos identificados, las estrategias aplicadas para gestionarlos y los métodos para comunicarlos a todos los socios. Este enfoque colaborativo fomenta la transparencia y el entendimiento mutuo, que son vitales para gestionar eficazmente los riesgos de la empresa conjunta.
  • Gestión de proveedores a lo largo del ciclo de vida de la relación: Revise y evalúe sistemáticamente a los proveedores externos que prestan servicios a la empresa conjunta. Supervise periódicamente su rendimiento, aplique las disposiciones contractuales pertinentes y desvincule adecuadamente a los proveedores cuando dejen de cumplir las normas de la empresa conjunta o sus servicios ya no sean necesarios.

Centrarse en estas áreas puede mejorar la gestión de los riesgos de terceros en las empresas conjuntas y contribuir al éxito general de la empresa. Revise periódicamente cada paso para asegurarse de que las estrategias de gestión de riesgos siguen siendo eficaces y responden a la naturaleza cambiante de la empresa conjunta.

Próximos pasos

Obtenga más información sobre la gestión de riesgos de terceros durante la transición empresarial con nuestro libro blanco, Guía estratégica para la gestión de riesgos de terceros durante fusiones y adquisiciones. Integre TPRM en sus procesos MAD descargando nuestra guía de onboarding y offboarding. A continuación, programe una demostración para saber cómo Prevalent puede ayudarle a automatizar y acelerar su programa de TPRM durante las transiciones empresariales.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.