¿Qué riesgos de seguridad se heredan en una adquisición empresarial?

En una adquisición empresarial, el comprador hereda todos los pasivos de seguridad de la empresa adquirida: incumplimientos de la Ley PIC que pueden conllevar sanciones graves, contratos de seguridad privada irregulares, sistemas de seguridad obsoletos que requieren inversión inmediata, expedientes sancionadores en curso, brechas de datos no notificadas a la AEPD con posibles multas del RGPD, y departamentos de seguridad en situación de irregularidad laboral o normativa. Estos pasivos raramente aparecen en una due diligence financiera o legal convencional.

¿Qué diferencia una due diligence de seguridad de una auditoría de seguridad convencional?

Una auditoría de seguridad convencional evalúa el estado de la seguridad para mejorarla. Una due diligence de seguridad pre-adquisición evalúa el estado de la seguridad para cuantificar el riesgo que asume el comprador y su impacto en el valor de la operación. El informe está orientado a la toma de decisión inversora: identifica pasivos, los cuantifica económicamente y proporciona al comprador los elementos necesarios para ajustar el precio, exigir garantías contractuales o descartar la operación.

¿En qué momento del proceso M&A debe realizarse la due diligence de seguridad?

La due diligence de seguridad debe realizarse durante la fase de due diligence previa al signing, simultáneamente al resto de due diligences (legal, financiera, fiscal). En operaciones con acceso limitado al target, CEASI puede realizar una due diligence de seguridad en dos fases: una primera de escritorio basada en documentación disponible, y una segunda de visita física tras el signing condicionado. Los plazos de entrega se adaptan al calendario específico de cada operación.

¿Qué sectores tienen mayor exposición a pasivos de seguridad en operaciones M&A?

Los sectores con mayor exposición a pasivos de seguridad no detectados en M&A son: infraestructuras críticas (energía, agua, transporte, TIC) por las obligaciones de la Ley PIC; sector salud por los requisitos de seguridad de datos sanitarios; logística y distribución por la normativa TAPA y los riesgos de la cadena de suministro; sector financiero por ENS y RGPD; e industria con sustancias peligrosas por la normativa de seguridad sectorial. En todos estos sectores, los pasivos de seguridad pueden ser materiales y afectar significativamente al precio de la operación.

Due Diligence de Seguridad

Ámbito de Actuación

¿Qué incluye el servicio?

La due diligence de seguridad no es una auditoría de mejora: es una auditoría de riesgo inversor. Su objetivo no es proponer mejoras a la empresa target, sino proporcionar al comprador una valoración económica de los pasivos de seguridad que va a heredar y los elementos necesarios para tomar una decisión informada sobre precio, garantías o viabilidad de la operación. CEASI entrega informes con el formato y el rigor que exigen los procesos de M&A.

Equipo de consultores de CEASI revisando informe de due diligence de seguridad con matrices de riesgo en colores rojo naranja verde sobre la mesa, laptop con dashboard de seguridad corporativa y documentación de auditoría pre-adquisición en entorno corporativo de Madrid

Auditoría de Seguridad Física Pre-Adquisición

Evaluación del estado real de los sistemas de seguridad física de la empresa target: CCTV, control de accesos, protección perimetral, sistemas de alarma, medios de protección y adecuación a la normativa aplicable. Identificación de inversiones obligatorias inmediatas, valoración económica de los pasivos físicos y clasificación por nivel de riesgo para el inversor.

Evaluación de Pasivos Ocultos en Seguridad Privada

Análisis exhaustivo de los contratos de seguridad privada vigentes en la empresa target: verificación de la autorización de las empresas contratadas, habilitaciones del personal, cumplimiento de la Ley 5/2014, situación de los expedientes sancionadores en curso y valoración del riesgo de responsabilidad solidaria que asume el comprador al heredar estos contratos.

Auditoría Normativa — Ley PIC y Seguridad Regulada

Verificación del estado de cumplimiento de todas las obligaciones normativas de seguridad de la empresa target: designación y situación del operador crítico (Ley 8/2011), estado del PPE y del PAO, cumplimiento del RD 43/2021, normativa sectorial aplicable (nuclear, energía, transporte) y valoración del pasivo regulatorio y sancionador potencial.

Evaluación de Pasivos en Protección de Datos (RGPD/ENS)

Auditoría del cumplimiento del RGPD y el ENS en la empresa target: estado del registro de actividades de tratamiento, evaluaciones de impacto pendientes o no realizadas, brechas de seguridad no notificadas a la AEPD, situación de los contratos con encargados del tratamiento, adecuación de las medidas técnicas y organizativas, y cuantificación del riesgo sancionador acumulado.

Informe de Riesgo para Inversores y Bancos de Inversión

Elaboración del informe ejecutivo de riesgo en materia de seguridad para el comprador, el banco de inversión o el comité de inversión: resumen ejecutivo con semáforo de riesgos, valoración económica de pasivos por categoría, impacto estimado en el precio de la operación, cláusulas de garantía recomendadas y condiciones precedentes al closing relacionadas con seguridad.

Due Diligence de Ciberseguridad

Evaluación del estado de la ciberseguridad de la empresa target en el contexto de la operación M&A: análisis de la arquitectura de seguridad TI, estado de la adecuación al ENS y a la Directiva NIS2, historial de incidentes de seguridad, vulnerabilidades conocidas no remediadas, dependencias críticas de terceros y valoración del riesgo cibernético que hereda el comprador.

Metodología

Las 6 áreas de revisión de la
due diligence de seguridad CEASI

La due diligence de seguridad de CEASI cubre sistemáticamente seis áreas de riesgo que las due diligences convencionales no analizan. Cada área genera un apartado específico en el informe de riesgo con valoración económica del pasivo identificado.

Seguridad Física e Instalaciones

Estado y vigencia de sistemas CCTV y control de accesos
Adecuación de medios materiales a normativa
Inversiones obligatorias pendientes
Valoración económica del capex de seguridad

Referencia: Ley 5/2014 · Normas UNE-EN

Cumplimiento Normativo de Seguridad

Estado del PPE y PAO (Ley PIC 8/2011)
Planes de Autoprotección vigentes (RD 393/2007)
Expedientes sancionadores abiertos o en riesgo
Normativa sectorial específica aplicable

Referencia: Ley 8/2011 · RD 43/2021 · Ley 5/2014

Contratos de Seguridad Privada

Autorización vigente de empresas contratadas
Cláusulas de responsabilidad y penalización
Pasivos laborales del personal de seguridad
Condiciones de subrogación post-adquisición

Referencia: Ley 5/2014 · Convenio Colectivo Seguridad

Ciberseguridad y ENS

Nivel de adecuación al ENS y NIS2
Historial de incidentes y vulnerabilidades no remediadas
Dependencias críticas de proveedores TI
Valoración del riesgo cibernético heredado

Referencia: ENS · Directiva NIS2 · ISO 27001

Protección de Datos (RGPD/ENS)

Brechas de datos no notificadas a la AEPD
Estado del registro de actividades de tratamiento
Sanciones de la AEPD acumuladas o en riesgo
Contratos con encargados del tratamiento

Referencia: RGPD · LOPDGDD · ENS

Gestión del Personal de Seguridad

Habilitaciones del personal propio de seguridad
Situación del Director de Seguridad
Pasivos laborales del departamento de seguridad
Riesgos de continuidad del equipo post-adquisición

Referencia: Ley 5/2014 · ET · Convenio Colectivo

Experiencia de campo

"Hemos participado en operaciones de adquisición donde el comprador descubrió, una vez cerrada la operación, que la empresa adquirida no cumplía las obligaciones de la Ley PIC o tenía su departamento de seguridad en situación de irregularidad. Pasivos que no aparecen en ninguna due diligence financiera ni legal convencional, pero que generan obligaciones inmediatas y costosas para el nuevo propietario."

— Equipo CEASI · Consultoría Estratégica de Seguridad Integral

Por Qué CEASI

Nuestro valor diferencial

Tres pilares que distinguen nuestra due diligence de seguridad de cualquier auditoría de seguridad convencional o revisión legal genérica.

El Comprador Hereda los Pasivos: Cuantifícalos Antes

Una due diligence financiera y legal convencional no detecta los pasivos de seguridad porque los auditores financieros y los abogados no conocen la Ley PIC, la Ley 5/2014 ni los criterios de la UCSP. CEASI aporta la especialización que ninguna otra disciplina puede aportar en este análisis: el conocimiento operativo y normativo del sector de la seguridad que permite identificar pasivos ocultos antes de que el comprador los herede.

Informe con Formato para Bancos de Inversión

El informe de CEASI no es un informe técnico de seguridad: es un documento orientado a la decisión inversora. Incluye resumen ejecutivo con semáforo de riesgos, cuantificación económica de pasivos por categoría, impacto estimado sobre el precio de la operación, cláusulas de garantía y representaciones recomendadas, y condiciones precedentes al closing relacionadas con seguridad. El formato es directamente utilizable por el banco de inversión y el equipo legal del comprador.

Adaptación al Calendario M&A: Rapidez y Precisión

Los procesos de M&A tienen plazos muy ajustados que no admiten dilaciones. CEASI adapta la metodología y los plazos de entrega al calendario específico de cada operación: due diligence express de 5 días para fase indicativa, revisión documental en paralelo al data room y auditoría física post-signing condicionado cuando el acceso al target es limitado. Rapidez sin sacrificar rigor ni cobertura.

¿Qué incluye el servicio?

Las 6 áreas de revisión de ladue diligence de seguridad CEASI

Nuestro valor diferencial

Las 6 áreas de revisión de la
due diligence de seguridad CEASI