Este sitio utiliza cookies para ofrecerle un servicio más ágil y personalizado. Al utilizar este sitio, acepta el uso que hacemos de las cookies. Puede obtener más información sobre el uso que hacemos de las cookies y tecnologías similares y sobre sus opciones consultando nuestra Política de privacidad. Al hacer clic en "Acepto", acepta nuestro uso de cookies y tecnologías similares.
¿Cuándo considerar los requisitos de mitigación de CFIUS? ¡Ahora!
Como señaló mi colega Ken Mendelson, la consigna de la reciente conferencia CFIUS de ACI fue "mitigación". Como resultado de las nuevas reglas que implementan la Ley de Modernización de la Revisión de Riesgos de Inversión Extranjera ("FIRRMA"), es probable que el número de acuerdos que requieren mitigación crezca significativamente.
La conferencia, sin embargo, se centró principalmente en los tipos de acuerdos que requerirían mitigación. La conferencia ofreció pocos detalles sobre las medidas de mitigación específicas que podrían ser suficientes para que se apruebe una transacción. Esas medidas podrían ser un factor decisivo para obtener la aprobación.
Una empresa que no considere las medidas de mitigación desde el principio podría descubrir muy tarde en el juego que, o bien el juego no vale la pena, la mitigación es demasiado onerosa, o que el CFIUS no aprobará el acuerdo porque la estructura y el propósito del acuerdo excluyen las medidas de mitigación adecuadas. Si bien cada acuerdo es único, y la mitigación que requiere CFIUS se adaptará a los riesgos que plantea un acuerdo, en nuestra experiencia trabajando con entidades que enfrentan problemas de CFIUS, hay varios pasos de mitigación que parecen ser útiles cuando se requiere mitigación.
En primer lugar, es probable que la aplicación de cualquier medida de mitigación requiera que la entidad objetivo designe a un oficial de seguridad, normalmente un ciudadano estadounidense y un alto funcionario de la empresa. El oficial de seguridad será responsable de garantizar y documentar plenamente que las medidas de mitigación del CFIUS adoptadas por la entidad objetivo sean adecuadas para proteger los intereses de seguridad nacional de los Estados Unidos. Estos requisitos de mitigación suelen estar detallados en un acuerdo de seguridad nacional ("NSA") o en una carta de garantía ("LOA"), dependiendo de cuál elijan las partes de la transacción y el CFIUS. Para muchas medidas requeridas por una NSA o LOA, el oficial de seguridad será el funcionario responsable de recibir informes, revisar la efectividad de las medidas y certificar e informar sobre el cumplimiento al gobierno.
El oficial de seguridad necesitará un apoyo sustancial para realizar estas tareas mientras sigue realizando su trabajo diario. Este tipo de apoyo es común en las empresas más grandes que tienen un director de cumplimiento y una oficina del asesor general. Es posible que las empresas más pequeñas necesiten contratar la infraestructura para desarrollar políticas y procedimientos y ayudar al oficial de seguridad a supervisar el cumplimiento.
La mitigación también podría implicar la gobernanza de la entidad adquirida. En algunos casos, el gobierno insistirá en que la empresa adquirente sea tratada como un inversor pasivo a los efectos de la gobernanza. Esto se puede llevar a cabo mediante la interposición de una junta de fideicomisarios con derecho a voto, generalmente compuesta por ciudadanos estadounidenses con antecedentes en seguridad nacional, que sirven de forma independiente como una junta directiva de facto, tomando decisiones de alto nivel como la aprobación de estrategias comerciales y la supervisión de responsabilidades ejecutivas.
Esto no significará que la empresa adquirente no pueda trabajar con la empresa adquirida en esos asuntos. Simplemente significa que las decisiones finales pertenecen a los fideicomisarios, que están obligados a actuar de forma independiente para proteger los intereses de seguridad nacional de los Estados Unidos, de conformidad con su obligación fiduciaria corporativa general.
Las adquisiciones de empresas con tecnologías sensibles pueden requerir medidas de mitigación que protejan esa tecnología del acceso de entidades extranjeras, especialmente la empresa adquirente y su personal. Dichas medidas pueden incluir el almacenamiento de fórmulas, detalles de software u otra propiedad intelectual (PI) en instalaciones seguras o en servidores seguros, la implementación de controles de acceso sólidos y un programa de ciberseguridad que incluya la supervisión adecuada de los sistemas para detectar ataques y otros accesos no autorizados, la limitación del acceso físico o en línea a aquellos que tengan la necesidad de conocer, el mantenimiento de registros de todos los intentos de acceso, y el desarrollo de un programa de evaluación de amenazas internas. La entidad objetivo también debe asegurarse de que los proveedores a los que se transfiere la propiedad intelectual confidencial para su uso en la fabricación de componentes o productos puedan cumplir las normas de seguridad física, técnica y administrativa y puedan certificar que lo han hecho.
En algunos casos, la participación de la empresa adquirente en la entidad objetivo puede implicar la venta de los productos de la empresa objetivo a la empresa adquirente y a través de ella. Además de las protecciones mencionadas anteriormente con respecto a la seguridad física de las redes del objetivo y su IP confidencial (es decir, a través del cifrado), es posible que las comunicaciones relacionadas con las ventas y el marketing hacia y a través de la empresa adquirente también deban ser monitoreadas y/o restringidas para evitar la divulgación de la IP al personal de la empresa adquirente.
La mitigación de la posibilidad de divulgación involuntaria o intencionada de propiedad intelectual confidencial, ya sea mediante el desarrollo de estrategias o planes comerciales o mediante esfuerzos de ventas y marketing, puede lograrse controlando y documentando cuidadosamente quién puede comunicarse con la empresa adquirente en relación con esos asuntos, y qué información puede y no puede compartirse. En el caso de los planes y estrategias de negocios, solo los altos funcionarios de la empresa pueden discutirlos. En el caso de los esfuerzos de ventas y marketing hacia y a través de la empresa adquirente, solo se puede permitir que cierto personal de ventas y marketing discuta esos asuntos y se puede prohibir el intercambio de información altamente técnica.
El riesgo de divulgación a través de documentos relacionados con estrategias y planes comerciales o ventas y marketing puede mitigarse sometiendo esos documentos a revisión y aprobación antes de su divulgación a la empresa adquirente. Las estrategias y planes comerciales deben presentarse a los fideicomisarios, mientras que los materiales de ventas y marketing deben enviarse al oficial de seguridad para su aprobación.
Es posible que también sea necesario mitigar el riesgo de divulgación a través de correo electrónico y comunicaciones telefónicas. El correo electrónico se puede monitorear desviando y almacenando automáticamente una copia de todos los correos electrónicos hacia y desde el dominio de la empresa adquirente en una carpeta separada para que la revise el oficial de seguridad. Al personal de la empresa objetivo se le puede pedir que tenga conversaciones con el personal de la empresa adquirente que registre sus llamadas telefónicas y describa brevemente la naturaleza de la conversación. Debe haber suficientes detalles en la descripción para identificar posibles señales de alerta con respecto a cualquier conversación.
Para mitigar el riesgo de divulgación de tecnología sensible a los visitantes extranjeros, el acceso a las instalaciones puede restringirse. Dichas restricciones incluyen un programa eficaz de acceso de visitantes que identifique y registre a todos los visitantes (incluido el estado de ciudadanía, la persona que visita y el motivo de la visita), requiera que lleven una credencial y un acompañante mientras estén en el sitio, y prohíbe el acceso físico a la propiedad intelectual de la empresa objetivo. Las visitas de los representantes de la empresa adquirente pueden requerir un manejo especial y una documentación aún más exhaustiva.
Nada de esto puede suceder sin capacitar al personal de la empresa objetivo para que comprenda sus nuevas responsabilidades. Dicha capacitación debe ser enfocada, exhaustiva, documentada y repetida periódicamente. También debe probarse para garantizar que sea eficaz.
Estos son solo algunos de los pasos de mitigación más comunes que CFIUS ha requerido. También pueden ser necesarias medidas de mitigación adicionales que aborden los riesgos específicos de una transacción.
Si esto suena como un gran esfuerzo, lo es. Requerirá la dedicación de recursos para tomar las medidas necesarias para mitigar el riesgo y mantener un programa de cumplimiento que asegure al gobierno que los intereses de seguridad nacional de los Estados Unidos están protegidos.
Es mejor entender las cargas que entran que sorprenderse más tarde. Considerar el costo y la carga de la mitigación al principio del proceso dará como resultado una toma de decisiones más informada y una mejor comprensión del valor general (y el costo) del acuerdo. También puede evitar la imposición de la medida de mitigación más grave de todas: un monitor de terceros.
J. Keith Ausbrook
Director General
Keith Ausbrook es un miembro clave de la práctica de monitoreo y cumplimiento de alto perfil de Guidepost Solution. Ha liderado equipos que revisan programas de cumplimiento en instituciones financieras de todo el mundo. El Sr. Ausbrook también fue miembro del equipo de monitoreo que revisó los programas de seguridad en General Motors bajo un acuerdo de enjuiciamiento diferido con el Departamento de Justicia de los Estados Unidos. El Sr. Ausbrook es un distinguido abogado con un historial de gestión de crisis complejas. Ha ocupado numerosos cargos de alto nivel en el poder ejecutivo y legislativo, donde supervisó el desarrollo y la implementación de políticas de seguridad nacional y nacional, incluido el cargo de abogado principal en el Comité de la Cámara de Representantes que investiga el huracán Katrina y como secretario ejecutivo del Consejo de Seguridad Nacional en la Casa Blanca.
InvestigaciónLíneas directas