Explica la due care frente a la due diligence y da un ejemplo de cada una.
Respuesta breve
La due diligence es la investigación y comprensión continuas de los riesgos (saber qué se debe hacer), mientras que la due care consiste en tomar las acciones razonables que una persona prudente tomaría para abordarlos (hacerlo realmente). La diligence es investigación y supervisión; la care es implementación y mantenimiento.
Los roles de gobernanza sénior viven y mueren por esta distinción, porque se conecta directamente con la responsabilidad legal. Los entrevistadores la preguntan para ver si entiendes que conocer un riesgo y actuar sobre él son obligaciones separadas.
Due diligence: saber
La due diligence es la investigación, indagación y supervisión continua que construyen la comprensión de los riesgos de una organización y de los controles disponibles para abordarlos. Realizar evaluaciones de riesgo, verificar la postura de seguridad de un proveedor antes de firmar, vigilar el panorama de amenazas y revisar los hallazgos de auditoría son todo due diligence. En resumen, la due diligence consiste en hacer los deberes para saber qué se debe hacer.
Due care: hacer
La due care consiste en actuar sobre ese conocimiento — implementar y mantener los controles razonables que una persona prudente pondría en marcha. Desplegar el parche que supiste que necesitabas, hacer cumplir la política que escribiste, formar al personal y mantener los controles operativos a lo largo del tiempo son todo due care. La due care consiste en hacer lo que se debe hacer.
La regla de la persona prudente
Ambas se conectan con la regla de la persona prudente: los tribunales juzgan si la dirección actuó como lo habría hecho una persona razonable y cuidadosa en las mismas circunstancias. Una organización que hizo diligence (conocía el riesgo) pero omitió la care (nunca actuó) queda expuesta a demandas por negligencia. Una due care demostrable — acción documentada, coherente y razonable — es una defensa central frente a la responsabilidad.
Un ejemplo aclaratorio
Una empresa realiza una evaluación anual de riesgos y descubre que un servidor crítico está sin parchear: eso es due diligence. Aplicar realmente el parche y verificarlo: eso es due care. Saber y no actuar es la brecha peligrosa.
Qué buscan los entrevistadores
La división nítida «diligence = saber, care = hacer», el vínculo con la regla de la persona prudente, y la conciencia de que la due care es el escudo legal frente a la negligencia.
Posibles preguntas de seguimiento
- ¿Cómo se relaciona la regla de la persona prudente con estos conceptos?
- ¿Cómo puede demostrar la due care reducir la responsabilidad legal o por negligencia?
- Da un ejemplo en el que una organización hizo diligence pero falló en la care.