La Lista de Verificación de Diligencia de Vendor Previa a la Compra para Compradores Mid-Market
El equipo de operaciones salió en vivo en febrero. El Onboarding fue bien. Al equipo le gustó la herramienta. En junio, la revisión trimestral de negocios mostraba datos de adopción prometedores. Y luego, en octubre, un representante de un competidor se acercó para "discutir opciones". Esa fue la primera señal. En noviembre, el vendor objetivo había pausado silenciosamente las contrataciones. En diciembre, el CEO envió un correo a toda la empresa sobre "reestructuración estratégica". En enero, el producto estaba en modo de mantenimiento y el tiempo de respuesta del soporte había subido de cuatro horas a cuatro días.
La empresa había firmado un contrato anual. Habían pagado por doce meses. Obtuvieron nueve meses de un producto funcionando y tres meses de incertidumbre, seguidos de una migración que no habían planificado.
Nadie había verificado la salud financiera del vendor antes de firmar. Nadie había preguntado sobre la liquidez, el respaldo de inversores, ni cuántos contratos empresariales tenía en cartera. No fue diligencia. Fue un Demo y una llamada de referencia.
Esta guía es el proceso de diligencia que las empresas mid-market deben ejecutar antes de firmar cualquier contrato SaaS por más de $10K/año. Está calibrado para operadores: no para equipos de adquisiciones empresariales que realizan evaluaciones de seis semanas, sino para líderes que necesitan rigor real en dos o tres días.
Datos Clave: La Realidad de la Diligencia de Vendor
- El Churn SaaS en mid-market ronda el 10-15% anual, aproximadamente 2-3x más alto que el Churn de vendors en empresas grandes (3-5%), según datos de la encuesta SaaS de Pacific Crest / KeyBanc; los vendors con los que usted firma tienen una probabilidad considerablemente mayor de desaparecer que los que eligen los compradores de Fortune 500.
- Aproximadamente el 67% de las startups SaaS respaldadas por venture capital fracasan o se estancan antes de la Serie C, según los datos post-mortem de CB Insights. La etapa de financiamiento es una señal probabilística, no una garantía.
- Las llamadas de referencia que provee el vendor producen aproximadamente 80% de sentimiento positivo independientemente de la calidad del producto, la investigación de compradores de Forrester muestra que las referencias suministradas por el vendor detectan menos problemas en comparación con las referencias obtenidas por pares de comunidades de usuarios o LinkedIn.
- Solo el 23% de los compradores mid-market realiza alguna diligencia financiera sobre vendors SaaS con ARR inferior a $100K, según los benchmarks de adquisiciones de Gartner; esa es exactamente la razón por la que las sorpresas por fallo de vendor siguen ocurriendo.
- Los informes SOC 2 Tipo II requieren de 6-12 meses de monitoreo continuo para producirse; un vendor con solo Tipo I (puntual) está materialmente más atrás en su madurez de seguridad que uno con Tipo II.
Por Qué las Empresas Mid-Market Son Especialmente Vulnerables
Las empresas mid-market ocupan un lugar incómodo en el ecosistema de vendors. Se mueven más rápido que los compradores empresariales, lo que las hace atractivas para vendors en etapas tempranas que buscan ingresos rápidos. Tienen más presupuesto que los compradores SMB, lo que las hace valiosas de perseguir. Y a menudo carecen del músculo institucional de diligencia que las empresas más grandes han desarrollado a partir de años de fallos de vendors. La guía de mercado de gestión SaaS de Gartner señala que las organizaciones mid-market enfrentan un riesgo de concentración de vendors desproporcionado en comparación con los compradores empresariales que distribuyen el gasto entre vendors más grandes y estables.
La ola de SaaS con AI ha empeorado esto. Cientos de herramientas nativas de AI han lanzado en los últimos dos años. Muchas están bien financiadas pero son pre-ingresos. Muchas son positivas en ingresos pero queman más de lo que generan. Y muchas se ven creíbles en un Demo mientras son genuinamente frágiles como negocio.
Su trabajo en la diligencia no es ser paranoico. Es hacer las preguntas que sacan a la superficie los riesgos que usted querría conocer antes de estar dieciocho meses adentro de una migración. Y si ya está llevando a cabo una evaluación completa de vendor, cómo ejecutar un RFP SaaS cubre cómo integrar esta lista de verificación de diligencia en un proceso de selección estructurado de tres semanas.
El Triángulo de Viabilidad del Vendor
Todo vendor SaaS que vale la pena firmar pasa tres pruebas independientes: viabilidad financiera (¿existirán en tres años?), viabilidad operativa (¿pueden entregar los SLAs, el soporte y la postura de seguridad que prometen hoy?) y ajuste del Roadmap (¿la dirección de su producto está convergiendo con sus necesidades o divergiendo de ellas?). Un vendor sólido en dos piernas y débil en la tercera es un riesgo temporizado: los vendors financieramente saludables con Roadmaps divergentes se convierten en migraciones, y los vendors operativamente excelentes que se quedan sin liquidez se convierten en emergencias. La diligencia es el proceso de presionar las tres piernas antes de que se firme el contrato, no después.
Los Seis Dominios de Diligencia
Dominio 1: Viabilidad de la Empresa
La pregunta más importante para cualquier vendor con menos de cinco años de antigüedad o sin escala empresarial obvia: ¿van a existir en tres años?
No obtendrá estados financieros auditados de una empresa privada. Pero puede obtener suficientes señales para emitir un juicio.
Qué verificar:
- Etapa de financiamiento y fecha de la ronda más reciente. Las empresas en etapa Seed y Serie A tienen un promedio de 18-24 meses de liquidez desde su última ronda. Si la última ronda fue hace más de 18 meses y no hay anuncio de Serie B, pregunte directamente sobre la liquidez.
- Calidad del inversor. El respaldo de VC de primer nivel (a16z, Bessemer, Sequoia, Accel) no garantiza el éxito, pero sí correlaciona con soporte del portafolio y capacidad de financiamiento puente. El respaldo de ángeles desconocidos o solo ángeles aumenta el riesgo.
- Tendencia de headcount. Verifique el número de empleados en LinkedIn durante los últimos 6-12 meses. Un headcount decreciente es una señal de advertencia. Despidos masivos sin comunicación pública son una señal de alerta.
- Concentración de clientes. Pregunte si algún cliente individual representa más del 15% del ARR. Si es así, perder ese cliente crea un negocio materialmente diferente.
- Señales de crecimiento de ingresos. Los vendors no le darán el ARR, pero a menudo confirmarán la dirección. "Hemos crecido 3x en los últimos 18 meses" es una señal significativa. Las respuestas vagas también lo son.
Indicadores de salud financiera del vendor (para empresas privadas):
| Señal | Verde | Amarillo | Rojo |
|---|---|---|---|
| Última ronda de financiamiento | <18 meses | 18-30 meses | >30 meses |
| Tendencia de headcount | Creciendo | Estable | Decreciendo |
| Nivel de clientes | Mezcla de enterprise + mid-market | Solo mid-market | SMB-pesado |
| Respaldo de inversores | VC de primer nivel | VC de segundo nivel | Solo ángeles |
| Respuesta a pregunta sobre liquidez | Directa, confiada | Desvía hacia tracción | Se niega a responder |
Dominio 2: Certificaciones de Seguridad
Las certificaciones de seguridad son el piso de la diligencia, no el techo. Un informe SOC 2 Tipo II le dice que el vendor tenía controles documentados al momento de la auditoría, no qué está haciendo con sus datos hoy ni cómo respondería ante una brecha.
Qué verificar:
- SOC 2 Tipo II (no Tipo I). El Tipo I es una atestación puntual. El Tipo II cubre un período de 6-12 meses. Para cualquier cosa que toque datos de clientes, el Tipo II es el estándar base. La descripción general de SOC 2 de la AICPA explica la diferencia entre tipos de informes y qué cubre cada uno.
- ISO 27001 si opera en industrias reguladas o mercados internacionales. El estándar ISO 27001 de iso.org define los requisitos completos para los sistemas de gestión de seguridad de la información.
- Acuerdo de procesamiento de datos (DPA) bajo GDPR si está involucrado algún dato personal de la UE.
- Acuerdo de asociado comercial (BAA) bajo HIPAA si están involucrados datos de salud.
- Resumen de prueba de penetración (como mínimo, fecha de la última prueba y alcance).
Solicite ver el informe real, no una insignia en un sitio web. Los vendors legítimos comparten informes SOC 2 bajo NDA. Los vendors que se niegan a compartir informes bajo NDA son una señal de advertencia. Para una explicación en lenguaje simple de lo que cubre cada certificación, SOC 2, ISO 27001 y GDPR para compradores explica las diferencias y qué preguntas específicas responde cada framework.
Dominio 3: Manejo y Residencia de Datos
Este dominio se ha vuelto significativamente más complejo con las herramientas habilitadas por AI. Las preguntas que haría a un vendor SaaS tradicional se han ampliado para cubrir cómo los modelos de AI del vendor interactúan con sus datos. El Marco de Gestión de Riesgos de AI del NIST proporciona un enfoque estructurado para evaluar cómo los vendors gobiernan los sistemas de AI que procesan los datos de su organización.
Qué verificar:
- ¿Dónde se almacenan los datos geográficamente? ¿EE. UU., UE, ambos?
- ¿Existe una opción de residencia de datos para su región si es necesario?
- ¿Sus datos se usan para entrenar los modelos de AI del vendor? De ser así, ¿puede optar por no participar?
- ¿Qué datos recopila el producto más allá de lo que usted envía explícitamente?
- ¿Cuál es la política de retención de datos? ¿Cuánto tiempo se retienen sus datos después de la terminación del contrato?
- ¿Cuál es la política de eliminación de datos? ¿Cuánto tiempo toma la eliminación y puede verificarse?
Para herramientas habilitadas por AI, el cuestionario de manejo de datos de Evaluación de SaaS Habilitado por AI cubre la capa adicional específica del entrenamiento e inferencia de modelos de AI.
Dominio 4: SLAs de Soporte
La calidad del soporte es imposible de evaluar en un Demo de ventas. Se vuelve visible seis semanas después del inicio cuando algo falla a las 4pm de un viernes.
Qué verificar:
- Tiempo de primera respuesta por nivel de severidad (P1/P2/P3). ¿Qué significa cada nivel y cuál es el SLA?
- ¿El SLA incluye un compromiso de tiempo de resolución, o solo de primera respuesta?
- ¿El equipo de soporte está en el mismo país, en el extranjero o es una combinación? ¿Cuáles son las horas de cobertura?
- ¿Hay un CSM designado, o el soporte es por cola?
- ¿Cómo es el proceso de escalada para una interrupción P1?
- ¿Cuál es el SLA de tiempo de actividad, y cuáles son los términos de crédito por SLAs incumplidos?
Guión de llamada de referencia, preguntas de soporte:
Cuando llame a un cliente de referencia (lo cual siempre debe hacer, y más sobre eso a continuación), pregunte específicamente:
- ¿Con qué frecuencia abrió tickets de soporte en los primeros 90 días?
- ¿Cuál fue el tiempo típico de primera respuesta para un problema P2?
- ¿Ha tenido alguna vez una interrupción P1? ¿Qué pasó y cómo se manejó?
- ¿Cómo es su relación con su CSM?
Dominio 5: Madurez de Integración y API
Una herramienta que no puede conectarse a su stack existente es un silo de datos. Evaluar la madurez de integración antes de firmar previene el proyecto de integración de seis semanas para el que no presupuestó. Si la integración con CRM es un requisito clave, la guía sobre cuándo contratar un consultor CRM explica cómo la complejidad de integración afecta la decisión de asignación de recursos.
Qué verificar:
- ¿Existe una integración nativa para su CRM, HRIS y herramientas de Workflow principales?
- ¿La integración es mantenida por el vendor o por un tercero?
- ¿Qué pasa cuando una plataforma conectada tiene un cambio de API disruptivo? ¿Quién lo arregla?
- ¿Hay una API pública con documentación completa?
- ¿Cuáles son los límites de velocidad de la API?
- ¿Hay limitaciones de integración conocidas (solo lectura vs. sincronización bidireccional, restricciones de mapeo de campos)?
Pida ver la documentación de integración, no un Demo. La documentación de calidad para desarrolladores es un indicador de madurez de la API.
Dominio 6: Calidad de las Referencias de Clientes
Un vendor le dará a sus mejores clientes de referencia. Eso es esperable. Pero cómo conduce la llamada de referencia determina cuánta información realmente obtiene.
Guión de llamada de referencia (8-10 preguntas):
- ¿Cuánto tiempo lleva usando la plataforma y cuál es el alcance de su implementación?
- ¿Cuál fue la parte más difícil de la implementación y cómo lo apoyó el vendor?
- ¿Cómo ha cambiado el producto desde que firmó, tanto positivamente como en lo que ha quedado corto?
- ¿Cómo describiría la capacidad de respuesta del soporte cuando ha tenido un problema serio?
- ¿El precio ha cambiado desde su contrato original? De ser así, ¿cómo y con cuánto aviso?
- ¿Qué hace el producto bien que no apreció completamente antes de comprarlo?
- ¿Qué no hace bien que hubiera querido saber antes de firmar?
- ¿Ha habido algún problema de seguridad, cumplimiento o manejo de datos del que esté al tanto?
- Si volviera a tomar esta decisión, ¿qué haría de manera diferente?
- ¿Renovaría, y por qué?
Las preguntas más valiosas son la 7, la 8 y la 9. Escuche las dudas en la pregunta 7. Escuche una pausa en la pregunta 8. La respuesta a la pregunta 9 casi siempre vale más que el pitch del vendor.
Pida al vendor referencias de empresas similares en tamaño e industria a la suya. Una empresa de 5.000 personas no es una referencia útil para una empresa mid-market de 150 personas.
La Lista de Verificación de Diligencia de 40 Puntos
Viabilidad de la Empresa (8 puntos)
- Etapa de financiamiento y fecha de la última ronda confirmadas
- Calidad del inversor evaluada
- Tendencia de headcount verificada (LinkedIn o Crunchbase)
- Pregunta sobre concentración de clientes respondida
- Dirección de ingresos confirmada
- Dependencia de persona clave evaluada (dirigida por fundador vs. equipo de gestión establecido)
- Riesgo de adquisición o descontinuación discutido
- Roadmap a 3 años revisado para continuidad estratégica
Certificaciones de Seguridad (6 puntos)
- Informe SOC 2 Tipo II revisado (no solo insignia confirmada)
- Período del informe confirmado (debe ser dentro de 12 meses)
- ISO 27001 confirmado si aplica
- DPA bajo GDPR recibido y revisado
- Fecha y alcance de la prueba de penetración confirmados
- Política de bug bounty o divulgación responsable confirmada
Manejo de Datos (6 puntos)
- Geografía de almacenamiento de datos confirmada
- Opción de residencia de datos confirmada si es necesario
- Política de datos de entrenamiento de modelos de AI confirmada
- Datos recopilados más allá del envío explícito documentados
- Política de retención de datos confirmada
- Plazo de eliminación de datos y proceso de verificación confirmados
SLAs de Soporte (6 puntos)
- Niveles y definiciones de SLA confirmados por escrito
- Primera respuesta y tiempo de resolución por severidad confirmados
- Horas de cobertura de soporte confirmadas
- Proceso de escalada para P1 documentado
- SLA de tiempo de actividad y términos de crédito confirmados
- Asignación y modelo de compromiso del CSM confirmados
Integración y API (7 puntos)
- Lista de integraciones nativas revisada frente a su stack
- Responsabilidad de mantenimiento de integración confirmada
- Documentación de API revisada (evaluación de calidad)
- Límites de velocidad de API confirmados
- Limitaciones de integración conocidas documentadas
- Capacidad de sincronización bidireccional confirmada para objetos críticos
- Roadmap de integración para conexiones planeadas confirmado
Referencias de Clientes (7 puntos)
- Mínimo dos llamadas de referencia completadas
- Referencias emparejadas por tamaño de empresa e industria
- Capacidad de respuesta del soporte evaluada mediante llamada de referencia
- Cambios de precio discutidos con referencias
- Problemas de seguridad/cumplimiento identificados o descartados
- Experiencia de implementación confirmada
- Decisión de renovación y justificación recopiladas
Matriz de Escalada de Señales de Alerta
Algunos hallazgos en la diligencia justifican detener la evaluación. Otros son manejables. Esta matriz le ayuda a priorizar:
| Hallazgo | Respuesta |
|---|---|
| SOC 2 Tipo II no disponible | Detener la evaluación o escalar a legal/IT; no omita este requisito |
| Última ronda de financiamiento >24 meses, sin Serie B | Requerir cláusula de depósito en garantía/exportación de datos en el contrato; considerar solo compromiso anual |
| Cliente de referencia no puede confirmar renovación | Pausar la evaluación hasta obtener referencias adicionales |
| El vendor se niega a compartir el DPA | Legal debe revisar antes de que fluya cualquier dato; no firme sin él |
| Concentración de clientes >25% en un solo cliente | Reconocer el riesgo explícitamente; requerir términos de crédito del SLA por interrupción |
| Sin proceso de escalada documentado para P1 | Requerir procedimiento de escalada escrito antes de firmar |
| Entrenamiento de AI con datos de clientes, sin opción de exclusión | Requerir enmienda al DPA o adenda de procesamiento de datos |
Lo Que Requiere una Buena Diligencia
Para una compra SaaS anual de $20K-100K, espere que la diligencia tome dos o tres días hábiles para un Líder de IT o Director de Operaciones competente:
- Día 1: Investigación de antecedentes, señales financieras, revisión de certificaciones
- Día 2: Llamadas de referencia, revisión del SLA de soporte, revisión de documentación de integración
- Día 3: Confirmación de manejo de datos, consolidación de la lista de verificación, resumen de riesgos para el tomador de decisiones
Para compras inferiores a $10K/año, una versión más ligera de esta lista de verificación (15-20 ítems, una llamada de referencia) es proporcional. Para compras superiores a $100K/año, agregue un cuestionario de seguridad formal y revisión legal de los términos de manejo de datos.
Ejecutar la Diligencia como un Workflow Funcional Cruzado en Rework
La diligencia de vendor se rompe cuando vive en la bandeja de entrada de alguien. El Líder de IT está recopilando informes SOC 2, legal está revisando el DPA, finanzas está obteniendo datos de financiamiento y el dueño del negocio está haciendo llamadas de referencia; y nadie tiene una visión compartida de dónde está cada hilo. Cuando el contrato llega al escritorio del CFO, la mitad de los ítems de la lista son "creo que lo cubrimos".
Rework Work Ops (desde $6/usuario/mes) trata la diligencia como un Workflow funcional cruzado en lugar de una hoja de cálculo. La lista de verificación de 40 puntos se convierte en un tablero de tareas estructurado; cada dominio (viabilidad, seguridad, manejo de datos, soporte, integración, referencias) obtiene su propio carril con responsables, fechas límite y archivos adjuntos de evidencia. Las notas de las llamadas de referencia, los informes SOC 2 y los borradores del DPA se adjuntan directamente al registro del vendor, de modo que todo el rastro de diligencia está a un clic de distancia cuando la conversación de renovación ocurre dieciocho meses después.
Para equipos mid-market que ejecutan 5-15 evaluaciones de vendor por trimestre, la diferencia no está en la lista de verificación en sí, sino en que cada evaluación termina con el mismo rigor y en que los artefactos aún son localizables cuando el anuncio de Serie B del vendor (o la ronda silenciosa de despidos) desencadena una reevaluación. Work Ops es el sistema de registro para decisiones que necesita justificar más adelante.
Preguntas Frecuentes Sobre la Diligencia de Vendor SaaS
¿Cuál es el mayor error de diligencia de vendor que cometen los compradores mid-market?
Omitir por completo la verificación de salud financiera. El comprador mid-market típico hace una revisión de seguridad y una llamada de referencia, luego firma; y trata la supervivencia del vendor como un hecho dado. Con el 67% de las empresas SaaS respaldadas por venture capital que fracasan o se estancan antes de la Serie C, la viabilidad del vendor es el riesgo con mayor probabilidad de costarle dinero realmente. Pregunte sobre la etapa de financiamiento, la liquidez y la concentración de clientes antes que cualquier otra cosa.
¿Debo pedir estados financieros a un vendor privado?
No obtendrá estados financieros GAAP de una empresa SaaS privada, y pedirlos señala inexperiencia. Lo que razonablemente puede solicitar: etapa de financiamiento, fecha de la última ronda, nombres de inversores, tendencia aproximada de headcount y una respuesta directa sobre si son positivos en flujo de caja o están quemando capital. Un fundador o CRO confiado responderá esas preguntas directamente. Una evasión también es información.
¿Cuántas llamadas de referencia debo hacer?
Mínimo dos, idealmente tres, con al menos una obtenida fuera de la lista propia del vendor. Las referencias proporcionadas por el vendor tienen alrededor del 80% de sentimiento positivo independientemente de la calidad del producto porque el vendor las selecciona; así que una referencia obtenida por pares de LinkedIn, una comunidad de usuarios o un Slack de la industria vale más que cualquier llamada provista por el vendor.
¿Qué pregunto en una llamada de referencia que no esté en el guión?
Después de las preguntas del guión, pregunte: "Si estuviera firmando este contrato de nuevo hoy, ¿qué negociaría de manera diferente?" La respuesta casi siempre es específica: términos de precio, créditos por SLA, cláusulas de exportación de datos o alcance de implementación. Está obteniendo el consejo de negociación que el cliente de referencia hubiera deseado tener, de forma gratuita.
¿Es justo preguntar sobre su Roadmap?
Sí, y debería hacerlo. Solicite una vista del Roadmap a 12 meses (no una lista de funcionalidades, sino dirección estratégica) y pregunte específicamente qué capacidades están comprometidas frente a las que son exploratorias. Los vendors legítimos comparten un Roadmap direccional bajo NDA. Los vendors que se niegan son secretivos o no tienen uno; ambos son señales de advertencia para un compromiso de varios años.
¿Cómo hago diligencia a una startup SaaS sin historial financiero?
Apóyese más en las señales operativas. Verifique la tendencia de headcount en LinkedIn (creciendo es bueno, estable es una señal de advertencia, decreciendo sin explicación es una señal de alerta). Solicite el número de logos de clientes y si algún cliente individual representa más del 15% del ARR. Requiera una cláusula de exportación de datos y un compromiso anual (no plurianual) en el contrato. Si el vendor no acepta términos solo anuales, eso le dice lo que piensan sobre su propia tasa de retención.
Más Recursos
- Revisión de Seguridad y Cumplimiento: Lo Que un Comprador Mid-Market Debe Verificar Realmente: la capa de seguridad más profunda por debajo de la lista de verificación de diligencia
- SOC 2, ISO 27001 y GDPR para Compradores: qué cubre cada certificación y qué preguntas responde
- Cómo Ejecutar un RFP SaaS Que No Desperdicie 6 Semanas: ejecutar un proceso de evaluación completo con esta lista de verificación integrada
- Señales de Alerta en Contratos SaaS: Auto-Renovación, Límites de Uso y Cláusulas de Terminación a Vigilar: qué revisar después de que la diligencia está aprobada
- Modelado TCO para SaaS: Más Allá del Precio de Lista: diligencia financiera a ejecutar en paralelo con la diligencia de vendor
- Política de gobernanza de AI para departamentos: cómo extender los requisitos de diligencia a las compras SaaS habilitadas por AI
Head of Enterprise Solutions
On this page
- Por Qué las Empresas Mid-Market Son Especialmente Vulnerables
- El Triángulo de Viabilidad del Vendor
- Los Seis Dominios de Diligencia
- Dominio 1: Viabilidad de la Empresa
- Dominio 2: Certificaciones de Seguridad
- Dominio 3: Manejo y Residencia de Datos
- Dominio 4: SLAs de Soporte
- Dominio 5: Madurez de Integración y API
- Dominio 6: Calidad de las Referencias de Clientes
- La Lista de Verificación de Diligencia de 40 Puntos
- Viabilidad de la Empresa (8 puntos)
- Certificaciones de Seguridad (6 puntos)
- Manejo de Datos (6 puntos)
- SLAs de Soporte (6 puntos)
- Integración y API (7 puntos)
- Referencias de Clientes (7 puntos)
- Matriz de Escalada de Señales de Alerta
- Lo Que Requiere una Buena Diligencia
- Ejecutar la Diligencia como un Workflow Funcional Cruzado en Rework
- Más Recursos