Lariat asesora a empresas reguladas y de operaciones complejas en Operaciones, Cumplimiento, Seguridad de la Información, Transaction Advisory, Gobierno de Datos e IA, y Calidad y Preparación para Auditorías. Cada práctica está dirigida por un especialista senior con más de 10 años de experiencia. Cuando un problema abarca más de una práctica — y suele ser así — trabajamos como un único equipo.
Ayudamos a las organizaciones a rediseñar su forma de operar — desde el modelo operativo objetivo y los programas ERP hasta S&OP e integración postfusión. Nuestro trabajo se basa en la ejecución: no redactamos presentaciones de estrategia para que las implemente otro.
Diagnóstico operativo — 4 semanas
Revisión independiente de su modelo operativo, procesos y desempeño. Entregables: hoja de ruta de mejoras priorizada con cuantificación del potencial.
Evaluación de preparación ERP — 3 semanas
Revisión previa a la implantación de programas SAP, D365 o NetSuite. Entregables: registro de riesgos, plan de movilización y gobierno recomendado.
Dirección PMO integrada — 6 a 12 meses
Liderazgo senior interino de PMO para programas complejos de transformación.
Operaciones · Farmacéutica · Programa Global
Construyendo la base de procesos para Lean Six Sigma y digitalización en las operaciones globales de una farmacéutica top-5.
El reto. Una farmacéutica global del top-5 necesitaba estandarizar y documentar sus operaciones globales de extremo a extremo antes de poder abordar mejoras Lean Six Sigma y digitalización a escala. Las operaciones abarcaban ocho áreas distintas — ejecución de pedidos, operaciones de almacén, command centre, datos maestros, gestión de proveedores, sostenibilidad, cumplimiento y capacidades digitales — pero el panorama de procesos existente estaba fragmentado, sin documentar en parte, y disperso en silos. Sin una única fuente de verdad, ni la mejora continua ni el process mining podían comenzar.
El trabajo. Lariat integró un PMO senior en el programa. Establecimos el modelo de gobierno, la cadencia de planificación, el RACI y el marco de gestión de stakeholders — y mantuvimos el ritmo operativo mediante estatus semanales, escalaciones y reporte al sponsor durante todo el proyecto. A partir de ahí, lideramos 38 procesos entre Tier 1 y Tier 2 desde las entrevistas con stakeholders, pasando por la validación y aprobación, hasta la carga en el repositorio central de procesos como única fuente de verdad acordada. Donde el alcance entre áreas era ambiguo, impulsamos las sesiones de alineamiento para resolverlo. Donde los trabajos posteriores de Lean Six Sigma y digitalización dependían de los entregables de la Fase 1, secuenciamos la entrega para que el traspaso fuera limpio.
El resultado. Al cierre del proyecto, Tier 1 estaba plenamente entregado conforme al alcance acordado, el repositorio central de procesos en operación, y la base para la Fase 2 lista. La Fase 2 — análisis Lean Six Sigma y workshops de digitalización — arrancó en plazo, sobre la estructura construida por Lariat. El cliente cuenta ahora con la línea base documentada necesaria para process mining, diseño organizativo y priorización de workshops digitales en todas las operaciones globales.
Seis meses, PMO integrado · Ocho áreas · 38 procesos mapeados, validados y cargados · Fase 1 entregada, Fase 2 habilitada · Liderazgo senior, consultor único de Lariat.
Operaciones · MedTech · Mercados emergentes
Base de procesos para una integración de dos carteras de dispositivos médicos liderada por ERP en mercados emergentes.
El reto. Un grupo global de tecnología médica estaba combinando dos carteras de dispositivos relacionados — históricamente gestionadas como negocios separados con ERPs, cadenas de suministro y modelos comerciales distintos — en un único modelo operativo regional. El cambio requería rediseñar el flujo logístico y financiero alrededor de un ERP compartido y una nueva estructura de distribución en cada país, sustituyendo un modelo de hub europeo centralizado por entidades de distribución locales que mantenían inventario en cada mercado. Las integraciones medtech aportan una complejidad de procesos que los programas farmacéuticos o de gran consumo no tienen: movimientos de equipamiento de base instalada, stock en consignación en hospitales y clínicas, obligaciones de trazabilidad, devoluciones que en muchos casos derivan en destrucción controlada en lugar de reventa, y un ciclo de repuestos y consumibles que coexiste con el flujo principal del dispositivo. Varios mercados emergentes estaban en el alcance, con uno seleccionado como piloto de integración.
El trabajo. Integrados en la función de mejora continua del cliente y en colaboración con un analista de la oficina del programa, Lariat condujo sesiones diarias de trabajo con SMEs de operaciones, atención al cliente y finanzas para obtener el As-Is real a lo largo de toda la cadena de valor: pedido del cliente, entrada intercompañía, salida, inventario y destrucción, devoluciones, y los flujos de equipamiento de campo y consumibles propios de los dispositivos médicos. Producimos mapas de procesos de Nivel 2 con codificación por colores siguiendo un estándar visual único, con los eventos de documentación (pedido de venta, factura, albarán, disparador de precios intercompañía, captura de número de serie/lote) destacados como pasos discretos, de forma que los mapas pudieran soportar tanto la configuración del ERP como el mapeo regulatorio y de controles posterior. Modelamos los flujos To-Be para los procesos de mayor riesgo — explicitando dónde la nueva capa de entidad local cambiaba la facturación, los precios intercompañía, la propiedad de los datos maestros y la decisión devolución-vs-destrucción característica de los dispositivos médicos regulados.
El resultado. Al finalizar la intervención, el programa contaba con una línea base As-Is del mercado piloto lista para firma, una referencia To-Be para los flujos de mayor riesgo, y una visión con criterio de decisión sobre qué candidato ERP podía soportar el modelo propuesto con la menor reingeniería. Los mapas del piloto se convirtieron en la plantilla aplicada a los demás mercados foco en las siguientes oleadas del programa.
Intervención en mercado piloto · Ocho flujos extremo a extremo mapeados a L2 · Entregables As-Is + To-Be · Integrados en el equipo de mejora continua del cliente.
Cadena de Suministro · Farmacéutica · Liberación EU
Reducción de los plazos de liberación EU para la cadena de suministro europea de una farmacéutica global.
El reto. La función de liberación europea de una farmacéutica de primer nivel — el paso de certificación QP que da entrada a los productos terminados al mercado europeo — incumplía sistemáticamente sus plazos objetivo internos. Varios factores convergían a la vez: los volúmenes de lanzamientos desde sitios de fabricación fuera de la UE crecían; el equipo de certificación había absorbido una rotación significativa, en parte por colegas que se movieron a programas de vacunas COVID; y el modelo de priorización existente no permitía visibilizar qué lotes necesitaban realmente aceleración para evitar roturas de stock. El negocio estaba preocupado por el suministro a pacientes, la percepción de las autoridades competentes y la credibilidad de las cifras de planificación utilizadas aguas abajo.
El trabajo. Integrados en la función global de cadena de suministro, Lariat condujo un DMAIC de Lean Six Sigma sobre el proceso de liberación EU de extremo a extremo — mapeando el flujo as-is desde la recepción en sitios EU hasta la certificación QP, segmentado por arquetipo de cadena de suministro (origen UE vs. reconocimiento mutuo vs. importaciones de terceros países, producto terminado vs. semiterminado). Cuantificamos los stop-over-times y tiempos de inspección reales por arquetipo, identificamos los contribuyentes desproporcionados al plazo total y los comparamos con la necesidad contractual y clínica. Rediseñamos el marco de priorización — incluyendo una pirámide de escalado, clasificaciones por segmento y criterios de decisión — para que planificadores, científicos de liberación y responsables de cadena de suministro tuvieran una única fuente de verdad sobre qué lotes importaban más. Definimos los plazos objetivo revisados por arquetipo, el trabajo estándar y los puntos de confirmación para alcanzarlos, y el reporte mensual de desempeño que permitiría a la dirección comprobar si el nuevo modelo operativo realmente se sostenía.
El resultado. El programa entregó nuevos plazos objetivo acordados por arquetipo de cadena de suministro, un marco de priorización y escalado adoptado por las comunidades de liberación y planificación, y una línea base mensual de desempeño que hizo defendible el nuevo modelo operativo ante la dirección de cadena de suministro y los stakeholders aguas abajo. El trabajo creó la base sobre la cual se secuenciaron iniciativas posteriores de automatización y flexibilidad de recursos.
DMAIC de liberación EU de extremo a extremo · Seis arquetipos de cadena de suministro analizados · Marco de priorización + escalado adoptado · Línea base mensual de desempeño establecida.
Asesoramos a entidades reguladas — pagos, dinero electrónico, fintech, criptoactivos — durante autorizaciones, supervisión y cambios regulatorios complejos. Nuestros socios cuentan con la condición FCA-approved person y aportan experiencia directa de las expectativas del regulador desde ambos lados de la mesa.
Preparación para autorización FCA — 6 semanas
Análisis de brechas frente a las expectativas FCA, redacción de la solicitud y soporte durante la presentación. El proyecto completo suele durar 6 a 12 meses.
MLRO como servicio
Función MLRO externalizada o co-gestionada para entidades autorizadas. Incluye evaluación de riesgos, reportes de supervisión y enlace con el regulador.
Diagnóstico de delitos financieros — 3 semanas
Revisión independiente de su marco AML/CTF frente a las expectativas regulatorias actuales. Entregables: plan de remediación priorizado.
Regulatorio · Pagos · M&A
MSB canadiense registrado en FINTRAC transferido a un nuevo propietario en doce días.
Contexto del cliente. Una fintech con licencia en la UE necesitaba una entidad canadiense registrada para acceder a las redes de pago norteamericanas sin reestructurarse bajo licencias estatales de Money Transmitter de EE. UU. Un registro FINTRAC nuevo habría llevado de tres a seis meses, más seis a doce semanas para abrir cuentas bancarias. El objetivo era una corporación inactiva de Columbia Británica con el 100 % de las acciones en manos de un único vendedor, registro MSB FINTRAC activo, historial AML limpio y sin actividad operativa.
Enfoque. Lariat dirigió la operación de extremo a extremo. Emparejamiento del comprador y NDA inicial, exclusividad durante todo el proceso. Una ventana de due diligence de cinco días cubrió los registros corporativos, el estado de la licencia, el historial AML y la confirmación de inactividad — exponiendo el alcance completo de servicios autorizados por FINTRAC, incluida la moneda virtual, para que el comprador comprendiera las obligaciones inherentes al registro. El SPA se redactó como estructura directa comprador–vendedor, con la contraprestación fijada y la wallet receptora verificada antes del movimiento de fondos. Al firmar, Lariat presentó el cambio de directores ante el BC Registry y las actualizaciones de accionistas, directores y oficial de cumplimiento ante FINTRAC.
Resultado. La transferencia regulatoria se completó dentro de los cinco días hábiles posteriores a la firma — el plazo más rápido del mercado. El traspaso completo siguió el día doce: certificado de acciones y registros, archivos corporativos vigentes, y acceso a los portales del registro y de FINTRAC. El comprador pasó de la presentación a una entidad registrada en FINTRAC y operativa en doce días, reduciendo un cronograma de dos trimestres.
Transferencia integral en doce días · MSB de BC con registro FINTRAC · Transferencia regulatoria en cinco días · SPA directo comprador–vendedor · Alcance FINTRAC divulgado íntegramente en DD · Traspaso limpio · Emparejamiento de comprador · Redacción de SPA · Trámites regulatorios · Asesoría en cumplimiento.
Cumplimiento · Pagos
"Lariat nos llevó desde la fase inicial de diálogo con la FCA hasta la autorización como PI en once meses. Su dominio de las expectativas del regulador marcó la diferencia entre una solicitud bien presentada y una solicitud creíble".
— CEO, entidad de pagos autorizada por la FCA
Diseñamos, implantamos y auditamos los controles que protegen los datos regulados y generan confianza ante reguladores y clientes. Nuestra práctica posee CISM, CIPP/E, CIPM y PCIP — y trabaja igual de bien con equipos técnicos y con consejos de administración.
Definición de alcance y preparación SGSI — 4 semanas
Definir el alcance del SGSI, identificar brechas de control y producir una hoja de ruta de certificación ISO 27001.
Revisión del programa RGPD — 3 semanas
Evaluación independiente de su programa de protección de datos frente a las expectativas actuales de la ICO y la jurisprudencia. Entregables: plan de remediación priorizado.
DPO fraccional
Delegado de Protección de Datos externalizado para organizaciones que necesitan liderazgo senior en privacidad sin contratar a tiempo completo.
Seguridad · Pagos
Certificación ISO 27001 en siete meses para una empresa de pagos autorizada por la FCA.
Contexto del cliente. Entidad de pagos británica autorizada por la FCA que procesa transacciones card-not-present y de open banking para comercios de e-commerce. Necesitaba la certificación ISO 27001 en siete meses para superar el onboarding de un banco socio de tier 1 y reforzar su posición ante una ronda Series B. Los controles existentes estaban dispersos entre Confluence y hojas de cálculo: suficiente para FCA SYSC, pero lejos de un SGSI auditable.
Enfoque. Alexander dirigió el programa de principio a fin, apoyándose en las líneas de servicio de CyberAdviser: construcción del marco, gestión de riesgos y certificaciones. Mes 1: análisis de brechas frente a ISO 27001:2022, mapeado a las obligaciones existentes de FCA, PCI DSS y GDPR para evitar controles duplicados. Meses 2–3: construcción del SGSI — Declaración de Aplicabilidad, conjunto de políticas, registros de activos y proveedores, y metodología de riesgo a nivel estratégico, táctico y operativo. Meses 4–5: operacionalización — respuesta a incidentes, pruebas de BC/DR, integración en el ciclo seguro de desarrollo, gestión de vulnerabilidades y evaluación de proveedores (procesador de pagos, proveedor KYC y entorno AWS eu-west-2). Mes 6: auditoría interna y revisión por la dirección. Mes 7: auditorías externas Stage 1 y Stage 2.
Resultado. Certificación obtenida al primer intento con dos no conformidades menores, ambas cerradas dentro del plazo de acción correctiva. Onboarding bancario completado en la semana 32. El SGSI se diseñó para ser reutilizable y hoy sustenta el programa PCI DSS v4.0 de la firma y el SOC 2 Type II previsto, evitando estructuras de cumplimiento paralelas.
Programa de siete meses end-to-end · ISO 27001:2022 · Certificado al primer intento, dos no conformidades menores · Onboarding bancario completado semana 32 · SGSI base del programa PCI DSS v4.0 y SOC 2 Type II · Construcción del marco · Gestión de riesgos · Certificaciones.
Asesoramos en adquisiciones, desinversiones e inversiones en empresas reguladas y de operaciones complejas. Nuestro trabajo abarca la preparación de transacciones, la diligencia debida y la integración post-cierre — anclados en la realidad operativa y regulatoria.
¿Busca adquirir directamente una entidad regulada? También vendemos empresas MSB de Canadá listas para operar y registradas en FINTRAC, con transferencia de titularidad en cinco días.
Evaluación de preparación para la transacción — 4 semanas
Revisión de preparación para fundadores y consejos que se preparan para una venta o inversión. Entregables: paquete de información de gestión, áreas de riesgo identificadas, remediación recomendada.
Due Diligence del lado comprador
Evaluación comercial, operativa y regulatoria de empresas objetivo para adquirentes. Entregables: informe de due diligence, hallazgos clasificados por riesgo, consideraciones de integración.
Sprint de planificación de integración — 6 semanas
Planificación rápida de integración para operaciones recién cerradas. Entregables: plan de 100 días, estructura de flujos de trabajo, marco de gobierno.
Transaction Advisory · Pagos
Lariat asesoró en la adquisición e integración post-cierre de tres empresas de pagos reguladas, abarcando la transferencia de autorización FCA, mejora del AML y consolidación operativa durante catorce meses.
Ayudamos a las empresas reguladas a gobernar sus activos de datos y sistemas de IA — construyendo los marcos, controles y registros de auditoría que satisfacen a los reguladores y hacen sostenibles las operaciones intensivas en datos.
Diagnóstico de gobierno de datos — 4 semanas
Evaluación de su postura actual de gobierno de datos frente a las expectativas regulatorias. Entregables: informe de brechas, hoja de ruta de mejoras priorizada.
Marco de gobierno de IA — 6 semanas
Diseño e implantación de un marco de gobierno de IA proporcionado a su perfil de riesgo y obligaciones regulatorias.
Soporte EIPD
Facilitación integral de Evaluaciones de Impacto en la Protección de Datos para actividades de procesamiento de alto riesgo, incluidos sistemas de decisión basados en IA.
Gobierno de Datos · Pagos
Una empresa de pagos regulada necesitaba demostrar controles de gobierno de datos para una revisión regulatoria liderada por la FCA. Lariat diseñó e implantó un marco de linaje y clasificación de datos en ocho semanas, permitiendo a la empresa presentar un entorno de control creíble al regulador.
Preparamos a las empresas reguladas para auditorías internas, externas y regulatorias — construyendo la documentación, evidencias de prueba y entornos de control que resisten el escrutinio.
Sprint de preparación para auditoría — 3 semanas
Revisión rápida de su preparación para la auditoría: simulacros de auditor, análisis de brechas de evidencias y un plan de remediación claro.
Evaluación de brechas del SGC — 4 semanas
Evaluación de su sistema de gestión de calidad frente a ISO 9001 o estándares sectoriales. Entregables: informe de brechas, hoja de ruta de certificación.
Preparación para inspección regulatoria
Preparación integral para inspecciones lideradas por el regulador: simulacros, recopilación de documentos y briefings de dirección.
Calidad y Auditoría · Farmacéutica
Un distribuidor farmacéutico que se enfrentaba a una inspección GMP tenía lagunas documentales significativas. Lariat implantó un sistema de gestión de calidad y preparó al equipo para la inspección en doce semanas. La empresa superó la inspección sin hallazgos críticos.
Nuestras prácticas se aplican a sectores regulados y de operaciones complejas. Los siguientes representan la mayor parte de nuestro trabajo en los últimos cinco años.
Servicios financieros y pagos
Entidades autorizadas por la FCA, instituciones de pago y EMI, MSB y operadores de cripto regulados.
Farmacéutica, MedTech y Ciencias de la Vida
Fabricantes, distribuidores y empresas de dispositivos médicos que operan bajo GxP/GMP/GDP, con complejidad global en la cadena de suministro.
Retail y bienes de consumo
Retailers omnicanal, grupos de gran consumo y marcas que navegan la volatilidad de la cadena de suministro.
Tecnología y SaaS
Empresas tecnológicas de tamaño medio y en fase de crecimiento que escalan operaciones y confianza del cliente.
Servicios profesionales
Asesores regulados, despachos de auditoría y abogacía con complejidad operativa y de protección de datos.
MSB canadienses y pagos transfronterizos
MSB registradas ante FINTRAC, operadores de remesas transfronterizas y empresas que lanzan corredores de pago regulados en Canadá.
Cripto y activos digitales
Proveedores de servicios de criptoactivos regulados, operadores de exchanges y custodios que navegan los requisitos de FCA, MiCA y FINTRAC.
Lariat es deliberadamente pequeña. Cada proyecto está dirigido personalmente por un socio de práctica, apoyado por una red curada de asociados con los que trabajamos desde hace años. Usted contrata a las personas que harán el trabajo.
Liderazgo senior, siempre.
Un proyecto de Lariat lo dirige un socio, no se delega a un equipo junior. La ejecución diaria la realizan las personas con las que usted ha hablado.
Alcance honesto.
Proponemos el proyecto más pequeño que resuelva su problema. Si un diagnóstico de cuatro semanas responde a la pregunta, no le venderemos un programa de cuatro meses.
Independencia.
Sin acuerdos de partnership con proveedores de software, sin comisiones por implementación, sin incentivos para recomendar la herramienta equivocada.
Cuéntenos su problema y lo dirigiremos a la práctica adecuada — o a las tres. La mayoría de los proyectos comienzan con una llamada inicial de 30 minutos.