902 88 57 66 prysma@prysma.es

La crisis del COVID-19 manda a la UCI a los actuales modelos de gestión de riesgos

La amenaza

Creíamos que lo habíamos visto todo en catástrofes: Chernobil, el atentado contra las torres gemelas, el tsunami de Indonesia seguido unos años más tarde por el ocurrido en Japón, que pudo ocasionar un gran desastre nuclear, los grandes huracanes que cada año asolan alguna zona del Caribe o de América del Norte, grandes terremotos, etc.

La humanidad se había enfrentado recientemente y con relativo éxito a pandemias que se podían contagiar con gran facilidad y extenderse de forma descontrolada, con elevado riesgo para la vida de las personas, como el SARS, la gripe aviar, la gripe A o el ébola, pero al final todo quedó confinado en pocos países y causó un número de víctimas muy inferior al que se vaticinaba inicialmente.

En estos casos la sociedad había estado alerta y muchas empresas habían preparado planes de contingencia y planes de continuidad de negocio, previendo que una parte de sus trabajadores se contagiaran y no fuera posible o aconsejable mantener la actividad en el centro de trabajo afectado.

¿Qué ha pasado entonces con el COVD-19?

¿Por qué en este caso se le quitado importancia desde el primer día?: “es como una gripe”, “aquí no va a llegar porque hay más higiene, mayor control alimentario y mejor sistema sanitario”; “la mortalidad es muy reducida y solo afecta a un 2 o 3% de los afectados”; “la mortalidad se concentra en personas mayores o de riesgo”.

El resultado es que nadie o casi nadie se había preparado.

¿Era predecible el riesgo de que el sistema sanitario pudiera colapsar? ¿Era predecible que todo un país se pudiera paralizar o que se interrumpiera el tránsito de personas entre países?

¿Por qué no se creyó a la OMS cuando el 30 de enero declaró la emergencia sanitaria internacional?

¿Estaba preparado el Gobierno? 

Si nos centramos en España, está claro que el Gobierno recién formado, acuciado por problemas de estrategia política y por la amenaza de una nueva crisis económica, solo quería escuchar que éste no era un verdadero problema.

Pero ¿qué aconsejó al Gobierno el DSN (Departamento de Seguridad Nacional encargado de asesorar al Gobierno en materia de seguridad)? Este organismo dispone, entre otras, de una unidad de “Seguimiento y Alerta” y de una unidad de “Análisis y Valoración de Riesgos”.

¿Es posible que en España no se hubiera previsto un riesgo de similares características, que obligara al confinamiento de una parte, o de la totalidad de la población? ¿Es posible que no se hubiera previsto y planificado una coordinación entre administraciones y una colaboración público-privada en una situación de emergencia nacional? Porque la verdad es que la forma tan improvisada, errática y poco eficaz de actuar denota, más allá de los condicionantes políticos (que dificultan y retrasan la toma de decisiones), una enorme falta de capacidad para planificación y la gestión de riesgos y de situaciones de crisis.

¿Estábamos preparadas las empresas?

¿Habíamos previsto las empresas un escenario similar a éste en nuestro mapa de riesgos?

Es verdad que, a raíz del incendio en el Edificio Windsor, en Madrid, muchas empresas de servicios profesionales y de otros sectores disponían de planes de continuidad de negocio para poder reestablecer las operaciones en otra instalación diferente a la habitual o en el propio domicilio, con sistemas informáticos y de comunicaciones redundantes, distribuidos o externalizados en parte.

También hay muchas empresas en España que habían implantado políticas de conciliación entre vida laboral y familiar, y que han venido fomentando y regulando el teletrabajo.

En cierto modo, todas estas empresas, que no son pocas, estaban más preparadas para afrontar esta situación. Pero en realidad nadie la había previsto. No todas las empresas estaban adaptadas al teletrabajo (que en algunos casos se veía como un privilegio, sic), no se habían analizado los riesgos asociados a la cadena de suministro, ni los de la red de distribución, ni la perdida de recursos humanos (no ya por fallecimientos o enfermedades, sino simplemente por no poder llegar al puesto de trabajo), no se habían analizado las coberturas de los seguros, etc.

La crisis del COVID-19 va a cambiar, o enviar directamente a la UCI, los modelos que habíamos utilizado hasta ahora en nuestros análisis de riesgos y la forma de abordar sus consecuencias.

Cuando identificamos amenazas o peligros, analizamos la probabilidad de que sucedan, la gravedad de las consecuencias que acarrearían y la capacidad de detección temprana que tenemos para actuar y evitarlos. Un caso como el de una epidemia o una pandemia habría quedado reducido a un riesgo muy bajo, porque, aunque las consecuencias se hubieran valorado como muy graves, la probabilidad se hubiera considerado bajísima. En consecuencia, no habríamos previsto la adopción de ningún tipo de medida.

Además, en muchas ocasiones se habían valorado riesgos casi exclusivamente tecnológicos (las famosas “caídas de la red”), pero apenas se había prestado atención a problemas serios en la cadena de suministro (por cierto, vaya golpe de credibilidad para el blockchain ante la falta de garantías de los suministros internacionales), la falta de recursos humanos disponibles, la saturación de determinados servicios o los problemas de distribución de los productos.

¿Qué debemos hacer las empresas para prepararnos?

Ahora ya tenemos el antecedente –ha pasadotenemos que revisar, con prisa y sin pausa nuestro análisis de riesgos, porque esto que hoy estamos viviendo puede tener un “rebote” o puede presentarse una situación similar dentro de un tiempo corto. No es por ser agorero, ni mucho menos, pero lo que no tendría perdón es no hacer nada por pensar que una tragedia como esta no se va a repetir en mucho tiempo ¿en cuánto tiempo? ¿quién se atrevería a firmarlo?

Alguien podría pensar que en una situación como la del COVID-19 las empresas están “vendidas” y solo les queda esperar acontecimientos, pero nada más lejos de la realidad. Es verdad que hay una parte que queda fuera del control de la empresa (más adelante hablaremos de esto), pero ésta debe tener identificada la amenaza, haber valorado el riesgo y tener previstas medidas y decisiones.

La primera medida ante una amenaza de este tipo debe ser poner en marcha un comité de crisis de forma inmediata (en el caso del COVID-19 podría haber sido en enero de 2020), que irá evaluando distintos escenarios, con la premura que requiera el caso, adaptando a la posible realidad las medidas que se hubieran diseñado previamente y tratando de anticiparse a los acontecimientos.

Lo importante es que el riesgo nos encuentre, llegado el caso, trabajando con mucha agilidad y creatividad para evitarlo.

  • La gestión de riesgos que conocíamos ya no vale.
  • En una situación como esta todas las áreas de la empresa están comprometidas y los niveles de riesgo y las correspondientes medidas pueden estar cambiando cada día.
  • El mapa de riesgos y el plan de continuidad de negocio son absolutamente dinámicos y se convierten en las herramientas de trabajo del comité de crisis.
  • Cualquier decisión que se tome (y las que no se tomen) tiene repercusión en las personas, en la cuenta de resultados, en los clientes, en los proveedores, en la imagen y en la supervivencia de la empresa.

Conviene aclarar muy brevemente que la gestión de riesgos es la herramienta que tienen las organizaciones para identificar las amenazas o los peligros que les puedan afectar, pero sobre todo para reducir la probabilidad de verse afectadas por ellos y para mitigar el impacto que ocasionaría un determinado peligro si finalmente ocurriera. Un plan de continuidad de negocio es una medida específica (en realidad es un plan de actuación de cierta complejidad) enfocada a asegurar la vuelta a la normalidad de la organización, en el menor tiempo posible, en el caso (todo lo improbable que se quiera) de que una grave amenaza ocurriera e interrumpiera total o parcialmente su actividad.

Algunas consideraciones sobre la diferenciación entre sectores esenciales y no esenciales

Desde el 30 de marzo, las empresas consideradas por el Gobierno como de sectores no esenciales se han visto obligadas a cerrar sus centros de trabajo. ¿Es verdaderamente necesario detener la actividad de tantas empresas? ¿Es un problema de sectores?

Si se hubiera previsto un riesgo de parecidas características (no necesariamente éste, sino uno genérico similar “epidemia” o “pandemia”), es posible que muchas empresas se hubieran podido dotar de la organización, los métodos de trabajo y los recursos necesarios para reducir drásticamente la probabilidad de contagio. El problema, salvo excepciones, no es tanto el sector, como la gestión del riesgo que se haga y las medidas que la empresa sea capaz de implantar.

Estos días me estoy encargando de hacer la compra, normalmente una vez por semana. Mi casa se encuentra situada entre dos conocidos supermercados. En uno de ellos han colocado de forma permanente a un empleado en la entrada que regula el paso a los clientes y obliga a cada uno a desinfectarse las manos con gel y a ponerse guantes, antes de pasar y recoger el carro de la compra y, además, dentro del establecimiento algunos empleados están dedicados a tareas de limpieza (suelo, armarios frigoríficos, zona de cajas; etc.) y se respira un ambiente agradable. En el otro supermercado solo se ve, y no siempre, un control de acceso para limitar el aforo y dentro se nota un ambiente cargado. La alimentación es un sector esencial, pero la gestión del riesgo, véase el ejemplo, puede ser muy diferente.

He utilizado el ejemplo anterior para tratar de argumentar que las personas se pueden contagiar igual en el supermercado, o en la tienda, que en su trabajo siempre que no existan las medidas adecuadas. Sin embargo, si una empresa es capaz de demostrar que toma las medidas adecuadas (incluyendo los desplazamientos) por qué se tiene que ver obligada a detener su actividad.

 

¿Qué debe hacer un gobierno?

La misión de un gobierno ante una situación de emergencia nacional debe ser la de liderar de forma eficaz a toda la sociedad, predicando con el ejemplo, orientando la actividad de las empresas y las acciones de las personas en la dirección correcta y con el menor número de improvisaciones, y para abordar esa misión con alguna probabilidad de éxito considero absolutamente necesario llevar a cabo las siguientes actuaciones.

  1. Asegurarse de tener el mejor equipo de analistas de riesgos profesionales y las herramientas necesarias, en los ámbitos que ya gestiona el DSN.
  2. Tener identificados a los mejores expertos en los ámbitos de los riesgos catalogados, con el fin de poder formar un grupo cualificado que asesore, en su momento, al comité de crisis.
  3. Definir una política de gestión de crisis que establezca el marco general de actuación, las responsabilidades y los compromisos con todas las partes interesadas, como forma de asegurar un rápido enfoque a objetivos y unas reglas del juego claras.
  4. Desarrollar diferentes modelos de colaboración público-privada, dependiendo del tipo de amenaza o de riesgo, con protocolos de actuación regularmente probados con todos los agentes, que garanticen unos tiempos de respuesta y unos niveles de eficacia establecidos.
  5. Asegurar la máxima transparencia desde el primer momento, para que todas las organizaciones puedan ir evaluando sus riesgos, planificando escenarios y actuando en consecuencia, según la evolución de la crisis. La detección temprana, si es posible, es clave para todos.
  6. Cuando la crisis se supere, analizar lo realizado, valorar lo conseguido, reconocer las deficiencias y aprovechar las lecciones aprendidas para hacerlo mejor la próxima vez.

Cuidado, porque detrás de esta ola puede venir otra

En este momento (primeros de abril), tenemos unos 250.000 ERTES encima de la mesa y alrededor de un millón de personas afectadas.

¿Qué va a pasar dentro de unos días, unas semanas o unos meses? Los esforzados analistas de riesgos de todas las organizaciones tienen que estar imaginando y previendo los siguientes escenarios de crisis derivados del COVID-19.  Las amenazas se pueden multiplicar (crisis económica, crisis social, crisis política, etc.), pero también habrá nuevas oportunidades para quienes sepan descubrirlas a base de trabajar en la búsqueda de soluciones que prevengan o que mitiguen las consecuencias de lo que parece que se nos viene encima.

Conclusiones prácticas para la empresa

A modo de resumen y por si alguien no ha resistido la lectura de estas páginas, sintetizo a continuación los mensajes en los que quiero poner un especial énfasis para abordar una crisis de grandes dimensiones desde la propia empresa:

  • La crisis del COVID-19 va a cambiar los modelos más comunes que habíamos utilizado hasta ahora en nuestros análisis de riesgos y la forma de abordar sus consecuencias. El mapa de riesgos que conocíamos seguramente ya no nos vale y hay que adaptarlo al entorno actual.
  • Se ha demostrado que las empresas necesitan un sistema de gestión de riesgos, complementado con un plan de continuidad de negocio (se puede tomar como referencia la norma UNE ISO 22301). Ambos, modelo de gestión de riesgos y plan de continuidad de negocio son inseparables y se convierten en las herramientas de trabajo del comité de crisis, pues los niveles de riesgo y las correspondientes medidas pueden estar cambiando cada día.
  • La vigilancia tecnológica en riesgos es ahora una nueva necesidad, que nos debe servir para aprender en cabeza ajena
  • En una situación como esta el trabajo en equipo es esencial, pues todas las áreas de la empresa están comprometidas y deben estar representadas en comités de crisis agiles, eficientes y empoderados
  • Cualquier decisión que se tome (y las que no se tomen) tiene repercusión en las personas, en la cuenta de resultados, en los clientes, en los proveedores, en la imagen y en la supervivencia de la empresa
  • Si una empresa o el conjunto de una cadena de suministro es capaz de demostrar que dispone de un plan de continuidad de negocio compatible con las restricciones impuestas por un gobierno en una situación de alarma, no tiene por qué verse obligada a detener por completo su actividad.
  • Los analistas de riesgos de todas las organizaciones tienen que estar imaginando y previendo los siguientes escenarios de crisis derivados del COVID-19. Las amenazas se pueden multiplicar (crisis económica, crisis social, crisis política, etc.), pero también habrá nuevas oportunidades para quienes sepan descubrirlas a base de trabajar en la búsqueda de soluciones que prevengan o que mitiguen las consecuencias de lo que parece que se nos viene encima.
  • Y, por último, una conclusión obvia, pero imprescindible: aprender de los errores cometidos.
Autor:
José Luis Villa
Prysma