Preparándose para el mal

Durante los últimos 19 meses, la oleada y el alcance de la crisis, desde el terrorismo hasta Tyco, han obligado a las empresas a reevaluar su estado de preparación para las crisis. Las empresas que tenían planes de gestión de crisis los revisaron y reforzaron. Analizaron las causas de cada desastre y casi desastre al que se habían enfrentado en los últimos cinco o diez años, calcularon los costes y evaluaron el riesgo de que se repitiera. Pero a pesar de seguir las reglas, muchas empresas han descubierto que aún se les escapa la sensación de seguridad.

Sencillamente, los principios de la gestión de crisis tradicional ya no nos sirven de nada. Falta algo fundamental: la capacidad de pensar de forma exhaustiva sobre las crisis. La mayoría de las empresas desarrollan y perfeccionan planes para mejorar la forma en que gestionan las emergencias a las que se han enfrentado en el pasado. Pero se enfrentan a una amenaza mayor por las calamidades a las que nunca se han enfrentado o, lo que es peor, por las amenazas a las que no pueden ni imaginarse que tendrían que hacer frente. Como resultado, están, básicamente, librando nuevas guerras con estrategias antiguas.

¿Preparado para las crisis o propenso a las crisis?

El problema está muy extendido. Durante las últimas dos décadas, el Centro de Gestión de Crisis de la Universidad del Sur de California supervisó la preparación para situaciones de crisis del Fortuna 500 empresas, principalmente mediante la realización de auditorías de crisis in situ de una amplia variedad de organizaciones, públicas y privadas, y mediante encuestas periódicas. Creemos que es posible sacar conclusiones generales importantes de nuestro estudio de 20 años.

Agrupamos las empresas de nuestro estudio en dos categorías principales: preparado para la crisis (o proactivo) y propenso a las crisis (o reactivo). Las empresas propensas a las crisis se preparan para hacer frente únicamente a los tipos de calamidades que ya han sufrido, y ni siquiera a todas esas. Las empresas preparadas para la crisis desarrollan planes para gestionar un número y una variedad más amplia de emergencias de las que se han enfrentado en el pasado. La distinción no es particularmente sutil, pero sus implicaciones son importantes.

Durante la mayor parte de las dos décadas, las empresas preparadas para la crisis fueron una pequeña minoría: entre el 5 y el 25% de las Fortuna 500 empresas como máximo. En otras palabras, en el mejor de los casos, el 75% de las empresas no están preparadas para gestionar una crisis desconocida. En el peor de los casos, el 95% no está preparado, lo que, por supuesto, es muy preocupante.

También es lamentable, porque nuestras investigaciones muestran además que estar preparado para las crisis vale la pena de varias maneras. En primer lugar, la preparación reduce el número de calamidades a las que tienen que enfrentarse las empresas. Entre 1998 y 2001, la empresa media preparada para las crisis informó que había hecho frente a 21 emergencias; las que estaban menos preparadas se enfrentaron a 33 crisis. Está claro que planificar los problemas reduce su incidencia, del mismo modo que poner una cerradura en una puerta reduce los robos, aunque no los elimina por completo.

En segundo lugar, las empresas preparadas para la crisis permanecen en el negocio durante más tiempo. Según la encuesta de 2002, las empresas proactivas llevaban 83 años en funcionamiento de media, un 24% más que las empresas reactivas, cuya vida media era de 67 años.

En tercer lugar, la crisis se preparó mejor en términos financieros que la propensa a la crisis. En 2001, por ejemplo, la rentabilidad media de los activos de las empresas proactivas fue del 6%, el doble de la rentabilidad media que obtuvo el grupo propenso a las crisis ese año. No atribuimos el rendimiento superior solo a una mejor gestión de las crisis, pero no cabe duda de que las empresas proactivas incurren en menores costes relacionados con las crisis. Y es probable que una empresa preparada para la crisis administre mejor sus activos también en otros ámbitos, como la gestión de los riesgos financieros.

Por último, la preparación afecta a la reputación empresarial. En 2001, por ejemplo, las empresas proactivas obtuvieron una puntuación media de 6,2 puntos en La fortuna escala de ocho puntos que clasifica a las empresas más admiradas de Estados Unidos, mientras que las empresas reactivas obtuvieron una media de solo 5,6 puntos.

No es del todo sorprendente, porque el enfoque de los dos grupos con respecto a la gestión de crisis parece ser fundamentalmente diferente. Nuestras investigaciones muestran que las empresas preparadas para la crisis creen que no debería perjudicar ni a una sola persona cuando estalla una crisis. Entienden que los efectos de un desastre no se pueden predecir ni controlar, por lo que es más importante prevenir las crisis que contenerlas. Los propensos a las crisis, por el contrario, suponen que basta con que se aseguren el mayor bien para el mayor número, por lo que buscan invertir en la preparación para la crisis solo en la medida en que sea rentable. Eso les lleva a suponer, erróneamente, que las consecuencias de una crisis se pueden predecir y los posibles costes se pueden sopesar con los gastos de evitarla. Irónicamente, el enfoque empresarial de sopesar los costes y los beneficios resulta ser más caro; como hemos demostrado, las personas preparadas para la crisis sufren menos crisis, se recuperan más rápido y son más rentables que las empresas preocupadas por los costes y propensas a las crisis.

La nueva crisis

Estar preparadas para la crisis no requiere que las empresas planifiquen todos los desastres que puedan afectarlas. Eso no es necesario ni posible. Sin embargo, hay maneras en las que las empresas pueden pensar de manera amplia sobre toda la gama de problemas a los que se pueden enfrentar y crear estrategias para reducir su vulnerabilidad. Hemos estudiado los desastres a los que se enfrentan y los planes elaborados por más de 150 empresas de todo el mundo. También hemos realizado auditorías de gestión de crisis en más de 60 empresas multinacionales, agencias gubernamentales y organizaciones no gubernamentales. Nuestra investigación sugiere que las empresas proactivas distinguen entre tres formas generales de desgracia.

Los primeros son los accidentes naturales, como incendios o terremotos. En su mayor parte, las empresas saben cómo prepararse para estas crisis y pueden defenderse de ellas mediante técnicas de gestión de riesgos, como la planificación de la seguridad y el seguro. El segundo tipo es lo que se denomina accidentes normales. El término lo acuñó el sociólogo Charles Perrow. En su libro de 1984, Accidentes normales: vivir con tecnologías de alto riesgo, Perrow señaló que las tecnologías se han vuelto tan complejas que la posibilidad de averías está literalmente integrada en ellas. De hecho, desastres industriales como Three Mile Island, Chernóbil, Bhopal y Exxon Valdez no fueron aberraciones aleatorias sino problemas normales de sobrecarga y mal funcionamiento del sistema. Prepararse para ellas es un desafío, pero las empresas preparadas para las crisis se las arreglan, por ejemplo, reuniendo periódicamente a diseñadores, operadores y directores de mantenimiento de sistemas complejos para comparar notas. Si las condiciones a las que se enfrentan los operadores no se ajustan a las suposiciones de los diseñadores, se avecina un accidente normal.

Lo que es más importante, las empresas proactivas se preocupan por una tercera categoría de calamidades, lo que denominamos accidentes anormales (es decir, intencionados), que son el resultado de acciones deliberadas y malvadas, como atentados con bombas, secuestros y ciberataques. Las empresas, especialmente las que operan en los países en desarrollo, siempre han vivido con la posibilidad de sabotaje, ya sea por parte de los empleados o de personas ajenas. Pero el peligro nunca ha sido mayor que en la actualidad debido al terrorismo mundial, que ha llevado a los lugares de trabajo de todo el mundo al centro de una zona de guerra.

De hecho, el número de accidentes anormales ha aumentado considerablemente en los últimos diez años. Elaboramos una cronología de las principales crisis que se han producido desde 1979 (consulte la exposición «Una cronología de las principales crisis»). Aunque la clasificación no es exacta y nuestro calendario no es en absoluto exhaustivo, nuestro análisis sugiere que hubo tantas crisis anormales en ese período como crisis normales. Si bien las crisis normales prevalecieron en la década de 1980, los accidentes anormales dominaron la década de 1990. Además, el impacto de algunos de esos eventos deliberados rivalizó con el de los desastres naturales.

inicio de la exposición

Cronología de las principales crisis El número de crisis accidentales, ya sean naturales o provocadas por el hombre (normales), se ve eclipsado cada vez más por crisis anormales (o precipitadas deliberadamente). Sin embargo, la mayoría de las empresas siguen sin estar preparadas para ningún tipo de calamidad. fin de la exposición

Por supuesto, no es tan fácil prepararse para los accidentes anormales como para los normales. A la mayoría de las personas les resulta difícil y de mal gusto imaginar que unos seres humanos quieran destruir negocios deliberadamente, a veces con la connivencia de los empleados, y que estén dispuestos a suicidarse en el proceso. Hacer esas suposiciones destruye nuestras creencias profundamente arraigadas sobre las personas, la sociedad y las empresas, y hay una gran cantidad de negación y rechazo en las empresas sobre el tamaño y el alcance de los accidentes anormales. Ese es un comportamiento estúpido de personas no estúpidas, como lo describirían psicólogos como Albert Ellis. Pero las creencias irracionales y los comportamientos contraproducentes son comunes a la hora de planificar las crisis. Incluso un año después de la caída del World Trade Center, la mayoría de los ejecutivos con los que hablamos no habían considerado la posibilidad de un ataque similar a sus oficinas o fábricas. Si quieren hacer frente a crisis anormales, las empresas deben aprender a ver —como ven sus enemigos— los rascacielos como ataúdes verticales y los aviones como bombas voladoras, por fea y horrorosa que sea la perspectiva.

Si quieren hacer frente a crisis anormales, las empresas deben aprender a ver —como ven sus enemigos— los rascacielos como ataúdes verticales y los aviones como bombas voladoras, por fea y horrorosa que sea la perspectiva.

Demolición creativa: kit de herramientas para una crisis

Precisamente por esa razón las empresas necesitan desarrollar habilidades especiales para hacer frente a los accidentes anormales. En las páginas siguientes, describiremos cómo algunas empresas han aprendido a pensar en lo impensable al obligar a los ejecutivos a cambiar sus marcos de referencia. Como demuestran estas empresas, la clave no está tanto en la redacción de manuales como en el desarrollo de procesos de aprendizaje que den a los ejecutivos la capacidad mental, la confianza y la flexibilidad necesarias para prever crisis anormales.

Rueda de las crisis.

Algunas empresas se preparan eficazmente para crisis anormales pensando en ellas al azar. Eso ayuda porque la mayoría de los ejecutivos están tan condicionados por la planificación de crisis convencional que no saben cómo empezar a imaginarse peligros desconocidos sin parecer paranoicos, o solo pueden analizarlos de forma limitada. El uso cuidadosamente orquestado de la técnica de selección aleatoria cambia sus puntos de referencia y los obliga a salir de sus camisas de fuerza mentales.

Algunas empresas se preparan eficazmente para crisis anormales pensando en ellas al azar.

Una herramienta que utilizamos a menudo para obligar a los altos ejecutivos a pensar al azar es una enorme rueda de crisis. Construimos una rueda, como la ruleta de un juego infantil, y en ella incluimos todas las crisis a las que se puede enfrentar una empresa. (Consulte la exposición «La rueda de las crisis».) Los ejecutivos se turnan para hacer girar la rueca; cuando el alfiler se detiene, hablan de todas las crisis normales y anormales de ese tipo en particular que puedan imaginar. No excluimos ninguna posibilidad, por extraña que sea, porque cada una de ellas ayuda a anular la creencia fundamental de los ejecutivos de que ya saben las crisis a las que podría enfrentarse la empresa.

La rueda de las crisis

Las empresas se enfrentan a muchos tipos diferentes de crisis, pero nuestras investigaciones muestran que se pueden agrupar en siete familias. Al incluir al menos una de cada una

…

En la siguiente etapa de esta versión de la ruleta rusa, los participantes agrupan dos crisis anormales para crear una crisis combinada más improbable. Eso aumenta la magnitud del peligro y obliga a los ejecutivos a aceptar que los desastres anormales suelen ocurrir a gran escala. También les ayuda a vincular crisis que nunca pensaron que se aplicarían a su empresa o sector. Es escalofriante, ejecutivos de más de uno Fortuna 500 empresas con las que trabajamos en el año 2000 combinaron un coche bomba y el secuestro de un avión para hacer frente a la amenaza de una «bomba voladora», muy cerca del ataque al World Trade Center.

El modelo de selección aleatoria también puede ser la base de una estrategia presupuestaria racional para un mundo ilógico. Cada año, las empresas inteligentes centran sus recursos y su atención en algunas de sus instalaciones elegidas al azar, del mismo modo que las compañías aéreas llevan a cabo controles de seguridad detallados de algunos pasajeros en cada vuelo. Esto reduce la probabilidad de un ataque a toda la organización, al tiempo que permite a la empresa migrar gradualmente a un nivel superior de preparación para situaciones de crisis. Después de que una empresa global evaluara la vulnerabilidad de sus más de 100 instalaciones a los ataques terroristas, por ejemplo, se dio cuenta de que no podía darse el lujo de mejorar inmediatamente los niveles de seguridad y respuesta a las crisis en todas ellas. Sin embargo, la empresa no asignó su presupuesto anual de gestión de crisis de 5 millones de dólares en proporción a la debilidad de cada sitio. En cambio, anunció que la mitad se gastaría en sitios que la empresa hubiera seleccionado al azar y la otra mitad en los más vulnerables. En el proceso, la empresa creó un elemento disuasorio más fuerte sin aumentar los presupuestos.

Asesinos internos.

Muchas de las empresas preparadas para la crisis con las que trabajamos confían en su gente, que conoce mejor la organización, para desarrollar situaciones anormales para las que deben prepararse. Sin embargo, hay que capacitar a los empleados para que se imaginen lo peor, ya que normalmente aplican sus conocimientos sobre la empresa en su beneficio, no en su destrucción. Las técnicas especiales, como los juegos de rol, pueden hacer que piensen (temporalmente) como villanos.

A menudo pedimos a pequeños grupos de altos o medianos ejecutivos que se imaginen a sí mismos como asesinos internos o terroristas internos. Eso les permite suspender su racionalidad y sus códigos morales y les permite utilizar su profundo conocimiento de los productos, procedimientos y sistemas de la empresa para idear formas de destruirla, ya sea desde dentro o desde fuera. En una gran empresa estadounidense con la que trabajábamos, por ejemplo, designamos asesinos internos a un grupo de diez altos ejecutivos. Hemos guiado al grupo por varias de las instalaciones de fabricación de la empresa, tanto durante la jornada laboral como fuera del horario de oficina. Cuando los ejecutivos empezaron a ver las plantas con ojos de terroristas, casi a regañadientes empezaron a señalar dónde causarían más daño, cómo podrían hacerlo y las rutas de entrada y escape que utilizarían. Los escenarios eran aterradores tanto porque ponían de manifiesto las debilidades del sistema como porque eran plausibles.

El modelo de selección aleatoria también puede ser la base de una estrategia presupuestaria racional para un mundo ilógico.

La técnica del asesino interno a menudo puede cambiar la actitud de la organización ante las crisis. Tomemos el caso de una compañía de seguros médicos estadounidense de mil millones de dólares, que utilizó el ejercicio para averiguar si el fraude financiero podía llevarla a la quiebra, como lo hizo Barings, el banco comercial británico, en 1995. Creó tres equipos, cada uno compuesto por ocho altos ejecutivos. Se le pidió al equipo A que ideara estafas que los empleados pudieran llevar a cabo; al equipo B, violines que pudieran montar personas ajenas; y al equipo C, planes para que personas deshonestas y los empleados pudieran trabajar en connivencia. Para sorpresa y vergüenza de todos, los tres equipos inventaron estafas ingeniosas que la organización no habría podido detectar.

La compañía de seguros constituyó inmediatamente tres equipos de contraasesinos para desarrollar sistemas que permitieran prevenir o detectar las estafas. Después de varios meses, estos grupos llegaron a la conclusión de forma independiente de que la empresa era muy vulnerable a un problema fundamental. Si un estafador fuera paciente, podría acumular una fortuna desviando pequeñas cantidades de dinero durante largos períodos de tiempo sin importar el plan que utilizara. En consecuencia, la empresa redujo los umbrales de detección en toda la organización. Los gerentes modificaron los sistemas informáticos para señalar las transacciones sospechosas, por pequeñas que fueran, e instituyeron procedimientos de auditoría para examinar los pagos pequeños tan de cerca como los grandes. Al analizar sus vulnerabilidades de forma sistemática, el banco pudo cerrar la puerta a toda una categoría de amenazas de una sola vez.

Metáforas mixtas.

La mayoría de las empresas preparadas para la crisis envían regularmente a los ejecutivos a foros de crisis, donde empresas de diversos sectores hablan sobre la planificación de crisis. Pero no se detienen en eso. También aplican rigurosamente las metáforas y los léxicos de otros sectores para examinarse a sí mismos desde perspectivas inusuales y aprender de los escenarios para los que otras empresas se han preparado. Por ejemplo, los bancos pueden estar preparados para gestionar los ciberataques porque los delitos informáticos son fáciles de imaginar en el contexto del sector de los servicios financieros. Pero es menos probable que piensen en las explosiones, que se les ocurriría inmediatamente a los ejecutivos de, por ejemplo, las compañías químicas.

Cuando las empresas analizan las crisis que se producen fuera de su propio sector, se dan cuenta de lo vulnerables que son. Tomemos el caso de un gran fabricante estadounidense de productos electrónicos que decidió imaginarse en la industria alimentaria. Si se tratara de fabricar productos alimenticios, la empresa pensaba que su objetivo de garantía de calidad ya no sería reducir los defectos de hardware. Sería la eliminación de los bichos y microbios latentes que se acumulaban dentro de los productos y los contaminaban. Esa diferencia intrigó tanto a los ejecutivos que contrataron a un especialista en enfermedades infecciosas para que evaluara cómo la empresa podía evitar que los patógenos contaminaran sus sistemas de producción e infectaran sus productos. Durante un escrutinio bastante inusual, la empresa descubrió que se podían inyectar patógenos deliberadamente en sus productos, lo que los convertía en caballos de Troya que transmitían enfermedades en lugar de bienestar, una posibilidad que las compañías de alimentos y medicamentos imaginan habitualmente, pero no los fabricantes de productos electrónicos.

El gigante alarmado decidió idear formas de prevenir este tipo de crisis. Un patógeno que identificó fue la posibilidad de que un empleado o proveedor descontento introdujera deliberadamente componentes defectuosos en un producto. Como vacuna, la empresa estipuló que los ejecutivos debían determinar si los fallos de los productos se habían causado deliberadamente, una vez que los clientes denunciaran un número determinado de ellos. Además, los productos que no se hubieran enviado pasarían a cuarentena hasta que se administrara la inoculación. Aplicar las metáforas de la industria alimentaria ayudó al gigante de la electrónica a aceptar el hecho de que la manipulación de los productos era una amenaza a la que podría tener que hacer frente.

Juegos de espías.

Las empresas proactivas no se avergüenzan de atraer a personas ajenas para que pongan a prueba su vulnerabilidad ante las crisis anormales. Se dan cuenta de que, a veces, los empleados tienen demasiados conocimientos sobre la organización o están demasiado inmersos en las operaciones diarias como para adoptar perspectivas radicalmente diferentes. El uso creativo de expertos imparciales ayuda a las empresas a superar tanto el «¡Eso no ocurre aquí!» y el «¡Eso no puede suceder!» síndromes.

Las empresas inteligentes contratan a profesionales como periodistas de investigación, abogados y expertos en asuntos del consumidor para que los ataquen hipotéticamente. Estas simulaciones exponen los puntos débiles y ponen a prueba las respuestas al mismo tiempo. Algunas empresas con las que consultamos encargaban a los periodistas que escribieran artículos de investigación o produjeran vídeos de 20 segundos en los que atacaban productos, altos ejecutivos o la reputación. Los escritores basaron sus artículos en ataques reales de empleados o rivales empresariales descontentos. El intenso drama de los ejercicios ayudó a los ejecutivos a superar su incredulidad y a aceptar que algún día podrían tener que abordar esas crisis.

Otras organizaciones piden a los periodistas que informen sobre sus planes de prevención de crisis o su nivel de conciencia sobre la seguridad. Eso ayuda a las empresas casi tanto como las auditorías internas de gestión de crisis. Esto es lo que descubrió un periodista contratado por una empresa estadounidense para husmear en una de sus principales instalaciones: «Se ha arrojado un gran número de archivos con información confidencial, que a veces datan de hace una década o más, en un sótano del edificio principal. Pero hay pocos controles de seguridad. Cualquier empleado, y casi cualquier visitante, podría llegar a ellos si quisiera. De hecho, me ofrecieron una variedad de archivos al azar por una pequeña suma de dinero». Nadie en la empresa se había dado cuenta de lo vulnerables que eran esos archivos: dos meses después, sorprendieron a un empleado descontento cuando intentaba acceder a algunos de los documentos.

La mentalidad criminal es tan diferente a la de la mayoría de las personas que los ejecutivos a menudo solo pueden descubrirla incorporándola a la organización. Los bancos contratan a exladrones para poner a prueba los procedimientos de seguridad. Los casinos de Las Vegas utilizan a jugadores profesionales para luchar contra los afiladores de cartas. Las compañías de seguros reclutan a estafadores reformados para detectar el fraude. Muchas empresas han utilizado piratas informáticos profesionales para investigar la seguridad de las redes de ordenadores. Los resultados son alarmantes. Por ejemplo, cuando Kevin Mitnick, un gran hacker convertido en consultor de seguridad, identificó lo que hacía que las empresas fueran más susceptibles al hackeo, no era el software ni los sistemas. Fueron empleados honestos e involuntarios, lo que no es lo que la mayoría de los directores de tecnología de la información consideran una amenaza importante para las redes de ordenadores.

Establecer un centro de crisis

Muchos ejecutivos, incluso de empresas bien gestionadas, creen secretamente que pueden salir de una crisis cuando llegue el momento sin tener un plan previo. Como resultado, tratan la preparación para las crisis como un ejercicio de planificación de escenarios poco útil que, si es necesario, se puede llevar a cabo de forma esporádica. Esa actitud no cambiará hasta que las empresas creen mecanismos organizativos que hagan de la gestión de crisis una prioridad. La planificación de crisis normalmente se considera parte de la gestión de riesgos, de la que se encarga la oficina del controlador. O ha quedado relegado como una responsabilidad menor a los recursos humanos o al departamento administrativo. De cualquier manera, acaba siendo menos de medio trabajo para alguien dos o tres niveles por debajo del CEO. Para mejorar la función, las empresas proactivas han creado una oficina de gestión de crisis o un centro de crisis, cuyo director depende del CEO, COO o CIO.

Un centro de crisis tiene tres responsabilidades. En primer lugar, diseña la cartera de crisis de la empresa, que consta de al menos una posibilidad de cada familia de crisis, y elabora planes de prevención y respuesta para ellas. Algunos centros han nombrado campeones para cada tipo de crisis que ayudan a desarrollar escenarios y estrategias solo para ese tipo de emergencia. El centro de crisis también se prepara para la posibilidad de que una calamidad desencadene otra o de que estalle más de una crisis simultáneamente, escenarios que son cada vez más comunes.

En segundo lugar, el centro de crisis se mantiene alerta ante las señales que inevitablemente preceden a una crisis, las amplifica y distribuye las advertencias a los ejecutivos correctos de la empresa. Al integrar las señales que vienen de, por ejemplo, diferentes partes del mundo, las organizaciones suelen detectar los problemas antes de que estallen. Ford podría haber evitado la crisis de los neumáticos Firestone en el año 2000, por ejemplo, si hubiera prestado atención a los informes sobre la rotura de sus neumáticos en Arabia Saudí y Venezuela. En cambio, no fue hasta que estalló la crisis en los Estados Unidos que Ford creó un grupo de trabajo de 500 personas para comprobar si se enfrentaba a problemas similares en otros lugares.

Por último, es responsabilidad del centro de crisis ir más allá de los planes en papel para desarrollar capacidades de crisis reales. Realiza auditorías y ejercicios de formación periódicos, instala mecanismos para contener las crisis y desarrolla programas para ayudar a los ejecutivos a comunicarse eficazmente con las partes interesadas internas y externas durante una crisis. También identifica o establece sitios de trabajo alternativos en caso de que se destruyan las oficinas y plantas de la empresa. Eso no es tan descabellado como parecía antes, como dijo el autor Salman Rushdie en noviembre de 1990: «Una de las cosas extraordinarias de los acontecimientos humanos es que lo impensable se hace pensable».