La crisis causada por el coronavirus SARS-CoV-2 y los efectos de la enfermedad COVID-19 han dejado grandes aprendizajes sobre resiliencia a todas las organizaciones y, especialmente, a los profesionales de la continuidad de negocio –ver sección–. Muchos no habíamos identificado los riesgos que una pandemia representa para los trabajadores y para la organización en sí. Algunos ni siquiera habían contemplado la posibilidad de teletrabajar como resultado de una emergencia.
Queriendo justificar que era muy difícil haberlo visto venir, varios autores, en sus análisis, han comparado la COVID-19 con la metáfora del cisne negro aplicado a los riesgos. La misma describe un suceso altamente improbable, sorpresivo, de gran impacto socioeconómico y que, una vez pasado el hecho, se racionaliza solo por retrospección.
Pero el riesgo de pandemia sí había sido expuesto como de alto impacto, hace no mucho tiempo (y por varias ocasiones), en el reporte global de riesgos emitido anualmente por el World Economic Forum. Incluso en una ahora famosa conferencia, Bill Gates en persona advirtió que no estábamos listos para enfrentar una altamente probable pandemia provocada por un virus que se propagase a través del sistema respiratorio.
Pero más allá de iniciar un debate sobre si este riesgo pudo haber sido previsto, o de la utilidad de planificar frente a un riesgo cuando ya es una realidad, me centraré en el análisis de qué puede hacer un profesional de seguridad para asegurar la continuidad de negocio.
Pasado y futuro
Estamos muy familiarizados con el concepto de plan de emergencia, que es aquella planificación cuya finalidad es reducir al mínimo las potenciales consecuencias de un evento distributivo integrando métodos, personas y equipamiento para reaccionar, reportar, recuperar y reiniciar una operación normal.
En el contexto actual, ningún plan de emergencia ha servido. Principalmente, porque se fundamentan en la doctrina de planificación basada en pronósticos, una predicción de que el futuro será como el pasado, pero con ligeras variaciones, pensando que podríamos retornar a la normalidad antigua.
Frente al COVID-19 nos encontramos con una situación en la que es improbable que el futuro sea como el pasado y se requiere una acción decisiva e inmediata para asegurar la continuidad de negocio. Se necesita aplicar la doctrina de planificación basada en escenarios. En ella, los líderes de la organización resiliente exploran diferentes futuros posibles, poniendo especial atención en identificar aquellos pequeños factores que son fáciles de corregir al inicio, pero que si no son identificados son imposibles de corregir después. Y, generalmente, desencadenan catástrofes.
En esta pandemia debemos manejar escenarios de recuperación gradual, parada y reinicio, recuperación rápida o incluso de empeoramiento gradual y empeoramiento rápido. Cada escenario posible debe tener su plan de continuidad de negocio.
El estándar de ASIS International ORM.1-2017 (Seguridad y resiliencia en organizaciones y sus cadenas de suministros) establece la definición del contexto como primer paso para desarrollar el plan de continuidad de negocio. Esto se logra identificando y analizando el contexto macro (país, localidad, industria y empresa) y micro (cadena de suministros, clientes, competidores y personal), lo que nos facilitará identificar necesidades y requerimientos y la cadena de objetivos, procesos y recursos críticos en riesgo.
La dirección deberá demostrar su compromiso con la resiliencia organizacional y definir roles, responsabilidades y autoridad. Para ello, es esencial priorizar los requerimientos legales y de otros tipos.
Finalmente, se deben identificar, evaluar y controlar los riesgos que afectan de manera individualizada a cada recurso crítico a proteger. La continuidad de negocio es una tarea minuciosa que parte de una identificación metódica de todos los potenciales riesgos en un escenario dado.
Pérdida y recursos
Una herramienta muy útil en la identificación amplia de riesgos es la matriz de pérdida y recursos del modelo ARES. Este último establece siete categorías de riesgo mnemotécnicamente alineadas al acrónimo pérdida:
- Prácticas no éticas/no profesionales.
- Errores en plan o ejecución.
- Robos y crímenes.
- Desperdicios.
- Incidentes sin aparente consecuencia.
- Daños mayores naturales e intencionales.
- Accidentes y enfermedades.
Los riesgos de cada escenario variarán para cada organización. Pero al seguir el modelo para el control se establecerán estrategias que logren evitar, transferir, optimizar y aceptar riesgos. Asimismo, se contemplarán tácticas que incluyan controles operacionales con sus respectivos recursos, roles, responsabilidades y autoridad. Y actuaciones operativas que integren métodos, personas y equipamiento con sus objetivos, responsables y documentación definida.
Llevándolo a la práctica en el caso del COVID-19 frente al escenario del retorno paulatino a actividades laborales, la matriz de pérdida y recursos identifica una completa colección de riesgos que va desde prácticas no éticas –relacionando personas en el fraude de seguros– hasta posibles accidentes debido a la naturaleza regenerada en instalaciones que no han sido utilizadas por varias semanas.
Bill Gates ya advirtió que no estábamos preparados para enfrentar una pandemia provocada por un virus de estas características
Plan de contingencia
Para cada riesgo se debe crear un plan de contingencia, que se conceptualiza como aquella planificación de métodos, personas y equipamiento que permite el funcionamiento de la organización en escenarios alternativos a la operatividad normal después de un evento disruptivo.
Un plan de contingencia enfocado en el retorno paulatino al trabajo, técnicamente diseñado, minimiza efectos en la salud de la plantilla con el fin de asegurar el funcionamiento normalizado de la actividad, preparándose para eventos disruptivos como ausencias de plantilla en el centro de trabajo debido a eventuales rebrotes.
La evaluación y mejora del plan debe ser flexible y paralela a la implementación operativa a través del monitoreo constante, ejercicios de simulación táctica, auditorías y revisión estratégica por la dirección. Lo complejo en el caso de los planes de contingencia es que deben ser reformulados cada vez que cambia el contexto.
Seguridad integral
En todos los escenarios analizados es importante notar que las nuevas amenazas llevan a replantear viejos roles y a establecer otros nuevos para el personal de seguridad. En la nueva normalidad, más allá de la necesidad obvia de integrar las funciones de safety y security, la elevada conciencia de salud que caracterizará al mundo por los siguientes años requiere la universalización de competencias profesionales.
El profesional más competente será quien integre ambos dominios. Un excelente recurso de formación en seguridad integral son los programas de certificación de IFPO, desarrollados para alinear al personal de seguridad en niveles operativos, tácticos y estratégicos.
El futuro todavía es incierto, pero lo único seguro para los profesionales de seguridad es que el siguiente reto será lograr convergencia organizacional alrededor de un proceso crítico: prepararse ante lo imprevisto.