Cuando una empresa desarrolla la capacidad para manejar una crisis antes de que llegue, tiene grandes posibilidades de sobrevivirla cuando aparezca. Esa capacidad debería ser lo suficientemente amplia como para cubrir cualquier tipo de sorpresas: interrupción de operaciones, cíber-ataque, accidente, desastre natural, crimen, ataque terrorista, pandemia, intoxicación, conflicto laboral, vaciamiento, fallo de producto, acoso sexual o escándalo ético. Idealmente el plan debería ayudar a sus directivos no solo a manejar la situación sino a no caer en problemas evitables. Pero ese tipo de preparación no se improvisa, hay que crearlo con tiempo.
La posibilidad de que un negocio se vea seriamente amenazado por un acontecimiento peligroso existe hoy más que nunca. Pero la crisis no tiene por qué destruirlo. Para poder dar una buena respuesta es preciso comenzar mucho antes de que ocurra la catástrofe.
En una encuesta realizada este año por PwC entre 164 directores ejecutivos de todo el mundo, 65% de los encuestados respondieron que por lo menos habían sufrido una crisis desde 2013; 15% había pasado por cinco o más aprietos. 40% suponía que atravesaría uno en los próximos tres años, y otro 33% espera tener una crisis o varias en ese lapso.
Según otra encuesta también realizada por PwC en 2015-16 entre más de 1.400 CEO globales, dos tercios cree que sus negocios afrontan más peligros hoy que hace tres años.
Motivos para estar preocupados tienen. En 2015, solo el cíbercrimen costó a las empresas alrededor de US$ 375.000 millones, US$ 3.000 millones más que en 2013.
Una de cada diez empresas
Tanto si la crisis es autoinfligida o provocada por factores externos, la falta de preparación casi siempre hace que el resultado sea mucho peor. Y sólo una de cada 10 empresas está preparada, según el estudio legal Freshfields Bruckhaus Deringer, cuyos abogados entrevistaron a 102 especialistas que habían trabajado en 2.000 situaciones críticas, con riesgo para la reputación en 80 países. Solamente una de cada cinco había simulado al menos una vez lo que sería una crisis, cuatro de cada diez no tenían plan y 53% de las que habían tenido una crisis no habían podido recuperar su valuación de mercado.
¿Por qué es tan raro encontrar un buen plan anticrisis? se preguntaron Melanie Butler, Sloane Menkes y Marissa Michel, las tres especialistas de PwC que encararon este análisis. Probablemente porque para tal plan hay que tomar varias medidas incómodas, como buscar la colaboración entre todos los departamentos, hablar sobre posibles problemas y combinar estrategia con ejecución. Si suponemos que la responsabilidad última la tiene el CEO y que cualquier problema se puede resolver si los altos ejecutivos toman las decisiones correctas, no vamos a advertir la necesidad de crear capacidades operativas en toda la empresa. La preparación anti-crisis va en contra del impulso natural de minimizar los problemas posibles, de negar que existan o de tratar de esconderlos.
Hasta las situaciones más devastadoras suelen comenzar como pequeños incidentes. Cuanto antes la compañía pueda reconocer esas señales como posibles problemas futuros, más eficiente será la respuesta.
Para crear esa capacidad de reacción, dicen las investigadoras, hay que tener en cuenta tres dimensiones: las personas (la estructura de gobierno y las relaciones), la preparación (planificación y ejecución), y la simulación (ensayar las medidas con anticipación). A medida que se vayan dominando esas tres dimensiones, la empresa estará mejor equipada para gestionar una crisis antes de que se le venga encima.
Lo que deben saber las personas
La conexión entre las personas es algo central para la preparación de una crisis. La gente debe saber lo que tiene que hacer, a quién informar y en quién confiar.
La importancia fundamental de la participación del CEO quedó demostrada después de un horrendo accidente que puso a prueba la habilidad de Merlin Entertainments, una compañía con sede en Luxemburgo cuyas instalaciones en Gran Bretaña incluyen el parque temático de Alton Towers, al norte de Birmingham. El 2 de junio de 2014, dos carritos de una montaña rusa chocaron entre sí.
Dieciséis personas quedaron atrapadas, cuatro de ellas con heridas graves. A dos jóvenes hubo que amputarle las piernas. Aunque el parque no reaccionó muy bien al principio (le llevó 17 minutos al personal notificar a los servicios de emergencia), hubo una clara y comprometida respuesta por parte de Nick Varney, CEO de Merlin, en cuanto se enteró de lo ocurrido.
Primero, la compañía cerró inmediatamente el parque devolviendo el dinero a toda persona que llegara después del accidente. Varney asumió la responsabilidad, apareciendo al día siguiente en el programa Today de la radio de la BBC.
Cuando le preguntaron cuál había sido la causa del accidente contestó: “Estamos tratando de encontrar las causas de un accidente que nunca debió ocurrir. Todas las montañas rusas están diseñadas de manera tal que dos carros nunca puedan estar en la misma vía al mismo tiempo pero evidentemente estos sí lo estaban. No estoy aquí para presentar excusas. No sé qué fue lo que provocó el accidente. En cuanto al valor de la acción, discúlpeme pero no estoy pensando en eso en este momento”.
Ninguna otra persona que no fuera el CEO habría podido hacer esas declaraciones en forma creíble ni tampoco habrían tenido sentido sin estar respaldadas por el resto de la compañía.
Durante los meses siguientes, Merlin Entertainments pagó las multas y los daños exigidos por los organismos correspondientes sin objetarlos (lo que significaba que se consideraba culpable) e inmediatamente instaló una serie de medidas de seguridad.
Con respecto a la necesidad de crear una red de relaciones para que funcione durante una crisis, hay que buscar conexiones formales e informales. La estructura formal de gobierno debe mostrar con claridad ante quién debe responder cada uno –– como la cadena de mando que muestra un organigrama –– y también los derechos de decisión que competen a los individuos clave o sus reemplazos, para el caso de que aquellos no estén disponibles. Hay que explicar minuciosamente lo que se espera de cada uno de los empleados clave.
Si bien no podemos saber con qué tipo de crisis nos vamos a topar, podemos especificar muchas de las tareas que habrá que manejar en circunstancias alteradas y quién las va a manejar. Habrá que designar a los que van a hacer los anuncios públicos, a otros para reunir información; a otros más se les asignará la tarea de ayudar con las comunicaciones, con la logística o con el asesoramiento legal. Hay que asegurarse de que los planes sean lo suficientemente flexibles y abarcadores para manejar variaciones; por ejemplo, algunos pueden estar de vacaciones cuando sobreviene la crisis.
Esos arreglos formales se profundizan con relaciones informales de trabajo, consolidadas por oportunidades de reunirse e, idealmente, de trabajar en proyectos comunes.
Las relaciones con grupos que se perciban como antagónicos también son muy importantes. Eso podría incluir grupos de intereses, blogueros industriales e inversores activistas. En cualquier desastre, siempre habrá gente que, con razón o sin ella, se sienta justificada para censurar a la compañía. Puede amenazar con demandas o enviar cartas documento pero también todo eso puede ofrecer una oportunidad para entablar con ellos una conversación sincera y preguntarles, por ejemplo: “Cómo podríamos convencerlos de que actuamos de buena fe?”. Si son también sinceros en su respuesta, tal vez revelen que lo que les preocupa es algo que la empresa no había considerado importante, como mayor transparencia o mayor disposición a contestar preguntas.
Siete categorías
Las compañías que están preparadas suelen salir de una crisis, relativamente enteras. El cíberataque WannaCry que comenzó el 12 de mayo de 2017, el más grande de la historia, fue posible por una vulnerabilidad del software, que se supone se hizo visible por una filtración de las herramientas de hackeo de Agencia de Seguridad Nacional de Estados Unidos.
Algunas compañías resistieron el chubasco porque tenían instalado un parche de software que Microsoft distribuyó en marzo en cuanto se supo de la filtración. Esas compañías lo pudieron instalar rápido porque estaban preparadas, no para ese acontecimiento específico, sino para cualquier cambio que pudiera afectar sus sistemas operativos.
Cuando en cambio las compañías no están bien preparadas las dificultades se suelen combinar y agravar. Aun en el caso de que admitan responsabilidad — por ejemplo, anunciando una auditoría independiente de la situación — necesitan más tiempo para reaccionar.
Durante ese tiempo, mientras están a las apuradas organizando y decidiendo cómo responder, el mundo espera. La gente especula. Si se percibe que hay un problema con el producto que fabrica, por ejemplo, los retailers que lo venden se sienten presionados a retirar el producto por un tiempo, algo que sembrará más dudas. Se podría crear un efecto bola de nieve en el cual otros minoristas hagan lo mismo. Podría resultar que al final el producto no tiene ningún problema pero el episodio habrá sumado un enorme e innecesario daño a la reputación y a la red de distribución.
Hay por lo menos siete categorías de crisis para las cuales prepararse: financiera (por ejemplo, un corte repentino del crédito), legal (un cambio en las regulaciones), tecnológica/intelectual (un robo de patente), operativa (una falla en la cadena de suministro), de capital humano (un caso de acoso), humanitaria (un ataque terrorista) y daños a la reputación (una acción reñida con la ética que de pronto sale a la luz).
Dentro de cada una de estas categorías hay innumerables modificaciones. Pocas compañías tienen los recursos para prepararse para todas ellas por separado, y si los tuvieran, crearían silos que duplican o incluso debilitan los esfuerzos recíprocos. Además, muchos desastres combinan dos o tres tipos de crisis a la vez. Un plan de crisis bien manejado, y la capacidad para ejecutarlo aprovechando a las personas de toda la organización, preparará a la compañía para una cantidad de contingencias.
Para liderar este esfuerzo habrá que elegir a personas con buen poder de observación y buenos reflejos. Tendrán que reconocer una crisis en sus comienzos, averiguar las causas, reunir un equipo de respuesta, manejar asuntos que requieren atención inmediata (como apagar un incendio), alertar al resto de la organización y poner a todo el mundo en sintonía para iniciar el proceso.
No se puede adivinar qué crisis va a golpear o cuándo, pero sí se puede analizar la propia capacidad para afrontar las más probables y más relevantes.
Todo el mundo tiene que tener una copia del plan de crisis y tener memorizados los números telefónicos más importantes. El plan no vale nada si el papel está perdido o la computadora inaccesible. Ya hay compañías que están creando apps para sus planes de crisis. Eso les permite actualizarlos con más facilidad cuando es necesario.
El último consejo es comenzar ya mismo. La encuesta de PwC CEO Pulse on Crisis descubrió que 25% de los 164 CEO encuestados no habían comenzado siquiera a planificar para contingencias simples. Pero de los que sí tenían plan, 83% informó que sus compañías habían sufrido una crisis, que la planificación las había ayudado a responder con eficiencia y que luego se habían podido recuperar financieramente.
No hay uniformidad en las prácticas aceptadas en preparación para el riesgo. En servicios financieros, por ejemplo, para cumplir con los requisitos del gobierno las compañías se han visto obligadas a tener sistemas de backup de los sistemas tecnológicos y pruebas de fortaleza de los planes de contingencia y de continuidad. Estos estándares comunes tienen un efecto; cuando los equipos de gestión de crisis de 140 bancos fueron sometidos a un ensayo en septiembre 2016, todos estaban preparados de manera similar. Otros sectores, como productos para el consumo, están mucho menos regulados y la variación en el grado de preparación de una compañía a otra refleja la ausencia de conocimiento compartido.
Por último hay que recordar que la Ley de Murphy no es un mito. Si algo puede salir mal, saldrá mal. Y si puede salir peor, saldrá peor.