Junio 07, 2023
Para mantener la operación, incluso en los peores momentos, hay que concentrarse en lo que realmente importa.
La confluencia de crisis a la que se enfrentan los líderes empresariales en estos momentos es poco menos que notable. Algunas de estas alertas son manifestaciones de riesgos únicos en una generación, como la guerra de Ucrania, la elevada inflación y los efectos dominó de la pandemia y la "gran renuncia". Otras, como los ciberataques y los fenómenos meteorológicos extremos, antes parecían raros, pero ahora son inquietantemente familiares. Es una época que algunos llaman acertadamente de "policrisis". A medida que se intensifica las amenazas geopolíticas, económicas y climáticas, la preocupación inmediata de los directores generales y otros líderes empresariales debe ser si están o no preparados.
Muchos directivos no están preparados para afrontar estos retos. El meollo del asunto reside en que, sin darse cuenta, se comportan como si nada hubiera cambiado. Están cegados por la mentalidad anticuada de gestión de riesgos que trata de domar los riesgos asignando los recursos y la atención de la dirección basándose en una combinación de probabilidad e impacto. Sin embargo, este enfoque se queda corto a medida que los sucesos de baja probabilidad y de alto impacto se vuelven cada vez más impredecibles, complicados y, por sus efectos colaterales generalizados, más costosos.
Además, las empresas suelen adoptar un enfoque de silo para gestionar el riesgo, considerando cada unidad de negocio por separado y sin pensar demasiado en cómo interactúan, y mucho menos en lo que verán o experimentarán los clientes. Esto se representa visualmente en los elaborados gráficos "semáforo" que las empresas utilizan para mostrar los niveles de riesgo de diversas funciones o negocios mediante indicadores rojos, amarillos o verdes. La imagen acumulativa resultante puede parecer exhaustiva, pero estos análisis a veces excluyen las conexiones entre silos. En el peor de los casos, los gráficos están sesgados y representan mejor la política de la empresa que el riesgo. La naturaleza humana (y las culturas de riesgo débiles) pueden hacer que sea tentador para los colaboradores pasar de una luz roja a amarilla o de amarilla a verde, sobre todo cuando están en juego la reputación y el presupuesto.
Por otra parte, los altos ejecutivos a menudo se encuentran en desventaja cuando los riesgos se materializan, porque durante mucho tiempo han dado prioridad a la resistencia financiera sobre la operativa. Puede que se hayan protegido contra el riesgo de divisas o los problemas de liquidez, pero no han prestado suficiente atención a las vulnerabilidades de la infraestructura operativa que presta sus servicios y productos a los clientes, que es lo más importante y para lo que están en el negocio.
Te puede interesar: Global Consumer Insights
La buena noticia es que enfrentarse a estos retos arraigados, y a las débiles culturas del riesgo que a menudo los sustentan, es relativamente sencillo, siempre que los directores generales y sus equipos de liderazgo se comprometan a renovar su forma de pensar y su enfoque del riesgo. La clave es abandonar la idea de que es posible comprender o abordar cada amenaza de forma probabilística. Los líderes deben centrarse en los riesgos que podrían perturbar los aspectos más importantes de las operaciones, los más cruciales para los clientes y, por tanto, para el negocio. Hoy en día, estos riesgos son muchos. Si surge alguno, o todos ellos, los líderes pueden descubrir puntos ciegos, mejorar la resistencia, crear valor y, en algunos casos, obtener una ventaja competitiva.
Asumir este desafío exige la atención de la alta gerencia e incluso de la Junta, ya que mejorar la resistencia operativa a largo plazo puede requerir un cambio radical de la cultura corporativa y replantear las estructuras de incentivos y las estrategias de inversión.
Ver y responder al riesgo de forma diferente requiere que los líderes identifiquen claramente dónde podrían materializarse los riesgos plausibles y dónde pueden causar mayor daño a las operaciones o a los servicios clave. Esto puede resultar complicado si las empresas han abordado el riesgo de forma aislada. Los líderes de la empresa deben pasar tiempo juntos trabajando en escenarios hipotéticos, con vistas a destacar exactamente en qué parte de la empresa un problema o fallo sería más catastrófico para los clientes.
Por ejemplo, durante un taller para directivos de un banco, el recuento inicial de los servicios "más importantes" ascendió a más de 350. Las conversaciones posteriores redujeron la lista a 34. Sin embargo, el verdadero avance se produjo cuando los dirigentes del banco cambiaron la pregunta de qué perjudicaría más al negocio por la de qué perjudicaría más a los clientes. Esto ayudó a los líderes a ver que el mayor problema de los clientes era la capacidad tener acceso inmediato al dinero en efectivo, y que esto era más importante para el negocio que otras consideraciones
Ahora que los ejecutivos tenían su objetivo -tener acceso inmediato al dinero en efectivo- podrían empezar a examinar todas las formas en que los clientes acceden a él, incluidos los cajeros automáticos y los trabajadores que los atienden; los bancos tradicionales, la tecnología y los terceros que ayudan con los pagos por transferencia bancaria, y así crear valor en todas las funciones, en lugar de centrarse en los mecanismos de forma particular.
Los ejercicios de priorización también ayudan a los líderes a desentrañar falsas suposiciones. Los directivos de una empresa británica de gestión de viviendas creían que cobrar los alquileres a través de la app de la empresa era la clave para la continuidad del negocio. Sin embargo, un debate más profundo sobre las prioridades demostró que pagar a sus proveedores a tiempo era mucho más importante. La empresa podía soportar los retrasos en el pago de los alquileres como consecuencia de una interrupción de la aplicación mucho más tiempo del que podía vivir con la interrupción de servicios clave de terceros, como la calefacción y las reparaciones, que los inquilinos verían inmediatamente como perturbadores y que podrían tener repercusiones legales para la organización.
Te puede interesar: Encuesta Global de Riesgo de PwC
Determinar qué operaciones y otras áreas de la empresa son las más vitales, especialmente para los clientes, requiere enfoque y compromiso. Las empresas suelen tener dificultades para hacerlo bien porque es un proceso complejo que implica a múltiples áreas y diversas partes interesadas. No es el enfoque habitual, en el que la continuidad del negocio se analiza únicamente dentro de funciones aisladas. Hay que identificar cómo se presta todo el servicio, no sólo los mecanismos individuales. En ese punto, el refuerzo de los procesos implicados puede ser más forense, ya que se identifican las áreas débiles y se proporciona una mayor resistencia.
Los puntos ciegos pueden existir en cualquier parte, pero tienden a acumularse cuando los nuevos sistemas tecnológicos sustituyen a los antiguos o se reparan apresuradamente tras una fusión o adquisición. Una mala memoria institucional también puede crear vulnerabilidades que pasen desapercibidas. Por ejemplo, un ejercicio para comprender cómo se fabrican los productos clave de un fabricante reveló que una parte sencilla y pasada por alto de un sistema informático heredado estaba en el corazón del proceso de producción. Los ejecutivos se dieron cuenta de que su atención al rendimiento financiero les había cegado ante la necesidad de actualizaciones tecnológicas más mundanas que apoyaban directamente las operaciones. Sólo cuando el equipo se centró en todo el proceso de fabricación salió a la luz el descuido. Si el servidor hubiera fallado, el 80% de la producción habría estado parada durante días.
Los puntos ciegos no solo están relacionados con la tecnología. El sistema de pagos internacionales de un gran banco permaneció desconectado durante tres días porque el único empleado que tenía la contraseña necesaria para acceder al sistema de back-end estaba en un viaje de senderismo por el campo sin cobertura de Internet. El departamento de TI del banco no estaba al tanto de la vulnerabilidad y, en cualquier caso, siempre había asumido que podía administrar soluciones provisionales sobre la marcha. El costo para el banco fue una reputación dañada y multas regulatorias. El episodio resultó ser una llamada de atención: aunque casi todos los clientes del banco utilizaban pagos internacionales, nadie en el banco sabía que el servicio podía fallar exactamente de esta manera.
Las suposiciones erróneas también eran un problema en una gran empresa de servicios financieros que descubrió fallos en sus procesos de pago, que era el servicio que más importaba a los clientes de todas las divisiones. Los dirigentes de la empresa habían confiado en que las soluciones manuales salvarían la situación. Cada una de las seis divisiones de la empresa ya había documentado los procesos de contingencia que serían necesarios si fallaba alguna parte del sistema. De hecho, la empresa estaba legalmente obligada a probar esta función, y así fue.
Los ejecutivos se enfadaron al enterarse más tarde (afortunadamente durante un ejercicio de mapeo y no durante una crisis) de que las soluciones planificadas que habían preparado las divisiones no tenían en cuenta la necesidad de escalar en toda la empresa. Ése era el punto ciego: si se hubiera recurrido a los planes durante una emergencia, sólo habrían podido gestionar 12 pagos al día en las seis divisiones. E incluso eso podría haber sido optimista, dado que los planes se crearon en formatos incompatibles y utilizaban supuestos muy diferentes sobre el tiempo que se tardaría en recuperar las operaciones, que oscilaban entre 48 horas y una semana.
Estas conclusiones dieron lugar a una conversación más amplia sobre lo que supondría implantar un sistema que pudiera absorber el impacto de un fallo en los pagos, ya fuera debido a un problema informático, un ciberataque o simplemente porque las personas con autoridad para dar el visto bueno a los pagos no estuvieran disponibles. ¿Qué clientes podrían sobrevivir sin efectivo y durante cuánto tiempo? ¿Sería mejor ayudar a las pequeñas empresas, que representaban una parte menor de los ingresos de la empresa pero eran más vulnerables a los retrasos en los pagos, o era mejor ayudar a las grandes empresas?
La planificación tradicional de la continuidad del negocio se centraría en recuperar el negocio como de costumbre para todo el sistema, mientras que la creación de resiliencia cambia esa suposición para preguntar: ¿cómo recuperamos cierto grado de capacidad operativa de inmediato y sobrevivimos a una posible catástrofe?
Los directivos de la empresa de servicios financieros hacían las preguntas correctas sobre las áreas adecuadas del negocio. Podrían haber obtenido respuestas más útiles aprovechando la tecnología para aumentar el juicio humano del equipo. De hecho, las mejores estrategias de resiliencia se apoyarán en una tecnología que ayude a prever, simular, responder y aprender de la red de riesgos y perturbaciones a que se enfrentan las empresas.
Sin embargo, hay un trabajo pesado involucrado en la recopilación de datos y la introducción de nueva tecnología, y no menos en la educación de los líderes sobre cómo responder. A menudo, estas son decisiones de inversión que requieren el apoyo de la Junta directiva y de la alta dirección, ya que implican compromisos de tiempo y dinero.
Los cuadros de mando tecnológicos pueden ayudar a los directivos a realizar un seguimiento en tiempo real de varias operaciones dependientes clave y a priorizar las acciones. Los cuadros de mando también ayudan a señalar las banderas rojas que requieren atención, como la falta de personal o los bajos saldos de caja que se acercan a un periodo de pago, y a estimar el impacto de los fallos del sistema basándose en las tolerancias establecidas por la dirección. La fase inicial de recopilación de datos y creación de un cuadro de mando similar en la empresa de servicios financieros duró seis meses, lo que supuso un importante compromiso de recursos. Ahora, si hay un fallo del sistema en una parte de la función de pagos, el cuadro de mandos mostrará cuántos clientes están afectados y enumerará las acciones necesarias para recuperar las operaciones.
Aunque las prácticas que hemos descrito pueden ayudar a cualquier organización a ser más resiliente, hacer que los cambios se mantengan requiere prestar atención a la cultura de la empresa y a cómo trabaja la gente. Esto incluye los incentivos subyacentes, ya sean formales o tácitos. Es cierto que reunir a un equipo interfuncional para identificar los puntos ciegos del riesgo puede ayudar a romper los silos, pero los participantes no se esforzarán mucho si creen que se les penalizará por los problemas que puedan encontrar. Por eso tiene que haber una auténtica cultura de hablar claro e identificar posibles fallos sistémicos.
Aquí hay algunos consejos prácticos para que los líderes se aseguren de que sus empresas no mejoren inadvertidamente el desempeño financiero a expensas de la resiliencia operativa o pasen por alto el papel que juega su gente:
Te puede interesar: Encuesta Global de Crimen y Fraude
Los directorios deben comprender por qué la alta gerencia ha cambiado la forma en que ve el riesgo existencial y aceptar el nuevo enfoque, ya que afectará a las decisiones de inversión e incluso a la retribución del equipo directivo. Los líderes de la C-suite deben garantizar una comunicación eficaz en todas las funciones, y con un mandato de la cúpula, el mensaje debe transmitirse a toda la empresa.
Cuando los empleados tienen poder y opciones, son más felices, mejores en su trabajo, más innovadores y propensos a hacer un esfuerzo adicional, características beneficiosas para cualquier organización que busque reforzar su resiliencia. Sin embargo, el 43 % de los presidentes de compañías globales en la 26ª Encuesta Global Anual de presidentes de PwC admite que los líderes de las empresas no suelen fomentar el debate y la disidencia.
La 26ª Encuesta Global Anual de presidentes de PwC también encontró que el 53 % de los directores ejecutivos dijeron que los líderes de su empresa no solían tolerar fallas a pequeña escala. Esto es decididamente inútil, ya que encontrar puntos ciegos o vulnerabilidades en la forma que hemos descrito requiere un examen minucioso de fallas a pequeña escala. Al adoptar la transparencia y mantenerse libre de culpas, es más probable que las empresas detecten la debilidad antes de que sea demasiado tarde.
Para que el riesgo se vea a través de una lente multifuncional, las personas clave en las diferentes disciplinas, desde TI y operaciones hasta recursos humanos y comunicaciones, deben formar parte de la conversación. No de forma jerárquica o aislada; en cambio, hay que dejar que todas las personas clave contribuyan con su experiencia y expresen sus preocupaciones cuando sea necesario. Solo mediante la integración de los silos puede haber una verdadera resiliencia empresarial.
Ser capaz de absorber los impactos depende tanto de la capacidad de respuesta rápida y decisiva como de la mitigación y preparación previa al riesgo. Calcular lo que se necesita para brindar servicios clave y cuánto tiempo llevará ponerlos en funcionamiento, de principio a fin, en todas las dependencias que se asignan. Establecer objetivos para activar copias de seguridad y soluciones alternativas. Comprender los componentes altamente interconectados de las operaciones garantiza que las respuestas rápidas sean precisas, lo cual es de vital importancia cuando se comunica con los clientes y los medios por igual.
Las habilidades efectivas de manejo de crisis se desarrollan a través de la exposición frecuente a las características, presiones y demandas que se enfrentan cuando ocurre una interrupción. Los líderes deben desarrollar las habilidades, mentalidades y comportamientos relevantes para responder en tiempos de crisis o interrupción. Pueden hacer esto a través de micro simulaciones basadas en tecnología, o mediante discusiones simples de planificación de escenarios con las partes interesadas clave. Es un enfoque que desarrolla la memoria muscular requerida para establecer la estrategia, tomar decisiones y gestionar a las partes interesadas en un mundo incierto.
Bobbie Ramsden-Knowles codirige el Centro Global para Crisis y Resiliencia de PwC en Londres. Es socia de PwC UK.
James Houston es un destacado profesional de la práctica de riesgo de PwC Reino Unido que se especializa en resiliencia operativa. Es socio de PwC UK.
David Stainback codirige el Centro Global para Crisis y Resiliencia de PwC con sede en Atlanta. Es Director de PwC US.
Este artículo está basado en el artículo "Building resilience in a polycrisis world” de Strategy+business, de PwC Global. La traducción del texto original (en inglés) es organizada y revisada por PwC Colombia.
