Desarrollar la resiliencia en un mundo de policrisis

La confluencia de crisis a la que se enfrentan los líderes empresariales en estos momentos es más que destacable. Algunas de las emergencias son manifestaciones de riesgos únicos en una generación: la guerra de Ucrania, la elevada inflación y los efectos dominó tanto de la pandemia como de la "gran renuncia". Otras, como los ciberataques significativos y los fenómenos meteorológicos extremos, antes parecían raras, pero ahora resultan preocupantemente familiares. Es un momento que algunos llaman acertadamente policrisis, y a medida que se calienta este estofado de amenazas geopolíticas, económicas y climáticas interrelacionadas, la preocupación inmediata de los directores generales y otros líderes empresariales debería ser si están o no preparados.

Muchos no lo están. En el centro del problema está el hecho de que muchos ejecutivos se comportan inadvertidamente como si nada hubiera cambiado. Están cegados por una mentalidad anticuada de gestión del riesgo que pretende dominar los riesgos asignando rígidamente los recursos y la atención de la dirección en función de una mezcla de probabilidad e impacto. Pero este enfoque se queda corto a medida que los denominados sucesos de baja probabilidad y alto impacto se vuelven más impredecibles, más complicados y, por sus efectos en cadena generalizados, más costosos. Pensemos en las disrupciones comerciales que se produjeron cuando el Ever Given, uno de los mayores portacontenedores del mundo, encalló en 2021: Cada uno de los seis días que permaneció encallado en el Canal de Suez, el comercio mundial se vio interrumpido en US$ 9,600 millones.

Por otra parte, las empresas a menudo adoptan un enfoque interno y aislado de la gestión de riesgos, considerando cada unidad de negocio por separado y sin pensar detenidamente en cómo interactúan, por no hablar de lo que los clientes verán o experimentarán. Esto se representa visualmente en los elaborados gráficos "semáforo" que las empresas utilizan para mostrar los niveles de riesgo de diversas funciones o negocios utilizando indicadores rojos, ámbar o verdes. La imagen resultante parece completa, pero estos análisis a veces excluyen las conexiones entre los silos. En el peor de los casos, los gráficos están sesgados y reflejan mejor la política de la empresa que el riesgo. La naturaleza humana (y las culturas de riesgo débiles) pueden hacer que sea tentador para los colaboradores cambiar una luz roja a ámbar, o una ámbar a verde, especialmente cuando la reputación y los presupuestos están en juego.

Además, los altos ejecutivos suelen empezar con el pie izquierdo cuando se materializan los riesgos, porque durante mucho tiempo han dado prioridad instintivamente a la resistencia financiera sobre la operativa. Es posible que se hayan cubierto contra el riesgo de divisas o los problemas de liquidez, pero no hayan prestado suficiente atención a las vulnerabilidades integradas en la infraestructura operativa que ofrece sus servicios y productos a sus clientes, las cosas que más importan y para las que están en el negocio.

La digitalización, por ejemplo, puede cambiar la forma en que se prestan los servicios, haciéndolos menos tolerantes a las interrupciones, algo que los directivos pueden pasar por alto. Y puede que no comprendan los efectos que la no prestación de estos servicios tiene en los clientes. Al pasar por alto áreas críticas, pero poco glamurosas, los directores generales están haciendo enormes apuestas sobre su capacidad de prestación de servicios de las que quizá ni siquiera sean conscientes. Según la Administración Federal de Aviación, fue un único archivo de base de datos dañado el que dejó en tierra a todos los aviones que volaban hacia y desde EE.UU., en enero de 2023, interrumpiendo cerca de 5,000 vuelos.

“Los directivos deben centrarse en los riesgos que podrían perturbar los aspectos más importantes de las operaciones, los más cruciales para los clientes y, por tanto, para la empresa.”

La buena noticia es que enfrentarse a estos retos arraigados, y a las débiles culturas de riesgo que a menudo los sustentan, es relativamente sencillo, siempre que los directores generales y sus equipos de liderazgo se comprometan a renovar su forma de pensar y abordar el riesgo. La clave es dejar de lado la idea de que es posible comprender o abordar todas las amenazas de forma probabilística. Los directivos deben centrarse en los riesgos que podrían perturbar los aspectos más importantes de las operaciones, los más cruciales para los clientes y, por tanto, para la empresa. Y hoy en día, estos riesgos son muchos. En caso de que surja alguno o todos ellos, los directivos pueden descubrir puntos ciegos, mejorar la resiliencia, crear valor y, en algunos casos, obtener una ventaja competitiva mediante el desarrollo de una comprensión interfuncional más profunda de lo que se necesita para realizar operaciones clave, ya sea un producto o un servicio, de principio a fin.

Asumir este reto exige la atención de los directivos e incluso de los consejos de administración, porque mejorar la resiliencia operativa a largo plazo puede requerir un cambio radical en la cultura corporativa, desintoxicar el fracaso para aumentar la transparencia, y un replanteamiento de las estructuras de incentivos e incluso de las estrategias de inversión.

Empieza por lo que más importa

Viendo y respondiendo a los riesgos de manera diferente, primero es necesario que los líderes identifiquen claramente dónde podrían materializarse los riesgos plausibles y causar el mayor daño a las operaciones y servicios clave. Esto puede resultar difícil si las empresas han abordado tradicionalmente el riesgo de forma aislada. Los directivos de la empresa deben dedicar tiempo a trabajar juntos en escenarios hipotéticos, con la vista puesta en detectar dónde exactamente en la empresa un problema o fallo sería más catastrófico para los clientes.

Por ejemplo, en un taller para directivos de un banco, el recuento inicial de los servicios "más importantes" arrojó más de 350 servicios. Las conversaciones posteriores redujeron la lista a 34 servicios. Pero el verdadero avance se produjo cuando los directivos del banco cambiaron la pregunta de qué perjudicaría más a la empresa a qué perjudicaría más a los clientes. Esto ayudó a los directivos a ver que el principal problema de los clientes era la posibilidad de obtener efectivo a la vista, y que esto era más importante para la empresa que otras consideraciones.

Una vez que los directivos se centraron en el resultado de obtener dinero en efectivo, pudieron empezar a examinar todas las formas en que los clientes lo hacen, incluidos los cajeros automáticos y los trabajadores que los atienden, los bancos físicos y la tecnología y terceros que ayudan con los pagos de transferencias electrónicas y crean resiliencia en todas las funciones, en lugar de centrarse en mecanismos individuales.

Los ejercicios de priorización también ayudan a los directivos a descartar falsos supuestos. Los directivos de una empresa británica de administración de viviendas creían que cobrar los alquileres a través de la aplicación de la empresa era la clave para la continuidad de la actividad. Un debate más profundo sobre las prioridades demostró que pagar puntualmente a sus proveedores era mucho más importante. La empresa podía soportar los retrasos en el pago de los alquileres derivados de una interrupción de la aplicación mucho más tiempo que la interrupción de servicios clave de terceros, como la calefacción y las reparaciones, que los inquilinos considerarían inmediatamente perjudiciales y que podrían tener repercusiones legales para la organización.

En una cadena hotelera internacional, varias rondas de debate en la alta gerencia sacaron a la luz ocho de las operaciones en las que más confiaba la empresa. Una en particular, la nómina, era preocupante, porque una interrupción en este punto parecía que podría paralizar todas las operaciones y tener un efecto inmediato y perjudicial en el servicio al cliente. ¿Por qué? En parte porque la combinación de la pandemia y la "gran renuncia" había empoderado a los trabajadores y aumentado sus expectativas. Ahora, los limpiadores u otros empleados de primera línea cuyo trabajo (o ausencia) podía afectar seriamente a los clientes eran menos propensos a tolerar retrasos en el pago y, por tanto, mucho más propensos a abandonar el trabajo con poco o ningún preaviso.

Más revelador aún para los ejecutivos del hotel fue comprender plenamente la complejidad de todos los procesos, sistemas, personas y proveedores en los que se basaba todo lo necesario para que las nóminas funcionaran en todo el mundo.

Conecta los puntos, revela los puntos ciegos

Determinar qué operaciones y otras áreas de la empresa son las más vitales, y las más vitales para los clientes, requiere una concentración y un compromiso considerable. El siguiente paso, trazar los procesos, traspasos y dependencias pertinentes, puede ser igualmente difícil. A las empresas les cuesta hacerlo bien porque es complejo y puede implicar a múltiples departamentos y actores. No es el enfoque habitual, en el que la continuidad de la actividad se considera únicamente dentro de las funciones aisladas. Hay que identificar la forma en que se presta el servicio en su conjunto, no los mecanismos individuales. En ese momento, el refuerzo de los procesos implicados puede ser más forense, porque se identifican las áreas débiles, y ofrecer una mayor resiliencia. Y este tipo de planificación es tiempo bien empleado, porque inevitablemente pone de manifiesto los puntos ciegos y las áreas de mejora accionables.

Aunque los puntos ciegos pueden acechar en cualquier parte, suelen acumularse cuando los nuevos sistemas tecnológicos han sustituido a los antiguos o se han parcheado sobre la marcha tras una fusión o adquisición. Una mala memoria institucional también puede crear vulnerabilidades inadvertidas. Por ejemplo, en un ejercicio para comprender cómo se fabrican los principales productos de un fabricante, se descubrió que una parte de un sistema informático heredado que pasaba desapercibida estaba en el centro del proceso de producción. Los ejecutivos reconocieron que su atención a los resultados financieros les había hecho perder de vista la necesidad de actualizaciones tecnológicas más mundanas que apoyaban directamente las operaciones. Solo consiguiendo que el equipo se centrara en todo el proceso de fabricación salió a la luz el descuido. Si el servidor hubiera fallado, el 80% de la producción habría estado parada durante días.

Los puntos ciegos no solo están relacionados con la tecnología. El sistema de pagos internacionales de un gran banco permaneció fuera de servicio durante tres días porque el único empleado que tenía la contraseña necesaria para acceder al sistema back-end estaba de excursión sin cobertura de Internet. El departamento informático del banco desconocía la vulnerabilidad y, en cualquier caso, siempre había asumido que podía gestionar soluciones sobre la marcha. El costo para el banco fue una reputación dañada y multas reglamentarias. El episodio resultó ser una llamada de atención: aunque casi todos los clientes del banco utilizaban los pagos internacionales, nadie en el banco sabía que el servicio podía fallar exactamente de esta manera.

Las suposiciones erróneas también fueron un problema en una gran empresa de servicios financieros que descubrió fallos en sus procesos de pago, el servicio más importante para los clientes de todas las divisiones. Los directivos de la empresa confiaban en que las soluciones manuales salvarían la situación. Cada una de las seis divisiones de la empresa ya había codificado los procesos de contingencia necesarios en caso de que fallara alguna parte del sistema. De hecho, la empresa estaba obligada por ley a someter esta función a pruebas de estrés, y lo había hecho.

Pero los directivos se entristecieron al enterarse más tarde (afortunadamente, durante un ejercicio de mapeo y no durante una crisis) de que las soluciones provisionales que habían preparado las divisiones no tenían en cuenta la necesidad de ampliarlas a toda la empresa. Y ese era el punto ciego: si se hubiera recurrido a los planes durante una emergencia, solo habrían podido gestionar 12 pagos al día en las seis divisiones. E incluso eso podría haber sido optimista, dado que los planes se crearon en formatos incompatibles y utilizaban hipótesis muy diferentes sobre el tiempo que se tardaría en recuperar las operaciones que oscilaban entre 48 horas y una semana.

Estas constataciones llevaron a una conversación más amplia sobre lo que supondría implantar un sistema que pudiera absorber el impacto de un fallo en los pagos, ya fuera debido a un problema informático o a un ciberataque, o simplemente porque las personas con autoridad para aprobar los pagos no estuvieran en acción. ¿Qué clientes podrían sobrevivir sin efectivo y durante cuánto tiempo? ¿Sería mejor ayudar a las pequeñas empresas, que representan menos de los ingresos de la empresa, pero son más vulnerables a los retrasos en los pagos? ¿O era mejor ayudar a las grandes empresas?

La planificación tradicional de la continuidad de la actividad se centraría en recuperar la normalidad para todo el sistema, mientras que la creación de resiliencia invierte ese supuesto para preguntarse: ¿cómo recuperamos cierto grado de capacidad operativa inmediatamente y sobrevivimos a una posible catástrofe?

Ponlo todo junto

Los directivos de la empresa de servicios financieros hacían las preguntas correctas sobre las áreas adecuadas del negocio. Podrían haber obtenido respuestas más útiles ampliando el juicio humano del equipo con un impulso tecnológico. De hecho, las mejores estrategias de resiliencia se basarán en una tecnología que ayude a anticipar, simular y responder a la red de riesgos y trastornos a los que se enfrentan las empresas, y a aprender de ellos.

No obstante, la recopilación de datos y la introducción de nuevas tecnologías, así como la formación de los directivos sobre cómo responder, suponen un gran esfuerzo. A menudo se trata de decisiones de inversión que requieren el apoyo del consejo de administración y de la alta dirección, ya que implican compromisos de tiempo y dinero.

Con ayuda de la tecnología, los paneles de control pueden ayudar a los directivos a hacer un seguimiento en tiempo real de las distintas operaciones clave dependientes y a priorizar las acciones. Los paneles también ayudan a detectar señales de peligro que requieren atención, como la falta de personal o los bajos balances de caja en un periodo de pago, y a estimar el impacto de los fallos del sistema en función de las tolerancias establecidas por la dirección. La fase inicial de recopilación de datos y creación de un cuadro de mando similar en la empresa de servicios financieros duró seis meses, lo que supuso un importante compromiso de recursos. Ahora, si se produce un fallo del sistema en una parte de la función de pagos, el cuadro de mandos mostrará cuántos clientes se ven afectados y enumerará las acciones necesarias para recuperar las operaciones.

Por su parte, un fabricante mundial aplicó este pensamiento tecnológico para planificar las operaciones que constituían la base de su principal fuente de ingresos. Esto incluía el personal implicado, los sistemas tecnológicos y la cadena de suministro de piezas de principio a fin. Para comprender mejor el enorme volumen de datos, la empresa utilizó un programa de recopilación de datos de IA para crear un cuadro de mando de todas las partes dependientes de estas operaciones. Y lo que es más importante, el cuadro de mandos mostraba dos cosas: lugares del mundo donde la empresa tenía capacidad de producción de reserva para absorber perturbaciones, y detalles sobre rutas de suministro alternativas en caso de que fallaran las principales.

Y fracasaron. Cuando el Ever Given obstruyó el Canal de Suez en 2021 (solo la quinta vez que se produce un bloqueo de este tipo en los 153 años de historia del canal), el fabricante pudo desviar buques rápidamente y ajustar su cadena de suministro para mantener las entregas ininterrumpidas a los clientes. Estos resultados coinciden con los de otro estudio de PwC, según el cual las empresas que invierten en capacidades avanzadas de la cadena de suministro se benefician de muchas maneras, entre ellas una mayor resiliencia a las interrupciones.

La combinación de resiliencia y velocidad fue poderosa para el fabricante, pero no lo fue todo. A menudo, cuando las empresas miran el riesgo con nuevos ojos, descubren beneficios en cadena. El fabricante global, por ejemplo, también utilizó su capacidad de cuadro de mando para recortar costos con confianza y seguir garantizando la resiliencia operativa cuando vio que estaba duplicando varios procesos empresariales en distintos países. Además, la empresa pudo cerrar rápidamente sus operaciones en Rusia tras la invasión de Ucrania y trasladar rápidamente la fabricación a otros lugares con exceso de capacidad, manteniendo al mínimo la decepción de los clientes.

Fomenta una sólida cultura del riesgo

Administra de arriba abajo y de lado a lado. Los consejos de administración deben entender por qué la dirección ha cambiado su forma de ver el riesgo existencial y aceptar el nuevo enfoque, ya que afectará a las decisiones de inversión e incluso a la retribución del equipo directivo. Los directivos deben asegurarse de que se comunican con todas las funciones y, con un mandato de la cúpula, el mensaje también debe transmitirse a toda la empresa.

Concéntrate en la capacitación. Cuando los empleados tienen poder y elección, son más felices, mejores en su trabajo, más innovadores y más propensos a hacer un esfuerzo adicional, rasgos beneficiosos para cualquier organización que quiera reforzar su resiliencia. Sin embargo, el 43% de los Directores Generales de todo el mundo que participaron en la 26ª Encuesta Anual de CEOs de PwC admiten que los directivos de las empresas no suelen fomentar el debate y la discrepancia. Esto tiene que cambiar.

Evita el juego de las culpas. La encuesta también reveló que el 53% de los directores generales afirmaban que los líderes de sus empresas no solían tolerar los fallos a pequeña escala. Esto es muy poco útil, ya que encontrar puntos ciegos o vulnerabilidades en la forma que hemos descrito requiere un examen minucioso de los fracasos a pequeña escala. Si se adopta la transparencia y no se culpa a nadie, es más probable que las empresas detecten los puntos débiles antes de que sea demasiado tarde. Los ejercicios pre-mortem que parten del supuesto de que un plan puede fracasar pueden reducir el exceso de confianza y ayudar a que la detección de puntos débiles se convierta en un punto fuerte.

Reúne a todas las personas adecuadas. Para que el riesgo se contemple desde una perspectiva interfuncional, es necesario que las personas clave de las distintas disciplinas, desde TI y operaciones hasta RR.HH. y comunicaciones, formen parte de la conversación. No lo conviertas en algo jerárquico o en un silo; en su lugar, deja que todas las personas clave aporten su experiencia y expresen sus preocupaciones cuando sea necesario. Solo mediante la integración de los silos puede haber una verdadera resiliencia empresarial.

Establece KPIs de resiliencia. Ser capaz de absorber las crisis depende tanto de una capacidad de respuesta rápida y decisiva como de la mitigación de riesgos y la preparación previa a las crisis. Calcula qué es necesario para prestar los servicios clave y cuánto tiempo se tardará en ponerlos en marcha, de principio a fin, a través de todas las dependencias identificadas. Establece objetivos para la activación de copias de seguridad y soluciones provisionales. Comprender los componentes altamente interconectados de las operaciones garantiza que las respuestas rápidas sean precisas, lo que es de vital importancia a la hora de comunicarse tanto con los clientes como con los medios de comunicación.

Invierte en preparar a las personas. La capacidad eficaz de gestión de crisis se desarrolla mediante la exposición frecuente a las características, presiones y exigencias que se plantean cuando se produce una perturbación. Los jefes deben desarrollar las aptitudes, mentalidades y comportamientos necesarios para responder en tiempos de crisis o perturbación. Pueden hacerlo mediante microsimulaciones basadas en la tecnología o mediante sencillos debates de planificación de escenarios con las principales partes interesadas. Se trata de un enfoque que desarrolla la memoria muscular necesaria para establecer estrategias, tomar decisiones y gestionar a las partes interesadas en un mundo incierto.

Bobbie Ramsden-Knowles codirige el Centro Global de Crisis y Resiliencia de PwC. Con sede en Londres, es socia de PwC UK.

James Houston es uno de los principales profesionales de la práctica de riesgos de PwC UK, especializado en resistencia operativa. Con sede en Edimburgo, es socio de PwC UK.

David Stainback codirige el Centro Global de Crisis y Resiliencia de PwC. Con sede en Atlanta, es director de PwC US.

Paul Williams es especialista en resiliencia operativa en PwC UK. Anteriormente, fue responsable de supervisión y desarrollo de políticas para riesgos no financieros en el Banco de Inglaterra.

Stella Nunn, Duncan Scott, Rory Spedding, y Claudia van den Heuvel han contribuido a este artículo.

-->