Resiliencia organizacional, definición y buenas prácticas

La resiliencia no solo es un término de moda, se utiliza y aplica en múltiples disciplinas del saber tales como la física, psicología, ciencias biológicas, sociología, ecología, economía, administración, etc., con su manejo particular, desde luego, pero en esencia con el mismo significado. 

Existen diversas definiciones sobre este concepto en aplicación a las organizaciones:  

  • El BCI (Business Continuity Institute) lo define como la “capacidad de una organización, personal, sistema, red de telecomunicaciones, actividad o proceso para absorber el impacto de una interrupción o pérdida comercial y continuar brindando un nivel aceptable de servicio”.  
  • Según el DRII (Disater Recovery Institute International), es “la capacidad de adaptación de una organización en un entorno complejo y cambiante”. 

 

En lo que corresponde a las ciencias de administración, la resiliencia organizacional (RO) se entiende como una capacidad de las organizaciones para anticipar y gestionar la interrupción en todas sus formas, buscando minimizar el daño y maximizar los beneficios asociados.  

Es decir, que no solo aplica para eventos de crisis en las empresas, sino que también surge como una herramienta o guía que logra hacer a las compañías suficientemente sólidas, capaces de sobrevivir a cualquier dificultad mayor y obtener ventajas competitivas de situaciones adversas. Así pues, con este nuevo enfoque no reactivo o de prevención, la resiliencia debe estar más asociada a la prospectiva y a la planeación. 

Conforme a la Norma BS 65000 (“Guía para la Resiliencia Organizacional”), del BSI (British Standards Institution): “Una organización altamente resiliente es aquella que es coherente, adaptable, competitiva, ágil y robusta». 

En un entorno cambiante, la resiliencia organizacional y la gestión de la continuidad del negocio buscan tener compañías flexibles y no rígidamente empeñadas en mantener sus condiciones actuales. Esta nueva perspectiva impulsa a ver la resiliencia organizacional y el quehacer de la continuidad de negocio de una manera más proactiva, ayudando a superar las pruebas y desafíos durante el transcurso del tiempo e incluso promoviendo el crecimiento, las ventajas competitivas y la prosperidad de las compañías. 

ISO 22316:2017 “Seguridad y Resiliencia-Resiliencia Organizacional” define la RO como “la capacidad de una organización para absorber y adaptarse en un entorno cambiante, que le permita cumplir sus objetivos y sobrevivir y prosperar”. La norma proporciona una orientación para mejorar la capacidad de recuperación de una organización y lo hace a través de principios, atributos y actividades como un marco de referencia de la resiliencia, apalancado en diferentes disciplinas de gestión como ISO 22301:2012 para la gestión de la continuidad del negocio, ISO 27001:2015 para la gestión de la seguridad de la información, e ISO 31000 para la gestión de riesgos, cuyos esfuerzos deben ser combinados y coordinados.

La gestión de riesgos, la crisis y la resiliencia 

El riesgo cero no existe y todas las organizaciones están expuestas a amenazas que pueden llegar a afectarlas de manera significativa, al punto de que pueden poner en riesgo la continuidad de sus negocios generando crisis que, de no ser debidamente gestionadas, atentan contra la propia supervivencia. 

Ninguna compañía está exenta de riesgos, ni puede evitar al 100% la posibilidad de que ocurran, pero sí puede trabajar en su reducción y estar preparada para mitigar su impacto. En caso de que se materialice el riesgo, puede estar en capacidad de enfrentar la crisis y, ¿por qué no?, hacer de la situación una oportunidad que le genere ventajas competitivas. 

Existen riesgos que provocan diferentes situaciones de crisis, según su origen y naturaleza. Aquí presento un grupo consolidado de diversas fuentes, sin que sea un ejercicio exhaustivo: 

  1. Desastres naturales 
  2. Desastres ambientales (generados por agentes externos o internos) 
  3. Irregularidades financieras (fraude, mal manejo, malversación, transgresiones éticas) 
  4. Fallas tecnológicas o errores humanos que generan “downtime” 
  5. Terrorismo, confrontación armada y ataques físicos externos 
  6. Sabotaje y violencia interna en sitio de trabajo 
  7. Transgresiones corporativas y competencia desleal 
  8. Ciberterrorismo, hackeo y ataques maliciosos 
  9. Rumores, falsas noticias o situaciones reales que afectan la reputación, marca y buen nombre 

Existen diferentes tipos de eventos: incidentes, emergencias y crisis, cada uno con características, causas, dimensiones e impactos diferentes, que determinan actores con entrenamientos y conocimientos específicos, marcos de referencia particulares, soporte y control apropiados para cada uno, procedimientos, metodologías, guías, estrategias, recursos y programas de respuesta propios de cada nivel. 

En resumen, los diferentes tipos demandan capacidades diferentes, responsabilidades y acciones que deben ser desarrolladas para atender cada tipo de evento en particular. 

Pero, ¿qué es una crisis? 

Según la BS11200 “Crisis Management Guidance and Good Practice”, una crisis es una “situación anómala imprevisible que amenaza los objetivos estratégicos, la reputación e incluso la propia viabilidad y supervivencia de la compañía”. Por su parte, ISO 22301 la define como “una situación con un alto nivel de incertidumbre que afecta las actividades básicas o la credibilidad de la organización y requiere medidas urgentes”. 

Las crisis corresponden a eventos inesperados o inevitables de carácter catastrófico que pueden afectar a las personas, los activos críticos, la estructura financiera, la operación o la reputación de una compañía.  

Elementos comunes de una crisis 

Normalmente las crisis comparten los siguientes elementos: 

  • Baja valoración de la probabilidad de ocurrencia: la situación constituye un factor sorpresa que determina una situación inesperada. 
  • Falta de información: cuando ocurren, existe un factor de incertidumbre y se tienen debilidades de información general y específica que deben ser resueltas con prontitud para tomar decisiones y determinar medidas de acción oportunas. 
  • Afectación en cadena: suelen generar acontecimientos con efectos secundarios que van desencadenando sucesivos nuevos impactos y afectaciones. 
  • Pérdida de control: la situación inicialmente está fuera de control y requiere acciones efectivas inmediatas.  
  • Foco de atención, que puede dispersarse: ante la aparición de una crisis, la atención debe estar puesta en el foco, pero ello no implica que se descuiden otros aspectos que podrían parecer ajenos a esta situación, pero que pueden aumentar el problema o generar otros nuevos si no se atienden. 
  • Necesidad de gestionar las comunicaciones tanto internas como externas: la desinformación puede originar acciones erradas al interior. También es importante controlar cómo se comunica hacia el exterior. 
  • Pánico: debido a la incertidumbre y falta de conocimiento real de la situación se genera pánico y miedo, que solo puede reducirse con decisiones acertadas derivadas de la ejecución de los planes de respuesta para la crisis. 

Gestionar una crisis no puede obedecer a una reacción impulsiva realizada en medio del pánico. La respuesta debe ser apropiada, a tiempo, ágil, pero cuidadosamente elaborada, clara, veraz y orientada. 

Ahora bien, la resiliencia es algo más que resistir los diferentes riesgos materializados, y además de atender apropiadamente las emergencias consiste en gestionar la crisis y garantizar la continuidad del negocio, se encarga de adaptarse al entorno empresarial y reaccionar de manera oportuna para enfrentar el futuro.

Estrategias de resiliencia 

Las organizaciones resilientes deben generar una combinación de estrategias que les permitan lograr un mayor grado de madurez. A continuación, se presentan algunas que sin lugar a duda apoyarán la reflexión anticipada y el fortalecimiento de las condiciones de gestión: 

  • Crear estructuras organizacionales para enfrentar las crisis, con formas preferiblemente matriciales. En caso de ser jerarquizadas, la recomendación es que tengan niveles cortos de escalamiento, preferiblemente de no más de 3 o 4 niveles. 
  • Generar habilidades en toda la organización, desde la alta dirección hasta los niveles de operación. Desarrollar en los líderes y tomadores de decisiones la capacidad de reaccionar de manera controlada y efectiva ante situaciones de estrés o desastres imprevistos con características graves no planeadas. Así mismo, desarrollar habilidades para anticipar y gestionar el cambio. 
  • Mejorar la capacidad de planificación y contar con planes de gestión de crisis, planes de emergencia, continuidad del negocio y atención de desastres. 
  • Practicar ejercicios de respuesta y de recuperación, con foco especial en la toma de decisiones frente a los principales desafíos en eventos de crisis. Desarrollar habilidades y comportamientos necesarios para gestionar, atender eventos y generar oportunidades. 
  • Contar con acuerdos y contratos que contemplen cláusulas para que en eventos de crisis se pueda disponer del apoyo necesario de proveedores calificados, con niveles de servicio que faciliten la oportunidad en el suministro de productos y en la prestación de servicios requeridos. 
  • Establecer interrelación directa con las partes interesadas, acuerdos y convenios con organismos de seguridad y control, atención de desastres, servicios nacionales de emergencia, instituciones y entidades de apoyo e incluso organismos multilaterales, para actuar y brindar apoyo en caso de ser requerido. 
  • Estructurar planes para implementar actividades complementarias de seguridad: en situaciones de crisis existe una exposición adicional a incidentes de seguridad, que puede ser explotada por personas malintencionadas, máxime cuando la atención de crisis propicia que se omitan o suspendan controles normales de operación. Hay que poner especial cuidado en el monitoreo y registro de las acciones efectuadas durante la crisis; para la infraestructura tecnológica se deben implementar herramientas que permitan el seguimiento, como registros y pistas de auditoría.  
  • En caso de un desastre generalizado en el país o la región geográfica de la organización, no solo debe gestionarse la crisis de la organización, deben incluirse acciones de responsabilidad social que apoyen al gobierno y sus organismos de atención a gestionar la situación, salvar vidas humanas y tener una mejor respuesta ante la adversidad y la crisis. 
  • Fortalecer la cultura de gestión del cambio en la organización y realizar procesos de formación en innovación y desarrollo de capacidades de creación de nuevas oportunidades. 
  • Utilizar modelos de madurez, métricas y análisis de brechas que permitan determinar el estado de evolución de la organización y la formulación de planes estratégicos para el fomento de la resiliencia organizacional. 
  • Desarrollar nuevas capacidades en el personal a diferentes niveles de la estructura organizacional para que se aprovechen los nuevos desarrollos de tecnologías de comunicaciones, de la información y propios de la transformación digital. 
  • A partir de la evaluación de las causas que motivaron la crisis, deben aprovecharse las oportunidades de mejora que permitan no solo anticipar situaciones similares, mediante el monitoreo y seguimiento, sino también reducir los riesgos de ocurrencias de desastre y crisis futuros. 
  • Se deben realizar análisis poscrisis, con una evaluación y análisis situacional de las nuevas condiciones para la definición de nuevas estrategias resilientes, conforme a las oportunidades que puedan surgir de las nuevas condiciones o que se avizoren con la experiencia adquirida. 

El seguimiento de estrategias resilientes y el mejoramiento de los niveles de madurez de la resiliencia permiten afrontar y gestionar de manera eficaz la incertidumbre que ocasiona la crisis, desarrollar el potencial de los actores hasta convertirlo en talento, para aprovechar positivamente los eventos adversos a través de la creatividad e innovación. 

 

[email protected]