El mapa de riscos que ningú vol actualitzar

Hi ha una frase que sento massa sovint als despatxos de direcció: "Ja tenim un pla de crisi". La diuen amb la mateixa tranquil·litat amb què es menciona una pòlissa d'assegurança signada fa cinc anys. I aquí rau el problema: confonen tenir un document amb estar preparats.

Fa més de dues dècades que gestiono crisis reputacionals per a empreses, institucions i persones amb exposició pública. He vist com esclata una narrativa adversa abans que el comitè de direcció acabi de llegir el primer paràgraf de l'informe de situació.

He acompanyat organitzacions que, amb protocols impecables sobre el paper, van arribar tard perquè el seu model de resposta continuava sent lineal en un entorn que ja operava en paral·lel, a temps real i en cinc idiomes simultanis.

El que abans era suficient, avui és insuficient. I no és un matís: és una bretxa estructural.

El tauler ha canviat. El mapa, no

Durant anys, els mapes de riscos corporatius es van construir sobre un conjunt d'amenaces més o menys estables: conflictes laborals, contingències regulatòries, crisis de producte, algun capítol de reputació online afegit amb el temps, i, en els més avançats, un bloc de ciberseguretat tractat com a silo tècnic, apartat de la gestió reputacional.

Aquest model responia a un món amb més fricció, més temps de reacció i més compartiments estancs. Un món que ja no existeix.

Avui existeixen quatre eixos de risc que han deixat de ser excepcionals per convertir-se en estructurals. No són amenaces emergents: són la nova normalitat de l'entorn en què operen les organitzacions. I qualsevol arquitectura de prevenció que no els integri de manera permanent està, senzillament, operant amb nostàlgia.

El primer és geopolític. La guerra d'Ucraïna no va ser només un conflicte territorial: va ser el moment en què la geopolítica va deixar de ser una conversa reservada a les cancelleries per convertir-se en una variable de negoci.

Desinformació, atacs híbrids, disrupcions en cadenes de subministrament, pressió regulatòria creuada, polarització social amplificada digitalment. Tot això ja impacta en empreses mitjanes, en marques amb empremta pública i en la reputació de directius que, fa cinc anys, mai haurien considerat la geopolítica com una variable de la seva gestió de riscos.

El segon és climàtic. Les danas, els talls de llum, els temporals extrems i els incendis no són metàfores d'un futur ESG: són disrupcions operatives presents, amb impacte directe en la continuïtat de negoci, seguretat de persones, mobilitat i, cada cop més, en la percepció pública de la capacitat real de resposta d'una organització. La gestió climàtica ha deixat de ser un apartat de compliment normatiu per convertir-se en un indicador de credibilitat institucional.

El tercer és sanitari. La Covid ens va deixar una lliçó que encara no hem processat del tot: la velocitat del contagi informatiu pot superar la del contagi biològic. Una organització sense mecanismes d'observació, verificació i resposta coordinada davant d'una crisi d'abast global arriba tard encara que les seves intencions siguin irreprotxables. I arribar tard, en gestió de crisis, té conseqüències que cap comunicat posterior pot reparar del tot.

El quart eix és cibernètic, encara que en realitat travessa els altres tres. Fuites de dades, ransomware, suplantació d'identitat, campanyes de desprestigi coordinades, manipulació documental, doxing, accessos no autoritzats.

Des de la meva posició com a pèrit judicial especialitzada en ciberinvestigació, puc afirmar amb base empírica el que molts encara prefereixen no escoltar: la indisposició cibernètica no és un incident puntual. És un estat permanent d'exposició. I la diferència entre una organització que ho gestiona i una que ho ignora no és tècnica: és de criteri directiu.

De l'informe a l'alerta. De la dada a la decisió

El model d'observatori també ha canviat. Durant anys, el valor de la monitorització es va mesurar en volum de lliurables: informes diaris, dossiers periòdics, fotografies de l'entorn més o menys ben redactades i sovint rebudes tard. Aquest model no ha mort, però ha perdut el protagonisme en contextos on la crisi no espera al tancament del dia.

El que el mercat exigeix ara, el que jo exigeixo en cada projecte que gestionem a OnbrandinG, és una altra cosa: alerta, context, interpretació i recomanació accionable. No simplement saber què està passant, sinó entendre què significa, a qui afecta, qui ho està movent, amb quina intensitat i amb quin nivell d'urgència ha d'escalar internament.

No és el mateix una conversa marginal que una narrativa en acceleració. No és el mateix un actor oportunista que un node coordinat. No és el mateix una filtració tècnica sense tracció pública que un incident amb capacitat d'activar desconfiança social en qüestió d'hores. Aprendre a distingir-ho, i fer-ho amb rapidesa, és la diferència entre anticipar-se i reaccionar.

La jerarquització de senyals no és un luxe metodològic. És la competència central de qualsevol equip que gestioni reputació i intel·ligència corporativa avui.

Cintura real, no cintura d'uralita

Hi ha una qualitat que en gestió de crisis es menciona molt i es practica poc: l'agilitat real. No com a declaració de principis en una presentació de comitè, sinó com a capacitat efectiva de moure estructura, relat i decisió sense rigidesa burocràtica.

Les crisis actuals castiguen especialment les organitzacions enamorades dels seus propis procediments. A qui confon tenir un protocol arxivat amb estar preparat. A qui, mentre la conversa pública escala tres pisos, continua esperant "l'informe de demà". I castiguen també, això ho dic amb coneixement de causa, a qui creu que la gestió de crisis és responsabilitat exclusiva del departament de comunicació, quan en realitat és una competència transversal que implica direcció, legal, tecnologia i operacions al mateix temps.

El que cal revisar, ja

Si dirigeixes una organització amb exposició pública, la pregunta no és si el teu mapa de riscos inclou aquests quatre eixos. La pregunta és si els té integrats de manera operativa, no com a capítols en un PowerPoint, sinó com a variables actives en el teu model de decisió, si el teu sistema de monitorització genera alertes amb criteri o simplement acumula senyals sense jerarquitzar-les, i si el teu equip té la capacitat real de respondre abans que el relat advers es consolidi.

El risc no demana permís. No respecta horaris. No distingeix entre grans i mitjanes empreses, entre marques globals i perfils personals amb exposició pública. Només distingeix entre organitzacions que llegeixen l'entorn amb precisió i organitzacions que arriben tard.

Hi ha una diferència enorme entre tenir un mapa de riscos i tenir-ne un que serveixi. El moment de revisar-lo no és quan arribi la crisi. És ara.