Los errores cometidos en la gestión de un desastre son comprensibles cuando nos enfrentamos a algo repentino y desconocido. Es posible que una reacción instantánea, basada en razones de extrema urgencia, impida aplicar las mínimas cautelas, que después del desastre se presentarán como las más razonables y evidentes.

También son comprensibles los errores cuando hablamos de riesgos conocidos pero difíciles de predecir y de evitar, dada la cantidad y la complejidad de los datos a analizar y el carácter aleatorio de los sucesos relacionados con el riesgo.

Pero cuando un riesgo es conocido, medible, previsible, evitable, e incluso puede ser transferido a terceros o diferido en el tiempo, tomar decisiones sin la debida información y realizar actuaciones sin aplicar las medidas preventivas establecidas puede y debe generar responsabilidades.

La crisis del ébola generada en España se ha convertido, desgraciadamente, en un caso de estudio en materia de compliance, ya que sirve para ilustrar todas las fases de la gestión de un riesgo que deben ser contempladas en un modelo de prevención y control.

No voy a analizar en este caso la posible concurrencia de un elemento de ajenidad e incluso de riesgo moral en la gestión pública, o más bien política, de una amenaza como ésta, sino el contenido del modelo teórico que se habría aplicado en un mundo ideal.

En este caso, el modelo debería incluir todos los controles asociados a la prevención de los riesgos relacionados con la salud pública, la seguridad pública y la seguridad en el trabajo, reforzados con los controles específicos del ébola.

A continuación relaciono, de manera cronológica, algunas de las enseñanzas del caso analizado que se expresan en una minúscula muestra de las medidas preventivas que podemos trasladar al mundo de la empresa con el fin de incluirlas, si no lo están ya, en un modelo teórico de prevención y control corporativo, de acuerdo con el esquema definido en el Anteproyecto de Código Mercantil y en el Proyecto de reforma del Código Penal.

Del mismo modo, las enseñanzas de los modelos empresariales de prevención y control podrían haberse aplicado desde el principio a este caso para el beneficio de toda la población.

Protocolo de toma de decisiones

Escenario real: Posible repatriación de ciudadano español contagiado por ébola.

Escenario corporativo: Una empresa debe tomar una decisión de alto riesgo

Controles que debería incluir un modelo de prevención y control corporativo:

– Solicitud de informes internos y externos
– Asesoramiento técnico especializado en el riesgo
– Asesoramiento jurídico especializado en el riesgo
– Evaluación objetiva del riesgo
– Análisis de escenarios posibles
– Análisis de alternativas
– Análisis de costes
– Balance de prioridades entre intereses individuales y colectivos
– Mayoría reforzada en el proceso de votación

Planificación

Escenario real: Traslado de enfermo de ébola a país sin antecedentes ni experiencia

Escenario corporativo: Planificación de un proyecto de alto riesgo en el que la empresa no tiene experiencia

Controles que debería incluir un modelo de prevención y control corporativo:

– Solicitud de modelos de planificación a expertos internacionales
– Contratación de expertos externos
– Políticas, normas y procedimientos
– Formación adecuada y experta para todos los miembros del equipo
– Hot line para la resolución inmediata de dudas
– Canal de comunicación de situaciones de riesgo
– Diseño de protocolos
– Plan de adecuación y actualización de protocolos
– Planes alternativos
– Planes de respuesta y emergencia
– Selección de la ubicación más adecuada
– Comisión de seguimiento
– Gabinete de crisis
– Plan de comunicación
– Plan de concienciación en relación al riesgo de alarma social desproporcionada
– Gestión de la fase posterior al proyecto
– Plan de gestión de los residuos contaminados

Formación

Escenario real: Equipo sanitario aparentemente sin experiencia ni formación adecuada

Escenario corporativo: Asignación de funciones de alto riesgo a un equipo sin experiencia ni formación adecuada

Controles que debería incluir un modelo de prevención y control corporativo:

– Formación adecuada por parte de profesionales expertos
– Plataforma de e-learning que permita las repeticiones que sean necesarias
– Contratación de personal experto que actúe como guía
– Hot line para la resolución inmediata de dudas
– Formación genérica en materia de riesgos laborales
– Formación específica en materia de riesgos asociados a las funciones asignadas
– Manual de uso de cada EPI (Equipo de protección individual)
– Formación específica en el uso de los EPIs
– Ficha de descripción del puesto de trabajo con las funciones asignadas
– Ficha de riesgos del puesto de trabajo con descripción de los EPIs
– Supervisión en el uso de los EPIs
– Grabación en vídeo de los procesos críticos para conseguir trazabilidad
– Actos prohibidos
– Actos permitidos

Medidas de seguridad y protocolos

Escenario real: Medidas de seguridad y protocolos aparentemente no adaptados al riesgo del ébola.

Escenario corporativo: Medidas de seguridad proporcionadas al alto riesgo del proyecto

Controles que debería incluir un modelo de prevención y control corporativo:

– Medidas de seguridad adaptadas al riesgo de la actividad y al riesgo
– Medidas de prevención de riesgos laborales adaptadas a la actividad y al riesgo
– Protocolos actualizados
– Protocolo de adecuación y actualización del modelo de prevención
– Asimilación y difusión de la experiencia adquirida
– Estructura de control
– Nombramiento de supervisores
– Monitorización y seguimiento
– Comisión de seguimiento
– Gabinete de crisis
– Segregación de tareas
– Política de cuatro ojos
– Canal de comunicación de situaciones de riesgo
– Ficha de descripción del puesto de trabajo con las funciones asignadas
– Ficha de riesgos del puesto de trabajo con descripción de los EPIs
– Supervisión en el uso de los EPIs
– Equipos de protección individual homologados
– Preparación y adecuación de las instalaciones
– Zonas de descontaminación
– Identificación del personal con acceso al proyecto
– Control de todo el ciclo de vida del proyecto
– Control de la fase posterior a la finalización del proyecto
– Control de los proveedores implicados en el proyecto
– Prohibición de subcontrataciones a los proveedores
– Monitorización de la salud del equipo durante el proyecto y en la fase posterior
– Seguimiento de los plazos de incubación en contactos directos e indirectos
– Protocolos de emergencia, cuarentena y aislamiento
– Gestión adecuada de los residuos contaminados

Como he comentado, esta selección de controles es una muestra minúscula, dado el alto riesgo del proyecto, pero si todos estos puntos parecen excesivos, sólo hay que mirar las consecuencias de su incumplimiento. Como dijo Paul McNulty: “If you think compliance is expensive, try non-compliance”.