Decisiones Gerenciales que ningún Protocolo de Seguridad puede Reemplazar
Lo que la alta dirección puede hacer para prevenir los factores de riesgo público antes de que la amenaza encuentre su puerta de entrada
Toda organización que opera en territorios complejos tiene, sin saberlo, una arquitectura de puertas. Algunas están blindadas con protocolos, escoltas y sistemas de alerta. Otras están abiertas de par en par, no porque nadie las construyó, sino porque nadie en el nivel correcto de la organización tomó la decisión de cerrarlas. Y el agente agresor, que no tiene prisa y que aprende con una paciencia que las gerencias ocupadas raramente pueden igualar, no necesita derribar las puertas blindadas. Solo necesita encontrar las que nadie recuerda que existen.
La diferencia entre una organización que sobrevive al territorio y una que se convierte en su víctima no siempre se mide en presupuestos de seguridad ni en sofisticación tecnológica. Se mide en la calidad de las decisiones que tomó su alta dirección antes de que hubiera una emergencia que las justificara: en si la gerencia entendió a tiempo que la prevención del riesgo público no es una función que se delega, sino una responsabilidad que se ejerce desde el nivel más alto de la organización hacia cada proceso, cada área y cada persona que sostiene la operación.
Este artículo no está escrito para los directores de seguridad. Está escrito para quienes toman las decisiones que los directores de seguridad no pueden tomar solos: para la alta dirección que aún no ha tenido su primer incidente grave y que todavía está a tiempo de garantizar que nunca lo tenga.
Lo que sigue es lo que la gerencia puede hacer en materia de prevención del riesgo público. Y que casi nunca hace antes de que sea demasiado tarde.
Parte I
El Diagnóstico del Riesgo Público que la Gerencia evita
La conversación sobre factores de riesgo público que no ocurre en el comité directivo
Existe una conversación que debería ocurrir en los comités directivos de todas las empresas que operan en ambientes hostiles de trabajo en Colombia y que, con una frecuencia que debería resultar perturbadora, no ocurre. No porque los directivos desconozcan los riesgos —la mayoría los conoce con suficiente detalle— sino porque nombrarlos en ese nivel de la organización implica aceptar una responsabilidad que el modelo gerencial convencional no sabe exactamente cómo gestionar: la responsabilidad de que la prevención del riesgo público no es únicamente un asunto del área de seguridad.
La gestión del riesgo público en ambientes hostiles es, fundamentalmente, un asunto gerencial. Es una variable que afecta la continuidad del negocio, la reputación corporativa, la responsabilidad legal de los representantes legales, la capacidad de retener talento crítico y la viabilidad de largo plazo de cualquier operación que dependa de presencia física en territorios donde los factores de riesgo público son estructurales y permanentes. Tratarla como una función de soporte, delegarla completamente en un director de seguridad y revisarla únicamente cuando ocurre un incidente o accidente de trabajo es el error estratégico más costoso que puede cometer una organización que opera en el territorio colombiano.
La idea es proponer un modelo diferente: la prevención del riesgo público como decisión gerencial integrada, distribuida en cada área de la organización y sostenida por políticas que van mucho más allá de los protocolos operacionales para convertirse en la arquitectura invisible que hace que la empresa, como sistema, sea significativamente más difícil de penetrar, contaminar o desestabilizar.
El costo real del riesgo público que nadie contabiliza correctamente
Antes de diseñar cualquier estrategia, la gerencia necesita entender con precisión el costo real de los factores de riesgo público en sus operaciones de campo. No el costo del incidente cuando ocurre —ese es visible, doloroso y generalmente bien documentado— sino el costo acumulado y silencioso de operar sin una estrategia gerencial de prevención integrada.
Ese costo tiene componentes que raramente aparecen juntos en ningún informe financiero convencional:
- La rotación acelerada de personal en zonas de alta conflictividad, que en el sector minero-energético y de construcción puede representar entre el 35 y el 60 por ciento del costo anual de nómina en territorios complejos, medido en selección, inducción, curva de aprendizaje y pérdida de conocimiento institucional.
- La productividad reducida por un clima laboral contaminado por el miedo no gestionado: errores de procedimiento, ausencias injustificadas, bajo rendimiento sostenido y decisiones técnicas tomadas bajo presión emocional.
- Las oportunidades de negocio no capturadas porque la reputación de seguridad de la empresa en ciertos territorios no le permite competir en licitaciones donde ese criterio es determinante.
- El costo legal, institucional y reputacional del representante legal que ha enfrentado una investigación penal por un accidente de trabajo mortal en campo que una estrategia gerencial más rigurosa habría podido prevenir.
Parte II
La Arquitectura Gerencial de la Prevención Integrada del Riesgo Público
El modelo de responsabilidad distribuida frente a los factores de riesgo público
El primer principio de una estrategia gerencial de prevención del riesgo público integrada es la distribución explícita de responsabilidades de seguridad en cada área de la organización, comenzando por la alta dirección y llegando hasta el último nivel operativo, con métricas de desempeño en seguridad que sean tan exigentes y tan visibles como las métricas de producción, calidad y rentabilidad.
Este principio tiene una implicación concreta e incómoda para muchas organizaciones:
No puede delegar su responsabilidad de prevención del riesgo público en el director de seguridad. La responsabilidad de proteger a su equipo en campo es suya y no admite transferencia hacia abajo en la cadena de mando.
Tiene responsabilidades de seguridad en la gestión de los recursos asignados a esta función. El presupuesto de prevención no es una línea discrecional: es una inversión con retorno medible en incidentes que no ocurren.
Tiene responsabilidades de seguridad en el diseño de los procesos operativos. La prevención del riesgo público no se agrega sobre un proceso ya diseñado: se incorpora como variable no negociable desde el origen.
Tiene responsabilidades que van más allá de la firma de los documentos que el sistema de gestión de seguridad y salud en el trabajo exige. Su nombre aparece en la investigación penal cuando la prevención falla.
La distribución de compromisos no diluye la responsabilidad: la amplifica. Cuando cada área sabe exactamente qué le corresponde en la arquitectura de prevención del riesgo público, el sistema deja de depender de un único punto de falla —el director de seguridad— y se convierte en una red de responsabilidades complementarias que es significativamente más robusta frente a la presión del agente agresor externo.
La política gerencial de perfil bajo como escudo frente al riesgo público
Una de las decisiones gerenciales con mayor impacto en la prevención del riesgo público en las operaciones de campo es también una de las menos discutidas en los espacios directivos: la política de perfil bajo institucional. Esta política regula la manera en que la organización, como entidad, y sus representantes, como individuos, gestionan su visibilidad pública en los territorios donde operan.
Define qué información sobre la operación es pública, cuál es de circulación interna controlada y cuál es de acceso restringido. Define los canales a través de los cuales la empresa se comunica con el entorno —comunidades, proveedores, autoridades, medios— y los protocolos que garantizan que esa comunicación no entrega información que pueda ser utilizada por actores criminales. Incluye criterios para la presencia de la empresa en redes sociales corporativas y medios locales.
Establece las expectativas de comportamiento digital y público de todo el personal con roles de alta visibilidad: directivos, gerentes de proyecto, representantes legales, relacionistas comunitarios. Incluye lineamientos sobre publicaciones en redes sociales personales, gestión de agendas públicas, protocolo de atención a medios y criterios para la participación en espacios públicos en las zonas de operación.
La gerencia de la información como función estratégica de prevención del riesgo público
En la economía del riesgo público, la información es el activo más valioso y el más frecuentemente mal gestionado de cualquier organización que opera en territorios complejos. No la información técnica ni la financiera —aunque ambas requieren protección— sino la información operacional cotidiana: quién está dónde, cuándo, haciendo qué, con quién y por qué ruta.
Una estrategia gerencial de prevención del riesgo público integrada trata la información operacional con la misma disciplina con que trata sus activos financieros críticos: con clasificación, con acceso diferenciado, con trazabilidad y con consecuencias claras ante su manejo inadecuado.
- Las agendas de los directivos que visitan zonas de operación no circulan por canales de comunicación masiva internos.
- Las fechas de pago de nómina en campo no son de conocimiento general en el territorio.
- Los cambios en los protocolos de seguridad no se discuten en espacios donde la confidencialidad no puede ser garantizada.
- Cualquier solicitud de información operacional proveniente de fuentes externas activa un protocolo de verificación antes de generar una respuesta.
Parte III
Procesos Operativos Seguros por Diseño frente al Riesgo Público
La prevención del riesgo público integrada en el diseño de procesos
El modelo gerencial convencional de seguridad en operaciones de campo funciona, en la mayoría de las organizaciones colombianas, de la siguiente manera: primero se diseña el proceso operativo, optimizado para eficiencia y productividad, y luego se le agrega una capa de seguridad diseñada para mitigar los riesgos que el proceso genera. Este modelo tiene una falla estructural: es significativamente más costoso y menos efectivo agregar prevención del riesgo público a un proceso ya diseñado que diseñarla desde el origen.
La pregunta genuina de diseño que cada proceso debería responder: ¿este proceso, tal como está diseñado, crea patrones predecibles que un actor criminal podría explotar para generar incidentes o accidentes de trabajo?
Formulada en el momento correcto del diseño, esta pregunta genera procesos que son intrínsecamente más seguros sin ser necesariamente más costosos. La variación incorporada como principio de diseño en lugar de como respuesta a una amenaza identificada. La redundancia de comunicación construida en el proceso en lugar de añadida cuando falla el canal principal. La distribución del conocimiento crítico entre múltiples personas en lugar de concentrarlo en el individuo más visible y más vulnerable.
El diseño de operaciones de bajo perfil en ambientes hostiles de trabajo
Las operaciones en ambientes hostiles de trabajo de alta conflictividad en Colombia generan, por su propia naturaleza, visibilidad: mueven personal, equipos, vehículos y recursos en entornos donde cualquier movimiento inusual es observado, registrado e interpretado por múltiples actores con intereses diversos. Reducir esa visibilidad al mínimo operacionalmente viable no siempre es posible, pero diseñarla de manera que no entregue información estratégica al agente agresor siempre lo es.
El diseño de operaciones de bajo perfil tiene componentes gerenciales concretos:
Distribuir los movimientos de recursos y personal de manera que ningún desplazamiento individual sea suficientemente significativo para justificar una operación criminal de escala mayor.
Llegada de equipos costosos, visitas directivas y pagos significativos no deben coincidir en el tiempo ni en el espacio con una concentración de vulnerabilidades.
Construir relaciones con múltiples proveedores locales en lugar de depender de uno solo, reduciendo la concentración de información operacional en un único actor del entorno que puede ser presionado o comprometido por la delincuencia.
Los contratos y proveedores como vector de riesgo público gerencial
Uno de los vectores de penetración más subutilizados en el análisis del riesgo público es la cadena de proveedores y contratistas. En la lógica de la gestión de los factores de riesgo público, cada proveedor que tiene acceso a la operación —de alimentos, de transporte, de servicios técnicos, de suministros— es un punto de entrada potencial de información hacia el entorno externo, y en algunos casos un punto de entrada del entorno externo hacia la operación.
La estrategia gerencial de prevención aborda este vector con políticas de gestión de proveedores que van más allá de los criterios convencionales de calidad, precio y cumplimiento normativo para incluir preguntas explícitas:
- ¿Qué información operacional tiene acceso a ver este proveedor en el desarrollo normal de su contrato?
- ¿Qué salvaguardas contractuales y operacionales limitan la circulación de esa información hacia el entorno externo?
- ¿Qué mecanismos de seguimiento permiten detectar conductas inusuales o actitudes sospechosas en el proveedor que puedan indicar que está siendo presionado externamente?
La rotación periódica de proveedores en zonas de alta conflictividad, la distribución de contratos de manera que ningún proveedor individual tenga una visión completa de la operación y la separación funcional entre proveedores que tienen acceso a información de diferente nivel de sensibilidad son decisiones gerenciales con impacto directo en la prevención del riesgo público que muy pocas organizaciones colombianas han institucionalizado de manera sistemática.
Parte IV
Seguimiento Estratégico al Riesgo Público en los Procesos
El tablero de control de riesgo público que la gerencia necesita y no tiene
La mayoría de los tableros de control gerencial en organizaciones que operan en ambientes hostiles de trabajo en Colombia tienen un punto ciego: no incluyen indicadores de riesgo público que sean comparables, en su visibilidad y en su exigencia, con los indicadores de producción y rentabilidad. Los indicadores de accidentalidad están, porque la normatividad los exige. Pero los indicadores de factores de riesgo público están ausentes en la mayoría de los comités directivos colombianos.
Esta ausencia refleja una decisión implícita, nunca verbalizada, de que el riesgo público es un tema operacional que llega al nivel gerencial únicamente cuando genera un incidente reportable. Los indicadores que deberían integrar ese tablero incluyen:
Frecuencia y calidad de las actualizaciones del análisis de contexto territorial y de amenazas activas en cada zona de operación.
Porcentaje de cumplimiento de los protocolos de variación de patrones operacionales: rutas, horarios, procedimientos.
Número y calidad de los reportes de señales de alerta temprana generados por el personal de campo. Su ausencia es en sí misma una señal de alerta.
Tiempo de respuesta de la organización ante la declaración de cada nivel de alerta frente a las amenazas en cada territorio.
Porcentaje del personal de alto perfil con planes de seguridad individualizados actualizados, incluyendo análisis de exposición y medidas específicas por rol y zona.
Frecuencia de los ejercicios de rol inverso y simulacros de situación de crisis que permiten verificar la capacidad práctica de respuesta del equipo antes de que sea necesaria.
La auditoría de riesgo público que va más allá del cumplimiento
Las auditorías de seguridad convencionales en Colombia están diseñadas para verificar cumplimiento: que los documentos existen, que los procedimientos están firmados, que las capacitaciones fueron realizadas. Son necesarias. Son insuficientes. Y en el contexto del riesgo público, son particularmente limitadas porque auditan exactamente lo que el agente agresor ya conoce: los protocolos formales.
Una auditoría estratégica de gestión del riesgo público hace preguntas completamente diferentes:
- No pregunta si el protocolo existe: pregunta si el protocolo es efectivo en las condiciones reales del territorio donde se aplica.
- No pregunta si la capacitación fue realizada: pregunta si el conocimiento está presente en las decisiones cotidianas del personal que la recibió.
- No pregunta si el plan de emergencia está documentado: pregunta si el personal que tendría que ejecutarlo lo conoce, lo comprende y tiene la capacidad práctica de implementarlo bajo presión.
- ¿Con qué frecuencia se actualiza el análisis de amenazas del territorio y qué tan rápido llega esa información actualizada a quien toma decisiones en campo?
Parte V
Prevención Pasiva Gerencial del Riesgo Público
La cultura organizacional como sistema de inmunidad frente al riesgo público
En biología, el sistema inmune no reacciona únicamente cuando el patógeno ya está adentro. Tiene mecanismos de reconocimiento temprano, de contención, de memoria inmunológica y de respuesta proporcional que hacen que la gran mayoría de las amenazas potenciales nunca lleguen a generar una enfermedad. La cultura organizacional, cuando está bien construida, funciona de manera análoga: es el sistema de inmunidad de la empresa frente a la contaminación criminal y a los actos de agresión del actor criminal.
Una cultura organizacional que funciona como sistema de inmunidad frente al riesgo público tiene características que la gerencia puede diseñar, cultivar y medir.
La certeza compartida, en todos los niveles de la organización, de que hay líneas que la empresa no cruza independientemente de la presión —operacional, financiera o territorial— que se ejerza sobre ella. Esta claridad no se transmite con declaraciones de valores en las paredes de la oficina. Se transmite con decisiones directivas visibles que demuestran, en casos concretos y bajo presión real, que los valores declarados son también los valores practicados.
La certeza del personal de todos los niveles de que cuando la organización dice que la seguridad tiene prioridad sobre la producción, esa prioridad se mantiene también cuando el cronograma está atrasado, cuando el cliente está presionando y cuando la suspensión de operaciones tiene un costo financiero visible e inmediato. Un solo caso donde la presión productiva venció a la seguridad destruye más capital cultural de prevención del riesgo público que diez años de capacitaciones y talleres.
La práctica sistemática de analizar no solo lo que ocurrió en cada incidente de riesgo público, sino lo que no ocurrió: las señales que estaban presentes y no fueron leídas, las conductas inusuales y actitudes sospechosas que nadie reportó, las decisiones que no se tomaron. Y de convertir ese análisis en cambios reales en los procesos y en la cultura, no en documentos que se archivan hasta la próxima auditoría.
La continuidad del negocio frente al riesgo público como decisión de seguridad
El incidente que se previno no genera una línea en ningún estado de resultados. El que no se previno, genera muchas.
La planificación de la continuidad del negocio en contextos de riesgo público no es un ejercicio de gestión de crisis. Es una decisión estratégica preventiva que determina, antes de que ocurra cualquier incidente, cuáles son los escenarios de interrupción que la organización está dispuesta a enfrentar y cuál es su capacidad real de respuesta ante cada uno de ellos.
En su dimensión más concreta, esta planificación debe responder preguntas que los planes convencionales de continuidad raramente formulan: ¿cuánto tiempo puede la operación sostenerse sin presencia física en campo frente a un escenario de paro armado? ¿Qué activos críticos requieren protocolos de evacuación ante un deterioro acelerado del orden público? ¿Qué relaciones institucionales —con la Fuerza Pública, con la Defensoría del Pueblo, con las autoridades locales— necesitan ser construidas en tiempos de normalidad para estar disponibles en una situación de crisis?
Las respuestas a estas preguntas no pueden construirse el día que la crisis llega. Deben estar construidas, documentadas, practicadas y actualizadas mucho antes, en el único momento en que la gerencia tiene la lucidez y el tiempo para hacerlo correctamente: cuando todo está funcionando bien y nadie siente urgencia de planear para cuando los factores de riesgo público dejen de estar controlados.
La inversión en prevención del riesgo público como decisión financiera racional
El último obstáculo que este artículo necesita abordar es también el más frecuente en las conversaciones directivas: la percepción de que las inversiones en seguridad son costos que compiten con la rentabilidad de la operación, en lugar de inversiones que la protegen frente a los factores de riesgo público.
Esta percepción tiene una raíz comprensible: los beneficios de la prevención son, por definición, difíciles de cuantificar porque se materializan en lo que no ocurre. El incidente que se previno no genera una línea en ningún estado de resultados. El directivo que no fue objeto de un acto de agresión porque su agenda no era predecible no genera un ahorro visible en ningún presupuesto.
Lo que sí puede cuantificarse, con suficiente rigor metodológico, es el costo esperado de los escenarios que una inversión adecuada en prevención hace menos probables. En la mayoría de los ambientes hostiles de trabajo en Colombia, el costo esperado de los factores de riesgo público supera con creces el costo de la inversión necesaria para reducirlos a niveles manejables.
Hacer ese ejercicio, presentarlo con rigor en el comité directivo y tomar las decisiones de inversión que sus conclusiones justifican es, en última instancia, la decisión gerencial más estratégica que puede tomar una organización que opera en el territorio colombiano. No porque sea la más urgente. Sino porque es la única que puede tomarse antes de que sea demasiado tarde para que marque una diferencia.
La empresa que no se deja penetrar no es la que tiene el mejor director de seguridad.
Es la que tiene una gerencia que entendió, antes de que fuera necesario aprenderlo de la manera más costosa posible, que la prevención del riesgo público no es una función de soporte: es la condición que hace posible que todas las demás funciones existan.
Y que construirla es, siempre, una decisión que se toma antes del primer disparo, antes del primer incidente y antes de que el agente agresor encuentre la puerta que nadie pensó en cerrar.