Unternehmen tun sich oft schwer, die Investition in eine Lösung für Governance, Risikomanagement und Compliance (GRC) zu rechtfertigen. Es ist schwierig, von den Führungskräften die Zustimmung zur Automatisierung von Compliance-, Sicherheits-, Qualitäts- und Schutzprogrammen usw. zu erhalten. Sie „wissen“, dass sie es tun müssen, aber es scheint nie auf der Prioritätenliste zu stehen. Und warum?
Bei der traditionellen finanziellen Rechtfertigung wägen Sie die Gesamtinvestition gegen den Ertrag in Form von harten Kosteneinsparungen oder weichen Kostenauswirkungen auf das Geschäft ab. Oder Sie betrachten die investierten Dollars im Vergleich zum Anstieg der Einnahmen usw. Das ist alles schön und gut, wenn es sich berechnen lässt, und viel einfacher in umsatzstarken Abteilungen, wo es eine direkte Auswirkung auf das Geschäft gibt.
Aber was ist mit den Bereichen des Unternehmens, die nicht mit Kunden zu tun haben? Was ist mit den Abteilungen, die so backoffice sind, dass keine kalkulierbare Rendite die Investition rechtfertigen würde. Wir werden niemanden entlassen, wenn wir X automatisieren, also ist das Argument der Investitionsrendite für die Automatisierung eines Prozesses hinfällig. Was passiert also?
Entweder ist die Angst vor etwas Schrecklichem – wie einem Gerichtsverfahren, Geldstrafen oder Bußgeldern – greifbar genug, um Maßnahmen auszulösen, oder die Investition wird nicht getätigt. Man muss fast schon große Schmerzen haben oder mit hohen finanziellen Kosten konfrontiert sein, damit das Thema an die Spitze kommt: „Das Krankenhaus im nächsten Bezirk wurde gerade zu einer hohen Geldstrafe wegen eines Verfahrensfehlers verurteilt. Wir müssen das tun!“
Kurz gesagt, das Risiko eines Misserfolgs bei einer normalen ROI-Berechnung verzerrt die Gleichung. Wir können uns jedoch selbst etwas vormachen, wenn wir die Erfolgschancen oder Kosten berechnen. Nur weil die Wahrscheinlichkeit, dass Sie sterben, bei 2 Prozent liegt, bedeutet das nicht, dass die Kosten des Scheiterns nicht real sind.
Ein Fallschirmsprung aus einem einwandfreien Flugzeug mit einer geringen Wahrscheinlichkeit, dass sich der Fallschirm nicht öffnet, ist zum Beispiel nicht sicher. Sie setzen Ihr Leben aufs Spiel. Aus diesem Grund lassen selbst die erfahrensten Fallschirmsprunglehrer ihren Fallschirm von jemand anderem überprüfen. Deshalb befolgen sie die besten Praktiken. Deshalb haben sie einen zweiten Fallschirm dabei. Es geht nicht oft etwas schief, aber wenn doch, dann kann es katastrophal sein.
GRC als eine Kategorie von Programmen ist insofern ähnlich, als die meisten Unternehmen mit dem Minimum auskommen. Aber das Investitionsmodell ist verzerrt. Führungskräfte unterschätzen die Auswirkungen eines fehlgeschlagenen GRC-Programms und glauben, dass es effizienter und kostengünstiger ist, auftretende Probleme zu beheben, als im Vorfeld in Präventivmaßnahmen zu investieren. Dies könnte eine gefährliche Unterschätzung sein.
Die Rendite bei Misserfolg ist oft katastrophal für das Unternehmen, unsere Kunden, die Gesellschaft oder ganz konkret für die Menschen, die an dem Prozess beteiligt sind. Eine Versicherung ist ein gutes Beispiel für ROF. Ich erhalte keinen greifbaren Wert von einer Versicherung, bis etwas Schlimmes passiert. Dann soll sie einspringen, um ein Scheitern zu verhindern. Könnte Ihr ROI eine Versicherung auf der Grundlage der Kosten im Vergleich zum Ertrag rechtfertigen, wenn nichts passiert?
GRC wird zu einer immer wichtigeren Komponente für Unternehmen. Nicht nur, weil die Vorschriften zunehmen oder weil die Prüfer strenger werden oder weil die Geldstrafen strenger werden, sondern weil all diese Dinge den ROF in die Höhe treiben. Der Prozentsatz von etwas Schlechtem wird nicht größer. Die Kosten des Versagens bei der Verhinderung von Katastrophen werden teurer.
