Las empresas suelen tener dificultades para justificar la inversión en una solución de gobierno, gestión de riesgos y cumplimiento (GRC). Es difícil conseguir la aprobación de los altos ejecutivos para automatizar los programas de cumplimiento, seguridad, calidad, protección, etc. Saben que necesitan hacerlo, pero parece que nunca llega a la cola de prioridades. ¿Por qué?

En la justificación financiera tradicional, se busca el equilibrio entre la inversión total y el retorno en términos de ahorro de costes duros o impacto de costes blandos en el negocio. O se puede considerar el dinero invertido frente al aumento de los ingresos, etc. Todo esto está muy bien cuando se puede calcular, y es mucho más fácil en los departamentos que generan ingresos, donde hay un impacto directo en el negocio.

Pero, ¿qué pasa con las partes de la empresa que no están orientadas al cliente? ¿Y qué pasa con los departamentos que son tan administrativos que ningún rendimiento calculable podría justificar la inversión? No vamos a despedir a nadie automatizando X, así que el argumento del retorno de la inversión de la automatización de un proceso es falso. ¿Qué ocurre entonces?

O bien el miedo a algo terrible -como una demanda, multas o sanciones- es lo suficientemente tangible como para desencadenar la acción, o la inversión no se realiza. Casi hay que sufrir mucho o enfrentarse a unos costes financieros elevados para que esto llegue a lo más alto: "El hospital del condado de al lado acaba de recibir una multa importante por un fallo en el proceso. Tenemos que hacerlo".

En resumen, el riesgo de fracaso en un cálculo normal del ROI sesga la ecuación. Sin embargo, podemos engañarnos calculando las probabilidades de éxito o los costes. Que tengas un 2% de posibilidades de morir no significa que el coste del fracaso no sea real.

Por ejemplo, hacer paracaidismo desde un avión en perfecto estado con un bajo porcentaje de posibilidades de que el paracaídas no se abra no lo hace seguro. Estás poniendo tu vida en juego. Por eso, incluso los instructores más experimentados hacen que otra persona compruebe su paracaídas. Por eso siguen las mejores prácticas. Por eso llevan un segundo paracaídas. Las cosas no van mal a menudo, pero cuando lo hacen pueden ser catastróficas.

La GRC como categoría de programas es similar en el sentido de que la mayoría de las empresas pueden arreglárselas haciendo lo mínimo. Pero, el modelo de inversión está sesgado. Los líderes subestiman el impacto de un programa de GRC fallido, creyendo que es más eficiente y rentable remediar cualquier problema que surja, que invertir en medidas preventivas por adelantado. Esto podría ser una subestimación peligrosa.

El retorno del fracaso suele ser catastrófico para la empresa, nuestros clientes, la sociedad o, más concretamente, para las personas que participan en el proceso. Los seguros son un buen ejemplo de ROF. No obtengo ningún valor tangible del seguro hasta que ocurre algo malo. Entonces se supone que entra en acción para evitar el fracaso. ¿Podría su ROF justificar el seguro basándose en el coste frente al rendimiento si no ocurriera nada?

La GRC se está convirtiendo en un componente más crítico para las empresas. No sólo porque las regulaciones están aumentando; o porque los auditores son cada vez más estrictos; o porque las multas son cada vez más rigurosas; sino, porque todas estas cosas están empujando hacia arriba el ROF. El porcentaje de algo malo no está aumentando. El coste del fracaso en el proceso de prevención de catástrofes es cada vez más caro.