Las empresas suelen tener dificultades para justificar la inversión en una solución de gobierno, gestión de riesgos y cumplimiento (GRC). Es difícil conseguir que los altos ejecutivos se comprometan a automatizar los programas de cumplimiento, seguridad, calidad, protección, etc. Saben» que tienen que hacerlo, pero parece que nunca llega a la cola de prioridades. ¿Por qué?
En la justificación financiera tradicional, buscas un equilibrio entre la inversión total y el rendimiento en términos de ahorro de costes duros o impacto de costes blandos en el negocio. O puedes fijarte en los dólares invertidos frente al aumento de los ingresos, etc. Todo esto está muy bien cuando se puede calcular, y es mucho más fácil en los departamentos que generan ingresos, donde hay un impacto directo en el negocio.
Pero, ¿qué pasa con las partes de la empresa que no están orientadas al cliente? ¿Qué pasa con los departamentos que son tan administrativos que ningún rendimiento calculable podría justificar la inversión? No vamos a despedir a nadie automatizando X, así que el argumento de la rentabilidad de la inversión de automatizar un proceso es falso. ¿Qué ocurre entonces?
O bien el miedo a algo terrible -como una demanda, multas o sanciones- es lo suficientemente tangible como para desencadenar la acción, o no se realiza la inversión. Casi tienes que estar sufriendo mucho o enfrentarte a unos costes financieros elevados para que esto llegue a lo más alto: «El hospital del condado de al lado acaba de recibir una multa importante por un fallo en el proceso. Tenemos que hacerlo».
En resumen, el riesgo de fracaso en un cálculo normal del ROI sesga la ecuación. Sin embargo, podemos engañarnos calculando las probabilidades de éxito o los costes. Que tengas un 2% de probabilidades de morir no significa que el coste del fracaso no sea real.
Por ejemplo, hacer paracaidismo desde un avión en perfecto estado con un bajo porcentaje de probabilidades de que el paracaídas no se abra no lo hace seguro. Te estás jugando la vida. Por eso, incluso los instructores más experimentados hacen que otra persona compruebe su paracaídas. Por eso siguen las mejores prácticas. Por eso llevan un segundo paracaídas. Las cosas no van mal a menudo, pero cuando lo hacen pueden ser catastróficas.
La GRC como categoría de programas es similar en el sentido de que la mayoría de las empresas pueden arreglárselas haciendo lo mínimo. Pero el modelo de inversión está sesgado. Los líderes subestiman el impacto de un programa de GRC fallido, creyendo que es más eficiente y rentable remediar cualquier problema que surja, que invertir en medidas preventivas por adelantado. Puede ser una subestimación peligrosa.
El retorno del fracaso suele ser catastrófico para la empresa, nuestros clientes, la sociedad o, más real, para las personas que participan en el proceso. Los seguros son un buen ejemplo de ROF. No obtengo ningún valor tangible del seguro hasta que ocurre algo malo. Entonces se supone que entra en acción para evitar el fracaso. ¿Podría tu ROI justificar el seguro basándote en el coste frente al rendimiento si no pasara nada?
La GRC se está convirtiendo en un componente cada vez más crítico para las empresas. No sólo porque aumenten las normativas, o porque los auditores sean cada vez más estrictos, o porque las multas sean cada vez más rigurosas, sino porque todas estas cosas hacen que aumente el ROF. El porcentaje de algo malo no está aumentando. El coste del fracaso en el proceso de prevención de catástrofes es cada vez más caro.