Les entreprises ont souvent du mal à justifier leur investissement dans une solution de gouvernance, de gestion des risques et de conformité (GRC). Il est difficile d’obtenir l’adhésion des cadres supérieurs pour automatiser les programmes de conformité, de sécurité, de qualité, de sûreté, etc. Ils « savent » qu’ils doivent le faire, mais cela ne semble jamais être une priorité. Ils « savent » qu’ils doivent le faire, mais cela ne semble jamais être une priorité. Pourquoi ?
Dans la justification financière traditionnelle, vous cherchez à équilibrer l’investissement total par rapport au rendement en termes d’économies de coûts ou d’impact sur les coûts indirects de l’entreprise. Vous pouvez également comparer les sommes investies à l’augmentation des recettes, etc. C’est une bonne chose lorsque ces éléments peuvent être calculés, et c’est beaucoup plus facile dans les départements générateurs de revenus où il y a un impact direct sur l’entreprise.
Mais qu’en est-il des parties de l’entreprise qui ne sont pas en contact avec les clients ? Qu’en est-il des départements qui sont tellement en back-office qu’aucun rendement calculable ne pourrait justifier l’investissement ? Nous ne licencierons personne en automatisant X, donc le retour sur investissement de l’automatisation d’un processus est nul. Que se passe-t-il alors ?
Soit la crainte de quelque chose de terrible – comme un procès, des amendes ou des pénalités – est suffisamment tangible pour déclencher une action, soit l’investissement n’est pas réalisé. Il faut presque que vous souffriez beaucoup ou que vous deviez faire face à des coûts financiers importants pour que cette crainte se concrétise : « L’hôpital du comté voisin vient de se voir infliger une lourde amende pour un manquement dans le processus. Nous devons le faire ! »
En bref, le risque d’échec dans un calcul normal de retour sur investissement fausse l’équation. Cependant, nous pouvons nous tromper en calculant les chances de succès ou les coûts. Ce n’est pas parce que vous avez 2 % de chances de mourir que le coût de l’échec n’est pas réel.
Par exemple, sauter en parachute depuis un avion en parfait état avec un faible pourcentage de chance que le parachute ne s’ouvre pas n’est pas un acte sûr. Vous mettez votre vie en jeu. C’est pourquoi même les instructeurs les plus expérimentés demandent à quelqu’un d’autre de vérifier leur parachute. C’est pourquoi ils suivent les meilleures pratiques. C’est pourquoi ils emportent un deuxième parachute. Les choses ne tournent pas souvent mal, mais lorsqu’elles tournent mal, elles peuvent être catastrophiques.
La GRC en tant que catégorie de programmes est similaire en ce sens que la plupart des entreprises peuvent se contenter du strict minimum. Mais le modèle d’investissement est faussé. Les dirigeants sous-estiment l’impact d’un programme de GRC défaillant, pensant qu’il est plus efficace et plus rentable de remédier aux problèmes qui surviennent que d’investir d’emblée dans des mesures préventives. Cette sous-estimation peut s’avérer dangereuse.
Le retour sur l’échec est souvent catastrophique pour l’entreprise, nos clients, la société ou, plus concrètement, pour les personnes impliquées dans le processus. L’assurance est un bon exemple de retour sur investissement. Je ne retire aucune valeur tangible de l’assurance jusqu’à ce que quelque chose de grave se produise. Elle est alors censée intervenir pour éviter l’échec. Votre retour sur investissement pourrait-il justifier l’assurance sur la base du coût par rapport au rendement si rien ne se produisait ?
La GRC devient un élément de plus en plus critique pour les entreprises. Non seulement parce que les réglementations augmentent, ou parce que les auditeurs deviennent plus stricts, ou parce que les amendes deviennent plus sévères, mais aussi parce que tous ces éléments font augmenter le ROF. Le pourcentage de mauvaises choses n’augmente pas. Le coût de l’échec dans le processus de prévention des catastrophes est de plus en plus élevé.
