Les entreprises ont souvent du mal Ă justifier leur investissement dans une solution de gouvernance, de gestion des risques et de conformitĂ© (GRC). Il est difficile d’obtenir l’adhĂ©sion des cadres supĂ©rieurs pour automatiser les programmes de conformitĂ©, de sĂ©curitĂ©, de qualitĂ©, de sĂ»retĂ©, etc. Ils « savent » qu’ils doivent le faire, mais cela ne semble jamais ĂŞtre une prioritĂ©. Ils « savent » qu’ils doivent le faire, mais cela ne semble jamais ĂŞtre une prioritĂ©. Pourquoi ?
Dans la justification financière traditionnelle, vous cherchez Ă Ă©quilibrer l’investissement total par rapport au rendement en termes d’Ă©conomies de coĂ»ts ou d’impact sur les coĂ»ts indirects de l’entreprise. Vous pouvez Ă©galement comparer les sommes investies Ă l’augmentation des recettes, etc. C’est une bonne chose lorsque ces Ă©lĂ©ments peuvent ĂŞtre calculĂ©s, et c’est beaucoup plus facile dans les dĂ©partements gĂ©nĂ©rateurs de revenus oĂą il y a un impact direct sur l’entreprise.
Mais qu’en est-il des parties de l’entreprise qui ne sont pas en contact avec les clients ? Qu’en est-il des dĂ©partements qui sont tellement en back-office qu’aucun rendement calculable ne pourrait justifier l’investissement ? Nous ne licencierons personne en automatisant X, donc le retour sur investissement de l’automatisation d’un processus est nul. Que se passe-t-il alors ?
Soit la crainte de quelque chose de terrible – comme un procès, des amendes ou des pĂ©nalitĂ©s – est suffisamment tangible pour dĂ©clencher une action, soit l’investissement n’est pas rĂ©alisĂ©. Il faut presque que vous souffriez beaucoup ou que vous deviez faire face Ă des coĂ»ts financiers importants pour que cette crainte se concrĂ©tise : « L’hĂ´pital du comtĂ© voisin vient de se voir infliger une lourde amende pour un manquement dans le processus. Nous devons le faire ! »
En bref, le risque d’Ă©chec dans un calcul normal de retour sur investissement fausse l’Ă©quation. Cependant, nous pouvons nous tromper en calculant les chances de succès ou les coĂ»ts. Ce n’est pas parce que vous avez 2 % de chances de mourir que le coĂ»t de l’Ă©chec n’est pas rĂ©el.
Par exemple, sauter en parachute depuis un avion en parfait Ă©tat avec un faible pourcentage de chance que le parachute ne s’ouvre pas n’est pas un acte sĂ»r. Vous mettez votre vie en jeu. C’est pourquoi mĂŞme les instructeurs les plus expĂ©rimentĂ©s demandent Ă quelqu’un d’autre de vĂ©rifier leur parachute. C’est pourquoi ils suivent les meilleures pratiques. C’est pourquoi ils emportent un deuxième parachute. Les choses ne tournent pas souvent mal, mais lorsqu’elles tournent mal, elles peuvent ĂŞtre catastrophiques.
La GRC en tant que catĂ©gorie de programmes est similaire en ce sens que la plupart des entreprises peuvent se contenter du strict minimum. Mais le modèle d’investissement est faussĂ©. Les dirigeants sous-estiment l’impact d’un programme de GRC dĂ©faillant, pensant qu’il est plus efficace et plus rentable de remĂ©dier aux problèmes qui surviennent que d’investir d’emblĂ©e dans des mesures prĂ©ventives. Cette sous-estimation peut s’avĂ©rer dangereuse.
Le retour sur l’Ă©chec est souvent catastrophique pour l’entreprise, nos clients, la sociĂ©tĂ© ou, plus concrètement, pour les personnes impliquĂ©es dans le processus. L’assurance est un bon exemple de retour sur investissement. Je ne retire aucune valeur tangible de l’assurance jusqu’Ă ce que quelque chose de grave se produise. Elle est alors censĂ©e intervenir pour Ă©viter l’Ă©chec. Votre retour sur investissement pourrait-il justifier l’assurance sur la base du coĂ»t par rapport au rendement si rien ne se produisait ?
La GRC devient un Ă©lĂ©ment de plus en plus critique pour les entreprises. Non seulement parce que les rĂ©glementations augmentent, ou parce que les auditeurs deviennent plus stricts, ou parce que les amendes deviennent plus sĂ©vères, mais aussi parce que tous ces Ă©lĂ©ments font augmenter le ROF. Le pourcentage de mauvaises choses n’augmente pas. Le coĂ»t de l’Ă©chec dans le processus de prĂ©vention des catastrophes est de plus en plus Ă©levĂ©.
