As empresas lutam frequentemente para justificar o investimento numa solução de governação, gestão de risco e conformidade (GRC). É difícil obter a adesão de altos executivos para automatizar o cumprimento, segurança, qualidade, programas de segurança, etc. Elas "sabem" que precisam de o fazer, mas parece nunca atingir a fila de prioridade. Porquê?

Na justificação financeira tradicional, procura-se equilibrar o investimento total versus o retorno em termos de poupança de custos ou de impacto de custos reduzidos no negócio. Ou pode olhar para os dólares investidos versus o aumento das receitas, etc. Tudo isto está bem e é bom quando se podem calcular, e muito mais fácil nos departamentos geradores de receitas onde há um impacto directo sobre o negócio.

Mas, e quanto a partes do negócio que não são enfrentadas pelo cliente? E quanto aos departamentos que são tão back office, nenhum retorno calculável poderia justificar o investimento. Não vamos despedir ninguém automatizando X, pelo que o retorno do investimento da automatização de um argumento de processo é um beliche. Então, o que acontece?

Ou o medo de algo terrível - como um processo judicial, multas, ou penalidades - é suficientemente tangível para desencadear uma acção, ou o investimento não é feito. Quase é preciso estar a sofrer muito ou a enfrentar alguns custos financeiros difíceis para conseguir que isto chegue ao topo: "O hospital do condado seguinte acabou de ser multado em alguns dólares sérios por um lapso no processo. Temos de fazer isto"!

Em suma, o risco de fracasso num cálculo normal do ROI distorce a equação. No entanto, podemos enganar-nos a nós próprios no cálculo das probabilidades de sucesso ou dos custos. Só porque temos 2% de probabilidade de morrer não significa que o custo do fracasso não seja real.

Por exemplo, o pára-quedismo fora de um avião perfeitamente bom com uma baixa percentagem de hipóteses de não abertura do pára-quedas não o torna seguro. Está a pôr a sua vida em risco. É por isso que mesmo os instrutores mais experientes mandam alguém verificar o seu pára-quedas. É por isso que seguem as melhores práticas. É por isso que eles carregam um segundo pára-quedas. As coisas não correm mal muitas vezes, mas quando correm, podem ser catastróficas.

GRC como uma categoria de programas é semelhante na medida em que a maioria das empresas pode obter fazendo o mínimo necessário. Mas, o modelo de investimento é enviesado. Os líderes subestimam o impacto de um programa GRC falhado, acreditando que é mais eficiente e rentável remediar quaisquer problemas que surjam, do que investir em medidas preventivas à partida. Isto pode ser uma subestimação perigosa.

O regresso ao fracasso é muitas vezes catastrófico para o negócio, os nossos clientes, a sociedade, ou mais real para as pessoas que estão envolvidas no processo. O seguro é um bom exemplo de ROF. Não recebo qualquer valor tangível dos seguros até que algo de mau aconteça. Depois é suposto fazer efeito para evitar o insucesso. Poderia o seu ROI justificar o seguro com base no custo versus retorno se nada acontecesse?

A GRC está a tornar-se um componente mais crítico para as empresas. Não apenas porque os regulamentos estão a aumentar; ou porque os auditores estão a tornar-se mais rigorosos; ou porque as multas estão a tornar-se mais severas; mas, porque todas estas coisas estão a empurrar para cima o ROF. A percentagem de algo mau não está a aumentar. O custo do insucesso no processo de prevenção de catástrofes está a tornar-se mais caro.