"¿Por qué aprobaría este tipo de inversión si no puede explicar algún tipo de reducción de costos, una oportunidad para habilitar el negocio, o el retorno asociado con la gestión más eficiente de mi exposición al riesgo existente?"
¿Cuántas veces, como profesionales, hemos tenido estas conversaciones? a se trate de un debate sobre el riesgo inherente de ciertas prácticas empresariales, o de los costos de inversión asociados en personas, procesos y tecnología destinados a gestionar dicho riesgo, los profesionales se enfrentan constantemente al reto de proporcionar alguna forma mensurable de comunicar el valor intrínseco de esas inversiones.
Nuestros colegas en los negocios hablan de ROI, retorno de la inversión, con frecuencia, ya que han estado condicionados durante mucho tiempo con la necesidad de ser capaces de demostrar algún tipo de valor o retorno en los programas, inversiones, iniciativas y similares. Tener una estrategia para comunicar claramente el "valor" en el negocio de la seguridad y el riesgo también es absolutamente crítico. Puede que a menudo se pase por alto, pero las funciones que llevamos a cabo son negocios dentro del negocio. En última instancia, proporcionamos servicios a nuestros clientes que permite que nuestro negocio funcione dentro de ciertas tolerancias para los procesos establecidos, al tiempo que les permiten transformarse y asumir más riesgos a medida que construyen nuevos modelos de negocio.
Entonces, ¿cuál es el problema? Básicamente, estamos luchando con el desafío de no poder comunicarnos en el mismo idioma. Por ejemplo, hay formas simples y establecidas para que un CEO determine el "retorno de la inversión" de algo como un nuevo edificio de oficinas. Las métricas previstas sobre el valor de las inversiones inmobiliarias y los aumentos de capacidad de un equipo más eficiente o de una nueva instalación son relativamente sencillas y están arraigadas en el tejido empresarial.
En nuestro negocio dentro del negocio, realmente sólo somos capaces de gestionar tres cosas asociadas a nuestras inversiones: la eficacia de la inversión en términos de gestión o reducción de riesgos, el coste total de propiedad de una inversión determinada, y la capacidad de asesorar sobre la transferencia de dicho riesgo de alguna manera (por ejemplo, un seguro, etc.). El desafío que la mayoría de nosotros ha encontrado con estos tres factores es que no hemos sido realmente buenos en la recolección de los datos requeridos y en la realización de los cálculos necesarios para darles sentido de manera efectiva. Esto es evidente en muchos programas que, efectivamente, han tomado un planteamiento generalista de “brocha gorda” para aplicar controles donde existen lagunas o problemas, lo que resulta en muchos casos en que a un riesgo de 500 dólares se le aplica un control de 100.000.000 dólares. Esto crea fricciones con los consumidores de nuestros servicios, creando así desafíos a largo plazo para la justificación de futuras inversiones.
¿El costo total de propiedad como punto de partida?
Un área en la que realmente podemos poner algunos datos empíricos sólidos es el costo total de propiedad (TCO) de los procesos y tecnologías de apoyo que sustentan los servicios que proporcionamos a nuestros clientes. La mayoría de nosotros hemos pasado mucho tiempo desarrollando métricas en torno a todas las actividades que hacemos para dar soporte a nuestro negocio. Estos datos métricos, junto con otra información disponible públicamente, pueden utilizarse para orientarnos hacia unos costes de propiedad relativamente precisos para los servicios y tecnologías en los que invertimos.
Tomemos, por ejemplo, el caso para determinar los costos de personal asociados con el análisis diario de las investigaciones de incidentes. Si sé que, en promedio, mi equipo de respuesta dedica el 20% de su día a actividades de investigación, que tengo dos recursos dedicados en ese equipo y que los recursos totalmente ocupados cuestan 75 dólares por hora, puedo determinar que este proceso, desde la perspectiva del capital humano, consume un poco más de 800 horas-hombre por año para ejecutarse y le cuesta a nuestro negocio alrededor de 60.000 dólares. Si entonces entiendo el inventario de todas las herramientas tecnológicas necesarias para ejecutar estos procesos, puedo calcular el costo anual de la tecnología de apoyo y tener una descripción bastante precisa del costo de ese servicio. Sin embargo, ¿esto me lleva a un punto donde pueda comunicar un verdade