概述

风险计算器工具以及 Nimonik 的其他功能使组织能够管理合规风险、风险处理以及与文件或条款级义务相关的其他风险数据。

合规风险是指不确定性对履行义务（ISO 31000）的影响。这些影响可以通过应用风险处理来预防或缓解（降低）影响。风险处理是组织整体合规控制的一部分。

风险处理之前的合规风险被称为“固有风险”。风险处理后剩余的风险被称为“剩余风险”。合规的目标是将剩余风险降低到组织的风险承受水平以下。

Nimonik 应鼓励客户在其注册表中创建两个自定义字段：

• 固有风险和
• 剩余风险

合规风险的级别可以定性或定量描述。最常见的方法是使用风险评分来量化定性评估。风险评分通常计算如下：

风险评分 = 发生可能性 * 合规风险影响

其中：

• 可能性是表示违反合规义务行为发生概率的数字。
  • 这应该反映组织从事文件所规范的业务活动（例如处理危险废物）的频率。
• 后果是指违规行为可能对组织造成的潜在损害。
  • 这应该包括处罚、制裁、罚款、纠正问题所浪费的时间以及声誉损害。

可能性和影响是主观判断，代表潜在的概率过程。关键不在于找到完美或准确的风险数值，而在于尽最大努力并严格评估固有风险。

一旦应用了风险处理措施（控制措施、培训、程序等），就应该再次进行风险评估。控制措施的影响既可能体现在可能性方面（例如减少危险废物的处理），也可能体现在后果方面（例如泄漏应急计划）。

合规风险示例

让我们考虑以下示例：

义务：根据《环境影响评估法》(OWRA) 或《环境保护署》(EPA) 法规报告环境事故。

我们可以考虑以下风险情景：

风险情景：

• 根据这些法规，公司需要每年报告。因此，每个公司每年都有 1 次机会不提交相应的报告。
• 不报告的潜在后果在 2.5 万美元到 10 万美元之间。但是，由于该组织之前没有报告方面的问题，因此可以选择较低的罚款金额，即 2.5 万美元罚款 + 内部管理成本等，并估算总成本为 10 万美元。

风险矩阵：

使用我们的示例，我们将选择最有可能发生的风险情景，使用上述风险矩阵得出以下风险评分：

风险评分 = 3（高）* 2（中）= 6

组织可能决定接受（即容忍）此风险。这意味着他们愿意接受一旦发生的处罚。

但是，也可以通过引入更完善的报告流程并使用我们的内部行动功能来降低错过报告截止日期的风险，从而避免此类风险。

这种处理方法的有效性可以将可能性从 3 降至 1。

风险评分 = 1（低）* 1（低）= 1

这将带来可观的节省，不仅体现在无需支付罚款，还体现在与声誉、公共安全和其他影响相关的成本。

挑战在于制定一个经过校准的风险矩阵，以充分捕捉特定组织的不确定性和影响。

COSO 建议使用以下风险矩阵，该矩阵涵盖了对法律、财务、运营、声誉、健康与安全以及战略目标的影响。

如何分配风险

风险类型自定义列允许您计算合规义务中文件和条款的风险。

计算文件或条款的风险，请单击风险自定义列中显示的文本。 在生成的模式中，选择适当的可能性和后果值。

单击保存后，相应的风险值和颜色将添加到自定义列。

如果您需要更新风险值，您可以随时通过单击当前值并选择适当的可能性和后果来执行此操作。