3.3.20 Attribuer un risque à vos Obligations de Conformité – Documents et clauses

Contexte du système de classement des risques pour les Obligations de Conformité

Nimonik – Guide de gestion des risques
Vue d’ensemble

L’outil de calcul des risques ainsi que d’autres fonctionnalités de Nimonik permettent aux organisations de gérer le risque de conformité, le traitement des risques et d’autres données de risque associées aux obligations au niveau du document ou de la clause.

Le risque de conformité est l’effet de l’incertitude sur le respect des obligations (ISO 31000). Ces effets peuvent être évités ou atténués (réduction des effets) en appliquant des traitements de risque. Les traitements du risque font partie des contrôles de conformité globaux d’une organisation.

Le risque de conformité avant traitement est appelé « risque inhérent ». Le risque qui subsiste à la suite du traitement des risques est appelé « risque résiduel ». L’objectif de la conformité est de réduire le risque résiduel en dessous du niveau de tolérance au risque de l’organisation.

Nimonik devrait encourager ses clients à créer deux champs personnalisés dans leurs registres :

  • Risque inhérent et
  • Risque résiduel.

Le niveau de risque de non-conformité peut être décrit de manière qualitative ou quantitative. La méthode la plus courante consiste à utiliser des notes de risque pour quantifier les évaluations qualitatives. Les scores de risque sont souvent calculés comme suit:

Score de risque = Probabilité d’occurrence * Impact du risque de non-conformité

Où :

  • La probabilité est un nombre qui représente la probabilité qu’une infraction aux obligations de conformité se produise.
    • Ceci devrait refléter la fréquence à laquelle l’organisation est engagée dans une activité commerciale (par exemple, la manipulation de déchets dangereux) réglementée par le document.
  • Les conséquences sont les dommages potentiels qu’une infraction peut causer à l’organisation.
    • Cela devrait inclure les pénalités, les sanctions, les amendes, le temps perdu à corriger les problèmes et l’atteinte à la réputation.

La probabilité et l’impact sont des déterminations subjectives qui représentent des processus probabilistes sous-jacents. L’essentiel n’est pas de trouver le chiffre parfait ou exact du risque, mais plutôt de faire de son mieux et d’évaluer de manière critique le risque inhérent.

Une fois que les traitements des risques ont été appliqués (mesures de contrôle, formation, procédures,…), l’évaluation des risques doit être refaite. L’impact des mesures de contrôle peut porter à la fois sur la probabilité (par exemple, réduction de la manipulation des déchets dangereux) et sur les conséquences (par exemple, plan d’intervention en cas de déversement).

Exemple de risque de conformité

Prenons l’exemple suivant :

Obligation : Signaler les incidents environnementaux en vertu de la législation OWRA ou EPA.

Nous pouvons envisager les scénarios de risque suivants :

Scénarios de risque :

  • En vertu de cette réglementation, l’entreprise doit présenter un rapport annuel. Par conséquent, chaque installation a une chance sur deux de ne pas déposer les rapports appropriés.
  • Les conséquences potentielles d’une absence de déclaration se situent entre 25 000 et 100 000 dollars. Toutefois, comme l’organisation n’a jamais eu de problème de déclaration, elle peut prendre la partie inférieure de cette fourchette (amende de 25 000 $ + coûts de gestion interne, … etc.) et estimer le coût total à 100 000 $.

Matrice des risques :

Probabilité d’interaction avec ce règlement1 – Faible (rare)
2 – Moyenne (possible)
3 – Élevé (presque certain)

Impact du risque de conformité1 – Faible – (0 – 25 000 $)
2 – Moyen (25 000 $ – 100 000 $)
3 – Élevée (> 100 000 $)

Dans notre exemple, nous choisirions le scénario de risque le plus probable, ce qui donnerait le score de risque suivant en utilisant la matrice des risques ci-dessus: :

Score de risque = 3 (élevé) * 2 (moyen) = 6

Une organisation peut décider d’accepter (c’est-à-dire de tolérer) ce risque tel quel. Cela signifie qu’elle est prête à accepter la pénalité si elle se produit.

Toutefois, le risque peut également être évité en introduisant de meilleurs processus de reporting et en utilisant notre fonctionnalité d’action interne pour réduire le risque de non-respect d’une date limite de reporting.

L’efficacité de ce traitement pourrait faire passer la probabilité de 3 à 1.

Score de risque = 1 (faible) * 1 (faible) = 1

Il en résultera des économies considérables, non seulement en termes d’absence d’amende, mais aussi de coûts liés à la réputation, à la sécurité publique et à d’autres impacts.

Le défi consiste à élaborer une matrice de risques calibrée qui rende compte de manière adéquate des incertitudes et des impacts pour une organisation donnée.

Le COSO propose la matrice de risques suivante, qui intègre les impacts sur les objectifs juridiques, financiers, opérationnels, de réputation, de santé et de sécurité, et stratégiques.

Comment attribuer un risque

Les champs personnalisés de type de risque vous permettent de calculer le risque des documents et des clauses de vos obligations de conformité.

Pour calculer le risque d’un document ou d’une clause, cliquez sur le texte qui apparaît dans le champ personnalisé « risque ». Dans la fenêtre modale qui s’affiche, sélectionnez les valeurs de probabilité et de conséquence appropriées.

Une fois que vous aurez cliqué sur « Enregistrer », la valeur de risque et la couleur appropriées seront ajoutées au champ personnalisé.

Si vous devez mettre à jour la valeur du risque, vous pouvez le faire à tout moment en cliquant sur la valeur actuelle et en sélectionnant la probabilité et la conséquence appropriées.