Modellierung von Risiken

Die Folgen eines Risikos sind Schäden oder Verluste, die entstehen sobald das Risiko eintritt. Prinzipiell kann der Eintritt eines Risikos verschiedene Konsequenzen haben, z. B. einen finanziellen Verlust, Ressourcenverlust oder Material- und Warenverlust. Diese verschiedenen Typen und Effekte von Risiken können in einem Geschäftsprozessmodell an unterschiedlichen Stellen und auf unterschiedlichen Ebenen definiert sein. Gemäß der Risiko-Management-Methodik von ARIS wird ein Risiko mit einem Objekt vom Typ Risiko dargestellt. Das Objekt ist entweder direkt mit einer Kante vom Typ tritt auf an mit einer Funktion verbunden (risikobasierter Ansatz) oder indirekt über eine Kontrolle (kontrollbasierter Ansatz).

Beziehungen zwischen Funktionen, Risiken und Kontrollen

Eintritt von Risiken

Das Eintreten von Risikoereignissen oder das Verursachen von Schäden, hängt von der Art des Risikos und verschiedenen anderen Faktoren ab. Im Rahmen des Prozessmanagements liegt ein besonderes Augenmerk auf dem Zusammenhang von Risiken und Funktionen. Deshalb wird hier der Eintritt eines Risikoereignisses in Abhängigkeit von der Ausführung der zugehörigen Funktion betrachtet. Ein Risiko kann nur eintreten, wenn es durch eine Kante tritt auf an mit einer Funktion verbunden ist. Das Eintreten von Risiken wird mit dem Attribut Wahrscheinlichkeit (Attributtypgruppe Simulation) gesteuert und wird mit einer Fließkommazahl zwischen 0 und 1 angegeben. Die Wahrscheinlichkeit 0,5 gibt z. B. an, dass das Risiko im Schnitt bei jeder zweiten Funktionsausführung eintritt. Bei jeder Ausführung der Funktion wird auf Basis der Wahrscheinlichkeit bestimmt, ob das Risiko eintritt oder nicht. Tritt es ein, geschieht dies am Ende der Funktionsausführung. Ist das Attribut nicht gepflegt, wird standardmäßig die Wahrscheinlichkeit 1 verwendet.

Finanzielle Schäden

Das Eintreten von Risiken kann zu finanziellen Verlusten führen. Der Verlust, der durch den Eintritt eines Risikos entsteht, wird mit dem Attribut Schadenswert (Attributtypgruppe Simulation) gesteuert. Der Schadenswert wird mittels einer konstanten oder zufallsverteilten Gleitkommazahl angegeben. Die möglichen Verteilungen sind gleichverteilt, normalverteilt, lognormalverteilt, exponentialverteilt, erlangverteilt, dreiecksverteilt, gestutzt normalverteilt und Weibull-erteilt. Tritt das Risiko ein, wird der Schadenswert über die Verteilung ermittelt. Ist das Attribut Schadenswert nicht gepflegt, aber ein Wert für Mittlerer Schadenswert (Attributtypgruppe Governance, Risk & Compliance (GRC) Risiko-Management > Quantitative Bewertung > Schadenswert) verfügbar, wird dieser verwendet. Ist keines der beiden Attribute gepflegt, wird kein finanzieller Verlust verzeichnet, wenn das Risiko eintritt.

Folgeaktivitäten und Gegenmaßnahmen

Das Aufdecken eines Risikoereignisses kann Gegenmaßnahmen oder Folgeaktivitäten (z. B. Säuberung, Nachbesserung oder Entschädigung) nach sich ziehen. Solche Aktivitäten werden Risikoobjekten als Prozessmodelle hinterlegt. Immer wenn das Risiko eintritt und durch eine aufdeckende Kontrolle erkannt wird, werden alle hinterlegten Prozessmodelle ausgelöst. Die hinterlegten Modelle müssen hierfür Teil des Simulationsmodells sein. Das ist abhängig von der Konfiguration für berücksichtigte Modelle. Die hinterlegten Prozesse, welche die Folgeaktivitäten beinhalten, werden parallel zum Hauptprozess ausgeführt. Sie erhalten andere Prozessinstanznummern, als der Hauptprozess und haben keinen Einfluss auf seine Durchlaufzeit. Decken mehrere Kontrollen dasselbe Risiko auf, werden die Folgeaktivitäten nur bei der ersten Kontrolle ausgeführt.

Ressourcenverlust

Ein Ressourcenverlust bedeutet die unerwartete Reduzierung der Ressourcenkapazität oder die Nichtverfügbarkeit von Ressourcen. Die Ursachen können bei Personalressourcen z. B. Krankheit oder Unfälle und bei technischen Ressourcen Fehler, Störungen oder unerwartete Wartungsarbeiten sein. Zeiten der Nichtverfügbarkeit von Ressourcen können mit einem Zeitplan festgelegt werden.

Siehe auch

Welche Objekte und Attribute von ARIS-Modellen sind für die Simulation von Bedeutung?