リスクが発生すると、すぐに損害や損失が生じます。一般に、リスクが発生すると、経済的な損失、リソースの損失、材料の損失などのさまざまな結果がもたらされます。リスクのさまざまなタイプや影響は、業務プロセス モデルのさまざまな場所やレベルで定義できます。ARIS のリスク マネジメント手法では、リスクは [リスク] タイプのオブジェクトで表します。オブジェクトは、[発生する] タイプの接続線を使用して直接ファンクションに接続するか (リスク ベースのアプローチ)、または統制を使用して間接的に接続します (統制ベースのアプローチ)。
リスク発生
リスク イベントの発生や損害の発生は、リスクのタイプと、その他のさまざまな要因で決まります。プロセス管理では、リスクとファンクションのコンテキストに焦点が置かれます。したがって、リスク イベントの発生は、関連付けられているファンクションの実行に基づいて考慮されます。リスクは、[発生する] 接続線でファンクションに接続されている場合にのみ発生します。[確率] 属性 ([シミュレーション] 属性タイプ グループ) がリスク発生を制御します。この属性は 0 ~ 1 の浮動小数点数で指定します。たとえば、確率 0.5 は、ファンクション実行 2 回につきリスクが平均して 1 回発生することを示します。ファンクションが実行されるたびに、リスクが発生するかどうかが、確率に基づいてシステムで決定されます。発生する場合は、ファンクション実行の最後に発生します。属性が指定されていない場合は、デフォルトの確率 1 が使用されます。
経済的損失
リスクが発生すると、経済的損失が生じる場合があります。リスクの発生に起因する損害額は、[損害額] 属性 ([シミュレーション] 属性タイプ グループ) で制御します。損害額は、定数、またはランダムに分布する浮動小数点数で指定します。使用できる分布は、[一様分布]、[正規分布]、[対数正規分布]、[指数分布]、[アーラン分布]、[三角分布]、[切断正規分布]、[ワイブル分布] です。リスクが発生した場合、損害額は分布によって決定されます。[損害額] 属性が指定されていないが、[平均損害額] ([ガバナンス、リスク & コンプライアンス (GRC)] の [リスク マネジメント] にある [定量的評価] の [損害額] 属性タイプ グループ) の値がある場合は、この値が使用されます。この 2 つの属性のいずれも指定されていない場合、リスク発生時に経済的損失は記録されません。
フォローアップ アクティビティと対策
リスク イベントが検出されたら、対策やフォローアップ アクティビティ (クリーンアップ、修正、賠償) を実行できます。これらのアクティビティは、プロセス モデルとしてリスク オブジェクトにアサインします。リスクが発生し、検知統制によって識別されるたびに、すべてのアサインされているプロセス モデルが実行されます。したがって、アサインするモデルは、シミュレーション モデルの一部である必要があります。これは、含まれるモデルの設定によって異なります。フォローアップ アクティビティを含む、アサインされたプロセスは、メイン プロセスと並行して実行されます。これらのプロセスには、メイン プロセスとは異なるプロセス インスタンス番号が割り当てられ、サイクル時間に影響しません。複数の統制で同じリスクが検出された場合、最初の統制に対してのみフォローアップ アクティビティが実行されます。
リソースの損失
リソースの損失とは、予想外にリソース キャパシティが減少したり、リソースが使用できなくなったりすることです。原因には、たとえば、人材リソースの場合は病気や事故、技術的リソースの場合はエラー、操作ミス、予想外のメンテナンス作業などがあります。リソースを使用できない期間をスケジュールで定義できます。