Verhaltensregeln von Kontrollen (Objekttyp 'Funktion')
Ist das Attribut Wirkung der Kontrolle (Attributtypgruppe Governance, Risk & Compliance (GRC) > Compliance-Management > Control-Attribute)gepflegt, wird nur die festgelegte Wirkung berücksichtigt. Ist das Attribut nicht gepflegt, wird die Kontrolle durchgeführt, hat aber keinen präventiven oder aufdeckenden Effekt.
Eine effektive und angewendete präventive Kontrolle, vermindert die Eintrittswahrscheinlichkeit eines Risikos über die restliche Laufzeit der Prozessinstanz.
Wird eine präventive Kontrolle mehrfach im Rahmen einer Prozessinstanz ausgeführt, bleibt die reduzierte Eintrittswahrscheinlichkeit nach der ersten erfolgreichen Ausführung bestehen, auch wenn die Kontrolle zu einem späteren Zeitpunkt nicht erfolgreich ausgeführt wurde.
Reduzieren mehrere präventive Kontrollen die Eintrittswahrscheinlichkeit eines Risikos gemeinsam, wird der höchste Wert der Verminderung verwendet. Die Wahrscheinlichkeiten werden nicht addiert. Wird eine Kontrolle mit einer geringeren Verminderung nach einer Kontrolle mit einer höheren Verminderung ausgeführt, wird weiterhin der höhere Wert verwendet. D. h. die Kontrolle mit der größten Verminderung der Eintrittswahrscheinlichkeit wird als aktive Kontrolle betrachtet.
Der präventiven Kontrolle, mit der größten Verminderung der Eintrittswahrscheinlichkeit, wird der vermiedene Schaden bzw. nicht vermiedenen Schaden zugeordnet.
Einer präventive Kontrolle wird der vermiedene Schaden nicht zugeordnet, wenn das Risiko bereits wegen seiner ursprünglichen (nicht reduzierten) Eintrittswahrscheinlichkeit von unter 100 % nicht eintritt.
Einer präventiven Kontrolle werden nicht vermiedene Schäden nur zugeordnet, wenn die Kontrolle nicht erfolgreich ausgeführt wurde, sie aber die Schäden im Fall einer erfolgreichen Ausführung hätte verhindern können.
Einer präventive Kontrolle, deren Ausführung erst endet, nachdem ein Risiko eingetreten ist, werden keine nicht vermiedenen Schäden zugeordnet.
Einer aufdeckenden Kontrolle, deren Ausführung vor dem Eintritt eines Risikos beginnt, wird keine verpasste Schadensreduktion zugeordnet.
Die Ausführung bzw. Wirkung aufdeckender Kontrollen hängt nicht von anderen Kontrollen ab. Im Gegensatz zu präventiven Kontrollen, bei denen immer nur die Kontrolle mit dem größten Reduktionspotenzial je Risiko aktiv ist. Falls eine Kontrolle erfolgreich ausgeführt wurde, reduziert sie die Schäden der zugeordneten Risiken, die bis zum aktuellen Zeitpunkt aufgelaufen sind. Wird sie nicht erfolgreich ausgeführt, werden ihr die Schäden, die sie hätte vermeiden können, als verpasste Schadensreduktion zugeordnet.
Verhaltensregeln von Risiken (Objekttyp 'Risk')
Ausprägungskopien von Risiken werden individuell ausgewertet.
Schäden, die sich auf eine Ausprägungskopie eines Risikos beziehen, werden in der Objektdefinition des Risikos summiert.