Règles de comportement des contrôles (type d'objet 'Fonction')
Si l'attribut Effet du contrôle (groupe de types d'attributs Governance, Risk & Compliance (GRC) > Gestion de l'observance > Attributs de contrôle) est géré, seul l'effet défini est pris en compte. En revanche, si cet attribut n'est pas géré, le contrôle est effectué, mais il n'a aucun effet de prévention ou d'identification.
Lorsqu'il est efficace, un contrôle utilisé de manière préventive diminue la probabilité de survenance d'un risque sur la durée restante de l'instance de processus.
Si un contrôle préventif est effectué plusieurs fois dans le cadre d'une instance de processus, la probabilité de survenance réduite qui découle de la première exécution avec succès demeure, même si ce contrôle n'a pas été effectué avec succès à un moment ultérieur.
Si plusieurs contrôles préventifs réduisent chacun leur tour la probabilité de survenance d'un risque, c'est la valeur la plus élevée de la diminution qui est utilisée. Les probabilités ne s'additionnent pas. Si un contrôle entraînant une diminution faible est effectué après un contrôle avec un haut niveau de diminution, la valeur la plus élevée continue à être utilisée. Autrement dit, le contrôle avec la plus forte diminution de la probabilité de survenance est considéré comme le contrôle actif.
Le dommage empêché ou le dommage non empêché est affecté au contrôle préventif avec la plus forte diminution de la probabilité de survenance.
Le dommage empêché n'est pas affecté à un contrôle préventif, si le risque ne survient pas malgré sa probabilité de survenance initiale (non réduite) déjà inférieure à 100 %.
Les dommages non empêchés sont affectés à un contrôle préventif uniquement si ce contrôle n'a pas été effectué avec succès, mais qu'il aurait pu empêcher les dommages s'il avait été effectué avec succès.
Aucun dommage non empêché n'est affecté à un contrôle préventif dont l'exécution se termine après la survenance d'un risque.
Aucune réduction échouée des dommages n'est affectée à un contrôle d'identification dont l'exécution commence avant la survenance d'un risque.
L'exécution ou l'effet des contrôles d'identification ne dépend pas des autres contrôles, contrairement aux contrôles préventifs pour lesquels seul le contrôle affichant le plus fort potentiel de réduction par risque est toujours actif. Si un contrôle a été effectué avec succès, il réduit les dommages des risques affectés qui se sont accumulés jusqu'au moment présent. En revanche, s'il n'a pas été effectué avec succès, les dommages qu'il aurait pu empêcher lui sont affectés en tant que réduction échouée des dommages.
Règles de comportement des risques (type d'objet 'Risque')
Les copies de valeurs des risques sont évaluées individuellement.
Les dommages faisant référence à une copie de valeur d'un risque sont totalisés dans la définition d'objet de ce risque.