Modélisation des contrôles

Les contrôles servent à atténuer les effets des risques en réduisant la probabilité de survenance de ces risques (contrôles de prévention) ou la valeur du dommage causé par ces risques (contrôles d'identification). De ce fait, ils peuvent être affectés à des risques, mais aussi à des fonctions au niveau desquelles ils sont effectués. Les contrôles sont des objets du type Fonction. Ils peuvent être utilisés directement dans le flux de contrôle, être reliés à des fonctions via la liaison est exécuté à ou être reliés à des risques via la liaison est réduit par.

Relations entre les fonctions, les risques et les contrôles

Types de contrôles

Le type d'un contrôle est défini au moyen de l'attribut Effet du contrôle (Governance, Risk & Compliance (GRC) > Gestion de l'observance > Attributs de contrôle). Les contrôles peuvent être préventifs ou d'identification. En revanche, si cet attribut n'est pas géré, le contrôle est effectué, mais il n'a aucun effet de prévention ou d'identification.

Exécution du contrôle

L'exécution d'un contrôle dépend de la modélisation et de la configuration de ce contrôle. Un objet du type Contrôle peut être utilisé de deux façons dans un modèle de processus. Il peut être utilisé directement dans le flux de contrôle ou être relié à une fonction via la liaison est exécuté à. Si un contrôle est relié à une fonction, il est toujours effectué dès que cette fonction est exécutée et influence le risque correspondant. Par défaut, le contrôle est effectué à la fin de la fonction. L'attribut Effet du contrôle (Governance, Risk & Compliance (GRC) > Gestion de l'observance > Attributs de contrôle) a un impact sur ce comportement. Si l'option Préventif est activée, le contrôle est effectué avant le début de l'exécution de la fonction. En revanche, si l'option Par révélation est activée, le contrôle est effectué une fois l'exécution de la fonction terminée. Les risques ne surviennent qu'après l'exécution de la fonction. La fonction, le risque et le contrôle ont donc lieu dans l'ordre suivant.

Types de contrôles

Si plusieurs contrôles sont reliés à une fonction, ils sont effectués en parallèle. Selon leur type, ils sont effectués avant ou après l'exécution de la fonction. Tous les contrôles doivent être terminés avant que la simulation ne poursuive avec l'exécution d'autres fonctions. Si un objet du type Contrôle est modélisé dans le flux de contrôle, il est exécuté comme une fonction normale.

Si l'approche basée sur le risque a été choisie, les contrôles ne sont pas modélisés normalement dans des modèles de processus, mais dans des diagrammes de contrôles d'affaires. Comme ces contrôles ne comportent aucune liaison directe avec des fonctions, il n'est pas évident de savoir si et quand ils doivent être effectués. Afin qu'ils puissent être pris en compte lors de l'exécution, ils doivent être associés à un risque apparaissant dans l'un des modèles de processus simulés et affecté à une fonction.

Si un contrôle n'est pas modélisé dans un modèle de processus, il n'est par défaut pas effectué. Il est alors possible de définir l'exécution d'un tel contrôle en gérant l'attribut Déclencheur du contrôle (groupe de types d'attributs Simulation). Cet attribut vous permet de sélectionner l'une des deux options suivantes : Fonction ou Aucun.

Si vous sélectionnez l'option Fonction, le contrôle est toujours effectué à la suite de l'exécution de la fonction affectée au risque auquel le contrôle est associé. Il s'agit là du comportement d'un contrôle directement affecté à une fonction.

Si vous sélectionnez l'option Aucun, le contrôle n'est pas effectué. Il s'agit dans ce cas du comportement par défaut d'un contrôle ne contenant aucune valeur dans le modèle de processus.

Echantillonnages

Si le temps nécessaire aux contrôles ou leurs coûts sont très élevés, il n'est pas rare qu'ils ne soient pas effectués à chaque exécution de la fonction correspondante ou à chaque exécution de processus. Ils sont substitués par des échantillonnages. Les échantillonnages peuvent être définis au moyen de l'attribut Intervalle d'exécution (groupe de types d'attributs Simulation). L'intervalle d'exécution est saisi sous forme de nombre entier et il indique une fréquence basée sur les causes d'exécution. La valeur par défaut est 1. Une valeur de 1 signifie que le contrôle est effectué à chaque exécution de la fonction affectée. Une valeur de 2 signifie que le contrôle n'est effectué que toutes les deux exécutions.

L'attribut Intervalle d'exécution s'applique également aux fonctions ou aux contrôles utilisés dans le flux de contrôle. Ces fonctions ne sont alors exécutées que dans l'intervalle défini et elles sont ignorées en dehors. En cas de besoin, les intervalles d'exécution des fonctions et des contrôles affectés peuvent être combinés.

Exemple

Le processus est constitué des objets suivants (selon l'ordre indiqué) : événement, fonction avec contrôle d'identification, fonction. L'intervalle d'exécution de la fonction et du contrôle est défini à 2. Le processus est exécuté cinq fois. Selon les intervalles d'exécution, les cycles de processus suivants ont lieu :

En d'autres termes, la fonction est exécutée toutes les deux instances de processus et le contrôle est effectué toutes les deux exécutions de la fonction, à savoir toutes les quatre instances de processus.

Efficacité de contrôle

Les contrôles ne sont pas toujours en mesure d'empêcher la survenance des risques (contrôles de prévention), ni de réduire les dommages causés par les risques (contrôles d'identification). Ce degré d'incertitude est exprimé par l'efficacité d'un contrôle. Il peut être défini au moyen de l'attribut Efficacité de contrôle (groupe de types d'attributs Simulation). L'attribut est spécifié par nombre à virgule flottante compris entre 0 et 1. La valeur par défaut est 1. L'efficacité de contrôle représente la probabilité de prévention des risques ou de réduction des dommages.

Temps et ressources nécessaires aux contrôles

L'exécution des contrôles peut nécessiter du temps et des ressources, tout comme l'exécution des fonctions ordinaires. S'il s'avère nécessaire d'y consacrer du temps, les attributs permettant d'indiquer ce temps doivent être gérés. Pour y octroyer des ressources, la ressource humaine, la ressource technique ou la ressource de capacité correspondante doit être reliée au contrôle par le biais d'un type de liaison pertinent pour la simulation.

Empêcher des risques à l'aide de contrôles préventifs

Les contrôles préventifs permettent de réduire la probabilité de survenance d'un événement risqué. La valeur à laquelle la probabilité de survenance du risque est réduite est déterminée au moyen de l'attribut de fonction Réduction de la probabilité de survenance du risque (groupe de types d'attributs Simulation).

Si un contrôle préventif est exécuté avec succès, la probabilité de survenance du risque affecté (attribut de risque Probabilité) est réduite en fonction de cette valeur décimale. Ce contrôle doit toutefois être exécuté avant la survenance du risque. La diminution de la probabilité de survenance du risque reste active jusqu'à la fin de l'instance de processus qui a déclenché le contrôle.

Si plusieurs contrôles préventifs sont exécutés avec succès, la valeur prise en compte pour le calcul de la probabilité de survenance du risque affecté est la plus haute réduction possible.

Exemple

La valeur définie pour la probabilité est égale à 0,8, alors que la diminution de la probabilité de survenance du risque est réglée sur 0,25. La probabilité de survenance est donc réduite à 0,8 * (1 - 0,25) = 0,6.

Réduire les dommages causés par les risques à l'aide de contrôles d'identification ('par révélation')

Les contrôles d'identification permettent de réduire les dommages causés par la survenance d'un événement risqué. La valeur à laquelle les dommages sont réduits est déterminée au moyen de l'attribut de fonction Réduction des dommages du risque (groupe de types d'attributs Simulation).

Si un contrôle d'identification est exécuté avec succès, le dommage total causé par le risque est réduit en fonction de cette valeur décimale. Ce contrôle doit toutefois être exécuté après la survenance du risque. Seuls les dommages apparus au sein de l'instance de processus qui a déclenché le contrôle sont réduits. Si ce contrôle ou un autre contrôle détecte une nouvelle fois le même risque dans cette instance de processus, la réduction s'applique aussi bien aux dommages déjà détectés au préalable qu'aux dommages nouvellement détectés.

Exemple

Le dommage initial s'élève à 1 000 EUR. La réduction des dommages du risque est précisée avec 0.2. La diminution du dommage du risque est définie à 0,2. Le dommage est donc réduit à 1 000 EUR * (1 - 0,2) = 800 EUR.

Affectations ignorées

Les contrôles sont des objets du type Fonction.Théoriquement, ils peuvent donc être reliés à des Risques par la liaison se produit à. D'un point de vue sémantique, cette liaison n'a pourtant aucun sens. Si un risque était relié à un contrôle via une liaison du type est réduit par ou une liaison se produit à, ce risque surviendrait en conséquence de l'exécution de ce contrôle et le contrôle réduirait parallèlement le dommage causé par le risque. De ce fait, les liaisons du type se produit à entre des risques et des contrôles sont ignorées lors de la simulation (modèles B et C) ou le contrôle n'est pas effectué (modèle A).

Si un risque était relié à un contrôle via une liaison du type est réduit par ou une liaison se produit à, ce risque surviendrait en conséquence de l'exécution de ce contrôle et le contrôle réduirait parallèlement le dommage causé par le risque.

Affectations ignorées modèle A

Affectations ignorées entre risques et contrôles a)

Affectations ignorées modèle B

Affectations ignorées entre risques et contrôles b)

Affectations ignorées modèle C

Affectations ignorées entre risques et contrôles c)