統制は、リスク発生の確率を減少させたり (防止統制)、リスクによる損害額を削減したり (検知統制) して、リスクの影響を軽減します。したがって、統制を実行するリスクやファンクション割り当てることができます。統制は、[ファンクション] タイプのオブジェクトです。統制は、[実行される] 接続線でファンクションに接続するか、[減らされる] 接続線でリスクに接続して、制御フローで直接使用できます。
コントロール タイプ
コントロール タイプは、[統制の効果] 属性 ([ガバナンス、リスク & コンプライアンス (GRC)] の [コンプライアンス マネジメント] にある [統制属性]) を使用して指定します。統制には、防止統制と検出統制があります。属性を指定しなかった場合、統制は実行されますが、防止や検知の効果はありません。
統制の実行
統制の実行は、統制がどのようにモデル化され、設定されているかによって異なります。[統制] タイプのオブジェクトは、プロセス モデルで 2 通りの方法で使用できます。制御フローで直接使用するか、[実行される] 接続線でファンクションに接続できます。統制をファンクションに接続する場合、統制はファンクションの実行時に実行され、関連するリスクに影響します。デフォルトでは、統制はファンクションの完了後に実行されます。[統制の効果] 属性 ([ガバナンス、リスク & コンプライアンス (GRC)] の [コンプライアンス マネジメント] にある [統制属性]) が、この動作に影響します。[防止] オプションを選択した場合、統制はファンクションの実行開始前に実行されます。[検知] オプションを選択した場合、統制は、ファンクションの実行終了後に実行されます。リスクは、常にファンクションの実行後に発生します。したがって、ファンクション、リスク、統制は次の順序で実行されます。
複数の統制がファンクションに接続されている場合、統制は並行して実行されます。統制タイプに応じて、これはファンクションの実行前または実行後に発生します。すべての統制が完了してから、シミュレーションで次のファンクションの実行が続行されます。[統制] タイプのオブジェクトが制御フローでモデリングされている場合、そのオブジェクトは通常のファンクションのように実行されます。
リスク ベースのアプローチを使用する場合、統制は通常、プロセス モデルではなく、ビジネス コントロール図でモデリングします。これらの統制はファンクションに直接接続されていないので、実行の有無とタイミングは明らかではありません。実行中に統制を考慮するためには、シミュレーションを実行するプロセス モデル内で発生し、ファンクションに割り当てられているリスクに割り当てる必要があります。
プロセス モデル内でモデリングされていない統制は、デフォルトでは実行されません。このような統制の実行は、[統制トリガー] 属性 ([シミュレーション] 属性タイプ グループ) を指定することで定義できます。この属性には、[ファンクション] オプションまたは [なし] オプションを選択できます。
[ファンクション] オプションを選択すると、統制が割り当てられているリスクに割り当てられているファンクションが実行されるたびに統制が実行されます。これは、ファンクションに直接割り当てられている統制の動作と同じです。
オプション [なし] を選択した場合、統制は実行されません。これは、プロセス モデル内にない統制のデフォルトの動作と同じです。
例
統制に必要な時間やコストが多すぎる場合は、対応するファンクションの実行中や、各プロセス フロー中に統制が実行されないことがあります。この場合、サンプルが実行されます。サンプルは、[実行間隔] 属性 ([シミュレーション] 属性タイプ グループ) を使用して定義できます。実行間隔は、実行理由に基づく頻度を示す整数です。デフォルトは 1 です。値が 1 の場合、割り当てられているファンクションが実行されるたびに統制が実行されます。値が 2 の場合、2 回の実行につき統制が 1 回実行されます。
[実行間隔] 属性は、制御フローで使用されているファンクションや統制も対象です。これらのファンクションは、定義されている間隔だけで実行され、間隔が定義されていない場合は無視されます。必要な場合は、ファンクションと、割り当てられている統制の実行間隔を組み合わせることができます。
例
プロセスは、イベント、検知統制があるファンクション、ファンクションの各オブジェクトから (この順序で) 構成されます。実行間隔は、ファンクションと統制の両方に 2 が指定されています。プロセスは 5 回通過されます。実行間隔に従って、次のプロセス通過が発生します。
イベント、ファンクション、統制、イベント
イベント、イベント
イベント、ファンクション、イベント
イベント、イベント
イベント、ファンクション、統制、イベント
つまり、ファンクションは、プロセス インスタンス 2 回につき 1 回実行され、統制は、ファンクションの実行 2 回につき 1 回、つまりプロセス インスタンス 4 回につき 1 回実行されます。
統制の有効性
統制は、必ずリスクの発生を防止したり (防止統制)、リスクによる損害を軽減したり (検知統制) できるわけではありません。このような不確実性の程度を、統制の有効性で表し、[統制の有効性] 属性 ([シミュレーション] 属性タイプ グループ) で指定できます。この属性は、0 から 1 の間の浮動小数点数で指定します。デフォルトは 1 です。統制の有効性は、リスク防止と損害軽減の確率を示します。
統制に使用される時間とリソース
統制を実行するには、ファンクションの場合と同様に、時間とリソースが必要です。時間を使用する場合は、時間を表す属性を指定する必要があります。リソースが使用される場合は、シミュレーション関連の接続線タイプで人材リソース、技術的リソース、またはキャパシティ リソースを統制に接続する必要があります。
防止統制を使用したリスクの防止
防止統制は、リスク イベントが発生する確率を下げます。リスク発生の確率を下げる量は、[リスク発生率の軽減] ファンクション属性 ([シミュレーション] 属性タイプ グループ) で指定します。
防止統制に成功すると、割り当てられたリスクが発生する確率 ([確率] リスク属性) が、この数値分、下がります。統制は、リスクが発生する前に実行される必要があります。リスクの発生率の軽減は、統制を起動したプロセス インスタンスが終了するまで有効です。
複数の防止統制に成功すると、軽減幅が最大になった値を使用して、割り当てられているリスクの発生確率が計算されます。
例
リスク発生率に値 0.8 が指定され、リスク発生率の軽減に値 0.25 が指定されているとします。この場合、発生確率が 0.8 * (1 - 0.25) = 0.6 まで下がります。
検知統制を使用したリスクによる損害の軽減
検知統制は、リスク イベントの発生に起因する損害を軽減します。損害を軽減する量は、[リスク損害の軽減] ファンクション属性 ([シミュレーション] 属性タイプ グループ) で指定します。
検知統制に成功すると、リスクに起因する損害合計が、この数値分、軽減されます。統制は、リスクの発生後に実行される必要があります。統制を起動したプロセス インスタンス内で発生した損害だけが軽減されます。同じ統制または別の統制で、このプロセス インスタンス内の同じリスクがふたたび検出された場合、以前に検出された損害と、あとで検出された損害の両方に軽減が適用されます。
例
元の損害は 1,000 ユーロです。[リスク損害の軽減] には、0.2 が指定されています。この場合、損害額は 1,000 * (1 - 0.2) = 800 ユーロまで下がります。
無視される割り当て
統制は [ファンクション] タイプのオブジェクトであり、理論的には [発生する] 接続線でリスクに接続できます。この接続線は、意味論上は意味がありません。リスクが、[減らされる] タイプの接続線と、[発生する] タイプの接続線の両方で統制に接続されている場合、統制の実行の結果としてリスクが発生し、それと同時に、統制によって、リスクに起因する損害が軽減されます。したがって、リスクと統制の間の [発生する] タイプの接続線がシミュレーション時に無視されるか (モデル B と C)、統制が実行されません (モデル A)。
リスクが、[減らされる] タイプの接続線と、[発生する] タイプの接続線の両方で統制に接続されている場合、統制の実行の結果としてリスクが発生し、それと同時に、統制によって、リスクに起因する損害が軽減されます。
モデル A で無視される割り当て
モデル B で無視される割り当て
モデル C で無視される割り当て