生活一旦沒有了不確定性，將喪失一切生機！

—佚名

為了更好的定位風險管理工作在企業管理中的作用，當前最緊迫的任務是要對風險管理最底層的邏輯有清晰的認知，這是一個根基，根基不穩，就算我們的工作搞得風生水起，我們的內心深處仍然會感到焦慮和不安。

對於一個還在發展過程中的理論體系，風險管理的底層邏輯在哪？是對最基本概念的理解，如果對最基本概念還是含混不清，達不成最廣泛的共識，那對這個理論體系的形成無疑是致命的。我們本周要從風險管理體系中的最基本最底層的概念——“風險”講起，通過對全球理論和實踐的理解，結合工作體會，帶給大家一些啟發和思考。

一、風險的起源

對於“風險”一詞的來源，目前最為普遍的一種說法是源於人類對於海洋的探索活動。在遠古時期，沿海的人們以打魚為生，每次出海都要祈禱神靈保佑自己能夠平安歸來，其中主要的祈禱內容就是讓神靈保佑在出海時能夠風平浪靜、滿載而歸。他們在長期的捕撈實踐中，深深的體會到“風”給他們帶來的無法預測、無法確定的危險，他們認識到，在出海打魚的過程中，“險”往往與“風”相伴，由“風”生“險”，因此有了“風險”一詞的由來。

對於英文的“風險”一詞，risk源於古意大利語risicare，意思是敢於（to dare）選擇，而不是相信命運和損失。在早期的使用中，也常被理解為客觀的危險，主要體現為自然現象或者航海遇到風暴、礁石等事件。大約到了19世紀，在英文的使用中，風險一詞常用法文（risique）拼寫，普遍應用於保險行業。

以上可以看出，我們最初對風險的認識，都是從對自然界帶給人類的威脅開始的，由於古代的科學技術不發達，並不能準確的預測或者預防自然界的種種威脅，所以人類經常求助於“諸神”保佑，來應對“天有不測風雲”導致的“旦夕禍福”。

二、對風險認知的過程

人們對於風險的認識，一開始最明顯的感受就是被稱作風險的事件可能發生、可能不發生，是一種可能性、是一種概率。18世紀初瑞士的數學家伯努利發現了大數定律（Law of Large Numbers），用以揭示在大量重複試驗樣本中，某類隨機事件發生概率的客觀規律，這樣的定律應用在衡量損失事件的概率上，就推動了旨在船東之間出現海上運輸損失相互保障的第一家保險公司的誕生。沒有大數定律，就無法對某一類同質風險的發生概率進行計算，無法對風險進行定價，也就沒有今天的保險行業。芝加哥大學著名經濟學家弗蘭克·奈特在其著作中稱，幾百年來，保險業已經成功利用大數定律掌握了自然災害發生的規律。

我們分三個階段來闡述人們認知風險的過程：

初始階段，也就是第一階段，從上面的描述中可以看出，人類對風險的本質定義是損失事件，對其第一性的認識是可能性，或者稱概率。

第二階段，人們認識到風險發生即預示著損失出現（本質未發生變化），第一階段針對風險發生產生一個固定損失而言，對其發生概率是第一性的認識。但後來發現出現固定損失只是其中的一種最簡單的後果，多數情況下出現損失的嚴重程度也不相同，衡量風險時還需要考慮加入一個影響程度的維度。所以在第二階段對風險的衡量出現了第二性，影響程度，要衡量一個風險需要從兩個角度整體來看。時至今日，這種衡量方式仍然被我們很多企業在風險評估中使用，但在應用這兩個維度評估風險時也產生了大量的缪誤，我們在下一篇分析風險評估工作的本質及目前存在的種種問題時在展開。

第三階段，20世紀開始，有專家開始將風險與不確定性關聯，用不確定性來解釋風險的本質，而非簡單的概率和影響兩個維度。20世紀，是離我們最近的一個世紀，也是過去人們對於風險的關注和對其理論研究的發展最快的一個世紀，包括第一個風險管理協會的成立，第一本與企業風險有關的書籍面世，現代風險管理理論的提出，日後有機會和大家介紹近代風險簡史的時候再細說。第三階段發展到21世紀初，ISO國際標準組織2009年發布了標志性的ISO31000國際風險管理標準文件，其中將風險定義為：不確定性對目標的影響（effect of uncertainty on objectives）。至此，不確定性終於從幕後走到了前臺。

三、全球主要風險定義巡覽

接下來我們要帶大家巡覽一下目前全球主要的一些文件中對於風險的定義，你會發現以上幾個發展階段的烙印，對風險的定義最能反映一個機構或組織對於風險的認知情況。

1、ISO國際標準組織

雖然在2009年將風險定義為不確定性對目標的影響，但到目前為止，ISO組織發布的各種現行的國際標準中，還沒有統一對風險的認識，而且不統一的程度相當高，下圖羅列了一些ISO組織的不同標準對於風險的定義的差別，篇幅問題只羅列了一部分。

ISO國際標準中對風險的不同定義（部分）

經過分析處理，去除一些重複和相似的定義，至少可以篩選出來40種以上的定義，全面展現了前述各個階段對風險的認知特征。

2009年，中國國家標準委發布GB/T 24353風險管理標準，采用了還在報批過程中的ISO31000的風險定義。

2、COSO委員會對風險的定義

COSO企業風險管理框架中風險定義

COSO新升級的風險定義在範圍上有所擴充，在目標上有所聚焦。但很遺憾的看到，COSO的定義一直還在延續將風險定義落腳在可能性上的傳統做法。

3、其他重要組織風險定義

除了ISO和COSO的定義外，全球重要組織的近年來發布的典型風險定義如下表所示：

全球重要組織的風險定義

同樣，我們也可以發現上述三個階段的痕跡，盡管都已經是2000年以後發布的文件了。

以上這些定義適用於所有行業，但金融領域有很多專家喜歡把風險定義為與期望值的偏差（deviation），表述為“風險是與既定目標的偏差值”。

從全球的最主要的組織對風險的定義來看，對於風險的認知還在混戰，以至於全球範圍內還沒有形成統一認識，各說其詞，各行其道。

四、主要的問題和爭議

對風險的定義透露出的是對風險本質的認識，目前市面上的定義各有側重點，又各有偏差，主要的一些問題和爭議的焦點包括如下幾個方面：

1、用可能性或可能性與影響程度的組合定義只描述了風險的部分特征

到目前為止，很多定義還是停留在幾百年前我們最開始認識和描述風險的第一階段，這種定義在現在認知上顯然已經過時了。

另外，我們通過可能性與影響程度的乘積代表風險的風險水平，這種方式也是一種落伍的方式了，在當前商業環境急劇變化的背景下，這兩個屬性完全不能滿足當下對風險的分析深度，只能作為非常淺層次的相對性參考。

2、將風險與風險的作用過程混淆

在這裡，我將不得不提一下ISO31000對於風險的定義，不確定性對目標的影響，嚴格來講，這裡的“影響”翻譯其實和原義有出入，原義的effect應該理解為作用或者效果，指在不確定性的作用下，產生了偏差和波動，即為風險。所以，最終的定義落腳在了“影響”上，實際是在描述風險的作用過程，而非風險本身。

3、將風險和風險的作用結果混為一談

將風險定義為一種與期望的偏差值，是將風險與風險的作用結果混淆了，偏差值是由於受風險影響的結果，也不是風險本身。

4、風險是負面的還是包含了正面的兩面性

這個問題可以說是這些年爭論的一個焦點，也是自從ISO31000正式將風險的影響列為正面和負面之後就廣泛出現的，雖然在ISO31000發布前就有很專家談到這個觀點。

在ISO9000質量管理體系2015年發布新版時，將風險定義為“不確定性的影響”，也是表明了風險的雙面性，在全球範圍內也引起了質量管理專家的一場大討論。很多國家的專家和企業進行研討時，要求企業人員對風險表現為機會和威脅兩個方面進行識別時，最後都被搞得一頭霧水。

風險的正面作用真的存在嗎？或者占到了風險的比重有多大？我們看看ISO發布的一段風險轉變為機會的例子：

Turning risk into opportunities

"In Japan, for instance, the constant threat of earthquakes and typhoons has led to the development of one of the world’s most sophisticated emergency management systems."

在日本，由於地震和臺風的高發性，使得日本建成了世界上最成熟的應急管理體系。

意思是指在這套應急管理體系在應對日本所有的危機事件上都可以出色的發揮功效。

接受這種解釋嗎？如果接受不了我們看下一部分內容。

五、風險的本質探尋

1、風險和不確定性的關聯

不可否認，ISO31000在2009年對風險的定義有非常大的進步性。

將風險表述為一種不確定性，這也是將風險認知拉入21世紀第三階段的標志。我們應該說，就目前的認知來看，風險的本質就是不確定性。

2、風險與目標的關聯

1995年，全球第一個國家風險管理標準 AS/NZS 4360中將風險與目標關聯，這個標準也成為了後來ISO31000起草的參考藍本，ISO31000的定義中也延續了這一用法。但是，到現在也沒有形成廣泛共識，最突出的表現就是在2015年ISO9000質量管理體系修訂時的風險定義：“不確定性的影響”，刪掉了目標，個人意見還是非常不妥當，沒有了目標，就無所謂風險。

這讓我想起了前不久在瑞士首都伯爾尼召開的風險管理研討會上，世界銀行的一名氣候專家提出，自然風險是人類出現後的提法，人類出現之前這些都叫自然現象。什麼意思，目標不存在，風險也就無從談起。

同樣，上述ISO舉出的風險轉變成機會的例子也是一樣，在目標體系發生變動的前提下，風險和機會才會有可能轉變，這並不能證明在同一個體系下，風險又是機會。

作為中國北部一座沿海城市的政府風險顧問，這個城市的一個事件給了我另外一個例證，去年夏季的一場瞬時大暴雨導致了這座城市嚴重的城市內澇，城市變成了海洋，人員財產損失嚴重。但是，這場暴雨卻讓整個城市的嚴重供水短缺得到了緩解，之前甚至在研究用海水淡化以解燃眉之急，那麼這場雨到底是風險還是機會？

目前看到的風險又是機會的例子都是基於不同目標而言，目標確定，風險也相對確定；如果針對另一個目標而言，原來的風險被視為了一個機會，那是不同目標體系下對不同現象的不同定義，不能就此證明風險就是機會的命題。

3、風險兩面性的本質

雖然風險的定義突破了對其負面性的局限，但就像本文最開頭我們談到的風險起源，一談到風險，人們最容易聯想到的還是損失的情形。在上面談到的那些全球組織對於風險的定義中，有大概一半的定義認為風險是包含機會與威脅兩方面的。

如果說機會也是屬於風險的一部分，那麼我們經常說的企業是因為領導人看到了機遇，抓住了機遇實現了快速發展。豈不是可以改成了說企業是因為領導人看到了風險，然後抓住了風險實現了快速發展？

對此，我專門對機會管理這門學科做了研究，機會和機遇都對應著英文的opportunity這個詞，在企業管理領域，機會管理是散落在各決策職責中的，對於機會管理做專題研究的並不多，但是中國有一位教授做的專題研究還是比較深入的，就是原首都經貿大學管理學院院長黃津孚教授，現已退休，他出版的《現代企業管理》是中國銷量最大的企業管理專業教材，他曾專門研究並出版過一本《機遇管理理論》的書，我曾拜訪了黃教授討論機會和風險的話題，他又專門找我交流過一次並寄送了專著給我參考。

我們從事風險管理行業的專家和從業者都希望可以通過對本領域開疆擴土來表達我們所從事工作的重要性，以引起領導層的重視，這無可厚非，但也要注意分寸的把握，如果沒有符合客觀規律，這種行為就會變成了一廂情願。

到底怎麼出現的兩面性的範圍界定問題？我發現在某些場合下有人偷換了風險和不確定性的概念，用不確定性內涵直接代替了風險內涵，雖然可以引起更高的關注，但是這是種不自量力的做法，因為不確定性的範圍要比風險要大得多，豐富的多。不確定性中孕育著機會、也生養著風險，我嘗試能夠用下面這個圖讓大家理解不確定性與機會和風險的關系。

六、對風險管理工作的啟示

通過上面的分析，我們大概可以推斷出風險定義應該包含了幾個要素。首先，風險的本質是不確定性，定義應該落到不確定性上，然後與目標關聯，兩面性應該側重負面影響。所以，基於目前的認知，我覺得把風險描述為“對目標產生不利影響的不確定性”是一個較為恰當的表述。雖然中性的表述是我們從業者所期望的，但是通過實踐來看，實際的工作過程中眾多企業管理者似乎並不買賬，我們還是無法忽視上帝給風險管理的首要使命，那就是保護價值而非創造價值。

但是，這兩項工作是不可分割的，是互補和對立統一的。就像在足球場上的前鋒和後衛，前鋒的進球和後衛的不輸球本身就是統一的，是在一個目標下的兩種表述。所以，雖然使命各異，風險管理功能對於組織來說卻是必需的。

為了更好的從機會和風險的對立統一性上來定位風險，我們再用一張圖形容企業管理中機會和風險的關系：機會中隱藏著風險，風險中蘊含著機會，也許這才是企業管理的整體畫面。