論風險、機會和不確定性

ISO 31000美國技術咨詢組 布魯斯·K·萊昂 格奧爾基·波波夫｜文 張微明｜摘譯

風險(risk)是什么？環(huán)境不同、涉及人員不同，含義也不一樣。傳統(tǒng)上，風險被描述為具有造成傷害或損失的能力，用發(fā)生的可能性和影響的嚴重性來衡量。

風險這個術語源于古希臘航海術 語“rhizikon”或“rhiza”，用它來比喻“海上要避免的困難”。而風險這個英語單詞則來自法語的“risqué”和意大利語的“risco”。16世紀，德語還有個商業(yè)術語，叫“rysigo”，意思是“敢于、開始做事業(yè)、希望獲得經(jīng)濟上的成功”。

風險存在于生活的方方面面。在金融領域，風險被定義為“結果不符合預期的可能性”，特別指金融投資回報。金融風險有許多形式，如投資風險、市場風險、通貨膨脹風險、信用風險、流動性風險等。

在組織層面，職業(yè)安全健康從業(yè)者認為風險來自危險源，而生產(chǎn)運營管理者則認為風險來自運營。在企業(yè)高層，風險涵蓋的就更廣泛了，包括威脅企業(yè)目標的財務風險和戰(zhàn)略風險。以上就是通常所說的企業(yè)風險管理（ERM）。

企業(yè)風險管理

風險的概念和風險管理隨著時間的推移而演變。傳統(tǒng)上，公司是分開管理風險的，各部門獨立，與財務和戰(zhàn)略決策過程也分開。具體來說，職業(yè)安全健康部門管危險源和合規(guī)，生產(chǎn)和質(zhì)量部門管運營，高層則管財務和戰(zhàn)略問題。這種支離破碎的風險管理方式已經(jīng)演變成一種更綜合的方法了：ERM。

在經(jīng)濟全球化的進程中，世界變得越來越小，也更加不可預測。為適應新情況，組織正在拆除孤島，將ERM納入企業(yè)管理體系，以便更加靈活地實現(xiàn)目標。獨立運營和基于危險源的合規(guī)要逐漸成為過去了，在今天，職業(yè)安全健康專家需要一套新的技能。

風險的定義

大概這過去的十年間，對共識標準制定者而言，“風險”這個話題越來越有爭議性。語境不同，它的定義也不一樣。在職業(yè)安全健康和環(huán)境標準中，風險常被定義為發(fā)生的概率或可能性，以及由此產(chǎn)生的后果的嚴重程度。請注意，“概率”是數(shù)學術語,而“可能性”是定性術語，在沒有統(tǒng)計數(shù)據(jù)的情況下使用。國際指南ISO/IEC 51:2014《安全觀點——標準中安全問題的準則》將風險定義為“傷害發(fā)生的概率和傷害嚴重程度的組合”。ANSI/ASSP Z590.3—2021《通 過設計進行預防的標準》將風險定義為“對危害相關事件或暴露的發(fā)生概率和可能造成的傷害或損害嚴重程度的估計”。第三個例子是ISO 11231:2019《航天系統(tǒng)——概率性風險評估》將風險定義為“有可能發(fā)生并且能對項目產(chǎn)生潛在負面后果的不良情況”。這些定義基本與詞典的常見定義一致。

在更廣泛的語境里，有些企業(yè)風險管理相關的標準和指南對風險的定義就不同了。ANSI/ASSP/ISO 31000《風險管理指南》將風險定義為“不確定性對目標的影響 ”。ANSI/ASSP/RIMS RA.1—2015《風險評估》將其定義為“不確定性對實現(xiàn)戰(zhàn)略目標和運營目標的影響”。特雷德韋委員會（COSO）將其定義為“事件發(fā)生并對目標的實現(xiàn)產(chǎn)生不利影響的可能性”。在企業(yè)風險管理的語境下，這三個定義都認為風險會影響組織目標的實現(xiàn)， 但ISO 31000和ANSI RA.1說風險是由不確定性引起的，而COSO指出風險是由某個事件引起的。

風險的第三類定義出現(xiàn)在管理體系標準中，包括ISO 45001《職業(yè)健康安全管理體系》、ISO 14001《環(huán)境管理體系》和ISO 9000《質(zhì)量管理體系》。這些標準都將風險定義為“不確定性帶來的影響”，省略了“目標”一詞。根據(jù)這些定義，管理體系標準和風險管理標準似乎認為不確定性是風險的來源。

還有標準和指南認為風險可以是件好事，這讓風險的含義更混亂了。例如，美國項目管理協(xié)會的《項目管理知識體系指南》將單個項目風險定義為“一個不確定的事件或條件，如果它發(fā)生，會對項目目標產(chǎn)生積極或消極影響”。而英國標準協(xié)會的BS 6079-1:2002,《項目管理指南》和BS 6079-2:2000,《項目管理詞匯表》將風險定義為“明確的威脅發(fā)生的概率、頻率和機會，和產(chǎn)生后果大小的組合”。

回顧這些不同的定義時，出現(xiàn)了幾個問題。風險是否應該局限于組織和他們的目標？不確定性在風險中扮演什么角色？風險可以是一件好事嗎？針對各種標準對風險的定義和使用，我們是否需要一個更全面的定義來實現(xiàn)統(tǒng)一？

通過觀察世界近期發(fā)生的事，我們可以找到答案。例如，新冠肺炎大流行顯然對組織及其目標的實現(xiàn)產(chǎn)生了負面影響。然而，這些負面影響已經(jīng)遠遠超出了企業(yè)范圍，延伸到個人、家庭、社區(qū)、國家、社會、市場趨勢、政府政策和整體環(huán)境。這表明，風險是普遍存在的，并不局限于組織或其目標。

不確定性對風險管理有重要影響，它增加了風險的可能性，影響了決策和行動。然而，目前ISO和ANSI標準中的定義似乎表明，不確定性不是風險的來源，而是風險的驅(qū)動因素。ISO將“風險源”（risk source）定義為“具有引起風險的內(nèi)在潛力的單個元素或元素集合”，將“風險驅(qū)動因素”定義為“對風險有重大影響的因素”。首先必須有風險源，風險才能存在。圍繞風險產(chǎn)生的不確定性水平作為風險的驅(qū)動因素，可以減少或加劇風險，影響決策。例如自然災害。以颶風為例，根據(jù)歷史，颶風在美國東南海岸登陸的風險是高度確定的。一個組織考慮在這個地區(qū)建立新工廠，可能會根據(jù)該地區(qū)的天氣模式、歷史上洪災和風災帶來的損失、海拔高度、與沿海水域的距離以及其他風險因素來評估風災和洪災造成損失的風險。風險源能創(chuàng)造風險，也能帶來不確定性，然而，不確定性本身并不創(chuàng)造風險。

風險可以是件好事嗎？這個見解似乎混淆了風險和機會，將其混為一談。風險和機會經(jīng)常連在一起，但卻是兩個獨立概念。風險本身并不呈現(xiàn)“有利的結果”，只有有害的和不想要的影響。另一方面，機會是一個獲得收益或利益的機遇。有機會就有風險。在下行風險小的機會和高風險機會之間進行選擇，人們肯定會選擇風險最小的機會。

在詞典中，風險通常被定義為不受歡迎的東西。韋氏詞典將“風險”定義為“損失或傷害的可能性”，而劍橋詞典將其定義為“壞事發(fā)生的可能性”。

由于這些不同的定義和應用，由此可以提出最后一個問題：是否需要一個更普遍的定義？筆者認為，答案是肯定的。2021年10月，ISO/TC 262提交了一份提案，希望成立一個風險及其相關概念協(xié)調(diào)委員會。這項建議被ISO技術管理委員會接受。提案將涉及一個由全球?qū)＜医M成的高級別委員會，其目標是就風險及相關術語的元定義（通用或基礎定義）達成共識，使其在標準中的使用保持一致，減少對用戶的困擾。

圖1 風險的定義

風險

要統(tǒng)一標準，就應該將風險的基本含義界定清楚、準確，在任何語境下都能應用。這個定義必須適用于所有用戶，包括個人、組織、公共實體和整個社會。考慮到基本含義和現(xiàn)有定義，風險的元定義可以是潛在的不利后果。

圖2 機會的定義

在這個定義里，“不利后果”不僅涉及組織目標，也涉及人、社會和環(huán)境。要對該定義的有效性進行簡單測試，可以在定義末尾加上某些可能導致風險的活動或行動。例如，風險是指操作機器、高空作業(yè)、出國旅行、收購企業(yè)、進行投資或建造房屋等活動可能產(chǎn)生的不利后果。為了厘清元定義、豐富它的含義，筆者提供了自己對風險特點和性質(zhì)的觀察，具體如下：

1.風險是一種狀態(tài)，一種有可能出現(xiàn)不利結果的情況或條件；

2.風險是一種負面效應——風險越高，產(chǎn)生負面結果的可能性就越大；

3.某種程度上，風險是一直存在的，不存在無風險的事物；

4.風險是動態(tài)的，可被看作是一個連續(xù)體，正如ASSP TR 31010《技術報告：風險管理——安全從業(yè)者的技術》中描述的那樣；

5.風險是對可能性和嚴重性的估計；

6.風險包括風險源、風險驅(qū)動因素、風險暴露、原因和后果；

7.風險來自于危險源、操作、財務和戰(zhàn)略行動或不作為。

機會

機會和風險是連在一起的，是一個硬幣的兩面。與風險不同，機會是獲得收益或利益的機遇。

韋氏詞典將“機會”定義為“各種情況的一個有利關口”。有趣的是，雖然ISO 14001:2015將風險定義為“不確定性的影響”，但它還將風險和機會一起定義為“潛在的不利影響（威脅）和潛在的有利影響（機會）”。

正如COSO所解釋的，機會是“一件事發(fā)生并對目標的實現(xiàn)產(chǎn)生積極影響的可能性，有利于價值的創(chuàng)造或保存”。不確定性既帶來風險也帶來機會，可能侵蝕價值，也可能提升價值。企業(yè)風險管理使管理層能夠有效應對不確定性，以及相關的風險和機會，提高價值積累的能力。

根據(jù)定義風險的方法，可以考慮將機會定義為“產(chǎn)生有利結果的潛力”。

與風險一樣，機會也是一種狀態(tài)，在這種狀態(tài)下，有概率獲得理想結果。機會也是動態(tài)的和流動的。但與風險不同的是，機會被認為是積極的，這意味著機會越大，回報或期望的結果就越大。然而，有了機會，也就有了風險。如增加新的產(chǎn)品線，結束一個合作伙伴關系，在國外擴大業(yè)務，或收購一個企業(yè)等，這種機會都有風險或潛在的不利結果。每種風險都會影響其他的風險，而且差別很大。

對組織來說，在追求目標的過程中，都必須對純風險（危險源和操作運營）和投機風險（財務和戰(zhàn)略）進行管理。所有的風險都被認為是負面的，風險越大，損失的可能性就越大，并且要從高（不希望或不可接受）到低（希望或可接受）來衡量。對投機風險而言，較高的風險可能會帶來較高的回報，但它也使人面臨潛在的較高的損失。在追求機會的過程中，無論是組織還是個人，都會有一定程度的風險，關鍵是將風險控制在可接受的水平。

不確定性

決策都是在了解不確定性或不了解不確定性的情況下做出的。在筆者看來，不同的是，對不確定性和風險有更好理解的決策更有可能成功。

在ISO指南73《風險管理》中，不確定性被定義為“與事件、其后果或發(fā)生的可能性有等有關信息掌握不足，甚至是部分掌握的狀態(tài)”。

圖3 不確定性的定義

不確定性與概率或可能性密切相關，它可以有四種形式：

1.認知的不確定性：缺乏對系統(tǒng)相關知識的了解；

2.偶然的不確定性：圍繞系統(tǒng)而存在隨機的、不可預測的情況；

3. 言語的不確定性：口語中固有的模糊性或含糊性；

4.決策的不確定性：與價值體系、專業(yè)判斷、公司價值和社會規(guī)范有關的不確定性。

某種程度上，決策的不確定性可以減小，方法是針對相關風險信息形成有效溝通。因此，為了促進風險監(jiān)管和合理決策，要在整個風險管理過程中形成有效的溝通和協(xié)商。

可知的未知

不確定性是風險所固有的。缺乏危害和潛在風險情景相關的信息，或?qū)ζ淅斫獠蛔?，被稱為認知的不確定性。認識論是哲學的一個分支，涉及知識的性質(zhì)和范圍。出現(xiàn)認知不確定性，可能是由于缺乏對系統(tǒng)或情況的了解，而這種了解是可以通過獲取正確的信息實現(xiàn)。通常，認知不確定性可以通過調(diào)查和評估來減少。

為了減少不確定性，需要探究數(shù)量和質(zhì)量兩個方面知識，“可知的未知”可能包括事件發(fā)生的可能性、可能發(fā)生的后果以及后果的嚴重程度。這種不確定性的其他來源還包括缺乏數(shù)據(jù)、數(shù)據(jù)不準確、測量不精確，以及歷史數(shù)據(jù)不足以計算概率。認知不確定性雖然很少能避免，但可以通過獲取這些信息來減少。

不可知的未知

另一種形式的不確定性是偶然的不確定性，它來自于不可預測的過程，如拋出一枚硬幣并預測是正還是反。偶然的不確定性是由隨機變量引起的，這些隨機變量不能被確切地預測，而且是不可知的。

偶然的不確定性是統(tǒng)計上的不確定性，來源于風險的自然變異性。與認知不確定性不同，它不能實質(zhì)性減少，只能被識別和量化。如果不確定性或隨機性是風險所固有的，就不可能通過進一步的研究來減少風險；然而，它可以用統(tǒng)計學上的可能性范圍來表示。

偶然的不確定性事件的例子有火山爆發(fā)、災難性地震和個人對化學品或藥物的反應。所有這些都包含固有的隨機因素，幾乎不能預測它們的發(fā)生或影響，只留下一個預測的可能性范圍。偶然的不確定性和缺乏可預測性讓我們無法完全準確地知道結果。

減少不確定性

所有決策都涉及一定程度的風險，很少有絕對確定的決策。然而，如果有足夠的基于風險的信息，決策者可以減少不確定性和風險。

對于不確定性難以減少的情況，也許可以嘗試去理解不確定性的本質(zhì)和潛在影響。增進對不確定性了解的方法有敏感性分析、情景分析和蒙特卡羅模擬。

總結

風險、機會和不確定性是三個不可分割的變量，必須納入到風險管理過程及整體管理體系來一起管理。單獨管理和基于危險源的合規(guī)要逐漸成為過去了。為了證明對自己對組織的價值，職業(yè)安全健康從業(yè)人員必須積極有效地參與到風險管理過程中。這就需要了解這些變量及其對組織和我們所處世界的影響。評估和處理風險的藝術需要技巧和探究精神。正如筆者以前說過的，為了有效管理風險，有時要對方法進行適當?shù)匦薷暮投ㄖ?。?/p>