ISO 31000美国技术咨询组 布鲁斯·K·莱昂 格奥尔基·波波夫｜文 张微明｜摘译

风险(risk)是什么？环境不同、涉及人员不同，含义也不一样。传统上，风险被描述为具有造成伤害或损失的能力，用发生的可能性和影响的严重性来衡量。

风险这个术语源于古希腊航海术 语“rhizikon”或“rhiza”，用它来比喻“海上要避免的困难”。而风险这个英语单词则来自法语的“risqué”和意大利语的“risco”。16世纪，德语还有个商业术语，叫“rysigo”，意思是“敢于、开始做事业、希望获得经济上的成功”。

风险存在于生活的方方面面。在金融领域，风险被定义为“结果不符合预期的可能性”，特别指金融投资回报。金融风险有许多形式，如投资风险、市场风险、通货膨胀风险、信用风险、流动性风险等。

在组织层面，职业安全健康从业者认为风险来自危险源，而生产运营管理者则认为风险来自运营。在企业高层，风险涵盖的就更广泛了，包括威胁企业目标的财务风险和战略风险。以上就是通常所说的企业风险管理（ERM）。

企业风险管理

风险的概念和风险管理随着时间的推移而演变。传统上，公司是分开管理风险的，各部门独立，与财务和战略决策过程也分开。具体来说，职业安全健康部门管危险源和合规，生产和质量部门管运营，高层则管财务和战略问题。这种支离破碎的风险管理方式已经演变成一种更综合的方法了：ERM。

在经济全球化的进程中，世界变得越来越小，也更加不可预测。为适应新情况，组织正在拆除孤岛，将ERM纳入企业管理体系，以便更加灵活地实现目标。独立运营和基于危险源的合规要逐渐成为过去了，在今天，职业安全健康专家需要一套新的技能。

风险的定义

大概这过去的十年间，对共识标准制定者而言，“风险”这个话题越来越有争议性。语境不同，它的定义也不一样。在职业安全健康和环境标准中，风险常被定义为发生的概率或可能性，以及由此产生的后果的严重程度。请注意，“概率”是数学术语,而“可能性”是定性术语，在没有统计数据的情况下使用。国际指南ISO/IEC 51:2014《安全观点——标准中安全问题的准则》将风险定义为“伤害发生的概率和伤害严重程度的组合”。ANSI/ASSP Z590.3—2021《通 过设计进行预防的标准》将风险定义为“对危害相关事件或暴露的发生概率和可能造成的伤害或损害严重程度的估计”。第三个例子是ISO 11231:2019《航天系统——概率性风险评估》将风险定义为“有可能发生并且能对项目产生潜在负面后果的不良情况”。这些定义基本与词典的常见定义一致。

在更广泛的语境里，有些企业风险管理相关的标准和指南对风险的定义就不同了。ANSI/ASSP/ISO 31000《风险管理指南》将风险定义为“不确定性对目标的影响 ”。ANSI/ASSP/RIMS RA.1—2015《风险评估》将其定义为“不确定性对实现战略目标和运营目标的影响”。特雷德韦委员会（COSO）将其定义为“事件发生并对目标的实现产生不利影响的可能性”。在企业风险管理的语境下，这三个定义都认为风险会影响组织目标的实现， 但ISO 31000和ANSI RA.1说风险是由不确定性引起的，而COSO指出风险是由某个事件引起的。

风险的第三类定义出现在管理体系标准中，包括ISO 45001《职业健康安全管理体系》、ISO 14001《环境管理体系》和ISO 9000《质量管理体系》。这些标准都将风险定义为“不确定性带来的影响”，省略了“目标”一词。根据这些定义，管理体系标准和风险管理标准似乎认为不确定性是风险的来源。

还有标准和指南认为风险可以是件好事，这让风险的含义更混乱了。例如，美国项目管理协会的《项目管理知识体系指南》将单个项目风险定义为“一个不确定的事件或条件，如果它发生，会对项目目标产生积极或消极影响”。而英国标准协会的BS 6079-1:2002,《项目管理指南》和BS 6079-2:2000,《项目管理词汇表》将风险定义为“明确的威胁发生的概率、频率和机会，和产生后果大小的组合”。

回顾这些不同的定义时，出现了几个问题。风险是否应该局限于组织和他们的目标？不确定性在风险中扮演什么角色？风险可以是一件好事吗？针对各种标准对风险的定义和使用，我们是否需要一个更全面的定义来实现统一？

通过观察世界近期发生的事，我们可以找到答案。例如，新冠肺炎大流行显然对组织及其目标的实现产生了负面影响。然而，这些负面影响已经远远超出了企业范围，延伸到个人、家庭、社区、国家、社会、市场趋势、政府政策和整体环境。这表明，风险是普遍存在的，并不局限于组织或其目标。

不确定性对风险管理有重要影响，它增加了风险的可能性，影响了决策和行动。然而，目前ISO和ANSI标准中的定义似乎表明，不确定性不是风险的来源，而是风险的驱动因素。ISO将“风险源”（risk source）定义为“具有引起风险的内在潜力的单个元素或元素集合”，将“风险驱动因素”定义为“对风险有重大影响的因素”。首先必须有风险源，风险才能存在。围绕风险产生的不确定性水平作为风险的驱动因素，可以减少或加剧风险，影响决策。例如自然灾害。以飓风为例，根据历史，飓风在美国东南海岸登陆的风险是高度确定的。一个组织考虑在这个地区建立新工厂，可能会根据该地区的天气模式、历史上洪灾和风灾带来的损失、海拔高度、与沿海水域的距离以及其他风险因素来评估风灾和洪灾造成损失的风险。风险源能创造风险，也能带来不确定性，然而，不确定性本身并不创造风险。

风险可以是件好事吗？这个见解似乎混淆了风险和机会，将其混为一谈。风险和机会经常连在一起，但却是两个独立概念。风险本身并不呈现“有利的结果”，只有有害的和不想要的影响。另一方面，机会是一个获得收益或利益的机遇。有机会就有风险。在下行风险小的机会和高风险机会之间进行选择，人们肯定会选择风险最小的机会。

在词典中，风险通常被定义为不受欢迎的东西。韦氏词典将“风险”定义为“损失或伤害的可能性”，而剑桥词典将其定义为“坏事发生的可能性”。

由于这些不同的定义和应用，由此可以提出最后一个问题：是否需要一个更普遍的定义？笔者认为，答案是肯定的。2021年10月，ISO/TC 262提交了一份提案，希望成立一个风险及其相关概念协调委员会。这项建议被ISO技术管理委员会接受。提案将涉及一个由全球专家组成的高级别委员会，其目标是就风险及相关术语的元定义（通用或基础定义）达成共识，使其在标准中的使用保持一致，减少对用户的困扰。

图1 风险的定义

风险

要统一标准，就应该将风险的基本含义界定清楚、准确，在任何语境下都能应用。这个定义必须适用于所有用户，包括个人、组织、公共实体和整个社会。考虑到基本含义和现有定义，风险的元定义可以是潜在的不利后果。

图2 机会的定义

在这个定义里，“不利后果”不仅涉及组织目标，也涉及人、社会和环境。要对该定义的有效性进行简单测试，可以在定义末尾加上某些可能导致风险的活动或行动。例如，风险是指操作机器、高空作业、出国旅行、收购企业、进行投资或建造房屋等活动可能产生的不利后果。为了厘清元定义、丰富它的含义，笔者提供了自己对风险特点和性质的观察，具体如下：

1.风险是一种状态，一种有可能出现不利结果的情况或条件；

2.风险是一种负面效应——风险越高，产生负面结果的可能性就越大；

3.某种程度上，风险是一直存在的，不存在无风险的事物；

4.风险是动态的，可被看作是一个连续体，正如ASSP TR 31010《技术报告：风险管理——安全从业者的技术》中描述的那样；

5.风险是对可能性和严重性的估计；

6.风险包括风险源、风险驱动因素、风险暴露、原因和后果；

7.风险来自于危险源、操作、财务和战略行动或不作为。

机会

机会和风险是连在一起的，是一个硬币的两面。与风险不同，机会是获得收益或利益的机遇。

韦氏词典将“机会”定义为“各种情况的一个有利关口”。有趣的是，虽然ISO 14001:2015将风险定义为“不确定性的影响”，但它还将风险和机会一起定义为“潜在的不利影响（威胁）和潜在的有利影响（机会）”。

正如COSO所解释的，机会是“一件事发生并对目标的实现产生积极影响的可能性，有利于价值的创造或保存”。不确定性既带来风险也带来机会，可能侵蚀价值，也可能提升价值。企业风险管理使管理层能够有效应对不确定性，以及相关的风险和机会，提高价值积累的能力。

根据定义风险的方法，可以考虑将机会定义为“产生有利结果的潜力”。

与风险一样，机会也是一种状态，在这种状态下，有概率获得理想结果。机会也是动态的和流动的。但与风险不同的是，机会被认为是积极的，这意味着机会越大，回报或期望的结果就越大。然而，有了机会，也就有了风险。如增加新的产品线，结束一个合作伙伴关系，在国外扩大业务，或收购一个企业等，这种机会都有风险或潜在的不利结果。每种风险都会影响其他的风险，而且差别很大。

对组织来说，在追求目标的过程中，都必须对纯风险（危险源和操作运营）和投机风险（财务和战略）进行管理。所有的风险都被认为是负面的，风险越大，损失的可能性就越大，并且要从高（不希望或不可接受）到低（希望或可接受）来衡量。对投机风险而言，较高的风险可能会带来较高的回报，但它也使人面临潜在的较高的损失。在追求机会的过程中，无论是组织还是个人，都会有一定程度的风险，关键是将风险控制在可接受的水平。

不确定性

决策都是在了解不确定性或不了解不确定性的情况下做出的。在笔者看来，不同的是，对不确定性和风险有更好理解的决策更有可能成功。

在ISO指南73《风险管理》中，不确定性被定义为“与事件、其后果或发生的可能性有等有关信息掌握不足，甚至是部分掌握的状态”。

图3 不确定性的定义

不确定性与概率或可能性密切相关，它可以有四种形式：

1.认知的不确定性：缺乏对系统相关知识的了解；

2.偶然的不确定性：围绕系统而存在随机的、不可预测的情况；

3. 言语的不确定性：口语中固有的模糊性或含糊性；

4.决策的不确定性：与价值体系、专业判断、公司价值和社会规范有关的不确定性。

某种程度上，决策的不确定性可以减小，方法是针对相关风险信息形成有效沟通。因此，为了促进风险监管和合理决策，要在整个风险管理过程中形成有效的沟通和协商。

可知的未知

不确定性是风险所固有的。缺乏危害和潜在风险情景相关的信息，或对其理解不足，被称为认知的不确定性。认识论是哲学的一个分支，涉及知识的性质和范围。出现认知不确定性，可能是由于缺乏对系统或情况的了解，而这种了解是可以通过获取正确的信息实现。通常，认知不确定性可以通过调查和评估来减少。

为了减少不确定性，需要探究数量和质量两个方面知识，“可知的未知”可能包括事件发生的可能性、可能发生的后果以及后果的严重程度。这种不确定性的其他来源还包括缺乏数据、数据不准确、测量不精确，以及历史数据不足以计算概率。认知不确定性虽然很少能避免，但可以通过获取这些信息来减少。

不可知的未知

另一种形式的不确定性是偶然的不确定性，它来自于不可预测的过程，如抛出一枚硬币并预测是正还是反。偶然的不确定性是由随机变量引起的，这些随机变量不能被确切地预测，而且是不可知的。

偶然的不确定性是统计上的不确定性，来源于风险的自然变异性。与认知不确定性不同，它不能实质性减少，只能被识别和量化。如果不确定性或随机性是风险所固有的，就不可能通过进一步的研究来减少风险；然而，它可以用统计学上的可能性范围来表示。

偶然的不确定性事件的例子有火山爆发、灾难性地震和个人对化学品或药物的反应。所有这些都包含固有的随机因素，几乎不能预测它们的发生或影响，只留下一个预测的可能性范围。偶然的不确定性和缺乏可预测性让我们无法完全准确地知道结果。

减少不确定性

所有决策都涉及一定程度的风险，很少有绝对确定的决策。然而，如果有足够的基于风险的信息，决策者可以减少不确定性和风险。

对于不确定性难以减少的情况，也许可以尝试去理解不确定性的本质和潜在影响。增进对不确定性了解的方法有敏感性分析、情景分析和蒙特卡罗模拟。

总结

风险、机会和不确定性是三个不可分割的变量，必须纳入到风险管理过程及整体管理体系来一起管理。单独管理和基于危险源的合规要逐渐成为过去了。为了证明对自己对组织的价值，职业安全健康从业人员必须积极有效地参与到风险管理过程中。这就需要了解这些变量及其对组织和我们所处世界的影响。评估和处理风险的艺术需要技巧和探究精神。正如笔者以前说过的，为了有效管理风险，有时要对方法进行适当地修改和定制。安