为了更好的定位风险管理工作在企业管理中的作用，当前最紧迫的任务是要对风险管理最底层的逻辑有清晰的认知，这是一个根基，根基不稳，就算我们的工作搞得风生水起，我们的内心深处仍然会感到焦虑和不安。

对于一个还在发展过程中的理论体系，风险管理的底层逻辑在哪？是对最基本概念的理解，如果对最基本概念还是含混不清，达不成最广泛的共识，那对这个理论体系的形成无疑是致命的。我们本周要从风险管理体系中的最基本最底层的概念——“风险”讲起，通过对全球理论和实践的理解，结合工作体会，带给大家一些启发和思考。

一、风险的起源

对于“风险”一词的来源，目前最为普遍的一种说法是源于人类对于海洋的探索活动。在远古时期，沿海的人们以打鱼为生，每次出海都要祈祷神灵保佑自己能够平安归来，其中主要的祈祷内容就是让神灵保佑在出海时能够风平浪静、满载而归。他们在长期的捕捞实践中，深深的体会到“风”给他们带来的无法预测、无法确定的危险，他们认识到，在出海打鱼的过程中，“险”往往与“风”相伴，由“风”生“险”，因此有了“风险”一词的由来。

对于英文的“风险”一词，risk源于古意大利语risicare，意思是敢于（to dare）选择，而不是相信命运和损失。在早期的使用中，也常被理解为客观的危险，主要体现为自然现象或者航海遇到风暴、礁石等事件。大约到了19世纪，在英文的使用中，风险一词常用法文（risique）拼写，普遍应用于保险行业。

以上可以看出，我们最初对风险的认识，都是从对自然界带给人类的威胁开始的，由于古代的科学技术不发达，并不能准确的预测或者预防自然界的种种威胁，所以人类经常求助于“诸神”保佑，来应对“天有不测风云”导致的“旦夕祸福”。

二、对风险认知的过程

人们对于风险的认识，一开始最明显的感受就是被称作风险的事件可能发生、可能不发生，是一种可能性、是一种概率。18世纪初瑞士的数学家伯努利发现了大数定律（Law of Large Numbers），用以揭示在大量重复试验样本中，某类随机事件发生概率的客观规律，这样的定律应用在衡量损失事件的概率上，就推动了旨在船东之间出现海上运输损失相互保障的第一家保险公司的诞生。没有大数定律，就无法对某一类同质风险的发生概率进行计算，无法对风险进行定价，也就没有今天的保险行业。芝加哥大学著名经济学家弗兰克·奈特在其著作中称，几百年来，保险业已经成功利用大数定律掌握了自然灾害发生的规律。

我们分三个阶段来阐述人们认知风险的过程：

初始阶段，也就是第一阶段，从上面的描述中可以看出，人类对风险的本质定义是损失事件，对其第一性的认识是可能性，或者称概率。

第二阶段，人们认识到风险发生即预示着损失出现（本质未发生变化），第一阶段针对风险发生产生一个固定损失而言，对其发生概率是第一性的认识。但后来发现出现固定损失只是其中的一种最简单的后果，多数情况下出现损失的严重程度也不相同，衡量风险时还需要考虑加入一个影响程度的维度。所以在第二阶段对风险的衡量出现了第二性，影响程度，要衡量一个风险需要从两个角度整体来看。时至今日，这种衡量方式仍然被我们很多企业在风险评估中使用，但在应用这两个维度评估风险时也产生了大量的缪误，我们在下一篇分析风险评估工作的本质及目前存在的种种问题时在展开。

第三阶段，20世纪开始，有专家开始将风险与不确定性关联，用不确定性来解释风险的本质，而非简单的概率和影响两个维度。20世纪，是离我们最近的一个世纪，也是过去人们对于风险的关注和对其理论研究的发展最快的一个世纪，包括第一个风险管理协会的成立，第一本与企业风险有关的书籍面世，现代风险管理理论的提出，日后有机会和大家介绍近代风险简史的时候再细说。第三阶段发展到21世纪初，ISO国际标准组织2009年发布了标志性的ISO31000国际风险管理标准文件，其中将风险定义为：不确定性对目标的影响（effect of uncertainty on objectives）。至此，不确定性终于从幕后走到了前台。

三、全球主要风险定义巡览

接下来我们要带大家巡览一下目前全球主要的一些文件中对于风险的定义，你会发现以上几个发展阶段的烙印，对风险的定义最能反映一个机构或组织对于风险的认知情况。

1、ISO国际标准组织

虽然在2009年将风险定义为不确定性对目标的影响，但到目前为止，ISO组织发布的各种现行的国际标准中，还没有统一对风险的认识，而且不统一的程度相当高，下图罗列了一些ISO组织的不同标准对于风险的定义的差别，篇幅问题只罗列了一部分。

ISO国际标准中对风险的不同定义（部分）

经过分析处理，去除一些重复和相似的定义，至少可以筛选出来40种以上的定义，全面展现了前述各个阶段对风险的认知特征。

2009年，中国国家标准委发布GB/T 24353风险管理标准，采用了还在报批过程中的ISO31000的风险定义。

2、COSO委员会对风险的定义

COSO企业风险管理框架中风险定义

COSO新升级的风险定义在范围上有所扩充，在目标上有所聚焦。但很遗憾的看到，COSO的定义一直还在延续将风险定义落脚在可能性上的传统做法。

3、其他重要组织风险定义

除了ISO和COSO的定义外，全球重要组织的近年来发布的典型风险定义如下表所示：

全球重要组织的风险定义

同样，我们也可以发现上述三个阶段的痕迹，尽管都已经是2000年以后发布的文件了。

以上这些定义适用于所有行业，但金融领域有很多专家喜欢把风险定义为与期望值的偏差（deviation），表述为“风险是与既定目标的偏差值”。

从全球的最主要的组织对风险的定义来看，对于风险的认知还在混战，以至于全球范围内还没有形成统一认识，各说其词，各行其道。

四、主要的问题和争议

对风险的定义透露出的是对风险本质的认识，目前市面上的定义各有侧重点，又各有偏差，主要的一些问题和争议的焦点包括如下几个方面：

1、用可能性或可能性与影响程度的组合定义只描述了风险的部分特征

到目前为止，很多定义还是停留在几百年前我们最开始认识和描述风险的第一阶段，这种定义在现在认知上显然已经过时了。

另外，我们通过可能性与影响程度的乘积代表风险的风险水平，这种方式也是一种落伍的方式了，在当前商业环境急剧变化的背景下，这两个属性完全不能满足当下对风险的分析深度，只能作为非常浅层次的相对性参考。

2、将风险与风险的作用过程混淆

在这里，我将不得不提一下ISO31000对于风险的定义，不确定性对目标的影响，严格来讲，这里的“影响”翻译其实和原义有出入，原义的effect应该理解为作用或者效果，指在不确定性的作用下，产生了偏差和波动，即为风险。所以，最终的定义落脚在了“影响”上，实际是在描述风险的作用过程，而非风险本身。

3、将风险和风险的作用结果混为一谈

将风险定义为一种与期望的偏差值，是将风险与风险的作用结果混淆了，偏差值是由于受风险影响的结果，也不是风险本身。

4、风险是负面的还是包含了正面的两面性

这个问题可以说是这些年争论的一个焦点，也是自从ISO31000正式将风险的影响列为正面和负面之后就广泛出现的，虽然在ISO31000发布前就有很专家谈到这个观点。

在ISO9000质量管理体系2015年发布新版时，将风险定义为“不确定性的影响”，也是表明了风险的双面性，在全球范围内也引起了质量管理专家的一场大讨论。很多国家的专家和企业进行研讨时，要求企业人员对风险表现为机会和威胁两个方面进行识别时，最后都被搞得一头雾水。

风险的正面作用真的存在吗？或者占到了风险的比重有多大？我们看看ISO发布的一段风险转变为机会的例子：

'In Japan, for instance, theconstant threat of earthquakes and typhoons has led to the development of oneof the world’s most sophisticated emergency management systems.'

在日本，由于地震和台风的高发性，使得日本建成了世界上最成熟的应急管理体系。

意思是指在这套应急管理体系在应对日本所有的危机事件上都可以出色的发挥功效。

接受这种解释吗？如果接受不了我们看下一部分内容。

五、风险的本质探寻

1、风险和不确定性的关联

不可否认，ISO31000在2009年对风险的定义有非常大的进步性。

将风险表述为一种不确定性，这也是将风险认知拉入21世纪第三阶段的标志。我们应该说，就目前的认知来看，风险的本质就是不确定性。

2、风险与目标的关联

1995年，全球第一个国家风险管理标准 AS/NZS 4360中将风险与目标关联，这个标准也成为了后来ISO31000起草的参考蓝本，ISO31000的定义中也延续了这一用法。但是，到现在也没有形成广泛共识，最突出的表现就是在2015年ISO9000质量管理体系修订时的风险定义：“不确定性的影响”，删掉了目标，个人意见还是非常不妥当，没有了目标，就无所谓风险。

这让我想起了前不久在瑞士首都伯尔尼召开的风险管理研讨会上，世界银行的一名气候专家提出，自然风险是人类出现后的提法，人类出现之前这些都叫自然现象。什么意思，目标不存在，风险也就无从谈起。

同样，上述ISO举出的风险转变成机会的例子也是一样，在目标体系发生变动的前提下，风险和机会才会有可能转变，这并不能证明在同一个体系下，风险又是机会。

作为中国北部一座沿海城市的政府风险顾问，这个城市的一个事件给了我另外一个例证，去年夏季的一场瞬时大暴雨导致了这座城市严重的城市内涝，城市变成了海洋，人员财产损失严重。但是，这场暴雨却让整个城市的严重供水短缺得到了缓解，之前甚至在研究用海水淡化以解燃眉之急，那么这场雨到底是风险还是机会？

目前看到的风险又是机会的例子都是基于不同目标而言，目标确定，风险也相对确定；如果针对另一个目标而言，原来的风险被视为了一个机会，那是不同目标体系下对不同现象的不同定义，不能就此证明风险就是机会的命题。

3、风险两面性的本质

虽然风险的定义突破了对其负面性的局限，但就像本文最开头我们谈到的风险起源，一谈到风险，人们最容易联想到的还是损失的情形。在上面谈到的那些全球组织对于风险的定义中，有大概一半的定义认为风险是包含机会与威胁两方面的。

如果说机会也是属于风险的一部分，那么我们经常说的企业是因为领导人看到了机遇，抓住了机遇实现了快速发展。岂不是可以改成了说企业是因为领导人看到了风险，然后抓住了风险实现了快速发展？

对此，我专门对机会管理这门学科做了研究，机会和机遇都对应着英文的opportunity这个词，在企业管理领域，机会管理是散落在各决策职责中的，对于机会管理做专题研究的并不多，但是中国有一位教授做的专题研究还是比较深入的，就是原首都经贸大学管理学院院长黄津孚教授，现已退休，他出版的《现代企业管理》是中国销量最大的企业管理专业教材，他曾专门研究并出版过一本《机遇管理理论》的书，我曾拜访了黄教授讨论机会和风险的话题，他又专门找我交流过一次并寄送了专著给我参考。

我们从事风险管理行业的专家和从业者都希望可以通过对本领域开疆扩土来表达我们所从事工作的重要性，以引起领导层的重视，这无可厚非，但也要注意分寸的把握，如果没有符合客观规律，这种行为就会变成了一厢情愿。

到底怎么出现的两面性的范围界定问题？我发现在某些场合下有人偷换了风险和不确定性的概念，用不确定性内涵直接代替了风险内涵，虽然可以引起更高的关注，但是这是种不自量力的做法，因为不确定性的范围要比风险要大得多，丰富的多。不确定性中孕育着机会、也生养着风险，我尝试能够用下面这个图让大家理解不确定性与机会和风险的关系。

六、对风险管理工作的启示

通过上面的分析，我们大概可以推断出风险定义应该包含了几个要素。首先，风险的本质是不确定性，定义应该落到不确定性上，然后与目标关联，两面性应该侧重负面影响。所以，基于目前的认知，我觉得把风险描述为“对目标产生不利影响的不确定性”是一个较为恰当的表述。虽然中性的表述是我们从业者所期望的，但是通过实践来看，实际的工作过程中众多企业管理者似乎并不买账，我们还是无法忽视上帝给风险管理的首要使命，那就是保护价值而非创造价值。

但是，这两项工作是不可分割的，是互补和对立统一的。就像在足球场上的前锋和后卫，前锋的进球和后卫的不输球本身就是统一的，是在一个目标下的两种表述。所以，虽然使命各异，风险管理功能对于组织来说却是必需的。

为了更好的从机会和风险的对立统一性上来定位风险，我们再用一张图形容企业管理中机会和风险的关系：机会中隐藏着风险，风险中蕴含着机会，也许这才是企业管理的整体画面。