关于不确定性、风险、机会和威胁概念的再思考

在之前的文章中和大家汇报了今年ISO风险管理标准会议的一些工作动态，会议期间，我和中国的参会专家一直利用会议早晚间隙激烈的讨论一些关键基础问题的理解，因为国际上对这样的问题也没有达成共识。

大家可能还记得去年的十篇论战文章，虽然最后我综合了各方意见对不确定性、风险与机会之间做了妥协处理，有人对这种处理很是认可，但是其实有些问题还没有彻底解决。

这次会议期间，趁着这样一个难得的氛围和机会，我对这些问题再次进行了探究，在阳台伫立、海边挪步、餐后静坐、夜半绘图、甚至在淋浴时都在反复思考着如何处理这些基本的问题，点滴汇集、归纳为本篇对这些基本问题的再思考，愿与各位想对这些基本问题做更深入探讨的同仁共享。

回首我那些文章，越是思考多的阅读量越少，想必此篇也逃不过略显枯燥乏味之感，此事随缘，日后思考到此再翻看亦可。

本文我们要探讨风险理论面临的三个任务：

1、风险的研究范畴和边界？

2、风险的研究重点放在哪？

3、风险是否可以得出普适性定义？

一直以来，对不确定性、风险、机会和威胁这几个概念的理解在理论界和实践界都存在很大争议，这个问题不仅在国内如此，在国际上也同样如此，很多国际专家对这几个概念的解释也是含混不清，无法清晰划分彼此的界限。

去年我邀请几位专家进行风险定义讨论时，几篇文章中也表述了不同专家的不同观点，到最后其实还是没有达成一致意见，而只是做了一个折中妥协。

可参见去年其中一篇：一场风险、机会与不确定性之间的终极对话

在今年的巴巴多斯会议期间，我在讨论会上及私下与参会几个国际专家讨论了关于这几个名词的定义和相互之间的关系，我发现其实他们理解的也不是很清晰，而且感觉在这方面的思考并没有我们深刻。

会议期间，针对之前有一些无法解释的非常通透的观点，一直在思考，试图可以更好的理解这几个概念之间的关系和边界。我个人认为还是有了很大的收获，最后和吕多加先生在部分关键问题上也达成了一定共识。

一、传统认知中的风险

 

传统认知中，风险总是和损失关联，定义风险往往通过可能性、后果、影响或其组合来完成，最简单的定义就是损失的可能性。由于人类趋利避害的本性，对于损失内心是厌恶和抗拒的，这也是制约着很多人到目前还是不愿意公开谈论风险的原因。在特定领域中，这样的定义还是很适用，在这样的情景下，管理风险的目标就是不出现损失，与其对应的可能说是“安全”更合适一点。然而，在整个组织的视角下，这类风险都被视为追求机会必须承担的成本，追求的是成本控制最优化原则。

而我们把机会则表述为获利的可能性（或实现追求目标的可能性）。在传统的认知情况下，风险和机会可以作为对应的两个概念，就组织整体视角来看，这类风险适用风险收益最大化原则。对主体而言，实现目标过程中的两种力量，在其相互作用下推动主体向前行进，这是一种对立互补关系，机会和风险相互依存、彼此对立，最终在主体目标上达成统一。

所以当有专家提出所有的机会都应该是包含在风险时，我最开始是不同意的，因为通俗上理解，这两个要素是辩证关系，而且人们思想中对机会的追求要先于风险的，如果说机会都蕴含在风险中，相信很多人还是不能接受这样的观点。

上述定义中的可能性其实也是不确定性的一种表现形式，所以风险和机会都可以统一到不确定性上来，可以将风险和机会看作是不确定性作用在目标实现上的两个方向的表现形式。

目前有很多人的认知中还是支持这样的传统风险观。

二、用不确定性定义下的风险

现在，我们用不确定性的影响来定义风险（effect of uncertainty on objective），其实是将传统认知中带有方向的可能性（机会与风险）提升到更包容的不确定性上来成了新的“风险”，而与机会反向的不确定性的影响称之为“威胁”。

确实，如果我们认可用不确定性本身或不确定性的影响来定义风险，那两个方向都是有可能出现，风险成为了中性概念，从这一点上来讲，新的“风险”和机会来互相对应就不太合适了。

传统的风险和机会最终都可以统一到不确定性上来，但是机会和风险的不确定性中，其实是已经包含了其正面影响和负面影响的确定性了，而今天我们谈到的风险却是包含了这层确定性之前的不确定性。

所以，在这样的情况下出现的矛盾体就变成了机会和威胁、安全和危害、风险和收益，这在实际商业经营和运营中也可以得到很好的支持。

三、关于正面影响和负面影响

风险的不确定性特征本身包含着多层含义，以后有机会我们再剥不确定性的皮，第一层含义是影响方向的不确定性，包括正面和负面，如果我们可以确定不确定性中第一层是正面还是负面，那我们就可以判定这是一个机会还是威胁。

如果我们对于第一层的不确定性还不能完全确定，那么我们就需要对包括影响方向在内的各层不确定属性进行分析，确定和不确定有时是层叠在一起的，所以会有相对确定性和相对不确定性之说。

所有有利于我们更好实现目标的，就是正面影响，我们把这种情况视为一个机会；所有妨碍我们实现目标的，就是负面影响，我们这种情况视为一个威胁。

四、什么驱动了组织发展？

我们可以试着描述出两种观点：

观点1：组织的建立和运营是因为存在这样的一个商业机会，可以让组织实现的价值目标，所以组织是机会驱动的；

观点2：组织的建立和运营是因为存在这样的一个商业风险，可以让组织实现的价值目标，所以组织是风险驱动的。

你会同意哪一个？

相信大多数人会同意第1个观点，特别是企业的决策层和业务部门，相信包括风险管理部门也不会选择第2个观点。

所以，组织其实都是机会驱动型的，没有商业机会，就没有实现组织目标的可能。但是，我们不应该将风险和机会这两者对立起来，因为机会是剥了两层皮的不确定性，是促使收益或价值目标达成的可能性。所以，它被人们追逐和重视、吸引人们的目光，没有机会，目标就不会实现。

我们再扩展一下机会的范畴，机会驱动不仅适用于整体商业，连威胁也可以说是机会驱动的，就是威胁中的机会，在这种情境下机会意味着存在最优的方式管理威胁，追求机会的原则变成了成本和控制的最优化状态，否则我们将对威胁无能为力，无法改变其存在状态，只能将其视为一种固有沉默或有成本。

同样，不存在威胁的机会意味着只有盈利或收益的可能，是否存在这种情况？除了不可持续的投机主义，现实中还有一种情况，比如我们金融产品中的“无风险”固定收益类产品，获得的是最基本的收益水平。这种情况下是否视其为一种机会？可能不同人有不同的理解。如果按照我们上面的定义，没有了风险，也就代表没有了不确定性（获得的收益是确定的），所以在这种确定的情形下，我们也可以说就没有了机会，风险带来的波动才是获得理想收益的必备条件。

机会，代表的是向上的力量；威胁，代表的是向下的力量，相互作用，加上时间的箭头，螺旋向上，就是万物生发的图景。

如果我们接受上面我们目前对风险的定义，机会其实是一类特殊的风险，虽然对有些人难以接受，但这个逻辑在这个体系中是成立的。

这个认知原来在理论界和企业界一直无法达成一致，造成只负责损失防范的风险部门和创造收益的业务部门对立，在这个理论逻辑下，风险管理部门协助业务部门更好的识别机会、把握机会、实现机会自然就变成了风险部门的职责范畴，而不仅仅是帮业务部门防范损失、减损、止损。这样在工作范围让风险部门和业务部门达成了完全对应。

五、用不确定性本身还是其影响定义风险

按照ISO31000的风险定义“不确定性对目标的影响”（effect of uncertainty on objectives）,风险的最终体现为一种影响，描述的是“客观”不确定性和“主观”目标之间的影响，如果可以深刻理解，这样的定义是可以解释的通的，风险确实是不确定性和目标之间建立联系才出现的，表达了“客观”对“主观”产生的影响才是风险的本源，这需要上升到认识论来理解。

但是，可以保守的说，截至目前为止，“影响”一词全球95%以上的专家都没办法清晰的认识和理解，所以在ISO31000定义注释时，都出现错误，因为“影响”太抽象和难以捉摸，管理和分析这种“影响”，理解的差异太大，这也是这么多年来阻碍风险定义取得共识的原因之一。

所以，我去年给出了风险的新定义为“影响目标实现的不确定性”（uncertainty of achieving objective），将最后的落脚点落在其根源不确定性上，管理和分析风险就是管理和分析这种不确定性，而不是那种抽象的“影响”，这样理解和操作起来就容易的多。其实原来的定义虽然落在了影响上，其分析的重点内容还是不确定性。

比如我们用具体的风险做个试验：战略风险，什么叫战略风险？

直接套用原来ISO的中文定义就是，战略风险=不确定性对战略目标的影响；

而用我们上面给出的风险定义就是，战略风险=影响战略目标实现的不确定性。

我们可以感受下，哪一种解释更容易理解。

与之前的定义相比，从理论上来讲，只分析不确定性而不分析对目标的影响，貌似没有在主客体之间建立联系，但是，目标是主体意志的产物，而不确定性本身其实就是主体对客体的认识，它并不是纯粹客观的，而是受限于主体本身的认知水平，所以其本身就已经具备了主客体相互的作用关系，无需再通过影响来建立桥梁。

这也涉及认识论的问题，即是否真正存在一个客观世界，还是世界本来就是主体意识的产物？

另外，我们定义中谈到的不确定性，也不是泛指的不确定性，而是影响目标实现的不确定性。就像我们说的那些“未知的未知”，或部分“已知的未知”中的那些不确定性，我们还不能判断它是否对目标产生影响，所以，一般这样的不确定性我们不称之为风险。还有就是别人面临的“不确定性”，主体也不会将其视为风险。

这样的分类和Frank Knight在其著作《风险、不确定性和利润》中的分类是不同的，他认为风险是可度量的不确定性，真正的不确定性是那些不可度量的不确定性。

虽然我不同意Frank Knight对于风险的分类，但可以看到历史上将风险定义为某种不确定性是有很多例证的。

所以，我认为将风险定义为“影响目标实现的不确定性”（uncertainty of achieving objectives）是合适的，我们需要把对风险的研究重心从抽象的“影响”调整到不确定性上来。

六、关于不同领域风险的定义统一

在风险管理领域，还面临的一个重大的课题，就是不同领域风险定义的统一问题。这也是影响风险管理的统一理论被各领域接受的重大基本障碍。

其实，将风险定义落在不确定性上，由于不确定性可以分为很多层次，可以包容的解释风险在不同应用领域的定义区别，最终实现定义的统一。

比如几个常见的风险定义：

1、损失的可能性

虽然这个定义中没有体现对目标的描述，但这个损失本身是自带目标的，目标就是不损失或少损失，可能性是不确定性的一种表现形式，所以和我们的定义也可以兼容。

2、对目标产生负面（不利）影响的不确定性

此定义指的是第一层不确定性影响方向被确定后的定义，只会产生负面影响或者损失，但什么时候损失、损失程度多大还是不确定的，用我们的定义可以向下兼容。

3、影响的不确定性

这是ISO9000质量管理体系中对于风险的定义，省略了“目标”概念，与上面的包含损失的定义相比，虽然没有自带目标，但也是含有默认目标或基本目标的，只是没有表述出来而已，所有这种方式定义的风险，都可以找到其目标属性，只要有主体意志存在，目标就存在。

4、事件发生并影响目标实现的可能性

这也是一种传统的定义方式，COSO即采用的此种定义，这样的定义可拆解为两个部分，事件发生的可能性以及对目标有影响，如上所述，用不确定性向下完全可兼容可能性，并给予了比“可能性”更丰富的内涵。

5、损失的可能性和后果的组合

用目前定义中影响中的负面影响可兼容损失，用不确定性可兼容可能性。

6、可能出现损失的一种后果

用不确定性兼容可能，用影响中的负面影响兼容损失后果。

通过上述分析，前面的定义是可以解释市面上绝大多数的主流定义，只是在不同领域的应用有其惯用法罢了，这些不同领域定义的不同反映的是对不确定性的确定程度不同而已。所以，并不存在本质分歧！

我认为前面我们给出的定义可作为不同领域的普适性包容定义，但也赞同在各领域使用时将其转换为更符合本领域情况和更容易本领域理解的描述方式。因为普适性追求的是包容，而各领域的定义追求的是准确和实用，这两者并不矛盾。

以上，是在巴巴多斯会议期间对这些基本概念的思考和总结，希望对大家有所启发！

布里奇顿的写作环境对本文形成亦有贡献