关于不确定性、风险、机会和威胁概念的再思考

关于不确定性、风险、机会和威胁概念的再思考
在之前的⽂章中和⼤家汇报了今年ISO风险管理标准会议的⼀些⼯作动态，会议期间，我和中国
的参会专家⼀直利⽤会议早晚间隙激烈的讨论⼀些关键基础问题的理解，因为国际上对这样的
问题也没有达成共识。

⼤家可能还记得去年的⼗篇论战⽂章，虽然最后我综合了各⽅意见对不确定性、风险与机会之
间做了妥协处理，有⼈对这种处理很是认可，但是其实有些问题还没有彻底解决。

这次会议期间，趁着这样⼀个难得的氛围和机会，我对这些问题再次进⾏了探究，在阳台伫
⽴、海边挪步、餐后静坐、夜半绘图、甚⾄在淋浴时都在反复思考着如何处理这些基本的问
题，点滴汇集、归纳为本篇对这些基本问题的再思考，愿与各位想对这些基本问题做更深⼊探
讨的同仁共享。

回⾸我那些⽂章，越是思考多的阅读量越少，想必此篇也逃不过略显枯燥乏味之感，此事随
缘，⽇后思考到此再翻看亦可。

本⽂我们要探讨风险理论⾯临的三个任务：
1、风险的研究范畴和边界？
2、风险的研究重点放在哪？
3、风险是否可以得出普适性定义？
⼀直以来，对不确定性、风险、机会和威胁这⼏个概念的理解在理论界和实践界都存在很⼤争
议，这个问题不仅在国内如此，在国际上也同样如此，很多国际专家对这⼏个概念的解释也是
含混不清，⽆法清晰划分彼此的界限。

去年我邀请⼏位专家进⾏风险定义讨论时，⼏篇⽂章中也表述了不同专家的不同观点，到最后
其实还是没有达成⼀致意见，⽽只是做了⼀个折中妥协。

可参见去年其中⼀篇：⼀场风险、机会与不确定性之间的终极对话
在今年的巴巴多斯会议期间，我在讨论会上及私下与参会⼏个国际专家讨论了关于这⼏个名词
的定义和相互之间的关系，我发现其实他们理解的也不是很清晰，⽽且感觉在这⽅⾯的思考并
没有我们深刻。

会议期间，针对之前有⼀些⽆法解释的⾮常通透的观点，⼀直在思考，试图可以更好的理解这
⼏个概念之间的关系和边界。

我个⼈认为还是有了很⼤的收获，最后和吕多加先⽣在部分关键
问题上也达成了⼀定共识。

⼀、传统认知中的风险
传统认知中，风险总是和损失关联，定义风险往往通过可能性、后果、影响或其组合来完成，
最简单的定义就是损失的可能性。

由于⼈类趋利避害的本性，对于损失内⼼是厌恶和抗拒的，
这也是制约着很多⼈到⽬前还是不愿意公开谈论风险的原因。

在特定领域中，这样的定义还是
很适⽤，在这样的情景下，管理风险的⽬标就是不出现损失，与其对应的可能说是“安全”更合适
⼀点。

然⽽，在整个组织的视⾓下，这类风险都被视为追求机会必须承担的成本，追求的是成
本控制最优化原则。

⽽我们把机会则表述为获利的可能性（或实现追求⽬标的可能性）。

在传统的认知情况下，风
险和机会可以作为对应的两个概念，就组织整体视⾓来看，这类风险适⽤风险收益最⼤化原
则。

对主体⽽⾔，实现⽬标过程中的两种⼒量，在其相互作⽤下推动主体向前⾏进，这是⼀种
对⽴互补关系，机会和风险相互依存、彼此对⽴，最终在主体⽬标上达成统⼀。

所以当有专家提出所有的机会都应该是包含在风险时，我最开始是不同意的，因为通俗上理
解，这两个要素是辩证关系，⽽且⼈们思想中对机会的追求要先于风险的，如果说机会都蕴含
在风险中，相信很多⼈还是不能接受这样的观点。

上述定义中的可能性其实也是不确定性的⼀种表现形式，所以风险和机会都可以统⼀到不确定
性上来，可以将风险和机会看作是不确定性作⽤在⽬标实现上的两个⽅向的表现形式。

⽬前有很多⼈的认知中还是⽀持这样的传统风险观。

⼆、⽤不确定性定义下的风险
现在，我们⽤不确定性的影响来定义风险（effect of uncertainty on objective），其实是将传统认知中带有⽅向的可能性（机会与风险）提升到更包容的不确定性上来成了新的“风险”，⽽与机会反向的不确定性的影响称之为“威胁”。

确实，如果我们认可⽤不确定性本⾝或不确定性的影响来定义风险，那两个⽅向都是有可能出现，风险成为了中性概念，从这⼀点上来讲，新的“风险”和机会来互相对应就不太合适了。

传统的风险和机会最终都可以统⼀到不确定性上来，但是机会和风险的不确定性中，其实是已经包含了其正⾯影响和负⾯影响的确定性了，⽽今天我们谈到的风险却是包含了这层确定性之前的不确定性。

所以，在这样的情况下出现的⽭盾体就变成了机会和威胁、安全和危害、风险和收益，这在实际商业经营和运营中也可以得到很好的⽀持。

三、关于正⾯影响和负⾯影响
风险的不确定性特征本⾝包含着多层含义，以后有机会我们再剥不确定性的⽪，第⼀层含义是影响⽅向的不确定性，包括正⾯和负⾯，如果我们可以确定不确定性中第⼀层是正⾯还是负⾯，那我们就可以判定这是⼀个机会还是威胁。

如果我们对于第⼀层的不确定性还不能完全确定，那么我们就需要对包括影响⽅向在内的各层不确定属性进⾏分析，确定和不确定有时是层叠在⼀起的，所以会有相对确定性和相对不确定性之说。

所有有利于我们更好实现⽬标的，就是正⾯影响，我们把这种情况视为⼀个机会；所有妨碍我们实现⽬标的，就是负⾯影响，我们这种情况视为⼀个威胁。

四、什么驱动了组织发展？
我们可以试着描述出两种观点：
观点1：组织的建⽴和运营是因为存在这样的⼀个商业机会，可以让组织实现的价值⽬标，所以组织是机会驱动的；
观点2：组织的建⽴和运营是因为存在这样的⼀个商业风险，可以让组织实现的价值⽬标，所以组织是风险驱动的。

你会同意哪⼀个？
相信⼤多数⼈会同意第1个观点，特别是企业的决策层和业务部门，相信包括风险管理部门也不会选择第2个观点。

所以，组织其实都是机会驱动型的，没有商业机会，就没有实现组织⽬标的可能。

但是，我们不应该将风险和机会这两者对⽴起来，因为机会是剥了两层⽪的不确定性，是促使收益或价值⽬标达成的可能性。

所以，它被⼈们追逐和重视、吸引⼈们的⽬光，没有机会，⽬标就不会实现。

我们再扩展⼀下机会的范畴，机会驱动不仅适⽤于整体商业，连威胁也可以说是机会驱动的，就是威胁中的机会，在这种情境下机会意味着存在最优的⽅式管理威胁，追求机会的原则变成了成本和控制的最优化状态，否则我们将对威胁⽆能为⼒，⽆法改变其存在状态，只能将其视为⼀种固有沉默或有成本。

同样，不存在威胁的机会意味着只有盈利或收益的可能，是否存在这种情况？除了不可持续的投机主义，现实中还有⼀种情况，⽐如我们⾦融产品中的“⽆风险”固定收益类产品，获得的是最基本的收益⽔平。

这种情况下是否视其为⼀种机会？可能不同⼈有不同的理解。

如果按照我们上⾯的定义，没有了风险，也就代表没有了不确定性（获得的收益是确定的），所以在这种确定的情形下，我们也可以说就没有了机会，风险带来的波动才是获得理想收益的必备条件。

机会，代表的是向上的⼒量；威胁，代表的是向下的⼒量，相互作⽤，加上时间的箭头，螺旋向上，就是万物⽣发的图景。

如果我们接受上⾯我们⽬前对风险的定义，机会其实是⼀类特殊的风险，虽然对有些⼈难以接受，但这个逻辑在这个体系中是成⽴的。

这个认知原来在理论界和企业界⼀直⽆法达成⼀致，造成只负责损失防范的风险部门和创造收益的业务部门对⽴，在这个理论逻辑下，风险管理部门协助业务部门更好的识别机会、把握机会、实现机会⾃然就变成了风险部门的职责范畴，⽽不仅仅是帮业务部门防范损失、减损、⽌损。

这样在⼯作范围让风险部门和业务部门达成了完全对应。

五、⽤不确定性本⾝还是其影响定义风险
按照ISO31000的风险定义“不确定性对⽬标的影响”（effect of uncertainty on objectives）,风险的最终体现为⼀种影响，描述的是“客观”不确定性和“主观”⽬标之间的影响，如果可以深刻理解，这样的定义是可以解释的通的，风险确实是不确定性和⽬标之间建⽴联系才出现的，表达了“客观”对“主观”产⽣的影响才是风险的本源，这需要上升到认识论来理解。

但是，可以保守的说，截⾄⽬前为⽌，“影响”⼀词全球95%以上的专家都没办法清晰的认识和理解，所以在ISO31000定义注释时，都出现错误，因为“影响”太抽象和难以捉摸，管理和分析这种“影响”，理解的差异太⼤，这也是这么多年来阻碍风险定义取得共识的原因之⼀。

所以，我去年给出了风险的新定义为“影响⽬标实现的不确定性”（uncertainty of achieving objective），将最后的落脚点落在其根源不确定性上，管理和分析风险就是管理和分析这种不确定性，⽽不是那种抽象的“影响”，这样理解和操作起来就容易的多。

其实原来的定义虽然落在了影响上，其分析的重点内容还是不确定性。

⽐如我们⽤具体的风险做个试验：战略风险，什么叫战略风险？
直接套⽤原来ISO的中⽂定义就是，战略风险=不确定性对战略⽬标的影响；
⽽⽤我们上⾯给出的风险定义就是，战略风险=影响战略⽬标实现的不确定性。

我们可以感受下，哪⼀种解释更容易理解。

与之前的定义相⽐，从理论上来讲，只分析不确定性⽽不分析对⽬标的影响，貌似没有在主客体之间建⽴联系，但是，⽬标是主体意志的产物，⽽不确定性本⾝其实就是主体对客体的认识，它并不是纯粹客观的，⽽是受限于主体本⾝的认知⽔平，所以其本⾝就已经具备了主客体相互的作⽤关系，⽆需再通过影响来建⽴桥梁。

这也涉及认识论的问题，即是否真正存在⼀个客观世界，还是世界本来就是主体意识的产物？
另外，我们定义中谈到的不确定性，也不是泛指的不确定性，⽽是影响⽬标实现的不确定性。

就像我们说的那些“未知的未知”，或部分“已知的未知”中的那些不确定性，我们还不能判断它是否对⽬标产⽣影响，所以，⼀般这样的不确定性我们不称之为风险。

还有就是别⼈⾯临的“不确定性”，主体也不会将其视为风险。

这样的分类和Frank Knight在其著作《风险、不确定性和利润》中的分类是不同的，他认为风险是可度量的不确定性，真正的不确定性是那些不可度量的不确定性。

虽然我不同意Frank Knight对于风险的分类，但可以看到历史上将风险定义为某种不确定性是有很多例证的。

所以，我认为将风险定义为“影响⽬标实现的不确定性”（uncertainty of achieving objectives）是合适的，我们需要把对风险的研究重⼼从抽象的“影响”调整到不确定性上来。

六、关于不同领域风险的定义统⼀
在风险管理领域，还⾯临的⼀个重⼤的课题，就是不同领域风险定义的统⼀问题。

这也是影响风险管理的统⼀理论被各领域接受的重⼤基本障碍。

其实，将风险定义落在不确定性上，由于不确定性可以分为很多层次，可以包容的解释风险在不同应⽤领域的定义区别，最终实现定义的统⼀。

⽐如⼏个常见的风险定义：
1、损失的可能性。