风险和不确定性

风险和不确定性

新疆库尔勒市第十四中学罗晓钟

很明显，风险管理的目标就是对风险进行管理。但是在风险管理过程中，当进行风险识别时，最常见的一个错误就是把不是风险的事物误认为是风险。很显然，如果风险管理过程的这一早先步骤失败了，接下来的步骤就会注定要失败，风险管理也就不可能产生效果。因此，确保风险识别这一步骤能够识别出真正的风险是至关重要的。

许多人在进行识别风险时，往往会把风险（risk）和不确定性（uncertainty）相混淆。事实上，风险与不确定性并不相同，那么它们之间的联系何在呢？关键是要认识到，风险的定义只能与目标相联系。风险的最简单的定义是“起作用的不确定性”，它之所以起作用，是因为它能够影响一个或多个目标。风险并不是存在于真空中，因此我们需要定义什么“处于风险之中”（at risk），也就是说，如果风险发生的话，什么目标将会受到影响。

因此，风险的一个更加完整的定义是“能够影响一个或多个目标的不确定性”。这个定义使我们认识到，有些不确定性与目标并不相关，它们应该被排除在风险管理过程之外。例如，如果我们在印度实施一个IT 项目，那么伦敦是否会下雨这个不确定性就是不相关的——谁会关

心它呢？但是，如果我们的项目是重新规划英国白金汉宫（Buckingham Palace）的女王花园，那么伦敦下雨的概率就不再仅仅是一个不确定性了——它起作用了。在前一种情况下，下雨仅仅是一个不相关的不确定性，而在后一种情况下，下雨就是一个风险。

把风险与目标联系起来，可以使我们很清楚地看到，生活中风险无处不在。我们所做的一切事情都是为了达到一定的目标，包括个人目标（例如快乐和健康），项目目标（包括准时并在预算内交付成果），公司商业目标（例如增加利润和市场份额）。一旦确定了目标，在成功达到目标的过程中，就会有风险随之而来。

风险与目标之间的这种联系也可以帮助我们识别不同级别的风险，它们是基于组织中存在的不同层次的目标。例如，战略风险是指那些能够影响战略目标的不确定性，技术风险可能影响技术目标，而声誉风险则会影响声誉。

从风险的概念“能够影响目标的不确定性”来看，我们可以提出另外一个问题——会产生什么样的影响？有些不确定性的发生会使得我们达到目标更加困难（即威胁），而有些不确定性事件的发生则会帮助我们达到目标（即机会）。当我们进行风险识别时，不仅要看到不确定性的负面影响，也需要看到不确定性的正面影响。

有效的风险管理要求识别出真正的风险，即“能够对一个或多个目标产生正面或负面影响的不确定性”。把风险和目标相联系，就可以确保风险识别过程关注于那些起作用的不确定性，而不会被不相关的不确定性分散精力。

风险，原因和后果

风险识别的另一个普遍难题是避免把风险原因、真正的风险和风险后果三者相混淆。美国项目管理协会（PMI）的项目管理知识体系指南（PMBOK Guide）（第三版）中提到“一个风险可能由一个或多个原因引起，如果风险发生了，可能产生一个或多个后果”。在最简单的情况下，一个原因导致一个风险，一个风险产生一个后果，然而，实际情况当然要复杂得多。那么这三者之间究竟有什么区别呢？

? 原因是指项目中或项目环境中存在的一些确定的事件或者情况，它们会产生不确定性。例如，需要在一个发展中国家实施项目，需要使用一项未经证明的新技术，缺乏有技能的工作人员，或者组织以前从来没有实施过类似的项目等。既然原因是指事实或者需要，因此原因本身并不是不确定性，它们不应该通过风险管理过程进行管理。

? 风险是指能够对项目目标产生负面（威胁）或正面（机会）影响的不确定性。例如，可能不能实现制定的生产率目标，利率或汇率可能

产生波动，客户的预期可能被误解，或者承包商能否比原来计划的更早交付成果等。这些不确定性应该通过风险管理过程积极地进行管理。

? 后果是指对项目目标的非预期变动，这种变动可能是正面的也可能是负面的，它是由于风险发生而引起的。例如，里程碑制定得太早，超过了原来的预算，或者不能满足合同规定的绩效目标等。后果是偶然事件，是非预期的潜在的未来变动，如果风险不发生，后果就不会发生。由于后果尚未存在，而且它们确实可能永远也不会存在，因此它们不能够通过风险管理过程进行管理。

如果把原因或后果包含在识别出的风险列表中，就会使真正的风险变得不清晰，这样就可能导致真正的风险得不到应有的重视。那么我们怎么把风险和其原因及后果区分开呢？有一种方法是使用风险元语言（risk metalanguage）（一种包含必要元素的正式描述）提供一个由三个部分组成的“风险陈述”（risk statement），即“作为确定的原因引起的结果，不确定性事件可能发生，而不确定性事件又会导致对目标产生的后果。”例子如下：

“作为使用新硬件（确定的需求）的结果，没有预测到的系统集成错误可能会发生（不确定性风险），这会导致实际支出超过项目预算（对预算目标产生的后果）。”? “由于我们的组织以前从来没有做过类似的项目（事实=原因），我们可能会误解客户的需求（不确定性=风险），

从而使我们的解决方案达不到绩效标准（偶然事件的概率=对目标产生的后果）。”

“我们必须把生产外包出去（原因），这样我们就可能从我们挑选的合作伙伴那里学到新的实践做法（风险），从而提高生产率和利润率（后果）。”风险元语言的使用应该确保风险识别过程能够识别出真正的风险，与原因和后果相区别。如果没有这个约束条件，风险识别过程就可能产生既包含风险又包含非风险的混合列表，从而使得风险管理过程的后续步骤出现混淆和偏离。