1.1 风险和风险管理
1.1.1 风险
1.风险的概念演化
风险(Risk)一词是一个“舶来品”。据语言学家考证,一种说法是它来自拉丁语“Risicum”,指海上贸易及随之而来的有关损失的法律问题;另一种说法是它来自意大利语“Rischio”,该词在早期航海贸易和保险业中出现,用于描述客观存在的危险[1]。
1901年,美国学者威雷特在论文《风险与保险的经济理论》中给出了风险的第一个学术定义:风险是关于不愿发生的事件发生的不确定性的客观体现。在这个定义中,风险有两个特征:客观性和不确定性。1921年,美国经济学家奈特在其经典著作《风险、不确定性和利润》中,首次明确区分了风险和不确定性,认为风险是可度量的,不确定性是不可预见和不可度量的。1964年,美国明尼苏达大学教授威廉和汉斯在《风险管理与保险》中指出,风险是客观的,因为它对任何人都以同等程度同样存在;但同时,风险也有其不确定的一面,由于认知者的主观判断不同,不同的人对同一风险会有不同的看法。1983年,日本学者武井勋在《风险理论》中提出,风险是特定环境中和特定期间内自然存在的导致损失的变化。这说明风险具有相对性,是在特定环境和时间状态下的产物。1985年,美国学者海恩斯在《经济中的风险》一书中将风险定义为损害或者损失发生的可能性。1997年,学者托宾在《自然灾害的解释与整合》中定义“风险是某一个灾害发生的可能性概率和期望损失的乘积”。1998年,学者得伊尔在《危险事件评估:规划和应对的事实基础》中定义“风险是某一灾害发生的概率(或频率)与灾害发生后果的规模的组合”。同年,学者赫斯特在《风险评估:人的维度》中定义“风险是对某一灾害概率与结果的描述”。
可以说,经过两百多年的演化,风险一词越来越被概念化,并随着人类活动的广泛性和复杂性增加而逐步深化,并被赋予了哲学、经济学、社会学、统计学甚至文化艺术领域的更广泛更深层次的含义,且与人类的决策和行为后果联系越来越紧密,风险一词也成为人们生活中出现频率很高的词汇。
2.风险的定义和度量
国际标准化组织(International Organization for Standardization,ISO)在正式发布的ISO 31000:2009《风险管理—原则与实施指南》(简称ISO 31000:2009)中明确指出,“风险”是“不确定性对目标的影响”。ISO 31000:2018《风险管理—指南》(简称ISO 31000:2018)沿用了此定义。该定义是人类对“风险”这一古老概念最新认识的总结与概括。通过定义,我们可以发现,在研究风险时通常关注两个核心要素,一是不确定性,二是预期与实际的差距(即影响)。不同领域的专家在对风险概念的描述中,有的注重不确定性,有的注重预期与实际的差距,而ISO 31000:2009中的定义同时关注了这两个方面。
从这个概念出发,为了度量风险,我们需要同时考虑不确定性和影响。影响的度量是和具体环境高度关联的,不同情况下我们需要考虑不同的影响。有的影响是能够度量的,比如某公司在某一月份的收入损失;有的影响是无法度量的,比如风险事件对某人造成的荣誉影响。不确定性是自然界和人类社会中的一种普遍存在,为了应对无处不在的不确定性,人们总结出了应对不确定性的有力武器——概率,通过使用概率和概率模型来描述不确定性。需要指出的是,概率模型对不确定性是一种近似,无法完整地描述不确定性,但是为人们处理不确定性提供了一种手段。由此,我们可以得出一种计算风险的近似方法:风险是风险事件发生概率和损失的函数。函数的形式同样是与具体领域高度关联的。在本书第9章中,我们将介绍信息安全风险管理中常用的风险计算方法。
1.1.2 风险的基本特性
风险具有多种基本特性,具体表现在以下10个方面。
1.不确定性
风险最本质、最突出的特性就是不确定性。ISO 31000对不确定性的定义是:“不确定性就是缺乏或者部分缺乏对事件、事件后果,以及事件发生可能性的相关信息的了解或认知的一种状态。”通过对不确定性概念的分析可以知道,在风险管理中,可以通过对“事件”“后果”“可能性”等信息的了解或认知来把握不确定性,从而为管理风险的不确定性提供前提和可能。
根据“事件”“可能性”“影响”等信息主客体的认知状态不同,可以把不确定性分为两种类型,分别是内生不确定性和外生不确定性。内生不确定性指的是由于主体(人)对客体(风险管理对象)的认识不足,从而导致主体掌握的信息与客体本身所固有的信息不对称而引发的不确定性。主体的这种认识不足主要体现在以下几个方面:第一,主体自身能力有限;第二,主体对造成风险的原因认识不足;第三,主体对风险事件造成的后果认识不足;第四,主体由于环境变化而对客体的认识产生偏差。外生不确定性指的是客体自身发生改变而使主体无法把控带来的不确定性。
风险的不确定性体现在发生时间的不确定性和产生结果的不确定性。发生时间的不确定性是指某些风险必然发生,但何时发生却是不能确定的。产生结果的不确定性是指不能确定事件发生的后果,即损失程度的不确定。
2.客观性
客观性:风险不以人的意志为转移,是独立于人的意识之外的客观存在。例如,自然界的地震、台风、洪水,社会领域的战争、瘟疫、冲突、意外事故等,都是不以人的意志为转移的客观存在。
3.普遍性
普遍性:人类的历史就是与各种风险相伴的历史。风险存在于一切事物之中,并且贯穿于每一事物的整个生命周期,事事有风险,时时有风险。
4.必然性
必然性:风险是事物发展、变化过程中不可避免的一种存在趋势。人们只能在一定的时间和空间内改变风险存在和发生的条件,降低风险发生的频率和损失程度,但是从总体上说,风险是不可能彻底消除的。
5.相对性(或可变性)
相对性(或可变性):风险的性质会因时间、空间因素的不断变化而发展变化。
6.时效性
时效性:影响风险的各种因素随着时间的变化而变化,进而导致风险也随着时间的推移而产生变化。
7.损失性
损失性:风险的发生会给人们带来损失。只要有风险存在,就会有发生损失的可能性。
8.社会性
社会性:风险的后果与社会的相关性决定了风险的社会性,具有很大的社会影响。
9.可识别性
可识别性:通过分析事物的内部因素和外部因素,采取一定的方法可以识别出风险。
10.可控性
可控性:通过采取一定的控制措施对风险进行事前识别、预测,并通过一定的手段来防范、化解风险,能够把风险控制在一定的范围内。
1.1.3 风险的构成要素
风险是由风险因素、风险事件和风险影响三者构成的。
1.风险因素
风险因素是指促使某一特定影响发生、增加其发生的可能性或增大其影响程度的原因,是造成影响的内在或间接原因。一般根据风险因素的性质划分为物理风险因素、道德风险因素和心理风险因素三种类型。
● 物理风险因素,是能直接影响事物物理功能的有形的因素,例如闪电、暴雨、火灾等。
● 道德风险因素,是与人的品德修养有关的无形的因素,即由于个人的不诚实、不正直或不轨企图等促使风险事故发生,引起社会财富损毁或人身伤亡的原因或条件。
● 心理风险因素,是与人的心理状态有关的无形的因素。指由于人们不注意、不关心、侥幸或存在依赖保险心理,导致增加风险事故发生的机会、加大损失严重性的因素。例如网络管理人员过于依靠网络安全防护设备,疏于对系统的严格检查而造成黑客入侵。
在以上三种风险因素中,道德风险因素和心理风险因素属于与人的行为有关的风险因素,故二者归入无形风险因素或人为风险因素。
2.风险事件
风险事件是指对组织造成影响的偶发事件,是造成风险影响的直接的或外在的原因,是风险产生影响的媒介物。风险只有通过风险事件的发生才能对组织产生影响,风险事件的发生意味着风险的可能性转化为现实性。
3.风险影响
风险对事物带来的影响可以是负面的也可以是正面的。正面的影响会给我们带来机会与利益,负面的影响会给我们带来威胁与损失。
1)风险的正面影响
俗话说:“机遇与挑战并存,希望与困难同在”。这里的“挑战”和“困难”在一定程度上指的就是风险。风险中可能蕴藏着机遇,机遇的出现可能意味着某种有利于实现预期结果的局面。“没有风险就没有回报,高收益蕴含着高风险”。高风险往往可以激发人们通过聪明才智获得高回报。要想在风险环境里获得最大收益,人们就必须尽可能地发挥主观能动性去认知风险,采取有效的措施规避风险、化解风险,并将它的破坏力降到最低。同时我们还应看到,尽管风险的正面影响可能提供机遇,但并非所有的正面影响均可提供机遇,所以要识别风险的正面影响,把握正面影响的时机,分析应对能力,探索新的技术和新的方法去应对和管理风险,这样才能合理地利用风险的正面影响,抓住机遇赢得成功。
2)风险的负面影响
风险的特性使人们无法提前准确预知不利的事件何时会发生,从而给组织或个人带来一定的压力和惶恐。对于组织而言,因为风险的存在有可能干扰甚至破坏组织原有的发展战略,削弱组织的凝聚力,降低组织的创新驱动力,阻碍组织的发展;对于个人而言,有的人在风险面前选择逃避或消极的态度,积极性受挫,放弃既定目标。风险通过对组织和个人的负面影响对整个社会的发展形成阻碍和负面作用。
在多数情况下,风险管理者更注重风险的负面影响,即风险损失。损失是指非故意的、非预期的、非计划的价值的减少。通常可将损失分为两种形态,即直接损失和间接损失。直接损失,又称实质损失,是由风险事件导致的财产本身的损失和人身的伤害;间接损失则是由直接损失引起的额外费用损失、收入损失、信用损失等。有时候间接损失的数值会超过直接损失。在信息安全风险管理过程中,我们在关注直接损失的同时也不能忽视间接损失。
在以上三个要素中,风险因素是风险事件发生的潜在原因;风险事件是造成影响的直接原因,是影响的媒介。就某一事件来说,如果它是造成影响的直接原因,那么它就是风险事件;而在其他条件下,如果它是造成损失的间接原因,它便成为风险因素——这依赖于我们做风险评估时所采取的框架和分析的维度。
1.1.4 风险管理
风险管理是研究风险发生规律和风险控制技术的新兴管理科学,是一个组织或个人用以降低风险负面影响的决策过程。根据维基百科的定义,风险管理(Risk Management)是一个管理过程,是在降低风险的收益与成本之间进行权衡并决定采取何种措施(包括对风险的定义、测量、评估和应对风险)的策略。ISO 31000中对风险管理的定义是“一个组织对风险指挥和控制的一系列协调活动”。风险管理的对象是风险;风险管理的主体可以是组织或者个人,包括个人、家庭、企业、国家等;风险管理的基本目标是以最小的成本收获最大的安全保障。
1.1.4.1 风险管理的演进
风险管理作为一种安全管理实践,起源于20世纪50年代的美国,启蒙于企业的安全管理。美国US钢铁公司因安全生产事故频发致使企业濒临破产,公司董事长B·H·凯里首先提出“安全第一”的思想,其思想在实践过程中取得巨大的成功。管理学先驱、管理过程之父亨利·法约尔在《工业管理与一般管理》一书中提出“用企业的六种职能控制企业及其活动所遭遇的风险,维护财产和人身安全”。在此背景下,逐渐形成风险管理思想的雏形。20世纪50年代,以美国为主的欧美国家开始对风险管理理论进行系统的研究,风险管理逐步成为一门独立的学科和理论体系。美国学者格拉尔在其调查报告《费用控制的新时期——风险管理》中首次使用“风险管理”一词,他认为组织内的任何人对该组织的风险都负有不可推卸的责任,至此风险管理的概念开始被人广为传播。
20世纪70年代以前,风险管理主要研究工矿企业的生产安全、投资风险、保险风险,以及地震、海啸、暴风雨、洪水、火灾等自然风险,并涉及核电站设计安全、飞机设计安全等重大工程项目的可靠性和相关风险问题。自20世纪70年代开始,由于技术进步和技术应用的不确定性,环境、公共安全和健康问题引起了社会的广泛关注,学术界开始从环境和社会结构的角度来研究技术风险、健康风险等,并逐步扩大到社会风险等其他领域。伴随着各种风险不断发生,1970年以后逐渐掀起了全球性的风险管理运动。1983年,美国科学院公布了风险评价的四段法:危险识别、暴露评估、剂量—反应评估、风险描述。同年,在美国召开的风险和保险管理协会年会上,世界各国专家学者云集纽约,共同讨论并通过了“101条风险管理准则”。该准则作为各国风险管理的一般原则,成为风险管理科学化、规范化的标志,它标志着风险管理的发展已进入了一个新的发展阶段。
1986年,由欧洲11个国家共同成立的“欧洲风险研究会”将风险研究扩大到国际交流范围。1986年10月,风险管理国际学术讨论会在新加坡召开,风险管理由环大西洋地区向亚洲太平洋地区发展。同时,在美国大学的商学院里首先出现了一门涉及如何对企业的人员、财产、责任、财务资源等进行保护的新型管理学科,这就是风险管理。
20世纪90年代以来,风险管理迈向“现代风险管理”这一新的里程碑。人们发现零散的风险管理与对一个组织可能面临的所有风险进行连贯统一的风险管理相比缺乏效率和效能。整体的风险管理包括所有可能存在的结果,既有损失机会,又有获利可能。
20世纪末,受到“安然事件”“世通事件”等事件的影响,全面风险管理(Enterprise Risk Management,ERM)的概念得到了全球的广泛认同。所谓全面风险管理,是指从整体上考虑各种存在的风险,通过在管理的各个环节中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理的保证。
2001年后,风险管理进入了一个新的阶段。风险管理开始得到各国政府全方位的普遍重视,各国纷纷投入大量的人力、物力和财力,强调政、研、企多方合作,开展风险管理的理论研究和实际运作,各种国家层面的综合风险管理机构及跨国、国际性综合风险管理机构纷纷成立。
在我国,1985年前,风险管理的相关研究工作以翻译国外研究成果为主,直到1987年清华大学郭仲伟教授的《风险分析与决策》的出版,标志着我国风险管理研究的开始。2006年6月6日,国务院国有资产监督管理委员会发布了《中央企业全面风险管理指引》,是我国第一个全面风险管理指导性文件,标志着我国的风险管理工作开启了新篇章。随后,财政部、工商联、证监会等部门相继出台了行业领域的风险管理规范或者指引性文件。
目前,风险管理已经发展成管理学科中一个具有相对独立职能的分项学科,在社会管理、企业管理、危机应急处置等领域具有十分重要的意义。风险管理是以管理为核心,做好计划、组织、领导和控制,合理使用人力、财务、技术和信息等各项资源,实现将成本和损失最小化的目的。理想中的风险管理是在事前就已经排定好优先次序,对引发最大损失,以及发生概率最高的事件优先处理,然后再对风险相对较低的事件进行处理。在实际情况中,由于风险与发生概率往往不一致,很难对处理顺序进行事先排序,因此需要衡量两者的比重,做出最合适的判断。
1.1.4.2 风险管理的基本过程
当前,我们可以找到多种成熟的、国际通行的管理标准及框架。澳大利亚和新西兰共同制定的风险管理标准AS/NZS 4360:2004《风险管理》(简称AS/NZS 4360:2004)一度是被业界认可的标准,但是在2009年被ISO 31000:2009取代;COSO内部控制框架的企业管理版本为众多企业所采用;2009年,中国也发布了国家风险管理标准,即GB/T 24353《风险管理 原则与实施指南》。所有这些标准的总体指导思想和概要框架过程是类似的。我们在这里采用GB/T 24353标准的基本框架,将风险管理过程划分为明确环境信息、风险评估、风险应对、监督和检查四个部分,如图1-1所示。其中风险评估包括风险识别、风险分析和风险评价等三个步骤。
图1-1 风险管理过程
(1)明确环境信息:通过明确环境信息,组织可明确其风险能力的目标,确定与组织相关的内部和外部参数,并设定风险管理的范围和有关风险准则。
(2)风险评估:包括风险识别、风险分析和风险评价。风险识别是通过识别风险源、影响范围、事件及其原因、潜在的后果等,生成一个全面的风险列表。风险分析是根据风险类型、获得的信息和风险评估结果的使用目的,对识别出的风险进行定性和定量的分析,为风险评价和风险应对提供支持。风险评价是将风险分析的结果与组织的风险准则比较,或者在各种风险的分析结果之间进行比较,确定风险等级,以便做出风险应对的决策。
(3)风险应对:是选择并执行一种或多种改变风险的措施,包括改变风险事件发生的可能性或后果所采取的措施。
(4)监督和检查:是为了风险管理持续有效,引导组织风险管理和风险管理文化的改进。包括常规检查、监督已知的风险、定期或不定期检查都应被列入风险应对计划。
在上述过程的基础上,风险管理过程还应包括沟通和记录过程。沟通旨在促进内部和外部利益相关者对风险的认识,保证实施风险管理的责任人和利益相关者能够理解组织风险管理决策的依据,以及需要采取某些行动的原因。在整个风险管理的实施和改进过程中要做好记录。
ISO 31000:2018的风险管理过程分别是:范围环境准则、风险评估、风险处置、沟通与咨询、监视与评审、记录和报告,具体内容详见本书2.2.2.4节风险管理的过程。