在刚刚结束的2024年国际标准化组织(ISO)在伦敦举办的风险管理国际标准化年会上,讨论了关于ISO31000风险管理指南标准的修订工作。按照规定,为了保证标准处于最新状态,新标准发布5年后就需要启动重新修订的相关安排,风险管理指南标准2018年发布了更新版,也确实应该启动修订了。我们花了4年在2022年刚把最新版转化为国家标准GB/T24353-2022版,有点跟不上节奏了。
这次关于修订工作的讨论中,我提出了两点意见:
1、关于风险的定义的讨论部分,是否需要重新审视?
Effect of uncertainty on Objectives;
目前定义中的重点在于如何理解这个effect(影响)上,是否造成了在大众甚至是专家层面对风险的认知无法统一?影响了风险学科的推广和应用。
美国专家建议在目前ISO不同全球标准体系层面有多个风险定义的情况下,是否可以统一?
2、对于标准中的原则部分,是否可以考虑加入对于风险管理绩效的衡量要求?
这部分内容虽然很有挑战,但希望通过全球各个国家的探索总结一些最佳实践,要不然长远来看对这项工作或职能有被弱化的风险。
2018年风险管理标准对2009版进行了简化,其中在原则部分删掉了关于组织衡量风险管理成熟度(Maturity)的要求,建议加回来。
这个意见是我和瑞士代表一起提议的。
会议中也对各个工作组标准编制的进展以及一些新的国际标准提案进行了讨论。
其中德国代表团提了一个非常有意思的提案:
希望在ISO的管理体系标准(Management System Standards)下面编制一个《风险和机会管理指南》(Risk and Opportunity Management Guidance),这个提案引起了很多与会国专家代表的兴趣,但与现有的风险管理标准也存在明显的障碍。
在发言环节,我提出了我们的看法:
关于机会和风险、风险和机会的关系是风险系统里最激动人心的部分,我非常同意这样的探索,ISO9000质量管理体系的上一版修订最大的变化就是加入了风险和机会的内容章节。
但是,我们要非常小心来处理这些关系,因为在现有的ISO31000对风险的定义中,我们把风险定义为不确定性对目标的影响,这种影响有两面性,而正面影响(positive effect)解释为机会(opportunities),负面影响(negtive effect)解释为威胁(threats),这个定义表明了风险中包含了机会和威胁。
如果把风险和机会放在一起论述,势必会造成把风险作为传统的威胁来理解,是否和现有的标准定义有冲突?
我并不是不同意这样的探索,但要注意标准之间的一致性,这也正是我提出要在根源处重新审视风险定义的原因。
不知道是不是我的发言起到了作用,在投票环节,对这个提案加拿大、美国、意大利、日本、法国、新西兰、沙特、南非、捷克都投出了弃权票,是弃权票最多的一项提案。
对于风险、机会、不确定性之间的关系,我们之前曾经论述过多次,上一次在巴巴多斯召开ISO年会时我就提出过对这个问题需要深入研究,这确实是一个比较值得讨论的话题,而这种话题在全球范围内达成共识是一项大工程。
一、传统认知中的风险
传统认知中,风险总是和损失关联,定义风险往往通过可能性、后果、影响或其组合来完成,最简单的定义就是损失的可能性。由于人类趋利避害的本性,对于损失内心是厌恶和抗拒的,这也是制约着很多人到目前还是不愿意公开谈论风险的原因。
在特定领域中,这样的定义还是很适用,在这样的情景下,管理风险的目标就是不出现损失,与其对应的可能说是“安全”更合适一点。然而,在整个组织的视角下,这类风险都被视为追求机会必须承担的成本,追求的是成本控制最优化原则。
而我们把机会则表述为获利的可能性(或实现追求目标的可能性)。在传统的认知情况下,风险和机会可以作为对应的两个概念,就组织整体视角来看,这类风险适用风险收益最大化原则。对主体而言,实现目标过程中的两种力量,在其相互作用下推动主体向前行进,这是一种对立互补关系,机会和风险相互依存、彼此对立,最终在主体目标上达成统一。
所以前几年当有专家提出风险包含机会时,我最开始是不同意的,因为通俗上理解,这两个要素是辩证关系,而且人们思想中对机会的追求要先于风险的,如果说机会都蕴含在风险中,相信很多人还是不能接受这样的观点。
上述定义中的可能性(probability)其实也是不确定性(uncertainty)的一种表现形式,所以风险和机会都可以统一到不确定性上来,可以将风险和机会看作是不确定性作用在目标实现上的两个方向的表现形式。
强调风险的双面性不如强调风险和机会的“不可分割性”。
我之前对风险进行过重新定义,对风险的严格定义是:
对目标产生负面影响的不确定性。
而机会则是对目标产生正面影响的不确定性。
但是,他们两个是一个硬币的正反面,我们无法抛开机会谈风险,也无法抛开风险谈机会。
有人问:那纯粹风险和纯粹机会如何理解?在某些情况下,它们紧密的融合在一起,但拉长时间和空间看,有时候他们也可相对“独立”存在,当拉开风险和机会到一定距离时,局部来看可能只牵涉到了单独的损失和收益。
对于纯粹风险,肯定是为了追求某种机会而承担的,承担风险是一种机会成本;对于纯粹机会,从更高的角度来看完全没有风险的机会是不存在的,我们用一句通俗的话讲:“出来混,迟早都要还的。”
我希望再一次重申:
正常的商业行为是承担适度风险使机会变为收益的过程,而不是做一个纯粹的投机分子或保守的风险规避者。
二、用不确定性定义下的风险
现在,我们用不确定性的影响来定义风险(effect of uncertainty on objectivies),其实是将传统认知中带有方向的可能性(机会与风险)提升到更包容的不确定性上来成了新的“风险”,而与机会反向的不确定性的影响称之为“威胁”。
确实,如果我们认可用不确定性本身或不确定性的影响来定义风险,那两个方向都是有可能出现,风险成为了中性概念,从这一点上来讲,新的“风险”和机会来互相对应就不太合适了。
传统的风险和机会最终都可以统一到不确定性上来,但是机会和风险的不确定性中,其实是已经包含了其正面影响和负面影响的确定性了,而今天我们谈到的风险却是包含了这层确定性之前的不确定性。
所以,在这样的情况下出现的矛盾体就变成了机会和威胁、安全和危害、风险和收益,这在实际商业经营和运营中也可以得到很好的支持。
三、关于正面影响和负面影响
风险的不确定性特征本身包含着多层含义,我们曾经解释过至少《不确定性的七层含义》第一层含义是影响方向的不确定性,包括正面和负面,如果我们可以确定不确定性中第一层是正面还是负面,那我们就可以判定这是一个机会还是威胁。
如果我们对于第一层的不确定性还不能完全确定,那么我们就需要对包括影响方向在内的各层不确定属性进行分析,确定和不确定有时是层叠在一起的,所以会有相对确定性和相对不确定性之说。
所有有利于我们更好实现目标的,就是正面影响,我们把这种情况视为一个机会;所有妨碍我们实现目标的,就是负面影响,我们这种情况视为一个威胁。
但是这个机会(opportunities)和我们经常谈的机遇方向一致,但是在量级上还是有些不同。机会,除了opportunity,有时chance也可以翻译成机会,比如我们看到一个业务流程有很多风险控制点没有设置,那我们就看到了一个可以改善流程的机会。
机会:其实是存在一种让形式变得更好的可能性。
四、什么驱动了组织发展?
我们可以试着描述出两种观点:
观点1:组织的建立和运营是因为存在这样的一个商业机会,可以让组织实现它的价值目标,所以组织是机会驱动的;
观点2:组织的建立和运营是因为存在这样的一个商业风险,可以让组织实现它的价值目标,所以组织是风险驱动的。
你会同意哪一个?
相信大多数人会同意第1个观点,特别是企业的决策层和业务部门,相信包括风险管理部门也不会选择第2个观点。
所以,组织其实都是机会驱动型的,没有商业机会,就没有实现组织目标的可能。但是,我们不应该将风险和机会这两者对立起来,因为机会是剥了两层皮的不确定性,是促使收益或价值目标达成的可能性。所以,它被人们追逐和重视、吸引人们的目光,没有机会,目标就不会实现。
我们再扩展一下机会的范畴,机会驱动不仅适用于整体商业,连威胁也可以说是机会驱动的,就是威胁中的机会,在这种情境下机会意味着存在最优的方式管理威胁,追求机会的原则变成了成本和控制的最优化状态,否则我们将对威胁无能为力,无法改变其存在状态,只能将其视为一种固有沉默或有成本。
同样,不存在威胁的机会意味着只有盈利或收益的可能,是否存在这种情况?除了不可持续的投机主义,现实中还有一种情况,比如我们金融产品中的“无风险”固定收益类产品,获得的是最基本的收益水平。这种情况下是否视其为一种机会?可能不同人有不同的理解。如果按照我们上面的定义,没有了风险,也就代表没有了不确定性(获得的收益是确定的),所以在这种确定的情形下,我们也可以说就没有了机会,风险带来的波动才是获得理想收益的必备条件。
机会,代表的是向上的力量;
威胁,代表的是向下的力量。
两者相互作用,加上时间的箭头,螺旋向上,就是万物生发的图景。
如果我们接受上面我们目前对风险的定义,机会其实是一类特殊的风险,虽然对有些人难以接受,但这个逻辑在这个体系中是成立的。
这个认知原来在理论界和企业界一直无法达成一致,造成只负责损失防范的风险部门和创造收益的业务部门对立,在这个理论逻辑下,风险管理部门协助业务部门更好的识别机会、把握机会、实现机会自然就变成了风险部门的职责范畴,而不仅仅是帮业务部门防范损失、减损、止损。这样在工作范围让风险部门和业务部门达成了完全对应。
五、用不确定性本身还是其影响定义风险
按照ISO31000的风险定义“不确定性对目标的影响”(effect of uncertainty on objectives),风险的最终体现为一种影响,描述的是“客观”不确定性和“主观”目标之间的影响,如果可以深刻理解,这样的定义是可以解释的通的,风险确实是不确定性和目标之间建立联系才出现的,表达了“客观”对“主观”产生的影响才是风险的本源,这需要上升到认识论来理解。
但是,可以保守的说,截至目前为止,“影响”一词全球95%以上的专家都没办法清晰的认识和理解,所以在ISO31000定义注释时,都出现错误,因为“影响”太抽象和难以捉摸,管理和分析这种“影响”,理解的差异太大,这也是这么多年来阻碍风险定义取得共识的原因之一。
所以,我去年给出了风险的新定义为“影响目标实现的不确定性”(uncertainty of achieving objective),将最后的落脚点落在其根源不确定性上,管理和分析风险就是管理和分析这种不确定性,而不是那种抽象的“影响”,这样理解和操作起来就容易的多。其实原来的定义虽然落在了影响上,其分析的重点内容还是不确定性。
比如我们用具体的风险做个试验:战略风险,什么叫战略风险?
直接套用原来ISO的中文定义就是,
战略风险=不确定性对战略目标的影响;
而用我们上面给出的风险定义就是,
战略风险=影响战略目标实现的不确定性。
我们可以感受下,哪一种解释更容易理解。
与之前的定义相比,从理论上来讲,只分析不确定性而不分析对目标的影响,貌似没有在主客体之间建立联系,但是,目标是主体意志的产物,而不确定性本身其实就是主体对客体的认识,它并不是纯粹客观的,而是受限于主体本身的认知水平,所以其本身就已经具备了主客体相互的作用关系,无需再通过影响来建立桥梁。
这也涉及认识论的问题,即是否真正存在一个客观世界,还是世界本来就是主体意识的产物?
另外,我们定义中谈到的不确定性,也不是泛指的不确定性,而是影响目标实现的不确定性。就像我们说的那些“未知的未知”,或部分“已知的未知”中的那些不确定性,我们还不能判断它是否对目标产生影响,所以,一般这样的不确定性我们不称之为风险。还有就是别人面临的“不确定性”,主体也不会将其视为风险。
这样的分类和Frank Knight在其著作《风险、不确定性和利润》中的分类是不同的,他认为风险是可度量的不确定性,真正的不确定性是那些不可度量的不确定性。
虽然我不同意Frank Knight对于风险的分类,但可以看到历史上将风险定义为某种不确定性是有很多例证的。
所以,我认为将风险定义为:
“影响目标实现的不确定性”
(uncertainty of achieving objectives)
在中文的语境中,影响了目标实现,通常可以被理解为一种阻碍了目标实现,风险管理可以用来探路清障。但又不失其中性和正面延展性,即这些不确定性也可以促进目标的实现。
我认为这样定义是合适的,我们需要把对风险的研究重心从抽象的“影响”调整到“不确定性”上来。
六、关于不同领域风险的定义统一
将风险定义落在不确定性上,由于不确定性可以分为很多层次,可以包容的解释风险在不同应用领域的定义区别,最终实现定义的统一。
比如几个常见的风险定义:
1、损失的可能性
虽然这个定义中没有体现对目标的描述,但这个损失本身是自带目标的,目标就是不损失或少损失,可能性是不确定性的一种表现形式,所以和我们的定义也可以兼容。
2、对目标产生负面(不利)影响的不确定性
此定义指的是第一层不确定性影响方向被确定后的定义,只会产生负面影响或者损失,但什么时候损失、损失程度多大还是不确定的,用我们的定义可以向下兼容。
3、影响的不确定性
这是ISO9000质量管理体系中对于风险的定义,省略了“目标”概念,与上面的包含损失的定义相比,虽然没有自带目标,但也是含有默认目标或基本目标的,只是没有表述出来而已,所有这种方式定义的风险,都可以找到其目标属性,只要有主体意志存在,目标就存在。
4、事件发生并影响目标实现的可能性
这也是一种传统的定义方式,COSO即采用的此种定义,这样的定义可拆解为两个部分,事件发生的可能性以及对目标有影响,如上所述,用不确定性向下完全可兼容可能性,并给予了比“可能性”更丰富的内涵。
5、损失的可能性和后果的组合
用目前定义中影响中的负面影响可兼容损失,用不确定性可兼容可能性。
6、可能出现损失的一种后果
用不确定性兼容可能,用影响中的负面影响兼容损失后果。
通过上述分析,前面的定义是可以解释市面上绝大多数的主流定义,只是在不同领域的应用有其惯用法罢了,这些不同领域定义的不同反映的是对不确定性的确定程度不同而已。所以,并不存在本质分歧!
我认为前面我们给出的定义可作为不同领域的普适性包容定义,但也赞同在各领域使用时将其转换为更符合本领域情况和更容易本领域理解的描述方式。因为普适性追求的是包容,而各领域的定义追求的是准确和实用,这两者并不矛盾。
七、面向未来的风险管理及其特殊使命
由于机会和风险的不可分割性,管理风险的同时必然会牵涉机会。为什么管理一个负面的风险会产生正面影响?我们原来的解释是风险的两面性,我的解释是风险和机会的不可分割性。要想更明智的管理风险则必然会牵涉到机会,同样,要想更好的使机会变为收益,则必然会牵涉到风险。
所以,风险管理的影响肯定是两面的,既有降低损失又兼有保护和创造价值,我认为这才是为风险管理事业正名的正确解释。
当下我们正处在巨大的变革时代,是十八世纪中期开启的200多年的工业革命向知识新经济阶段过渡的时代,巨大变革意味着巨大的不确定性,这其中既有机会也有风险,未来商业上的成功一定属于可以洞悉和把握这些不确定性的组织。
工业时代的变革来自于规模化生产和效率的提升,而根据国际组织变革专家得出结论,新时代的变革对企业来说来自如何打造具备适应性、弹性、机动、灵活的组织形式,以应对未来不确定性对传统组织造成的巨大挑战,这将是关系到企业生死的大课题。中国企业在未来面临的挑战比西方企业更大,有很大一部分中国企业在命题作文下的写作基本功还没熟练,现在要直接跨越到更为自由的发散命题写作阶段,这期间面临的矛盾与冲突将会是一个必须经历的痛苦阶段。
商业领域对于不确定性的研究才刚刚开始,我认为还远远不够。而对于企业在机会面前等、靠、碰的相对被动性,使得其只可为少数决策者利用,多数情况下都要依靠决策者的胆识和判断,没有形成一个成熟的学科。
经过调查对比这几个学科的发展现状,考虑到我们之前分析的风险、机会与不确定性之间的紧密联系,我们要怀着对不确定性和机会二者的敬畏,在不确定性和机会手中接过这份授权,让风险管理代表它们承担这份光荣的使命和历史重任,使风险管理可以成为未来企业在充满不确定性的商业环境中取胜的定海神针。而实现这一目标,风险管理还有很多功课要补,虽然过去这些年专家们强调了风险的两面性,但是对于机会的把握和识别并没有真正纳入到管理实践的范围,这也是它目前自身面临的机遇和挑战!
风险管理,从几百年前发展走来,在当下的巨变环境下将任重道远,未来组织在不确定环境中实现确定目标将成为其核心竞争力。而风险管理定位为组织在不确定性环境下实现目标的一套管理实践,通过更加明智的风险管理实践,更加清晰、明确的支持企业做出正确决策并优化运营,从而支持企业使命、愿景和战略目标的实现!
大风控系列丛书
知识星球风控资料存档
