就像1000个读者就有1000个哈姆莱特。问10个人关于风险的理解,就可能得到10种不同的答案。只要我们随便一翻有关风险评估的教科书、期刊、论文、标准和指南,就会发现风险评估专家对于最基本的风险概念实际上也是各执一词。
根据Timmerman在1986年的描述,
风险(risk)
一词是在17世纪60年代从意大利语中的riscare一词演化成英语的。它的意大利语本意是在充满危险的礁石之间航行。只有在描述未来某些事件是否发生的时候才使用风险这个词,而过去发生的危险并不称作风险。另外,虽然经济学理论中风险同时涵盖损失和利益,但是在安全领域,这个词汇涉及的都是负面后果。
风险并不存在统一的定义。
1996年,著名风险研究专家Stan Kaplan就曾说过:“风险分析这个词曾经是、现在是、未来还会是一个问题。风险分析协会成立之初就企图定义风险这个概念,但整整四年之后还是决定放弃。最好的方法也许就是不对风险下定义。让每一个作者按照自己的方式去定义,只要他们能解释清自己定义的方式”。【注册风险管理师】
风险的各种定义
1、某一危险事件发生的频率或者概率与事件后果的组合。在这个定义中,风险与某一特定的危险事件有关。比如某种气体泄漏或者与塔吊坠物有关的风险。但在
多种危险事件并存
的情况下并不适用
。
2、人类活动或者事件造成的后果对现有价值造成伤害的概率。
3、造成资产(包括人员本身)处于危险的情况或者事件,而结果是不确定的。
4、与资产相关行为的不确定性以及后果(结果)的严重程度。
5、在特定的时间段内,或者由于某种困难情况导致某一负面事件发生的概率。
6、风险是指未来事件和结果的不确定性。它描述了该事件对于完成组织目标产生影响的可能性。
等等
Kaplan及Garrick1991年将风险定义为:关于下列三个问题的综合答案:
(1)什么会发生问题?(2)发生问题的可能性有多大?(3)后果是什么?
要回答上面三个问题,必须进行分解:
问题1:会发生什么问题?
为了回答这个问题,就必须识别出可能会对我们希望保护的资产造成伤害的潜在“危险事件”。保护的资产可能是人、动物、环境、建筑、技术装备、基础设施、文化遗产等 ,也可能是我们的声誉、信息、数据等。
问题2:产生问题的可能性有多大?
这个问题的答案可能是定性的描述,也可能是概率或频率。需要逐个考虑问题1中的危险事件的可能性,这就要进行因果分析,识别出可能导致危险事件的根本原因(也就是危险源)。
问题3:后果是什么?
对于每一个危险事件,必须识别出潜在的伤害及对问题1所提的资产的负面影响。绝大多数系统都会设置安全栈以防止或缓解伤害。资产是否受损取决于这些安全栈在危险事件发生时是否起到应有的作用。
如果把风险分析和风险评价连接起来,这个整体就叫做风险评估。
▲风险评估过程
英国健康与安全执行委员会曾发布过一份风险评估的简要介绍《风险评估的五个步骤》,这五个步骤分别是:
-
1、识别危险
-
2、确定谁会受到伤害以及如何受到伤害
-
3、风险评价并确定预防措施
-
4、记录结果并实施
-
5、检查评估情况,并在必要时进行更新。
注意一些书籍及指南没有区分风险分析和风险评估,有些不包含风险评价的工作也试图使用风险评估这个词。还有些将风险评估定义为风险评价的补充,如美国联邦航空管理局将风险评估定义为“使用风险评价的结果进行决策的过程”。
最近一次见他是在武汉,很憔悴,说工作后
每个月
还得还钱,都没有了正常的生活,也不敢找爸妈要。问他现在还欠了多少,他比了一下是5W,三四个借贷的平台轮流还……
通过风险评估,决策者及有关各方可以更深刻地认识那些可能影响组织目标实现的风险以及现有风险控制措施的充分性和有效性,为确定最合适的风险应对方法奠定基础。风险评估的结果可作为组织决策过程的输入。
风险评估是由风险识别、风险分析及风险评价构成的一个完整过程(参见图1)。该过程的开展方式不仅取决于风险管理过程的背景,还取决于开展风险评估工作所使用的方法与技术。
考虑到各类风险的原因及后果有较大差异,因此风险评估通常涉及到多学科方法的综合应用。
1.2 风险识别
风险识别是发现、认可并记录风险的过程。风险识别的目的是确定可能影响系统或组织目标得以实现的事件或情况。一旦风险得以识别,组织应对现有的控制措施(诸如设计特征、人员、过程和系统等)进行识别。风险识别过程包括识别那些可能对目标产生重大影响的风险源、影响范围、事件及其原因和潜在的后果。风险识别方法包括:● 基于证据的方法,例如检查表法以及对历史数据的审查;● 系统性的团队方法,例如一个专家团队可以借助于一套结构化的提示或问题来系统地识别风险;● 归纳推理技术,例如危险与可操作性分析(HAZOP)等。组织可利用各种支持性的技术来提高风险识别工作的准确性和完整性,包括头脑风暴法及德尔菲法等。无论实际采用哪种技术,关键是在整个风险识别过程中要认识到人的因素及组织因素的重要性。因此,偏离预期的人为及组织因素也应被纳入风险识别的过程中。
最近一次见他是在武汉,很憔悴,说工作后
每个月
还得还钱,都没有了正常的生活,也不敢找爸妈要。问他现在还欠了多少,他比了一下是5W,三四个借贷的平台轮流还……
1.3.1 概述
风险分析能够加深对风险的理解。它为风险评价提供输入,以确定风险是否需要处理以及最适当的处理策略和方法。风险分析要考虑导致风险的原因和风险源、风险后果及其发生的可能性,识别影响后果和可能性的因素,还要考虑现有的风险控制措施及其有效性。然后结合风险发生的可能性及后果来确定风险水平。一个风险事件可能产生多个后果,从而可能影响多重目标。附录B提供了一些常用的风险分析方法。对于复杂的应用可能需要多种方法同时使用。风险分析通常涉及对风险事件潜在后果及相关概率的估计,以便确定风险等级。在某些情况下,例如当后果很不重要,或者概率极低时,单项的估计可能足以进行决策。在某些情况下,风险可能是一系列事件迭加产生的结果,或者由一些难以识别的特定事件所诱发。在这种情况下,风险评估的重点是分析系统各组成部分的重要性和薄弱环节,以确定相应的保护和补救措施。根据风险分析的目的、可获得的可靠数据以及组织的决策需要,风险分析可以是定性的、半定量的、定量的或以上方法的组合。定性评估可通过“高、中、低”这样的表述来界定风险事件的后果、可能性及风险等级。如将后果和可能性两者结合起来,并与定性的风险准则相比较,即可评估最终的风险等级。半定量法可利用数字分级尺度来测度风险的可能性及后果,并运用公式将二者结合起来,得出风险等级。定量分析则可估计出风险后果及其可能性的实际数值,结合具体情境,产生风险等级的数值。由于相关信息不够全面、缺乏数据、人为因素影响等,或是因为定量分析工作无法确保或没有必要,全面的定量分析未必都是可行的或值得的。在此情况下,由经验丰富的专家对风险进行半定量或者定性的分析可能已经足够有效。如果是定性分析,那么应该对使用的术语进行清晰的说明,并对风险准则的设定基础进行记录。即使已实现全面的定量分析,还应注意到,此时所获得的风险等级值是估计值,应注意确保其精确度不会与所使用的原始数据及分析方法的精确度存在偏差。风险等级应当用与风险类型最为匹配的术语表达,以利于进一步的风险评价。在某些情况下,风险等级可以通过风险后果的概率分布来表达。
最近一次见他是在武汉,很憔悴,说工作后
每个月
还得还钱,都没有了正常的生活,也不敢找爸妈要。问他现在还欠了多少,他比了一下是5W,三四个借贷的平台轮流还……
1.3.2 控制措施评估
风险的等级水平不仅取决于风险本身,还与现有风险控制措施的充分性和有效性密切相关。在进行控制措施评估时,需要解决的问题包括: 对于一个具体的风险,现有的控制措施是什么? 这些控制措施是否足以应对风险,是否可以将风险控制在可接受水平? 在实际中,控制措施是否在以预定方式正常运行,当需要时能否证明这些控制措施是有效的?对于特定的控制措施或一套相关控制措施的有效性水平,可以进行定性、半定量或定量的表示。但在大多数情况下,难以保证高度的精确性。然而,对风险控制效果的测量进行表述和记录是有价值的。因为在对现有控制措施进行改进以及实施不同的风险应对措施时,这些信息有助于决策者进行比较和判断。
最近一次见他是在武汉,很憔悴,说工作后
每个月
还得还钱,都没有了正常的生活,也不敢找爸妈要。问他现在还欠了多少,他比了一下是5W,三四个借贷的平台轮流还……
1.3.3 后果分析
通过假设特定事件、情况或环境已经出现,后果分析可确定风险影响的性质和类型。某个事件可能会产生一系列不同严重程度的影响,也可能影响到一系列目标和不同利益相关者。在明确环境信息时,就应当确定所需要分析的后果的类型和受影响的利益相关者。后果分析可以有包括从结果的简单描述到制定详细的数量模型等多种形式。影响可能是轻微后果高概率,或严重后果低概率,或某些中间状况。在某些情况下,应关注具有潜在严重后果的风险,因为这些风险往往是管理者最关心的。在其它情况下,同时分析具有严重后果和轻微后果的风险可能是重要的。例如,频繁而轻微的问题可能具有很大的累积效应。另外,处理这两类截然不同风险的应对措施往往有很大的区别,因此分别分析这两类风险是很必要的。后果分析应包括: 考虑现有的后果控制措施,并关注可能影响后果的相关因素; 将风险后果与最初目标联系起来; 对马上出现的后果和那些经过一段时间后可能出现的后果两种情况要同等重视; 不能忽视次要后果,例如那些影响附属系统、活动、设备或组织的次要后果
最近一次见他是在武汉,很憔悴,说工作后
每个月
还得还钱,都没有了正常的生活,也不敢找爸妈要。问他现在还欠了多少,他比了一下是5W,三四个借贷的平台轮流还……
1.3.4 可能性分析和概率估计
通常主要使用三种方法来估计可能性。这些方法可单独或组合使用。1)利用相关历史数据来识别那些过去发生的事件或情况,借此推断出它们在未来发生的可能性。所使用的数据应当与正在分析的系统、设备、组织或活动的类型有关。如果某些事件历史上发生频率很低,则无法估计其可能性。这一点尤其适用于从未发生的事件、情况或环境,人们无法推测其将来是否会发生。2)利用故障树和事件树等技术来预测可能性。当历史数据无法获取或不够充分时,有必要通过分析系统、活动、设备或组织及其相关的失效或成功状况来推断风险的可能性。3)系统化和结构化地利用专家观点来估计可能性。专家判断应利用一切现有的相关信息,包括历史、具体系统、具体组织、实验及设计等方面的信息。获得专家判断的正式方法众多,现有常用方法包括德尔菲法和层次分析法等。1.3.5 初步分析应对风险事件进行全面的扫描,以识别出最重大的风险或把不太重要和次要的风险排除出进一步的分析,由此确保组织资源能集中于应对最严重的风险。进行筛选时,应注意不要漏掉发生频繁低但有重大累积效应的风险。以上筛选活动应在明确环境信息时所确定的准则基础上进行。依据初步分析的结果,组织可能采取以下某个行动方案:
● 继续进行更细致的风险评估。最初的假定及结果应记录在案。1.3.6 不确定性及敏感性因素在风险分析过程中经常会涉及到相当多的不确定性因素。认识这些不确定性因素对于有效地理解并说明风险分析结果是必要的。例如,对于那些在风险识别和风险分析时所使用的数据、方法及模型,应注意分析其本身存在的不确定性因素。不确定性因素分析涉及到对风险分析结果的方差或偏离性进行明确。与不确定性因素分析密切相关的是敏感性分析。敏感性分析是确定某个参数输入的改变对风险等级影响的程度和显著性。这项分析可用来识别哪些数据是对结果影响较大的,从而更应确保其准确性。应尽可能充分阐述风险分析的完整性及准确度。如有可能,应识别不确定性因素的起因。敏感的参数及其敏感度应予以说明。
1.4 风险评价
风险评价包括将风险分析的结果与预先设定的风险准则相比较,或者在各种风险的分析结果之间进行比较,确定风险的等级。风险评价利用风险分析过程中所获得的对风险的认识,来对未来的行动进行决策。道德、法律、资金以及包括风险偏好在内的其它因素也是决策的参考信息。决策包括:
● 是否应开展某项应对活动;● 应该采取哪种途径。在明确环境信息时,需要制定的决策的性质以及决策所依据的准则都已得到确定。但是在风险评价阶段,需要对以上问题进行更深入的分析,毕竟此时对于已识别的具体风险有更为全面的了解。如果该风险是新识别的风险,则应当制定相应的风险准则,以便评价该风险。最简单的风险评价结果仅将风险分为两种:需要处理与无需处理的。这样的处理方式无疑简单易行,但是其结果通常难以反映出风险估计时的不确定性因素,而且两类风险界限的准确界定也绝非易事。常见的方法是将风险划分为三个等级段。安全工程领域的“最低合理可行”原则(As Low As Aeasonably Practicable,简称ALARP)即适用于这种方法。● 上段是指无论活动能带来什么利益,风险等级都是无法容忍的,必须不惜代价进行风险应对;● 中段是指要考虑实施风险应对的成本与收益,并权衡机遇与潜在结果;● 下段是指风险等级微不足道,或者风险很小,无需采取风险应对措施。风险评价的结果应满足风险应对的需要,否则,应做进一步分析。
1.5 文件的归档
风险评估的过程应与评估结果一起记录在案。风险应以可理解的术语来表达,同时对于风险等级的单位也应进行清晰表述。风险评估记录文件的内容将取决于评估工作的目标及范围。除非进行很简单的评估,否则,文件需包括以下内容:
● 组织的内外部环境描述以及被评估对象与内外环境的关联情况;● 所使用的风险准则及其合理性;● 假定及假设的合理性;● 评估方法;● 风险识别结果;● 数据的来源与校验;● 风险分析结果及评价;● 敏感性及不确定性分析;● 关键假定和其他需要加以监测的因素;● 结果讨论;● 结论和建议;● 参考资料。如果需要风险评估来支持一个连续的风险管理过程,那么对于风险评估的记录工作应在系统、组织、设备或活动的整个生命周期内持续进行。如果出现重要的新信息并且环境发生变化,应根据管理的需要对风险评估进行更新。
1.6 风险评估的监督和检查
风险评估过程强调环境因素和那些经过一段时间预计会变化并且可能使风险评估改变或失效的其它因素。应当识别出这些因素进行持续的监督和检查,以便在必要时更新风险评估的信息。应当识别和收集为改进风险评估而监测的数据。还应当监测和记录风险控制措施的效果,以便为风险分析提供数据。应当明确证据、文件的建立和检查的责任。
最近一次见他是在武汉,很憔悴,说工作后
每个月
还得还钱,都没有了正常的生活,也不敢找爸妈要。问他现在还欠了多少,他比了一下是5W,三四个借贷的平台轮流还……
在识别风险然后采取降低风险的措施之后,调查风险如何随时间变化,就是在进行
风险管理
。
风险管理的目标是识别、分析、评价系统当中或者与某项行为相关的潜在危险的持续管理过程,寻找并引入风险控制手段,消除或者至少减轻这些危险对人员、环境或者其他资产的损害。
▲风险管理要素
风险管理是一个连续的管理过程,通常包含下图的六大要素。
▲连续性风险管理流程
在管理风险之前,必须识别出危险和潜在的危险事件。所谓识别过程就是在问题出现之前发现它们,并从是什么、何时、何地、如何发生、为什么发生等多方面进行描述。
