下载掌阅APP,畅读海量书库
立即打开
风险是由风险因素、风险事件和风险影响三者构成的。
风险因素是指促使某一特定影响发生、增加其发生的可能性或增大其影响程度的原因,是造成影响的内在或间接原因。一般根据风险因素的性质划分为物理风险因素、道德风险因素和心理风险因素三种类型。
● 物理风险因素,是能直接影响事物物理功能的有形的因素,例如闪电、暴雨、火灾等。
● 道德风险因素,是与人的品德修养有关的无形的因素,即由于个人的不诚实、不正直或不轨企图等促使风险事故发生,引起社会财富损毁或人身伤亡的原因或条件。
● 心理风险因素,是与人的心理状态有关的无形的因素。指由于人们不注意、不关心、侥幸或存在依赖保险心理,导致增加风险事故发生的机会、加大损失严重性的因素。例如网络管理人员过于依靠网络安全防护设备,疏于对系统的严格检查而造成黑客入侵。
在以上三种风险因素中,道德风险因素和心理风险因素属于与人的行为有关的风险因素,故二者归入无形风险因素或人为风险因素。
风险事件是指对组织造成影响的偶发事件,是造成风险影响的直接的或外在的原因,是风险产生影响的媒介物。风险只有通过风险事件的发生才能对组织产生影响,风险事件的发生意味着风险的可能性转化为现实性。
风险对事物带来的影响可以是负面的也可以是正面的。正面的影响会给我们带来机会与利益,负面的影响会给我们带来威胁与损失。
1)风险的正面影响
俗话说:“机遇与挑战并存,希望与困难同在”。这里的“挑战”和“困难”在一定程度上指的就是风险。风险中可能蕴藏着机遇,机遇的出现可能意味着某种有利于实现预期结果的局面。“没有风险就没有回报,高收益蕴含着高风险”。高风险往往可以激发人们通过聪明才智获得高回报。要想在风险环境里获得最大收益,人们就必须尽可能地发挥主观能动性去认知风险,采取有效的措施规避风险、化解风险,并将它的破坏力降到最低。同时我们还应看到,尽管风险的正面影响可能提供机遇,但并非所有的正面影响均可提供机遇,所以要识别风险的正面影响,把握正面影响的时机,分析应对能力,探索新的技术和新的方法去应对和管理风险,这样才能合理地利用风险的正面影响,抓住机遇赢得成功。
2)风险的负面影响
风险的特性使人们无法提前准确预知不利的事件何时会发生,从而给组织或个人带来一定的压力和惶恐。对于组织而言,因为风险的存在有可能干扰甚至破坏组织原有的发展战略,削弱组织的凝聚力,降低组织的创新驱动力,阻碍组织的发展;对于个人而言,有的人在风险面前选择逃避或消极的态度,积极性受挫,放弃既定目标。风险通过对组织和个人的负面影响对整个社会的发展形成阻碍和负面作用。
在多数情况下,风险管理者更注重风险的负面影响,即风险损失。损失是指非故意的、非预期的、非计划的价值的减少。通常可将损失分为两种形态,即直接损失和间接损失。直接损失,又称实质损失,是由风险事件导致的财产本身的损失和人身的伤害;间接损失则是由直接损失引起的额外费用损失、收入损失、信用损失等。有时候间接损失的数值会超过直接损失。在信息安全风险管理过程中,我们在关注直接损失的同时也不能忽视间接损失。
在以上三个要素中,风险因素是风险事件发生的潜在原因;风险事件是造成影响的直接原因,是影响的媒介。就某一事件来说,如果它是造成影响的直接原因,那么它就是风险事件;而在其他条件下,如果它是造成损失的间接原因,它便成为风险因素——这依赖于我们做风险评估时所采取的框架和分析的维度。