下载掌阅APP,畅读海量书库
立即打开
风险(Risk)一词是一个“舶来品”。据语言学家考证,一种说法是它来自拉丁语“Risicum”,指海上贸易及随之而来的有关损失的法律问题;另一种说法是它来自意大利语“Rischio”,该词在早期航海贸易和保险业中出现,用于描述客观存在的危险 [1] 。
1901年,美国学者威雷特在论文《风险与保险的经济理论》中给出了风险的第一个学术定义:风险是关于不愿发生的事件发生的不确定性的客观体现。在这个定义中,风险有两个特征:客观性和不确定性。1921年,美国经济学家奈特在其经典著作《风险、不确定性和利润》中,首次明确区分了风险和不确定性,认为风险是可度量的,不确定性是不可预见和不可度量的。1964年,美国明尼苏达大学教授威廉和汉斯在《风险管理与保险》中指出,风险是客观的,因为它对任何人都以同等程度同样存在;但同时,风险也有其不确定的一面,由于认知者的主观判断不同,不同的人对同一风险会有不同的看法。1983年,日本学者武井勋在《风险理论》中提出,风险是特定环境中和特定期间内自然存在的导致损失的变化。这说明风险具有相对性,是在特定环境和时间状态下的产物。1985年,美国学者海恩斯在《经济中的风险》一书中将风险定义为损害或者损失发生的可能性。1997年,学者托宾在《自然灾害的解释与整合》中定义“风险是某一个灾害发生的可能性概率和期望损失的乘积”。1998年,学者得伊尔在《危险事件评估:规划和应对的事实基础》中定义“风险是某一灾害发生的概率(或频率)与灾害发生后果的规模的组合”。同年,学者赫斯特在《风险评估:人的维度》中定义“风险是对某一灾害概率与结果的描述”。
可以说,经过两百多年的演化,风险一词越来越被概念化,并随着人类活动的广泛性和复杂性增加而逐步深化,并被赋予了哲学、经济学、社会学、统计学甚至文化艺术领域的更广泛更深层次的含义,且与人类的决策和行为后果联系越来越紧密,风险一词也成为人们生活中出现频率很高的词汇。
国际标准化组织(International Organization for Standardization,ISO)在正式发布的ISO 31000:2009《风险管理—原则与实施指南》(简称ISO 31000:2009)中明确指出,“风险”是“不确定性对目标的影响”。ISO 31000:2018《风险管理—指南》(简称ISO 31000:2018)沿用了此定义。该定义是人类对“风险”这一古老概念最新认识的总结与概括。通过定义,我们可以发现,在研究风险时通常关注两个核心要素,一是不确定性,二是预期与实际的差距(即影响)。不同领域的专家在对风险概念的描述中,有的注重不确定性,有的注重预期与实际的差距,而ISO 31000:2009中的定义同时关注了这两个方面。
从这个概念出发,为了度量风险,我们需要同时考虑不确定性和影响。影响的度量是和具体环境高度关联的,不同情况下我们需要考虑不同的影响。有的影响是能够度量的,比如某公司在某一月份的收入损失;有的影响是无法度量的,比如风险事件对某人造成的荣誉影响。不确定性是自然界和人类社会中的一种普遍存在,为了应对无处不在的不确定性,人们总结出了应对不确定性的有力武器——概率,通过使用概率和概率模型来描述不确定性。需要指出的是,概率模型对不确定性是一种近似,无法完整地描述不确定性,但是为人们处理不确定性提供了一种手段。由此,我们可以得出一种计算风险的近似方法:风险是风险事件发生概率和损失的函数。函数的形式同样是与具体领域高度关联的。在本书第9章中,我们将介绍信息安全风险管理中常用的风险计算方法。