ISO 31000:2018对风险的定义是“不确定性对目标的影响”,这一定义已获得了较为广泛的认同,我们将在此基础上展开以下讨论(其实,不同的风险定义对以下讨论影响不大)。
马文·拉桑德在《风险评估:理论、方法与应用》中提出,认识风险,我们需要回答3个主要问题。
问题1:会出现什么问题?为了回答这一问题,我们必须识别出可能会对我们希望保护的资产造成伤害的潜在风险事件。我们要保护的资产可能是人、动物、环境、建筑、技术装备、基础设施、文化遗产,也可能是我们的声誉、信息、数据等。
问题2:出现问题的可能性有多大?这个问题的答案可能是一段定性的描述,也可能是一个概率或者频率。我们需要逐个考虑在问题1中识别出的风险事件。为了确定这些事件发生的可能性,我们一般需要进行因果分析,识别出可能导致风险事件发生的根本原因(也就是危险/威胁)。
问题3:后果是什么?对于每一个风险事件,我们都必须识别出其潜在的伤害或者对问题1中提及的资产的负面影响。绝大多数系统都会安装安全栅,以防止或者缓解伤害。资产是否会受到伤害将取决于这些安全栅在风险事件发生时能不能发挥应有的作用。
在回答了问题1之后,我们就可以识别出每一个风险事件,从而分析问题2和问题3,分析过程如图2-1所示。图2-1描述了不同的危险/威胁可能会导致风险事件发生,这些风险事件又可能会产生不同的后果。在危险/威胁和风险事件之间,我们可以部署各种安全栅。同时,安全栅也可以置于风险事件和后果之间。图2-1所示的模型就是经典的风险的领结模型。
图2-1 风险的领结模型
风险分类已有较长历史,不同的研究范畴和不同的时代产生了多种风险分类。恰当的风险分类,是进行风险识别和系统性风险管理的基本前提。结合组织安全的风险源和不同目标,我们可以将风险的领结模型具体化,如图2-2所示。图中火灾、洪水、地震、台风、大流感、大停电等处于左侧的危险/威胁类风险可称为“左侧风险”,涉及生命财产、社会秩序、公共利益、组织运营、声誉品牌等处于右侧的后果类风险称为“右侧风险”。
图2-2 左侧风险和右侧风险
一般而言,左侧风险是风险的根本原因或者由之导致的专项风险。对每种单一性质的左侧风险,组织都可以采用专业的管理方法应对该类风险。右侧风险是风险事件引致的后果类风险,可能由多类左侧风险复合引发。要应对右侧风险,组织需要建立管理框架,综合采用多种专项风险管理方法。
从本质上讲,业务连续性管理应对的是运营中断风险,这是典型的右侧风险,因此组织需要采用综合的风险管理方法。