在风险管理里面,最重要的一个概念就是关于风险的概念。
风险的概念之所以重要不仅在于它是一个重要的理论对象,而且在于它在风险管理实践中的作用。风险管理其实是对风险的管理。所以,风险的概念决定了风险管理的对象。这意味着,在实践中,对风险概念的理解决定了风险管理的范围,包括风险评估和风险应对的范围,风险管理部门的职能设置,风险管理和其它现存的管理领域之间的关系等一系列重要的问题。记得曾经有一次,一个加拿大公司的首席风险官告诉我,她的公司几年前开始实施全面风险管理的时候,为了统一风险的定义,全公司讨论了三个月,最后仍没有形成共识,致使以后的风险管理工作在没有统一语言的情况下开展,工作起来极为困难。
现在通用的风险定义的中文表述是“不确定性对目标的影响”(GB/T 24353-2009)。风险的定义的相应英文表述是“Effect of uncertainty on objectives”(ISO 31000 & Guide 73)。
相比以往的风险的定义,目前这个定义的一个优点是包容性比较强。过去的风险的定义,往往来自具体的管理领域,如保险行业,安全管理,财务管理等。所以,这些定义往往满足了某些领域的管理需要,但在延伸到其它管理领域时就显得不适合。例如,在金融资产管理领域,常用资产价格分布的波动性来描述风险。但是,这个定义显然不能满足保险业的要求。保险业常用的一个风险定义是“损失的不确定性”。这个不确定性则不仅包含了波动性还包含了可能性的意思。前面提到的通用的风险定义则没有这方面的问题,可以兼容所有已经在各行业使用的风险概念。
目前这个通用的风险定义的另外一个优点就是实用性强。它非常简洁地准确表达了风险这个概念中最基本的三个要素,即目标、不确定性及二者之间的关系。因此,使用这个风险的概念能够指导人们开展各种情况下的风险评估。相比之下,其它的风险定义,很难有这种指导实践的普适性。
这个通用的风险概念还有其它优点,如兼顾正面和负面的风险,强调目标的作用和未来的时间段等。
这个概念在国际上第一次提出是在2006年2月于澳大利亚悉尼召开的国际标准组织(ISO)风险管理标准的工作小组会议上。当时,笔者作为中国代表团的成员,和标准化研究院的汤万金博士、高晓红博士三人一起参加了会议。国际标准组织(ISO)风险管理标准的工作小组的目标是建立一个通用的风险管理国际标准。这次会议是ISO风险管理标准的工作小组的第二次会议。但对于笔者来说,却是第一次参加ISO风险管理标准的工作会议。(为此笔者要感谢国家标准委和汤、高二位博士给我的机会。)在这次会议上,各国代表围绕着“什么是风险”展开了激烈的争论。由于代表们都是各自领域的风险管理专家,各执己见,竟提出了几十个风险的概念定义。这些定义有的依据现存的法规,有的依据教科书,有的依据字典的定义,有的则依据一些经济学的理念,例如Frank Knight的风险和不确定性的概念。正是在这次会议上,笔者代表中国代表团提出了目前国际标准ISO31000里面使用的这个风险概念,定义风险为“不确定性对目标的影响”。
当时在会议上各国专家对这个定义的反应,可以说模棱两可,既没有什么人反对,也没有人立刻就大声叫好。虽然笔者作了解释,多数人可能还不太理解,甚至还有些困惑。这样的结果是可以想见的,毕竟对于专家来说,对自己熟知的概念,要接受一个新的定义确实是一件很困难的事情。
对于这个新的风险定义,笔者当时一方面感到很有信心,另一方面也确实感到有些风险。说到有信心是因为先前的基础性研究的支持;也因为在此之前,笔者参与了国资委“企业风险管理研究课题组”的工作,协助国资委起草“中央企业全面风险管理指引”。至2006年初时,“中央企业全面风险管理指引”基本已经定稿,其中使用的就是这个新的风险的定义。而自2004年起,笔者所在的公司,第一会达风险管理,一直在中央企业中从事风险管理的咨询工作,而在我们的风险评估的工作中,使用的也是这个新的风险定义。所以说,理论研究和中央企业的实践证明我们的这个新的风险定义是恰当的。说到有些风险是因为“中央企业全面风险管理指引”已经用了这个定义,笔者担心如果这个定义不被国际上专家们接受,而在国际标准中使用了其它的定义,则可能会对“中央企业全面风险管理指引”的实施和将来中国国家标准的制定有一些不良的影响。
随后的ISO风险管理标准的工作小组会议,每次都要讨论风险的定义。我们也不断地向各国专家们耐心解释,特别说明新的定义与过去的所有定义都是兼容的,以打消他们对定义之间可能的不一致带来的不便之处的顾虑。逐渐地,接受我们的风险定义的代表多起来了。有些代表还用他们的实践证明我们的定义的优越性。事实上,这些国外专家起的作用很大。例如,澳大利亚的专家Mr. Grant Purdy,他曾是澳大利亚/新西兰风险管理标准AUS/NZ 4360的主笔之一,还曾经担任过必和必拓公司的首席风险官,国际上在业界有相当知名度。他对各国专家说,他在本国的培训和咨询工作中开始使用我们的定义,结果效果很好,客户公司的高管们很能接受这个理念。同时,深入的讨论也开始暴露了其它定义的不具普适性的缺点。最后,在2007年4月于加拿大的渥太华召开的第四次工作会议上,ISO风险管理标准的工作小组一致通过在ISO31000和Guide73中采用我们提出的风险定义。这时,距离笔者第一次在ISO风险管理标准的工作小组提出这个概念,已有一年多的时间了。
在ISO风险管理标准的工作小组讨论过程中,曾经考虑过在英文的定义中用Impact而不用Effect。这两个词在中文中都译作“影响”。但是,在英文中有细微差别。Impact语感上更直接,有后果的意味。而Effect则更一般化,容纳更多的想象,更抽象一点。最后,专家们一致同意用Effect。对此,笔者很欣慰。
和ISO31000一致,在我国的国家风险管理系列标准中,如GB/T 24353-2009中,目前采用的也是这个新的风险定义。实践证明,这个风险的定义是成功的。
ISO31000风险管理标准中文版
