導讀：想象一下，你正在玩一場策略游戲，目標是建立一座堅不可摧的城堡。但在這場游戲中，沒有明確的目標，你就不知道該如何布置防御，也不知道哪些威脅最需要關(guān)注。這就是風險評估的前提——沒有目標，風險就無從談起。目標不同，風險也隨之變化；目標調(diào)整，風險也跟著“跳舞”。接下來我們一起探討如何識別、描述和評估這些風險，看看能不能給大家對如何做風險評估帶來一些啟發(fā)。

風險評估的前提必須要先確定目標，我們說，風險與目標是從屬關(guān)系。

沒有目標，就沒有風險；

目標不同，則面臨的風險不同；

目標變化，則相應(yīng)的風險跟隨變化。

但是，如果從之前經(jīng)我改造后的風險一般性定義：

“影響目標實現(xiàn)的不確定性。”

Uncertainly of achieving objectives

這里的目標，是一個一般性的表述，不是專指某一個或一類目標，也不是指的收益或者虧損的目標。

就企業(yè)而言，按照COSO的定義：

風險是事項發(fā)生并影響戰(zhàn)略和商業(yè)目標實現(xiàn)的可能性。

這里的目標，就明確為企業(yè)的戰(zhàn)略和商業(yè)目標。如果用我們上面的一般性定義，可以表述為影響企業(yè)戰(zhàn)略和商業(yè)目標實現(xiàn)的不確定性。

過去這些年，最開始我們在企業(yè)中去識別風險的時候，人們會只關(guān)注損失的可能性、不確定性，而忽略了與目標的關(guān)系，所以導致識別出的風險結(jié)構(gòu)很雜亂，沒有一個清晰的主體概念。

在后來的工作中，我們風險評估之前首先要做一步就是明確目標，有的企業(yè)目標非常明確，有的則相對隱晦，有的是定性的，有的是定量的。另外，就企業(yè)目標而言，實際是一個目標體系結(jié)構(gòu)，大目標就又可以分解為二級目標和更低級的小目標。

而風險，就是嵌套在這些不同級別的目標之上。

那制定目標的過程有沒有風險？

當然有，而且這類風險還是對企業(yè)影響力最大的風險，因為涉及到?jīng)Q策和判斷，都是領(lǐng)導層在關(guān)注，可能我們當前履行風險管理職能的人接觸的少，但這一部分卻是最應(yīng)該進行充分的風險評估的環(huán)節(jié)。

前期在好多企業(yè)中，風險管理職能通過工作感覺無力改變一些現(xiàn)狀，就是因為

在定目標和決策過程中沒有進行充分的風險評估，埋下的隱患是后面通過再多的努力也彌補不回來的。

所以這也是我一直強調(diào)風險管理必須一把手重視，為決策服務(wù)的原因。

這是一個看上去十分簡單，實際卻非常不容易做好的工作。如果所有人對什么是風險還沒有達成一致的話，那描述風險就顯得更不容易。所以，一般企業(yè)開展風險管理工作的第一步是統(tǒng)一風險語言。

比如明確什么是風險、如何描述風險、如何進行風險分類、風險評估標準······，這還都是技術(shù)層面的，再加上組織層面的工作，其實還是個挺復雜的事。

前些年描述風險典型的表現(xiàn)方式是：

原因（驅(qū)動因素）+結(jié)果（影響）的方式，即......情形發(fā)生，導致.......。

我們舉個例子說明：

在當前的國際背景下，如果美國和俄羅斯開戰(zhàn)，將導致石油價格的波動，對某些中國能源企業(yè)的收益將會造成影響。

如果我們認為風險是對目標產(chǎn)生不利影響的不確定性，那我們的風險就可以描述為：

美俄戰(zhàn)爭，導致公司收益的下滑；

如果我們將風險定義為影響目標的不確定性，那風險可以描述為：

美俄戰(zhàn)爭，導致公司收益的波動。

大家可以體會一下差別，在金融業(yè)，我們習慣用波動的幅度來表示風險大小，就是第二種定義方式的體現(xiàn)。

2025年正在修訂的ISO31000國際風險管理標準中，會明確解釋在不同領(lǐng)域通常理解的不確定性。

風險評估的基本流程包括：

風險識別、風險分析、風險評價，這三項內(nèi)容一般表述為由前至后的三個步驟，但這三個步驟順序卻不是一成不變的，我們可以根據(jù)情況需要對這三個步驟進行重新組合。

用ISO31000最新版中的描述，這是一個相互交織、反復迭代的過程。

另外，識別、分析、評價，這是一個通用的評估基本流程，是風險管理工作的一部分。可以嵌入任何一個有風險存在或分析問題的管理環(huán)境中。

前期有些專家認為，內(nèi)部控制體系中也需要進行風險識別、分析、評價等工作，所以內(nèi)部控制包含了風險管理。

這是不對的，內(nèi)部控制包含了風險評估的基本流程并不能得出內(nèi)部控制包含風險管理的結(jié)論，內(nèi)部控制中的“風險”和風險管理中的“風險”是不同的。

在基本流程里需要重點提示的是，在風險分析中需要有風險相關(guān)性的分析，這部分工作其實是非常復雜的，因為風險往往不是孤立的，它們之間是相互交錯的。

我們描述風險以原因+結(jié)果的方式，有可能這里的原因是前面的結(jié)果，這里的結(jié)果，又是下一步的原因，這是一個鏈式結(jié)構(gòu)；在仔細分析發(fā)現(xiàn)鏈和鏈之間的節(jié)點也有關(guān)系，又形成了一個網(wǎng)狀結(jié)構(gòu)；再分析發(fā)現(xiàn)，網(wǎng)和網(wǎng)之間又有節(jié)點之間的聯(lián)系，又形成了一個立體空間結(jié)構(gòu)。多年前我曾經(jīng)為此困擾不已，發(fā)現(xiàn)可能只有神經(jīng)網(wǎng)絡(luò)可以描述這樣的交錯情景。

前一段時間，有朋友在群里問我關(guān)于風險評估前后關(guān)系的問題，我隨性給他寫了一副對聯(lián)：

上聯(lián)：因果因果因因果；

下聯(lián)：果因果因果果因；

橫批：亦因亦果

我沒有和他開玩笑，我對此真的是深有體會的。后來，我自己思考了一下如何處理這種情況：

第一，要盡量保證并列關(guān)系的風險進行分類時處于一個層面；

第二，分解到可管理的程度處終結(jié)。

我們最常用的風險評價的兩個維度是發(fā)生可能性和影響程度。我們通過各種各樣的方式得到兩個維度的評價結(jié)果，如資料分析、調(diào)查問卷、訪談、專家意見、研討會、頭腦風暴等，從最低一級的風險事件建立模型計算出最終對風險的評價結(jié)果。

但是，就像我在之前的文章中提到的，除了金融領(lǐng)域和少量可量化的風險外，在一般企業(yè)類型中，大部分的管理風險的評價結(jié)果的目的，都是一個相對重要性排序，類似于利用層次分析法（AHP）得出了兩兩相比的相對重要程度的概念。

因為不管使用何種手段，對于這類風險，你最后得出35%的概率和40%的概率幾乎都是主觀認定的，只不過大家一起拍腦袋顯得參與感和儀式感更強而已。所以最后的風險評估結(jié)果，以及在此基礎(chǔ)上得出的重大風險、重要風險，都是一個相對重要性排序。

其次，根據(jù)我們之前的經(jīng)驗，對一個風險事件進行可能性和影響程度的評價，也有諸多有待明確的問題。比如說，對概率的判斷到底是對因出現(xiàn)的概率判斷還是由因?qū)е鹿母怕?/strong>，還是導致不同情況下不同果的概率？

我們前些年在企業(yè)交流，我們列出一個事件，有時會指出一個目前的現(xiàn)狀或情形可能會導致哪些問題出現(xiàn)，企業(yè)有些領(lǐng)導不同意，認為我們在講問題，批評他們，所以講所有對現(xiàn)狀的描述前面加一個“如果”，表明這不是目前的情況，是未來可能出現(xiàn)的情況。

很多人說不清楚，所以我剛才說大家都是拍腦袋，誰也說不明白就都不深究了。后來思考之后把邏輯理了一下：

風險事件=原因+結(jié)果，如果對其進行可能性評價時應(yīng)該是原因發(fā)生的可能性P*結(jié)果（唯一性）的可能性P。

如果原因是現(xiàn)狀描述，那可能性P=1；如果結(jié)果的可能性確定，那結(jié)果P=1；但兩個不能同時等于1，確定的情形就不是風險了。

如果結(jié)果不是唯一的，那就需要按照結(jié)果的不同概率導致的不同結(jié)果，用一個分布來表示和計算了。

我們常用的風險評估顯示方式就是風險圖譜，或者叫風險雷達圖、風險熱圖，這是其中還算比較細致的一個：

我們之前通過了風險本質(zhì)的大討論，雖然我們前些年就提出了風險的雙面性影響，但是過去這些年的所有的實踐，還是沒有跳出傳統(tǒng)的風險認知范疇，談?wù)摰娘L險還是集中在風險的負面影響。從如上這個圖中，所謂的影響程度其實是指造成損失的嚴重程度，我們是無法在這個圖中區(qū)分一個風險的正面影響和負面影響的。

所以，如果要真正識別那些有正面影響的風險，比如使用如下這樣的圖譜方式才可以讓風險管理從業(yè)者真正具備雙面性思維。

再有，對于風險的評價結(jié)果只根據(jù)風險的風險水平=可能性*影響程度，已經(jīng)遠遠不能滿足當下對風險的認知判斷了，比如我們對可能性=1、影響程度=5，與可能性=5、影響程度=1，兩個事件，雖然風險水平一樣，但是特性完全相反。

第一個屬于黑天鵝風險，而第二個屬于金絲猴風險，重要程度要低得多。

另外，還需要根據(jù)組織的適應(yīng)性、風險影響的速度和持續(xù)時間、組織的恢復能力等綜合衡量。