第一节 风险及其相关内容
风险,是一个非常古老的始终困扰着人们愿望实现的不确定因素。由于其是否发生、何时发生、影响程度等既不受人们主观愿望支配也无法准确预测,因而不仅会影响人们主观意愿的实现甚至会以随机事件的方式改变人类社会的历史。
正因为人们总是不得不考虑它的存在并不惜为排除其不利影响而付出代价,于是便产生了对风险和风险管理的研究。虽然绝对排除风险是个不可能完成的任务,但是对风险及风险管理的研究已大大提升了人们防范风险的能力。
一、风险的概念及原理
人们在日常生活中也经常提到风险,它既是名词也是形容词。无论是日常用语还是专业用语,风险都是指遭遇某种不利后果的可能性。但在不同的领域,风险有着不同的学说。
(一)风险的基本概念
人们通常所说的风险,是指“可能发生的危险”[1]。而危险则有两种类似的解释,即形容词意义上的“有遭到损害或失败的可能”和名词意义上的“遭到损害或失败的可能性”[2]。这类解释建立在日常生活的语境之上,是人们的通常理解,因而并不精确也并不需要精确。而按照维基百科的解释,风险“是指事件发生与否的不确定性”。这一概念与前者类似,同样难以胜任对专业领域的描述。
按照智库百科的解释,“风险是指在某一特定环境下,在某一特定时间段内,某种损失发生的可能性。风险是由风险因素、风险事故和风险损失等要素组成。换句话说,是在某一个特定时间段里,人们所期望达到的目标与实际出现的结果之间产生的距离称之为风险”[3]。
这种解释虽相对专业,但许多风险很难说只是在特定环境、特定时间段内存在,而是长期存在。如律师行业及其他行业的职业风险,只要从事该职业,其便始终存在。
本书所理解的风险,是指由于非主观意愿的原因,利益、安全等遭遇到损失、不利情形等负面后果的可能性。这一定义是基于近年来实践中的思考,以及对某些特殊情形的排除。在主观意愿方面,风险是基于不可控的原因而发生的,尽管该情况是否发生并不确定、发生的后果也不确定;而在结果影响方面,风险专指遭遇负面影响或不利后果的可能性,并不包括产生正面影响的可能性。
至于某种不利情形的发生在带来不利影响的同时也带来了某种机遇,例如假若遭遇不可抗力,虽会给企业的正常生产带来不利影响,但也为本就无法按时履行的订单提供了延期交付的理由。然而不可抗力与风险本身并无直接关系,只是风险事件一旦出现即会触发的另一事件。
(二)风险的作用原理
风险发生概率无论多大也只是一种理论上的存在,经过不可控的风险事件的触发才能演变为现实中的损害,因此需要明确这一环节中的各个概念。
1.风险因素
所谓风险因素,是指构成风险的原因或条件。通常情况下,随着关注点和定义方式的不同,风险因素可以只是一个非常具体的事项,也可以是比较广泛的一类事项,甚至是非常广泛的各类事项。但大多数情况下,风险都是由各种不同的因素共同构成,并由于风险事件的触发而导致风险因素转化为现实的损害。
例如,从结果角度区分,机动车行驶中爆胎的风险只是一个具体的现象,但引起爆胎的原因可以分为轮胎设计缺陷、制造缺陷、自然老化、自然磨损、气压异常、路面异物等。划分原因或条件的方式不同,得出的结果也不同。
分析风险的具体因素,是寻找应对方案必不可少的过程。通过系统性的多维度、多层次全面排查,才能发现并最终锁定真正的风险诱因以及诱因之间的相互关系并按风险的严重程度排序,从而利用有限的资源优先解决最大的问题。
2.风险事件
风险只是一种理论上的受到损害的可能性,它并不直接造成现实的损害,需要由其他因素触发。直接导致理论上的可能性转变为现实中的实际损害的触发因素,我们一般称之为风险事件或风险事故。
风险事件(Risk Accidents),是指偶然发生的、导致潜在的风险通过不同因素间的交互作用而产生现实的人身、财产损害等不利后果的直接诱因或条件。它是将风险转化为不利后果的关键性媒介,若没有它的触发,风险只是一种未来可能发生也可能不发生的可能性事件,甚至始终未能造成现实的损失。
如果加以细分,风险事件可以是诸多风险因素中必然发生的情形中的一个,也可以是必然发生的各类情形之外的纯属“意外”的其他因素,或是各种风险因素交互作用的结果。前者如机动车轮胎的自然老化、自然磨损引起的爆胎,后者如意外情况下紧急制动引起的爆胎等。
例如,1986年1月28日,美国“挑战者号”航天飞机升空后爆炸解体,7名宇航员丧生。经事后分析,造成事故的主要原因有主密封圈在低温下失效、副密封圈因金属崩裂而未发挥作用、发射前未能及时检查、飞控人员对前期事故征兆的误判、加速时的负荷和振动加剧了破损、航天飞机缺乏升空失败时的自救系统等,这些风险因素的综合作用导致了空中解体这一风险事件的发生。
3.风险损害
风险损害是由于风险事件触发而引起的后果,即由于风险事件触发所引起的利益、安全等遭遇到不希望发生的损失、不利情形等负面后果。从种类上说,这种负面后果既可能是直接的人身伤害、精神损失、财产损失,也可能是间接的名誉损失、机会损失等连锁反应。
某些损失可以因风险事件具体情形的不同而发生性质上的变化。例如,公众人物在公众视野下的不当行为导致的名誉损失是直接损失,而其违约行为所导致的名誉损失则是间接损失。
同时,是否属于风险损害、风险损害的程度如何等,在许多情况下并没有公认的、客观的判断标准,往往需要以主观定义的方式作为衡量的尺度,以完成损害的量化评估及索赔等后续事务。
(三)风险的相近概念
风险与许多其他概念紧密关联,以至于现代汉语中以“危险”解释风险。而且在现实生活中,风险也常与其他词混用。
1.风险与危险
风险与危险的区别很难根据词典上的定义识别,而且在许多情况下可以通用。但在具体的使用场景方面,“危险”更为紧迫、直接且多被用于可直接造成人身财产损失的场景,尤其是容易造成人身伤害的场景。而“风险”则相对抽象、理性、笼统,只强调某种不利影响的可能性而并不强调具体的伤害或损失。
例如,只能说“股市有风险”而不能说“股市有危险”,只能说“危险品”而不能说“风险品”,这些约定俗成的表述在事实上划分了二者的界限。
又如,当描述具体的行为类型时用“危险驾驶行为”,但在进行理性的统计分析、理论研究时则往往用“风险驾驶行为”。在这种用法方面,“风险”大多可以替代“危险”,但“危险”则未必能够替代“风险”。
2.风险与损害
风险与损害的区别:前者只是可能,后者则是现实。“风险”只是遭受损害等负面后果的可能性,它并不是已经发生的损害,损害是否发生、发生后的影响程度等均不确定。“损害”则是已经发生的某种负面后果,是一种已经现实存在的不利后果或负面影响。
例如,只要签订合同就存在着违约的可能性,但这种可能性并不会直接导致不利后果,只有当违约成为现实才会直接产生实际的违约损害。
3.风险与意外事件
风险与意外事件的区别:风险事件的发生可以在意料之中也可以在意料之外,而意外事件的发生则完全是在意料之外。而且,意外事件的衡量标准只是根据其发生是否属于“意料”之外,并不在于其带来的是正面影响还是负面影响。二者有交集但各自独立,均有不包含于对方之处。
二者的共性之一是具有主体的相对性。某些可能性被非专业人员视为重大风险,但在专业人员看来并不存在风险。各行业的资深从业人员,由于见多识广,大多比新手能够预见到更多“意外”,从而使之根本不算“意外”。
二、风险的特征与分类
风险与其他事物的最大不同在于,它既不是已经发生的事件,也不是必然发生的事件,只是作为一种可能性而客观存在。因而对于不同领域中的风险及风险管理的研究,也存在着诸多视角和不同理解。
(一)风险的特征
风险是一种离任何人都非常近的客观存在,无论是生活中还是工作中我们都会与之不期而遇。而风险的特征中,最主要的是其不确定性。
1.存在的客观性
风险并无有形的形体但却客观存在,而无论人们的主观好恶、是否察觉。甚至当今人类生活的各类形态,也都是诸多风险事件相互作用的结果。
人类通过技术手段减少不确定性的各种努力都只在部分具体问题上行之有效,“天有不测风云”仍是一种普遍的存在。而风险学说中的一种,就是将风险解释为主观意愿与客观结果之间的偏差。
2.风险的普遍性
风险在各类事物上普遍存在。人们的日常生活秩序和工作秩序都存在着被某种意外因素影响和打破的可能性,任何计划都有失败或中途发生变故的可能性,任何危险或不利情形都有降临的可能性。这些都说明风险在任何时间、任何空间、任何事物上普遍存在,只是在发生的概率、影响程度、被预见程度上存在着一定的差异。
3.发生的随机性
风险事件的发生不以人们的意志为转移、可能发生也可能不发生,损害程度可能严重也可能轻微,而那些必然发生的事件则并不属于风险。
由于认知能力的有限性和资源的有限性,人们可以在一定程度上降低风险的发生概率,却无法根除风险的存在。许多风险损害只能在事后分析发生的原因,以降低相关风险事件再次发生的概率。
4.后果的负面性
风险后果的负面性主要是基于人们对其避犹不及的态度,以及因此而对风险内涵外延的约定俗成。只有当某种可能性成为现实才会带来不利后果,继而被称为风险。这种不利后果可能是人身、财产等有形损失,也可能是名誉、精神等无形损失。
虽然某些风险事件发生后也有可能带来正面的机遇,但是其是一个事物的另一面,而非风险本身的直接后果。
5.预见的相对性
风险事件的发生同不可抗力的发生十分相似,同样不可预见、不可避免、不可克服。尤其是其中的不可预见,并非指根本无法预见而是指对其是否发生、实际程度无法预见。虽然人们对于极端天气等方面的预报能力已经有了长足的进展,但是仍旧无法避免、无法克服,因而仍旧属于不可抗力。
当然,不同专业领域和专业水平的预测,其准确性存在着巨大差异,无法一概而论。
(二)依据风险性质的分类
依据风险性质划分,是指剥离具体风险所属的专业类别或具体领域,从总体上的、抽象的、普遍适用的角度对风险属性进行划分,主要用于厘清风险内在规律和原理的基础性理论研究。
1.自然风险与社会风险
以产生风险的原因是否与人类活动有关为标准,风险大致划分为自然现象、自然规律等非人为因素形成的自然风险,以及由于人类的个人或社会行为所导致的社会风险。两类风险均十分普遍。前者如暴雨、龙卷风、地震、火山爆发、海啸等,后者如战争、种族冲突、社会动荡、不法侵害、违约等。
这两种风险均可按不同的标准细分。如社会风险,可以分为外交风险、政治风险、政策风险、经济风险等,以及涉及法律领域的刑事责任风险、行政责任风险、主要包含违约和侵权的民事责任风险等,还有合规领域强调的因违反法律等规则引起的规则风险等。
2.纯粹风险与投机风险
根据风险后果的不同利益性,风险可以划分为只有损失的机会而没有获利的机会的纯粹风险,以及既有损失的机会也有获利的机会的投机风险。
前者如交通事故中的死者,只有损失而没有任何获利;后者如股市投资,既有可能受到损失也有可能从中获利。
3.确定型风险与不确定型风险[4]
从人们对风险的认知程度出发,风险可以区分为风险的范围、程度大致确定的确定型风险和对其是否存在、发生概率等一无所知的不确定型风险。
例如,在人类刚开始进入太空领域探索时,由于没有先例而面临着诸多的不确定型风险。这些不确定型风险超出了人们能够预见的范围,我们因而付出了沉重的代价。但随着探索的不断增加,人们对航天领域的知识积累、经验积累日益丰富,相关领域已经基本属于确定型风险。
4.静态风险与动态风险
按照影响风险的发生概率和发生程度的变量因素划分,风险可以分为发生概率、影响程度相对固定的静态风险,以及其发生概率、影响程度由于多种因素的综合作用而处于不断变化之中的动态风险。
例如,品质管理良好的企业可以将不良品率降低到万分之几,但对于个人消费者而言其购买到不良品的概率却始终是50%,属于静态风险。市场价格、货币汇率等始终处于变化之中,有时甚至变化剧烈、影响巨大,因而属于动态风险。
(三)依据主观标准的分类
由于风险很难度量,人们在尝试控制风险时往往不得不依据自己的主观标准对风险的性质加以判断、分类,以便于风险管理和决策。
1.可控性风险与不可控性风险
可控性风险一般是指风险主体可以控制风险的发生概率、影响程度的风险。有些风险可以通过技术、行为加以控制,例如绝缘体的使用可以控制电流产生的意外损害、放弃交易可以避免不利的交易条件所带来的风险等。
不可控风险则一般是指风险主体无法控制的风险。例如,人们无法控制自然灾害的发生和它的破坏力,也无法控制交易的相对方能否严格遵守合同约定。
这种划分方式的依据是可控程度,但可控与不可控往往都是相对概念。如许多绝缘体在高压下会失效,某种程度上的人工降雨、人工防雹已经成为可能。
2.可接受风险与不可接受风险[5]
这种划分方法的依据是人们的承受能力而非其风险的客观损害程度,主要依据是风险主体的价值判断。
可接受风险,一般是指预期的风险损害程度在风险主体的经济、心理等承受范围之内。不可接受风险,是指预期的风险损害程度超出了风险主体的经济或心理等承受限度。
事实上,绝对没有风险的事物并不存在,因而人们在决策时都是以可接受风险的程度作为衡量标准的。这是一种机遇与风险、收益与成本之间的平衡,决策的质量与相关信息的完整度、决策的水平密切相关。
3.可管理风险与不可管理风险[6]
对于经常遇到的风险,按是否可以通过管理手段降低风险的发生概率和损害程度,可分为在一定程度上可以采用相对固定的方式预见、控制的可管理风险,以及无法准确预见、无法避免的不可管理风险。
例如,企业可以通过供应商管理制度的建立,将一些行之有效的管理手段固化为标准化的管理事项,使供应商的违约等不规范行为成为可管理风险。而自然灾害的发生、意外事故的发生即使能够预见也很难有效管理,因而属于不可管理风险。当然,二者均为相对概念,无法以绝对的标准衡量。
4.主观风险与客观风险
主观风险一般是指由于人们的意识活动而产生的风险,是人为因素引起的风险,如故意行为、过失行为等引起的风险。
客观风险一般是指与人们的意识活动无关而客观发生的风险,如自然灾害风险、意外事故风险等。
相比之下,主观风险虽然涉及的因素较多,但是由于具有一定的可控制性,因而是风险研究的重点。尤其是如何将行之有效的管理手段标准化,更是主观风险研究的价值所在。
三、风险的度量
尽管人类一直在研究风险及其应对方法,但唯有现代科学才能对其进行系统和深入的分析,并用现代方法度量风险、确定解决方案,从而在风险领域中取得了长足的进展。
(一)风险研究的具体领域
除了从相对宏观的风险性质、主观标准加以研究,具体风险的研究有着更明确的目标和主题。几乎每类风险都同时具备多重属性,可以划入不同的风险类别中,并可以细分为更多、更具体的风险点。在应用领域的风险研究非常多,因而只能简单提及其类别。
1.研究专业领域
依据专业领域研究风险主要用于不同行业对所处领域的风险及管理手段的研究,而且某些提法也早已在相关领域中成为尽人皆知的术语。由于针对具体的领域,其主题集中、内容具体,研究的实用性也很高。
例如,人身损害风险与财产损失风险在损害赔偿中经常被提及,细分到更为具体的法律领域还有人力资源管理风险、合同风险、担保风险、违约责任风险、行政处罚风险、刑事责任风险、过失责任风险等,而整个法律专业视角下的风险又可统称为法律风险。
在其他领域也是一样,如合规风险、会计风险、技术风险、金融风险、市场风险、管理风险、价值链风险、流动性风险、环境风险等。
2.研究发生环节
许多事务的处理有着基本独立、相对完整的工作流程和固定内容,因此风险研究也可依据重点关注的环节分类。相比根据专业领域划分风险,这种分类方式下内容更为集中、领域进一步缩小,更有利于精细化研究。
如决策风险、结算风险、交割风险、营销风险、招聘风险、票据贴现风险、推销风险、操作风险、技术引进风险等,均按事务处理的环节进行分类。
3.研究具体事务
某些事务同样属于相对独立、完整的领域,但基本属于前面所述专业领域中的一个具体分支,其侧重点在于某类事务中各项事务的全面处理。这些事务往往包含了不同的工作领域和工作内容,并非一个完整的流程,或者说其流程性的特征不明显。研究这些事务比前一分类方式相对微观,但主题更为集中。如服务商管理风险、渠道管理风险、旅游风险、清算风险、人员流失风险、产品风险、工程建设风险、信誉风险、道德风险、国际贸易风险等。
当然,如前所述,以上分类均属为便于理解而展开的理论探讨,许多具体风险可能同时属于不同的风险类型。而且每类风险都可能有不同的理解和解释,在此仅供参考。
(二)风险的度量方法
按照通行的理解,风险等于风险损失额乘以发生概率,即“风险=风险损失额×概率”。因此风险损失额和概率是最基本的指标,并由此衍生出一系列术语。而风险应对措施,也是围绕降低风险发生概率、减少风险损失额而展开。
1.风险概率
风险概率,是指在单位时间或单位数量内,发生风险事件的次数。前者如常见的“五十年一遇的严寒”“百年一遇的洪水”,分别指发生概率为1/50或1/100。而“降水概率70%”,则是指有七成的可能性会降雨。概率越高,意味着风险发生的可能性越大。
概率虽然以量化的方式表示,但是其数值的来源既有主观方式也有客观方式。客观方式中,依据单位数量内的事件发生总量进行大数据分析所得出的概率较为准确,但只是反映了历史上曾经发生的概率,以及在其他变量不变的情形下未来发生的可能性。而主观方式则是根据经验等主观感受确定量化的概率,其准确度与客观方式得出的概率相比,依据并不那么充足,有时甚至只是聊胜于无。
2.风险损失
风险损失是对风险损害的量化,数值越大则代表损失越大。风险损失的计量同样分为主观方式和客观方式两种。许多时候,不得不同时采用两种方式,因为某些损失并不直接体现为数值。
某些损失非常容易量化。如已灭失财产的价值、因风险事件减少的收入、处理风险事件多支付的成本等。但还有一些其他损失,如名誉损失、精神损失等,往往只能用主观估算的方式加以量化。
风险损失有时用损失率来衡量。例如以财产的价值及在风险事故中的损失率之乘积计量,其结果多用于特定的、价值明确的财产。
3.风险值
风险值是将风险概率与风险损失经过量化计算后得出的数值。当然,这是一种理论值,而且仅是一种决策时的参考依据。现实生活对于风险的考量远没有计算公式那么简单,决策时还要考虑公式外的许多问题。
但风险值的思维模式已经具有相当高的实用价值,使得许多难以确定的风险程度有了全新的展示方法。例如,对于消费品生产企业而言,客户的质量投诉往往发生频率很高,或者说是风险概率很高,但其风险损失不高,因而风险值并不高。而那些几乎可以让企业遭受灭顶之灾的行为,大多几乎不会发生,因而其风险值同样不高。有了这些量化的数据,企业就可以集中使用有限的资源应对风险值高的各类风险。
在实际应用方面,风险的度量已经非常成熟。人们早已开始使用风险度量的基本原理,用于风险概率分析、风险损失度量、影响范围的度量等,以提高决策的精确度。
四、风险的应对措施
风险应对措施最基本的工作原理就是降低风险事件发生的概率、减少风险损失。而在具体应对措施方面,往往需要对风险有明确、足够的认识,并在平衡成本的基础上多方位寻找解决方案。
(一)风险控制的难点
风险带来的最大困扰是其是否发生的不确定性和影响程度的不确定性,应对这些不确定性是风险研究及应对措施研究最为复杂的核心问题。所有需要制定计划的事务中,都需要考虑某些不利因素的不确定性即随机性,这始终是个难题。
1.风险原因的多样性
现实生活中,许多计划都因某种未曾预见到的因素而失败,或者实施过程受到意外干扰而未能达到预期的效果。由于不确定因素多种多样,即使是在科学已经高度发达的现代,也难以划分清楚不确定性因素的种类。甚至某些战争的发生、重大发明的产生只能归结为随机事件,无法事先预料。
即使在特定领域,某些风险事件多发而易于预见,但仍难避开意外事件的影响。例如,买方虽然能够预见对方无法按时交货、无法按量交货、产品质量不符甚至受不可抗力影响等负面情形,但是很难预见五花八门的意外事件的风险。风险原因的多样性,正是应对风险的难点之一。
2.风险是否发生的随机性
随着现代科技的广泛运用和经验积累以及对风险事件分析能力的提高,越来越多的风险已经能够被预见。但人类智慧和技术的进步只是大幅提高了具有可控性的人造物、人为行为的确定性,对不可控事物的不确定性仅是提高了预测水平,仍难掌控。
概率分析是一种非常有效的风险分析手段,对于决策有很大的帮助。但概率毕竟是一种理论值或是对已经发生的事实的统计,事物的发展并不受概率的约束,因而高概率事件并未发生、低概率事件成为“黑马”的情形屡见不鲜。
因此,正如风险原因的多样性一样,风险发生的随机性也使得风险是否发生、为何发生变得很难捉摸,也就很难控制。因此,许多计划都不得不设有备用方案,一旦受到意外干扰,即转而执行备用方案以实现目标或减少损失。
3.风控成本的有限性
许多风险事件之所以被预见但仍旧发生,一方面是因为发生概率无法判断,更主要的另一方面是因为风险控制成本的无法承受。所有降低风险发生概率、减少风险损失的安全措施都需要成本投入,不仅是财力上的投入,还有人力、时间、物资等投入。而所有的资源投入都是有限的,尤其是从经济角度来说,当风险控制成本大于风险损失时,人们往往宁可不加控制。
例如,企业的生产经营事项几乎事事需要经济核算,风险控制成本如果投入过高则企业将没有利润,即使某些措施行之有效也会增加成本、降低利润。尤其是当采取了某些措施后,风险事件却并未发生,则就成本而言会感觉是一种“浪费”。因此,控制成本始终是困扰着风险管理能否高效的重要原因。
(二)风险的应对环节
应对风险以减少损失和不确定性的努力无处不在、无时不在。尤其是在技术领域,由训练有素的人员按照严谨的安全流程使用专业的设备操作的话,许多风险几乎可以完全被排除。
1.风险识别
风险识别是风险管理的第一步,目的是确认风险点的客观存在和相关情形。这一环节需要以一定的科学知识和思维能力为基础,否则很有可能将毫无相关性的事物当成风险因素来对待。历史上,人们曾认为鼠疫与猫、狗有关,也曾认为自然灾害与祭祀不足有关,因果关系认识上的错乱必然导致应对措施的毫无作用。
相对于技术上的风险问题,社会行为的许多风险无法通过科学原理、技术实验的方式验证,但可以通过因果关系分析等方式找出原因,从而通过规则和模式的变更进行控制。
2.风险评估
评估风险一般在识别风险之后,其目标是确定风险发生的概率、可能造成的损失,以及可采取的措施、应对措施的成本、哪些风险需要优先应对等。这一环节有些可以采用客观分析的方法,如根据历年积累的数据进行评估,有的只能通过主观赋值的方式进行定量分析,或只做定性分析。
风险评估最有价值的作用之一是为排查出的风险排序,找出需要优先应对的风险及最优的应对措施,使得有限资源可以最大化地发挥控制风险的作用。
3.风险预测
风险预测一般用于预测风险的发生领域、发生时间、影响程度等,其目的是早做准备以避免损失发生或减少损失。
风险的预测贯穿着人类的整个历史。早期人类由于对事物的认知程度有限,求神问卜、占星术等都曾作为风险预测方法。而基于现代科技水平的风险预测,已经被广泛使用于跨领域建立数学模型的定量分析,包括计算机模拟等方法,并通过大数据分析大大提高了预测的准确性。
4.风险应对
风险应对,是指投入资源以技术方法或规则修订等方式,排除风险因素、降低发生概率、限制损失程度等来减小风险损害。由于风险类型的不同,应对风险的措施也有多种。
例如,将交易模式从“货到付款”改为“款到发货”可排除卖方无法收到货款的风险,增强培训及作业环节的标准化可以有效降低因技术不熟练而导致的事故风险发生率,提高零部件的通用性和标准化可降低缺少配件的报废风险等。