风险分析

就像1000个读者就有1000个哈姆莱特。问10个人关于风险的理解，就可能得到10种不同的答案。只要我们随便一翻有关风险评估的教科书、期刊、论文、标准和指南，就会发现风险评估专家对于最基本的风险概念实际上也是各执一词。

根据Timmerman在1986年的描述，风险（risk）一词是在17世纪60年代从意大利语中的riscare一词演化成英语的。它的意大利语本意是在充满危险的礁石之间航行。只有在描述未来某些事件是否发生的时候才使用风险这个词，而过去发生的危险并不称作风险。另外，虽然经济学理论中风险同时涵盖损失和利益，但是在安全领域，这个词汇涉及的都是负面后果。

风险并不存在统一的定义。1996年，著名风险研究专家Stan Kaplan就曾说过：“风险分析这个词曾经是、现在是、未来还会是一个问题。风险分析协会成立之初就企图定义风险这个概念，但整整四年之后还是决定放弃。最好的方法也许就是不对风险下定义。让每一个作者按照自己的方式去定义，只要他们能解释清自己定义的方式”。【注册风险管理师】

风险的各种定义

1、某一危险事件发生的频率或者概率与事件后果的组合。在这个定义中，风险与某一特定的危险事件有关。比如某种气体泄漏或者与塔吊坠物有关的风险。但在多种危险事件并存的情况下并不适用。

2、人类活动或者事件造成的后果对现有价值造成伤害的概率。

3、造成资产（包括人员本身）处于危险的情况或者事件，而结果是不确定的。

4、与资产相关行为的不确定性以及后果（结果）的严重程度。

5、在特定的时间段内，或者由于某种困难情况导致某一负面事件发生的概率。

6、风险是指未来事件和结果的不确定性。它描述了该事件对于完成组织目标产生影响的可能性。

等等

Kaplan及Garrick1991年将风险定义为：关于下列三个问题的综合答案：（1）什么会发生问题？（2）发生问题的可能性有多大？（3）后果是什么？

要回答上面三个问题，必须进行分解:

问题1：会发生什么问题？

为了回答这个问题，就必须识别出可能会对我们希望保护的资产造成伤害的潜在“危险事件”。保护的资产可能是人、动物、环境、建筑、技术装备、基础设施、文化遗产等 ，也可能是我们的声誉、信息、数据等。

问题2：产生问题的可能性有多大？

这个问题的答案可能是定性的描述，也可能是概率或频率。需要逐个考虑问题1中的危险事件的可能性，这就要进行因果分析，识别出可能导致危险事件的根本原因(也就是危险源)。

问题3：后果是什么？

对于每一个危险事件，必须识别出潜在的伤害及对问题1所提的资产的负面影响。绝大多数系统都会设置安全栈以防止或缓解伤害。资产是否受损取决于这些安全栈在危险事件发生时是否起到应有的作用。