企业风险本质

本文就企业怎面临着风险以及处理风险的方法如风险管理、控制以两者的结合作了一番讨论。

如果一个事件或活动将对组织具有正面影响，它将也会产生潜在的负影响。没有什么只产生正面影响；但是，有一些只会产生负面影响。（见如下的图表一）：

为了阐明这点，定义风险为任何可能存在的对组织产生负面影响的事件。如果是产生正面影响的则称之为机会或机遇。

对组织主要产生正面影响的事件通常也产生重大负面影响，但是其可能性则非常低。对组织有潜在的正面影响的事件也可能对对其有类似水平的负面冲击，而且其可能性非常高。不是每个事件都符合这个“准则”，其实例外也是非常高的。

组织可以接受多大的负面影响主要看其财务实力。如果负面影响超过其财务实力，组织将会由此而破产。正如Murphy定律：“能发生的终究会发生。”我们能对未来能确定的唯一一件事就是没有人能预测到将来会发生什么。因此计算可能性并不会对那些不可接受事件的发生提供更多的指导（见图表二）。

组织财务实力的限制并没有明确的定义。灰色区域中组织可能幸免于某事件但会受重挫。进一步，组织受到的影响取决于受到的破坏及相关的正面影响。这就使得容忍曲线类似于图二的虚线。如果估计影响超过曲线组织会接受它。如果相反，影响将被消除或移到一个可接受的水平。

处理不可接受的负面影响有三种方法。 最有效的方法是消除其原因。通常，同一件事会造成正面与负面两个影响。消除负面影响的原因也会同时消除产生面影响的原因。因此消除负面影响的起因是一种决策也是组织“管理活动”的一个自然的部分。

如果不能消除不可接受的负面影响，那么它们通常可以被那些能限制其影响的活动推响甚至超过容忍曲线。这些活动通常称为“风险管理活动”（见图表三）：

如果负面影响低于组织的财务实力极限，并且不能限制影响至此极限，那么组织将面临着破产。避免可能破产的唯一方法就是采取另一个可以消除当前威胁并导入一个负面影响危险较低及期望收入水平较低的策略。

控制活动仅仅影响事件发生可的能性。能将负面影响向左推到一个发生可能性较低的位置。它也能将正面影响向右推至一个发生可能性较高的位置。无论如何，控制不能限制结果（除非你不认为安全带是你汽车的控制系统的一部分）。

实例：

20年前人们推断核能工业发生重大事故的几概率是每20，000反应堆年1次（1 反应堆年是核能反应堆运行一年）。今年全球将通过9，012个反堆年，这一时期全球已经发生3次重大事故。

没有人知道20年前的推断是不正确。最初的推断只有在经过60,000个反应堆年之后才能下定论（假定直到那时都没有再发生重大事故）。

我们知道核能工业重大事故的负面影响产生的冲击是非常大的。因此，除了双倍的或三倍的控制系统之外，工厂的建筑被设计得当核生产失控之后能减少影响。

人们不能改变工厂的现有结构以作为系统的一部分来代替控制核生产的过程。控制系统对降低不可接影响事件的发生频率是非常重要的。它不能去掉某事发生的可能并且不能减少影响。

如果负面影响大于组织的经济资源，增加控制是无效的。破产威胁将继续存在。总这，有两条路去避免破产。最有效的是选择另一指向目标但没有相同负面结果的策略。如果这一点也是不可能，另外的唯一避免破产的方法限制可能的结果至一个组织可接受的水平。核能工厂的建筑结构就是这样的一个活动。

信息系统安全管理：

当决定信息安全的可接风险水平时，我们将面临一个重要的问题。谁将定义可接受水平以及怎样确定可接受度？是管理部门（董事会与管理层）？是市场？是权威人士？亦或是它们的组合？

一件事是确定的——确定可接受风险水平需要一些可靠关于存在的威胁与它们的后果的详细资料。管理部门现在已经取得威胁对信息安全潜在的冲击的意识，并且也在寻求保证信息安全风险与其它商业风险得到同样的关注。

市场不会饶恕没有成功有效地管理信息安全的组织。全世界的权威人士正在关注信息安全风险怎样潜在影响他们国家的经济及从潜在的损失中恢复的能力。因此组织与产业的管理者独自地或共同提出信息安全风险管理与衡量，或他们将承受市场力量造成结果与/或规律的压力。

这了理解与估计风险管理动态，审计师将不得不获得关于潜在威胁事件的重要知识，它们的可能性及期望的结果。然后他们才能提出管理这样风险的控制系统。最后，审计师必须理解侦测或分析的能力以确信组织对防护与纠正控制既不过分依赖也不会信赖不足。

总结：

• 管理活动能增加或消除具有正面与负面双重影响的事件与活动。如果除了选择一个之外还有策略的话，那将是达到目标而不带来相同的负面影响，即可能消除不可接受的影响。
• 如果不能消除不可接受的负面影响，影响应被限制在一个可接受的水平。这些活动通常称为风险管理活动。
• 控制活动能推动负面影响至较低的可能性而把正面影响移至较主可能性。控制对潜在正面或负面影响的大小没有影响。