风险管理的困境

最近与一些高管交流时，他们普遍对所在组织的风险管理表示不满。他们不信任当前呈现的风险评估结果，担心因此将有限的资金和时间资源投错方向。分析师一旦遇到不确定性，往往会提高风险发生概率或危害程度（这可能是遵循预防原则的变种：存疑时假设最坏情况），导致资源使用效率低下甚至浪费。

另一方面，某些风险因被视为极其罕见而被过度轻视。这些可能造成巨大损失甚至生存威胁的风险，其可能性被低估到甚至未被纳入整体韧性建设活动中。最多被归为不可预测的“黑天鹅事件”。但问题在于，实际上有人曾预测过这种可能性并认为其罕见——这并非事后才能识别的典型“黑天鹅”，而是被错误定性的重大风险。缺乏历史风险事件数据往往是此问题的根源。

知识强度的关键作用

如果某个被预测永不会发生的生存风险出现在风险登记册中，我们必须追问：该预测所依据的知识强度如何？如果知识强度薄弱，那么预测的可靠性就值得怀疑，此时投入资源提升知识强度就显得尤为重要。

常见的风险评估流程中存在大量隐性知识和假设，这会导致决策效果不佳。我们经常在呈现风险可能性和影响评估时，忽略了支撑这些评估的基础数据和假设——这是个重大错误。

重构风险评估方法

风险本质上可简化为事件与后果的组合。为了评估风险，我们需要考虑特定时间段内事件发生的概率，以及风险发生时可能产生的后果范围。在信息安全领域，我们对概率和后果存在高度不确定性，因此理解支撑这些不确定性评估的知识基础至关重要。

我们可以改进专家评估方法，同时审视评估所依据的知识强度——这些知识可能来自基于经验的工作假设、风险因素相互作用的理论模型，或是直接观察到的事实。不仅需要理解这些知识的强度，还需要将这种强度与不确定性及后果一起呈现给决策者，以便他们对风险分析的可靠性做出明智判断。

迈向更可靠的风险评估

虽然风险分析师很难坦然承认自身知识的局限性（在充满不确定性且虽数据泛滥却很少使用直接观察事实的信息安全领域尤其如此），面对不愿在不确定性下做决策的高管也颇具挑战，但压制不确定性只会导致本文开篇提到的那种不信任。

我们完全有机会通过可靠的直接观察数据或经过验证的明确风险模型来改进风险评估，从而增强支撑风险评估的知识基础。随着技术优先企业推动“合规即代码”的发展，我们或许将见证“风险即代码”新兴领域的出现——这无疑是个值得探索的方向。