有人说,作为组织行为一部分的被忽视的风险比接受的风险要糟糕得多。
我想测试这个公理(在某些人看来)。
当我在处理一个风险并选择接受它时,就意味着我已经做了风险分析和风险控制,并且选择了接受这个风险并与之共存。当我做同样的事情时,只是这一次我选择忽略那个风险,我不是在做同样的事情吗?作为组织的运营计划的一部分,我正承受着这种风险。
有人会说,忽视风险是愚蠢的。然而我是这样看的——接受风险和忽略风险之间的唯一区别是,我接受风险的事实是,我让自己和我的组织对这种风险保持自我意识。如果一个风险被忽略了,那么我可能会忽略它,因为它是一个轻量级的风险,它被利用的机会很小,并且与它被利用相关的漏洞的成本是零到零。
那么,差距有那么大吗?
尽管有大量关于风险管理的文章,但我认为风险管理没有一个一致、连贯的术语。因此,您的问题的答案是本地的;除非您在风险管理程序中对“忽略”和“接受”的定义不同,否则没有区别。
也就是说,我建议如果我是决策者之一,我会以不同的方式对待两者。即使我要接受风险,我也会继续监控该风险,定期重新评估该风险,并考虑分配风险触发器和风险指标。我今天接受这种风险是因为我评估了风险的可能性和影响、我的潜在应对措施的成本和有效性,以及我的优先事项。下个月,这些因素可能会改变。在我看来,“已接受”的风险仍然得到管理,但“被忽略”的风险却没有。
在您所描述的上下文中,不存在被忽视的风险。你所概述的是风险接受。
如果你权衡风险并决定不做任何事情,你就是在接受这个风险,而不是忽视它。
我接受我可能死于车祸的风险。
这辆车的便利性足以让我继续驾驶它。
死亡风险足够低,以至于我认为现有的措施(安全气囊、安全带)是好的,没有其他措施(喷气式飞机)值得他们所需要的成本。我会定期检查是否有任何新措施出台。
我不会将这种态度描述为愚蠢,因为已经对脆弱性进行了合理的评估。缓解成本和收益被考虑并拒绝。并承诺定期重新评估。
我不知道小行星会撞击并摧毁我的汽车。
我是否对威胁和漏洞进行了足够的调查,但未能检测到小行星威胁?
还是我的研究不足以发现存在合理缓解措施的威胁和漏洞?
我认为最后一个问题可以帮助您确定您是否真的忽略了风险。