什么是数字风险管理？

风险管理是所有管理学科中反复出现的主题。传统框架——从项目管理和服务管理，到IT治理和企业架构——都始终强调其重要性。即使是敏捷框架也认可其价值。

本质上，风险管理是（或者说应该是）一种应对不确定性的方法。然而，在实践中，它往往被当作官僚主义的练习，仪式性地遵循程序，却没有正确理解其目的或影响。

其中一个原因是魔法思维（或者我们称之为风险管理的"货物崇拜"）：坚信仅仅通过应用一套预定的程序就能正确管理风险。

另一个原因是目的的转变，从实际管理风险转向证明已经执行了规定的风险管理活动。在这种情况下，真正的重点变成了合规性：证明已经建立了适当的控制措施，以满足监管要求和内部政策。

因此，风险管理往往表现出对威胁缓解的强烈偏向（特别是对安全相关威胁的偏向），同时完全忽视了机会管理。然而，在商业中就像在体育运动中一样，一支只专注于防守而忽视进攻的队伍最终在两方面都会变得无效。

当今企业面临的最紧迫挑战是如何应对由前沿技术驱动的持续颠覆浪潮，这些技术包括人工智能、物联网、区块链、机器人技术和云计算。技术加速使数字世界呈现VUCA特征：易变、不确定、复杂和模糊。因此，将商业发展方法从确定性的"如果-那么-否则"观点转向概率性的"如果-那么-可能"观点至关重要，这与强调适应性、实验和持续学习的敏捷思维更加一致。

"数字风险管理"是持续识别、评估、优先排序和处理正面和负面风险的过程，以优化它们对企业目标的影响。有效的数字风险管理帮助企业在日益超竞争的数字环境中蓬勃发展。

重要的是要强调，数字风险管理并不是对传统风险管理的突破，而是在《DevOps手册》中强调的背景下的自然演进，即每个组织都可以被视为技术公司，无论其运营的行业如何[i]。

许多技术创新并非源自全新的发明，而是来自对现有想法和技术的重新组合。例如，区块链技术根植于点对点网络、密码学和改进形式的复式记账法的整合。

同样，人工智能的进步得益于增强的计算能力、大规模数据集和数十年算法研究的融合；而云计算则源于虚拟化、分布式系统和高速互联网连接的结合。

管理学科应当采用同样的方法，在新条件下重新审视其长期确立的原则。数字风险管理（DRM）通过重新配置传统风险实践来应对当代数字现实，充分体现了这种方法。在持续数字化转型的背景下，DRM可以重新构想为包含以下组成部分。

对核心风险概念进行严格定义是有效风险管理的基础。在VUCA环境中，20世纪的概念（如认识论概率，由认识论和贝叶斯理论发展而来）具有了新的相关性。

这些概念解决了在数字环境中进行不确定性推理和决策的根本挑战，在这种环境中，每个现象都源于独特且不可重复的条件、力量和变量配置——其影响往往是非线性的，难以分离。

将风险分解为其构成的逻辑组件，并理解它们之间的相互依赖关系，能够更好地观察、分析和控制每个组件，从而为有效干预提供更多机会。

每个风险都可以理解为事件发生可能性及其影响程度（如果发生的话）的组合。例如，考虑一家想要进入新市场细分的公司，有机会取代已经确立地位的竞争对手。这个机会可以概念化为成功可能性与其影响程度（即捕获市场份额的程度）的乘积。

然而，实现目标的可能性取决于几个子因素。其中之一是目标的可及性程度，或者说受到进入壁垒保护的程度：为了更好地理解这个方面，公司可以尝试获得对目标客户的更深入了解。另一个是公司基于权衡收益、成本和风险（包括竞争对手可能的反击）的商业案例而采取行动的信心。

其他因素包括让竞争对手措手不及的可能性（从而阻止防御行动）以及公司和竞争对手所调动的相对能力和资源。

最后，需要注意的是，成功获取资产的整体效果可能超过其内在价值：例如，它还可能提升公司的声誉。特别是社交网络，可以作为胜利和失败的强大放大器——正如体育运动中经常出现的情况，粉丝、媒体和病毒式关注会迅速放大比赛结果。

针对性控制措施是风险概念分解中每个要素所特有的。它们既可以由寻求机会的行为者实施（即试图克服障碍并获得某些价值），也可以由抵御威胁的行为者实施（即试图避免损失或干扰）。

在这两种情况下，控制措施都有助于重塑不断展开的风险情景的概率和潜在影响，将风险管理转变为一个动态的双向过程，更类似于一场博弈而非纯粹的防御机制。

风险管理过程包括风险识别、定性和定量评估，以及风险应对的迭代规划和执行，这涉及部署一套基于RCD的平衡控制措施。在整个过程中，风险相关假设和信息的沟通和管理作为持续活动得以维持，确保透明度和适应性。

数字风险管理可以作为企业级、业务运营级以及采用非敏捷方法环境中的独立流程运行。同时，在敏捷环境中，它应该作为嵌入现有框架内的补充技术发挥作用。

敏捷本质上可以被视为与风险管理密切相关，因为它逐步减少每次迭代的不确定性[i]。因此，迭代和增量方法论（如Scrum或AgilePM3）可以将DRM作为整合层纳入其中。

遵循这种方法，Scrum产品负责人应该通过指定风险的代理和原因、风险事件及其对资产的影响来识别风险；然后估算它们并评估其货币价值，以便与其他产品待办事项一起进行优先级排序。是应该优先考虑一个能在一年内产生100万保证利润的待办事项，还是一个有50%机会在同期产生300万收益的机会？

传统技术，如蒙特卡罗模拟，可用于提供RCD各要素可能性和影响的准确估算。决策树可以帮助产品负责人通过考虑价值的非线性特性来优化产品待办事项的排序。

此外，正如待办事项精化将粗粒度的用户故事分解为更细粒度的故事一样，风险可以使用鱼骨图分解为其多个原因，从而能够对每个原因进行有针对性的加强或缓解。如果我们知道巴西的哪只蝴蝶会在得克萨斯州引起龙卷风，我们就可以轻易地抓住它并把它钉在墙上，从而以很小的支出避免风险。

在每个冲刺期间，开发人员可以为RCD的各个要素规划和实施所提供的控制措施。更重要的是，他们可以通过遵循戴明循环（计划、执行、研究、行动）来测试每个已识别风险的建模和应用于该风险的控制措施。

人类的思维希望基于确定性来做出选择；然而，在VUCA世界中，确定性往往是幻觉。那些无法学会如何管理风险的人无法竞争；解决办法在于文化变革。再次想象一下：一家公司投资于一个积压项目，该项目将在一年内产生100万的保证利润，而另一家公司将其资源投入到一个在同一时期有50%机会产生300万收益的机会中。哪家公司更有能力在数字化颠覆中生存？

数字风险管理的主要益处并非提高缓解数字威胁的有效性；而是能够重构企业以增强其长期适应性和生存能力。

DRM致力于将企业转变为分形系统，能够持续交换信息和知识，并在组织的多个层级复制有效的运营模式。实施DRM的企业会发展出适应性强、自相似的结构，这些结构能够增强灵活性、促进知识共享、维持长期竞争力，同时还建立了支持AI驱动的风险建模和决策制定的框架。

这种结构性转变增强了组织持续学习的能力，使其能够充分利用数字化机遇并获得持续的竞争优势。

为了建立有效的风险管理能力，企业可以重复使用军事科学和网络安全等领域的成熟方法。基于情景的军事演习和网络安全的紫队演练可以适用于商业环境。

例如，一个内部团队可以模拟竞争对手的攻击，另一个团队通过修复暴露的漏洞并发起反制措施来应对，第三个团队扮演客户角色，决定支持哪一方。

这种类型的模拟不仅加强了团队合作和竞争思维，还加速了数字风险管理文化的发展——在这种文化中，韧性、适应性和数据驱动的决策制定成为企业不可分割的一部分。

数字风险管理将破坏性变革转化为发展动力，使其成为数字时代有效且可持续增长的引擎。

[i] Kim, G., Humble, J., Debois, P. & Willis, J. (2016). The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations. Portland, OR: IT Revolution Press.

[ii]  "正确实施敏捷项目管理是处理项目风险的有效方式——无需采用平行的'风险管理'流程，也没有价值。" Agile Project Management v3 Reference Book, Agile Business Consortium, 2024.