SH

Soloharness

概念 · 辨析 · Agent

← 返回概念辨析

Concept Contrast Fable

签字拍板承担风险和处置过后仍然剩下来的风险

风险接受是一个管理决策——认定当前风险水平可接受,不再追加控制措施,签了字就承担后果。剩余风险是风险处置之后客观残留的风险量,不管谁来签字它都摆在那里。两者在同一个流程里上下游相邻:处置后产生剩余风险,决策层对剩余风险做出接受或追加措施的决定。混在一起会让签字的人以为自己消灭了风险,而风险其实还在。

寓言

堤上的水位尺和闸口的签字本:数字是量出来的,不是签字签没的

河防衙门里有一个守堤人和一个闸官。每年汛期,守堤人先筑第一道堤、挖引洪渠、在薄弱段垒沙袋。做完这些,他拿水位尺往闸口一靠,报一个数字给闸官:闸前水位三尺七。闸官拿到数字看一眼警戒线——五尺——然后签字确认:不超过五尺就不开闸。这套流程跑了三年,各村的庄稼都保住了。

后来一年夏天,雨连下了十二天。水位从三尺七一路涨到四尺五。守堤人按惯例量完报数,闸官按惯例签字:还没到五尺,不开闸。两人都没有再说什么。第三天夜里,上游一道旧堤裂了,水涌到下游,漫过闸口淹了两个村子。事后追查,省里来了人。

追查组发现两个人看的是同一张表但理解的是不同的东西。守堤人的表上有一行清清楚楚标着“剩余风险:四尺五”,下面列了处置措施——筑堤、引洪、垒沙袋。闸官签字的那一页标题写的是“风险接受”,他以为签这个字等于风险已经解决了。他不知道筑堤只是把水位从六尺压到了四尺五,不是压到了零。守堤人以为闸官看完剩余风险的数字才签的字,闸官以为签完字水位就归零了。

追查组在衙门墙上重新贴了一张流程图。第一栏是初始风险——不处理会涨到六尺。第二栏是处置措施——筑堤后压到四尺五。第三栏是剩余风险——四尺五,不是零。第四栏才到风险接受——闸官看完了四尺五之后的签字决策。签字管的是第四栏的决定,风险本身只跟第三栏的数字有关。

衙门改了制度,要求双签。守堤人签处置证明,白纸黑字写清自己做了什么、处置后还剩多少风险。闸官签接受证明,确认自己看过剩余风险数字,知道剩多少,愿意承担后果。两份签字不在同一行上,一个划定处置的边界,一个划定决策的责任。

那之后一次秋汛,水位到了四尺八。守堤人报“处置后剩余四尺八”,闸官拿着隔壁村的疏散路线图比对,签字接受。第二天水位爬到四尺九,闸官提前一个时辰开了闸,水没进村。复盘时追查组在结论栏里写了五个字:数字归数字,决策归决策。

老守堤人退休时给徒弟留了一句话:处置措施可以压低风险,没法消灭风险。你把剩余风险如实报出去,比你把它做漂亮了有用十倍,因为闸官手里管着几个村的人命。

风险接受

管理层对当前风险水平做出的正式决策——认定剩余风险在可承受范围内,不再追加控制措施,并承担可能后果。这是一个管理行为,有签字人、生效时间和接受条件。

剩余风险

在实施了所有计划内的处置和控制措施之后,仍然客观存在的风险水平。它是测量出的数值,不因任何人的签字而改变,是风险接受决策的输入依据而非输出产物。

故事对应

  • 守堤人量水位尺:度量剩余风险——处置措施之后的客观残留
  • 闸官签字确认不开闸:风险接受——管理层对剩余风险的正式决策
  • 两人以为对方理解了自己没说的部分:流程上下游各自默认的误解
  • 流程图四栏分清楚:剩余风险和风险接受分属不同环节,中间没有等号
  • 双签制度:处置证明管做了什么,接受证明管看了之后怎么决定
  • 秋汛时数字报清楚、决策有根据:正确的流程里评估和签字各负各的责任

落到 AI 系统风险评估流程

做 AI 系统风险评估时先让技术团队报剩余风险——做完内容过滤、权限控制、训练数据清洗之后还剩多大风险敞口。再让决策层做风险接受——看报表、判断业务承受力、签字承担。关键纪律有二:处置措施永远不可能把风险降到零,如实报剩余风险比把数字做漂亮更重要;签字人需要理解签名管的是接受行为,它不改变剩余风险的实际数值。把剩余风险报表和风险接受记录分成两份独立的文档,审计路径会清晰很多。