我在一篇关于风险定义的博客文章中说过，现在为国际标准组织接受的风险定义是“不确定性对目标的影响”，并且提到，“和ISO31000一致，在我国的国家风险管理系列标准中，如GB/T 24353-2009中，目前采用的也是这个新的风险定义。”

但最近一位朋友提出了一个问题。他说，“我在研读GB/T 24353-2009时发现在GB/T 24353-2009中‘3 术语和定义’部分写到‘GB/T 23694确立的术语和定义适用于本标准。’，而GB/T 23694-2009中对‘风险’的定义是‘某一事件发生的概率和其后果的组合’，而不是‘不确定性对目标的影响’。”

这确实是一个问题。让我来解释一下其中的原由。

GB/T 23694-2009是对国际标准ISO/IEC Guide 73的等同采用，换句话说，是从英文版ISO/IEC Guide 73直接翻译过来的版本。ISO/IEC Guide 73是一个术语标准，其中定义并简单解释了ISO有关风险管理标准中使用的术语。这些术语中其中就有“风险”的定义。

ISO/IEC Guide 73的最新版本是ISO/IEC Guide 73:2009。这个版本是在原来老的版本ISO/IEC Guide 73:2002的基础上，在制定ISO 31000的同时修订，并且与ISO 31000同时发布的。在老版本ISO/IEC Guide 73:2002中，风险的定义还是“某一事件发生的概率和其后果的组合”。而ISO/IEC Guide 73:2009中风险的定义是新的定义，即“不确定性对目标的影响”。因此，在ISO31000：2009中使用了“ISO/IEC Guide 73确立的术语和定义适用于本标准。”的说法。

在我国制定国家风险管理标准GB/T 24353-2009时，按照规则，需要引用有关术语的定义标准，即ISO/IEC Guide 73的对应的国标GB/T 23694。所以，GB/T 24353-2009中“3 术语和定义”里面也有“GB/T 23694确立的术语和定义适用于本标准。”

可问题是，GB/T 23694-2009报批时，新的ISO/IEC Guide 73:2009还没有公布。虽然专家组已经知道在新的版本中，要使用“不确定性对目标的影响”作为风险的定义，但是囿于规则，此时只能使用老版的定义，而且也不能说明这个定义不合适。所以，就出现了前述这位朋友发现的不一致现象。

或许大家要问，既然知道这个旧的风险定义不合适，而且会引起不一致的情况，为什么不等一些时候，等到新版国际标准ISO/IEC Guide 73:2009发布以后再将国标GB/T 23694-2009送审报批呢？回答是，因为我国的标准制定是有较强计划的因素在里面。按照计划，这个标准必须此时报批，否则就完不成任务了。而且，主要还因为大家认为，这个不一致的问题会通过ISO/IEC Guide 73:2009发布以后立即更新GB/T 23694得到缓解。目前，使用新的风险定义的GB/T 23694已经报送标准委审批了。

当然，如这位朋友提到的，看来这个做法还是给使用标准的专家们造成了一定的混乱和误解。对此，我表示歉意。同时，我要特别感谢提出问题的这位朋友的责任感和细心，这种态度是我国的风险管理标准工作能够做好的基础。