美国前国防部长、军事战略思想家拉姆斯菲尔德曾经提出一个战略风险分类的方法，他讲风险有两种，一种是已知的未知，一种是未知的未知。这是什么意思呢？简单来说，人类的认知可以有四种组合。它们分别是：

1. 我意识到我已经知道了。
2. 我意识到我不知道。（已知的未知）
3. 我意识不到我知道。
4. 我意识不到我不知道。（未知的未知）

风险防范的目标并不是让风险出现的可能性降到零，这是不切实际的想法，专业的风险防范要做的其实是两件事情。

第一，要将未知的未知尽可能转化为已知的未知，再将已知的未知转化为已知的已知。当然这里面要考虑成本和转化率的问题。

第二，对于无法防范的风险，将它的损失维持在最小

究竟为什么会有未知的未知呢？这主要是由三个原因造成的：无知（Ignored），对信息的获取受限（Unaccessible），以及手段无法感知（unavailable）

防范风险的思路

1.从时间因素上考虑风险考虑
2. 从空间或者规模的因素考虑
3. 从过程的角度考虑
4. 从系统的角度考虑
根据系统论的原则，一个系统在受到刺激之后会做出响应，如果一个刺激是完全未知的，那系统受到刺激做出的响应就是未知的未知。
比如一个社会的经济体就是一个系统，央行调息是一个刺激，股市的表现是系统做出的响应之一。在历史上，很多金融风暴并非源于政策本身，而是政策带来的连动反应使得风险爆发。越是稳定的系统，刺激和响应之间的关联性就越好，响应所带来的风险也越容易控制。因此要防范风险就要把系统做稳定了，尽量让系统对于各种刺激做出的响应是可预期、有应对方案的。
另外，对于一个不很稳定的系统，最好的做法就是尽量不要给它新的刺激，以免出现意想不到的反应。比如对于一个情绪不稳定你又不了解的人，就不要去刺激他，否则结果就难以控制

控制风险发生后的损失

• 尽可能的事前避免

• 避免造成无法承受的损失

  • 买保险、佩戴安全帽、安全带

  防范风险，还要考虑成本和效果的比率是否合理，是否能够接受。不要为防范风险付出不合理的代价，那就成了另一种危险了