103非預期的效果，原文為undesired effects。這是所有的風險管理的共同目標。對風險的理解經歷過多次變化，包括了認為風險是中性詞，ISO/IEC 27001：2013引用的風險詞匯是ISO/IEC Guide73，其中對風險的理解特別加了備注，風險一般與負面的結果相聯系，關于風險改變及其演變，可參考：趙戰生，謝宗曉編著，《信息安全風險評估概念、方法和實踐》，中國標準出版社。風險一個最重要的特征就是不確定性，因此對風險的管理一個很重要的目標就是“預防或減少不確定性( prevent，or reduce，undesired effects)”。此處要注意一個中文沒能表達出來的情緒，就是“prevent，or reduce”，都是加了“，”而不是連在一起，也就是說還在強調并列，而不僅僅是選擇。

104題外話一則，關于對確定性的追求。雖然在討論風險偏好類型( risk appetite)時，有風險回避類型也有風險追求類型。但是從本質上來說，人類是厭惡不確定性的，即使一個瘋狂的賭徒，也試圖找到其中確定的因果關系，例如， 某天去賭場之前求財神了，結果就贏錢了，這位賭徒可能會誤以為找到了確定的因果關系。