- 1 -
中国科技论文在线
基于风险矩阵的中国 IT企业运营风险评估
孙亮,徐慧娟**
作者简介:孙亮,男,在读研究生,主要研究方向:财务管理
(北京邮电大学经济管理学院,北京,100876)
5 摘要:目前中国很多 IT 企业还正处于成长期阶段,由于管理制度的不成熟,运营过程中存
在很多风险,如:产品风险、研发风险等。这些风险严重制约了中国 IT 企业的健康发展。
本文基于风险矩阵法构建了应用于中国 IT 企业运营风险评估的风险矩阵,并设计出了风险
评估的基本流程,以期为中国 IT 企业运营风险的评估提供一种科学、有效的评估方法。
关键词:企业管理;中国 IT 企业;运营风险;风险评估;风险矩阵;风险地图 10
中图分类号:C93-03
Operational Risk Assessment of Chinese IT Enterprises
Based on Risk Matrix
SunLiang, XuHuijuan 15
(Economics & Management School, Beijing University of Posts and
Telecommunications,BeiJing,100876)
Abstract: At present,many Chinese IT enterprises are still in the growing stage,due to the immaturity
of the management system,there are many risks in the operation process ,such as:Product risk, R&D
risk,etc.. These risks have seriously hampered the healthy development of China's IT enterprises. Based 20
on the risk matrix method,this paper build a risk matrix applied to the operational risk assessment of
Chinese IT enterprises and design a basic flow for the risk assessment,so that it could provide a
scientific and effective assessment method for the operational risk assessment of Chinese IT
enterprises.
Key words: Business management ;Chinese IT Enterprises;Operational Risk; Risk Assessment; Risk 25
Matrix ;Risk Map
0 引言
20世纪 90年代以来,随着安然公司破产、世通公司倒闭等风险事件的发生,企业风险
管理成为了企业界和学术界研究的热点。企业运营风险更因其“操作程序、人员和系统上的
不足或失误或外部事件会直接或间接造成公司重大损失" 的特征成为企业风险防范的重点30
[1]。“中航油”事件、三鹿奶粉事件等风险事件的频频发生表明中国很多企业在运营风险管
理上还存在不足。
2006年 6月,中国国有资产监督管理委员会印发的《中央企业全面风险管理指引》(以
下简称《指引》)首次对中央企业风险管理问题出台技术性指导建议[2],这也标志着中国对
风险管理的关注程度与日俱增。《指引》指出企业风险可分为战略风险、财务风险、市场风35
险、运营风险、法律风险,并对各类风险需要重点关注的信息作了详细规定。
中国 IT 企业作为高新技术产业的典型代表,具有知识密集、人才聚集、业务流程复杂
度高的特点。在技术革新速度快、市场竞争激烈的客观环境下,中国 IT 企业的运营风险发
生可能性更高而且影响更严重。为了减少运营风险带来的损失,中国 IT 企业需要定期对企
业运营风险进行诊断,并及时进行防控,因此对中国 IT 企业的运营风险评估进行研究有很 40
重要的现实意义。
- 2 -
中国科技论文在线
1 构建用于评估中国 IT企业运营风险的风险矩阵
风险矩阵法是美国空军电子系统中心(ESC)的采办工程小组于 1995年 6月提出的。
风险矩阵是识别项目风险重要性的一种结构方法,它能够对项目风险的潜在影响和发生概率
进行评估,是一种操作简便,且把定性分析和定量分析相结合的方法[3]。基于风险矩阵的 IT45
企业运营风险评估流程如下图所示:
构
建
风
险
矩
阵
组
建
专
家
组
Boa
rd
序
数
值
风险影响程度
量化值
风
险
等
级
风
险
评
价
风险可能性量
化值
图 1 IT企业运营风险评估流程
Fig. 1 IT enterprise operational risk assessment flow
上述运营风险评估流程中,风险矩阵是基础部分,其构建过程如下: 50
风险矩阵栏目的确定
本文根据 IT 企业运营风险评估的需要,在原始风险矩阵[4]的基础上作了改造,设计出
了适合 IT 企业运营风险评估的风险矩阵栏如表一所示:
表 1 IT企业运营风险矩阵栏目
Tab. 1 IT enterprise operational risk matrix column 55
风险类别
风险影响程度 风险发生可能性
风险等级 Borda 序值
量化值 等级 量化值 等级
风险类别的确定
为了保证 IT 企业运营风险类别的全面性,本文首先对 13位有多年工作经验的 IT 企业
管理人员进行了访谈,并对访谈结果进行了细致的分析总结,在结合《指引》对运营风险相
关规定的基础上,把中国 IT 企业的运营风险总结为 9个风险类别,如表二所示:
表 2 IT企业运营的风险类别与风险因素 60
Tab. 2 IT enterprise operational risk categories and risk factors
风险类别 风险因素
产品风险
产品定价不合理,导致销量不佳;营销能力差,导致产品新引力小;产品创新能力不足,
缺乏核心竞争力;产品设计周期长等
研发风险
技术研发规划制定不完善;研发技术人员与运营人员沟通不畅;研发进度管理不善;研发
成果产品化应用不足;创新能力不足等
采购风险
采购谈判中决策失误风险;供应商的信誉风险;原材料价格变动风险;采购产品质量风险;
采购中周期过长,影响其他部门工作进度等
外包风险
缺乏对外包商严格的评估,外包商服务质量不高;外包议价能力不足;缺乏规范合理的外
包标准;外包商可选性小等
- 3 -
中国科技论文在线
项目风险
项目申请周期长;项目开展过程中缺乏有效跟踪监控;缺乏必要的项目管理制度;项目进
度管理不严格;项目后评估执行不到位,评估标准不全面等
日常管理风险 公文的审批和保管存在漏洞;保密工作制度不完善;印章管理不严格等日常管理常见风险
信息管理系统风
险
信息系统变更和维护过程不规范;内部人员信息系统遭受非法攻击和访问;系统平台维护
不及时;信息系统设计不合理,使用效率不高等
品牌风险
缺乏专业品牌保护机制;缺乏品牌策略,品牌推广不到位;缺乏声誉维护机制;品牌意识
淡薄等
人才管理风险 离职率过高;技术人员创新能力不足; 人才招聘不及时;外包员工能力素质不高等
风险影响程度栏和风险发生可能性栏的说明
风险影响程度栏评估风险发生给企业造成的损失,分为轻微、次要、中度、严重和关键
5个等级[4],如表 3所示;发生可能性栏反映风险发生概率高低,分为极低、较低、中等、
较高、极高 5个等级,如表 4所示; 风险影响程度和风险发生可能性的具体量化值由专家组65
打分得到。
表 3 风险影响程度等级说明
The impact of risk rating description
风险影响等级 量化值 影响等级描述
轻微 0-1 风险的发生给企业带来很轻微的损失,损失很容易弥补
次要 1-2 风险的发生给企业带来轻度损失,损失较容易弥补
中度 2-3 风险的发生给企业带来一般程度损失,需一段时间去弥补
严重 3-4 风险的发生给企业带来较大程度损失,需较长时间才能弥补
关键 4-5 风险的发生给企业带来很大的损失,损失难以弥补
表 4 风险发生可能性等级说明 70
The likelihood of the risk rating description
风险发生可能性
等级
量化值 描述或说明
极低 0-1 风险极不可能发生
较低 1-2 风险发生可能性很小
中等 2-3 风险有可能发生
较高 3-4 风险发生的可能性很大
极高 4-5 风险极有可能发生
风险等级栏的说明
风险等级栏用来评估各类风险的风险等级,风险等级由风险影响程度和风险发生可能性
共同决定如表 5所示,根据表 5中风险等级分布情况对风险分为Ⅰ、Ⅱ、Ⅲ、Ⅳ四个等级[5]。
- 4 -
中国科技论文在线
表 6是对 4个风险等级的具体描述。 75
表 5 风险等级分布
The distribution of risk level
风险发生可能性等
级
风险影响程度等级
轻微 次要 中度 严重 关键
0-1 1-2 2-3 3-4 4-5
极低 0-1 Ⅳ Ⅳ Ⅲ Ⅲ Ⅱ
较低 1-2 Ⅳ Ⅲ Ⅲ Ⅱ Ⅱ
中等 2-3 Ⅳ Ⅲ Ⅲ Ⅱ Ⅰ
较高 3-4 Ⅲ Ⅲ Ⅱ Ⅱ Ⅰ
极高 4-5 Ⅲ Ⅱ Ⅱ Ⅰ Ⅰ
表 6 风险等级说明
Risk level description 80
风险级别 描述
Ⅰ级 高级风险 此类风险必须立即采取紧急防范措施
Ⅱ级 重要风险 此类风险应该重点防范
Ⅲ级 可容忍风险 此类风险应当尽快适度增加防控措施
Ⅳ级 可接受风险 此类风险只需要保持监测即可
Borda 序值栏的说明
当风险等级确定后,会出现多个风险类别属于同一风险等级的情况,这时就会出现了一
些风险结(风险结是指处于同一风险等级具有基本相同的属性还可以继续细分的风险事件),
为了让风险结中的风险能够进行重要性排序,以便为制定风险管理方案提供更有针对性的指
导,本文运用 ESC的研究人员提出的 Borda 序值法来解决风险结问题。具体运算方法如下: 85
设风险总数为 N;i表示风险总数中的第 i个风险;bi表示第 i个风险的 Borda数;k值
表示风险准则的个数,k=1对应风险影响程度准则,k=2对应风险发生可能性准则;Rik表示
第 i个风险在 k准则下,在 N 个风险中,较风险 i更为严重的风险的个数;Borda 数可由公
式(1)[6]计算得出:
bi=∑(N-Rik)(1) 90
计算出 bi后, 对 bi按照从小到大的顺序进行排列, 则 bi的 Borda序值为比该风险类别
的 Borda 数大的风险类别的个数,Borda序值越小表明风险越重要。
2 实际应用
本文通过上述风险评估流程对北京某 IT 企业运营风险进行了评估。该 IT 企业的业务涉
及了软件开发、数据业务运营、云计算技术研发等多个领域。目前该企业产品市场份额正稳95
步提高,业绩增长速度加快,正处于成长期阶段。
组建专家组和专家打分
为了为避免评估误差,专家组人数一般以 lO~12 人为宜[7]。结合专家组单数原则,本
例专家人数设定为 11人,其中包括 6名具有多年管理经验的 IT 企业管理人员、3名风险管
理咨询专家和 2名长期从事企业风险管理研究的老师共同组成。 100
打分前,首先向每位专家分别详细介绍了该企业的经营现状、经营计划、管理制度等信
息,然后请每位专家根据自己合理判断和自己长期的经验,结合表 3和表 4对该 IT 企业各
- 5 -
中国科技论文在线
类运营风险的风险影响程度量化值和风险发生可能性量化值进行了打分。
风险等级确定
在回收打分结果后,采用简单算术平均法计算出各风险类别的平均影响量化值和平均发105
生可能性量化值。各风险类别的打分结果如下:风险影响程度量化平均值分别(,,,
,,,,,),风险发生可能性量化平均值分别为(,,,,,,,,),
然后根据表 5中的风险等级分布确定了各风险类别的风险等级,将获得的数据填入风险矩阵
如表 7所示。
Borda 序值的确定 110
由表 7可知,本例中出现了风险结问题,处于Ⅱ级风险的有 5个风险,处于Ⅲ级风险的
有 4个风险。为了解决风险结问题,需要计算各风险的 Borda序值。
运用公式(1)计算出各风险类别的 Borda数分别为(10,14,5,16,15,8,6,4,13),由 Borda
数计算出每个风险类别的 Borda序值,它是结合风险影响和风险发生可能性的序列对所有风
险的排序,结果如表 7 所示。 115
根据表 7中的 Borda序值对该企业的运营风险按重要性大小从大至小排序,其结果是:
外包风险、项目管理风险、研发风险、人才管理风险、产品风险、日常管理风险、信息管理
系统风险、采购风险、品牌风险,该企业目前应重点关注外包风险、项目管理风险、研发风
险、人才管理风险和产品风险。
表 7 北京某 IT企业运营风险矩阵 120
Operational risk matrix of one Beijing IT enterprise
风险类别
影响程度 可能性
风险等级 Borda序值
量化值 等级 量化值 等级
产品风险① 严重 中等 Ⅱ 4
研发风险② 严重 较高 Ⅱ 2
采购风险③ 次要 较低 Ⅲ 7
外包风险④ 严重 较高 Ⅱ 0
项目管理风险⑤ 严重 较高 Ⅱ 1
日常管理风险⑥ 次要 较高 Ⅲ 5
信息管理系统风险⑦ 中度 较低 Ⅲ 6
品牌风险⑧ 中度 较低 Ⅲ 8
人才管理风险⑨ 严重 中等 Ⅱ 3
3 通过风险地图对风险进行分类评价
为了更好对上述北京某 IT 企业各类运营风险在影响程度和发生可能性两个维度进行分
析,使风险更直观展示出来,绘制了该 IT 企业的运营风险分布地图[8],如图 2所示。将表 7
中的 9个风险类别归类到各象限中,通过对这些风险类别进行分类后, 有助于管理人员认清125
风险处理的优先级,对后续的风险管理有重要指导作用。
- 6 -
中国科技论文在线
风险影响程度
风
险
发
生
的
可
能
性
0 3
3
5
5
Ⅰ
Ⅳ
Ⅱ
Ⅲ
②
⑤
⑨
④
⑧
⑥
③
⑦
①
图 2 北京某 IT企业运营风险地图
Fig. 2 Operational risk map of one Beijing IT enterprise
1) 象限Ⅰ中的风险是该企业应重点关注的风险,例如该企业的外包风险、项目管理风130
险和研发风险,这些风险发生可能性很高而且影响严重。该 IT 企业需要采取必要措施以降
低这些风险发生的可能性或降低影响程度。
2) 象限Ⅱ中的风险一般发生概率很高,但是影响程度不大,如该企业的日常管理风险。
这类风险需要采取一定控制手段以降低风险降低发生的频率。
3) 象限Ⅲ中的风险发生可能性和影响程度都很低,如该企业的采购风险、信息管理信135
息系统风险和品牌风险。这类风险不需要立即采取应对措施,但需要定期的监控以防止该类
风险转化为其他象限的风险。
4) 象限Ⅳ中的风险发生的可能性虽然不高但是影响程度很严重,如该企业的产品风险
和人才管理风险,这类风险需要提前采取预防措施,以减低后果严重性。
4 结论 140
本文在总结前人关于风险管理研究成果的基础上,对风险矩阵方法在中国 IT 企业运营
风险评估中的应用进行了探讨。结果表明,基于风险矩阵的评估流程具有操作简便、相对客
观和模块化的特点,适用于具有复杂性、综合性等特点的中国 IT 企业运营的风险评估。通
过该评估流程对中国 IT 企业运营风险进行评估对后续风险管理工作有重要指导作用,可以
提升企业风险管理效率。 145
[参考文献] (References)
[1] 王旭香,童利忠,李国祥. 企业运营风险管理的研究[J]. 中国市场,2008,(1):48-49
[2] 鲁昌荣.企业整体运营风险研究[D].南京:东南大学,2009.
[3] 李素鹏.风险矩阵在企业风险管理中的应用[M]. 北京:人民邮电出版社,2013.
[4] Garvey P R,LansdowneZ Approach for Identifying,Assessing,and Ranking Program 150
Risks[J].Air Force Journal of Logistics,1998,25:16-19.
[5] COOPER D Australian and New Zealand standard on risk Management,AS/NZS 4360:2004 [Z] Tutorial
Notes:Broadleaf CapITal International Pty Ltd,2004.
[6] Lansdowne Z F. Risks matrix:An approach for prioritizing risks and tracking risk mitigation
progress[A].Proceedings of the 30th annual project management institute 1999 seminar & symposinm 155
[C] ,Philadelphia. USA.
[7] 党兴华,黄正超,赵巧艳. 基于风险矩阵的风险投资项目风险评估[J].科技进步与对策,2006,23(1):
140-142.
[8] 付 沙,肖叶枝.风险矩阵法在校园网络系统风险评估中的应用[J].海南大学学报(自然科学版),2011,
29(2):151-156 160
