继我两周前发表的文章之后，这是一种风险、原因还是后果？，我收到了一个非常相关的问题，阿里大数据，并决定与大家分享："既然我们知道了需要评估的内容，那么您对要使用的量表有什么建议？"

我知道假期过后与量表相关的讨论对我们大多数人来说都是一个微妙的话题，但让我向您保证，这些量表更容易调整。

在评估风险时，通常有两个量表需要记录和商定：

可能性-记录风险在可预见的未来发生的可能性；影响-记录风险显现时可能造成的损害程度。

另一个标准可以是"速度"或风险真正扩散的速度。在这篇文章中，我将不讨论velocity，但我确实打算把它作为一个单独的主题放在以后的文章中。

从哪里开始？

在这里，让我提出一种通常与大多数人的想法相反的方法。在大多数情况下，影响和可能性的尺度直接决定了风险矩阵中的行数和列数。例如，一个五级影响和可能性量表将产生一个5乘5矩阵。

当然，可以有对应和映射，所以你可以决定去相关你的量表和矩阵中的级别数，网站自助建站系统，但对我来说，这只是让非专家更难理解。如果他们在矩阵上看到与他们用于风险评估相同的量表，他们可以很快了解他们的风险定位。

因此，从设计风险矩阵开始。这将为您提供每个量表需要记录的级别数。

可能性量表，可能性有多大？

现在您知道需要多少级别，使用内部和外部事件存储库来确定事件发生的频率。对于核心业务或可预测的风险，例如质量缺陷，内部记录的事件就足够了。使用这些信息和概率分布将帮助您计算平均值，即1到5的等级3。然后，应用确定性阈值可以确定较低的值和较高的值。因此是1级和5级。第2级和第4级可以是第1级到第3级和第3级到第5级之间的平均值。对于数据较少的其他风险，请将内部记录的事件与外部事件数据库或分析报告结合起来，以获得更完整的图像，帮助您计算"真实"平均值。

影响规模，可能有多严重？

对于影响，除了处理记录的事件外，我个人建议向最高管理层征求意见。对于每个业务部门，管理人员应能够提供可接受的风险水平（容忍度）和重要性阈值（需要记录的风险和事件）。再举一个1到5分制的例子，风险承受能力将为您提供平均值，轻淘客旗舰版，因此为3级。实质性阈值为2级，因为1级处理的是本质上无关紧要的所有风险。4级是管理层启动应急计划的门槛。第5级将是任何高于此级别的级别，并在危机或降级模式下进行管理。

下一步怎么办？

现在唯一要做的就是决定风险矩阵中每个单元格的颜色。

这可能被认为是徒劳的练习，但实际上意义重大。我见过许多案例，其中有一个强大的重点是"红区"的风险，每个人都知道，但完全省略了"黄区"，多线云主机，我个人认为更值得注意。事实上，通过一些合理的应对策略，这些风险可以降低到"绿色地带"，在那里它们的危险性更小。但如果不加以监控或管理，处于"黄区"的风险会迅速蔓延到"红区"，建站论坛，成为严重威胁。

你呢，你是如何定义你的风险管理规模的？