网络安全企业核心竞争力指标初探

王滢波

网络安全企业核心竞争力指标初探

王滢波

网络强国战略的提出为我国网络安全产业创新发展带来重大机遇。未来，我国网络安全企业在人才、技术和市场的国内外竞争将更加激烈，如何在开放竞争的市场环境下科学认识我国网络安全企业的竞争能力，以此为基础推动我国网络安全产业的整体提升，将决定我国网络安全的全局。本文对企业核心竞争力理论进行系统介绍，并结合网络安全产业的特点，尝试对网络安全企业的核心竞争力进行指标设计，为我国网络安全企业发展标杆评价提供理论支撑。

企业核心竞争力概念及其特征

1990年，普拉哈拉德（C.K.Praha1ad）和哈默尔（G.Hame1）在《哈佛商业评论》上发表“公司核心竞争力”一文，认为核心竞争力是一种能力，而非一种结果，即公司能够充分利用现有可用资源实现竞争优势的能力，由此引起学术界和产业界对核心竞争力研究热潮。不同于传统的由外而内战略（波特的五力分析模型等），核心竞争力理论更加重视由内而外，认为企业的长期竞争力不在于市场、消费者、竞争对手等外部因素，而在于内部各种因素的协同所产生的合力。这种协作力会带来具有竞争力的产品，而非相反。根据普拉哈拉德核心竞争力的“树型理论”：企业就像一棵大树，树的根部是核心能力，树干就是由核心能力衍生出的核心产品，树枝则是公司的业务单元，树叶是公司的最终产品。产品只是核心能力的实物体现和物质载体。提供养分，滋养树身的根部才是公司的核心竞争力。核心产品并非核心竞争力。例如，新近崛起的安全上市公司Fireeye专注于应对APT攻击，提供针对APT攻击的各种防护攻击的服务，其核心竞争力并不表现在其现有的产品和业务上，而是在后台预防和应对APT攻击的研发能力以及随着APT攻击方式的变化而相应做出改进的弹性架构和开发能力上。

普拉哈拉德和哈默尔认为核心竞争力具有以下三个特性，本文结合中国网络安全龙头企业奇虎360对这些特性进行分析。

第一，市场适应性，指有助于公司进入不同的市场，能成为公司扩大经营的能力基础。例如奇虎360公司以安全作为入口，以免费的安全软件对用户进行导流，提供从浏览器、软件服务、智能硬件等各种衍生服务和产品。这种立足于安全并能够快速扩展的商业模式就是奇虎360的核心竞争力。我们可以将这种性质称为通用性或适用性。

第二，价值可感知性，即应对最终产品为客户带来的可感知价值具有重大贡献。以奇虎360公司为例，在赛门铁克、金山、迈克菲等对客户使用安全软件进行收费时，360率先推出了免费的杀毒和安全软件，而且性能并不输于这些竞争对手，对客户的价值不言而喻。能够为客户提供更具性价比的产品和服务是公司核心竞争力的直观表现。我们可以将这种性质称为价值性。

第三，难以模仿性，也称竞争壁垒性，即企业能力难以被竞争对手所复制和模仿。核心竞争力应该是一种复合能力，是多种技能和资源的巧妙融合，因此难以被竞争对手模仿和超越。360模式的核心是依靠安全作为入口，构建一整套彼此关联又能相互促进的生态系统。这一模式是各种不同能力的复杂组合，而且一旦用户数量达到一定规模，生态系统成型，产品之间的彼此依赖关系就会形成天然的壁垒，使后来者难以模仿和超越。

除了上述三点以外，我们认为核心竞争力还应该是可演进的，是一种动态而非静态的能力，也就是说可以根据市场环境的变化而快速进行调整和学习，以适应市场，推出具有竞争力的产品和服务的能力。

企业核心竞争力的评价方法

目前国内外有关核心竞争力评价的方法可分为定性描述法、定量法、定量和定性相结合法三种类别。

定性法：核心方法是通过文字或图表对企业的核心竞争力进行定性的描述和解释。代表人物包括普拉哈拉德（1990）、克莱因（R.S.C1ine，1998）、凯斯乐(B . Kies1er，1993)和赵耀文（2006）等，例如，普拉哈拉德提出了衡量企业核心竞争力的三个标准。

定量法：采用可严格度量的指标对核心竞争力进行评估。例如帕特尔（P.Pate1，1997）、普利埃斯特（1998）提出的专利指标评估法。

定性与定量相结合。半定量法：首先建立一个指标体系，然后对指标体系进行主观评分并根据不同的权重进行计算。代表人物有卡普兰（R.S. Kap1an，1990）的平衡计分卡法、梅耶(M.H.Meyer，1993)的平台法、杜兰德(S. Durand，1997)的五要素法以及汉德森（R.Henderson,1994）提出的元件结构法。

纯粹定性的描述因为缺乏明确的量化指标而科学性存疑，因此目前主要使用的是后两种方法。

对于核心竞争力的评价一般涉及两个步骤，第一步是如何按照核心竞争力的标准对核心竞争力进行分解，构建合理的多级指标体系。指标体系可划分为一级、二级，甚至三级指标。第二步是为不同等级的指标赋予不同的权重，再根据不同的权重进行计算得出最终的核心竞争力数据。

对于如何设计具体指标，不同学者给出了不同的答案。例如帕特尔（1997）、普瑞恩斯普（1997）和普瑞斯（K.Preiss，1998）等学者侧重于利用专利指标来研究核心竞争力问题。帕特尔利用美国专利局的数据，对世界400多家最大企业所申请的专利数量进行了分析，并据此建立了一个企业技术分布图（见图1所示）。

图1 : 帕特尔企业技术分布图

该方法将企业申请的专利划分为34个技术领域，PS是企业在每个技术领域的专利数在这34个领域中所占的份额，3%是平均数，超过3%代表该技术对企业更加重要。RTA为显在技术优势，等于企业在每个技术领域中的专利份额除以企业在34个领域的总专利数与全部专利数的比率。企业分配资源较多、相对优势较明显的既是企业的核心竞争力所在，也就是图中的第1象限。

梅耶等（1993）则将公司的核心能力分解为产品技术、对用户需求的理解能力、分销能力和制造能力四个维度。他们建议组建一个产品小组，邀请小组成员对这四个维度进行打分，然后再对这四个维度赋予不同的权重进行加权平均，得出公司的综合竞争力量化指标。

杜兰德（1997）将企业核心能力分解为卓越资产、认知能力、程序与常规、组织结构、行为与文化五个维度，然后对这个五个维度分别进行主观评分，再加权平均计算出最终的核心竞争力指数。

汉德森（1994）则将核心竞争力分解为元能力和框架能力。元能力是指解决问题的基础能力和知识，框架能力是指有效利用元能力以及开发新元能力所需的能力。

哈佛大学教授卡普兰与诺朗顿研究院的执行官诺顿（D Norton）在1990年提出了一种平衡积分卡法。平衡计分卡的指标设计包括四个方面：财务指标、客户相关指标、内部经营流程指标、学习和成长指标。财务指标用于衡量公司的盈利能力，一般常用的指标包括EBIT（息税前利润）、营业收入、ROA（资产回报率）、ROE（净资产回报率）等；客户相关的指标包括按时交货率、客户满意度、客户保持率、客户获得率以及在目标市场中所占的份额；内部经营流程指标包括诸如经营周期等流程的有效性和合规性相关指标；学习与成长层面指标包括员工培训、员工满意度、员工流失率等相关指标。在设计指标时力求使平衡计分卡中不同层面的指标能够互相印证和支持。

指标赋权的方法可以分为主观赋权法和客观赋权法两种，其中主观赋权法主要包括层次分析法（AHP法）和专家打分法（德尔菲法）。客观赋权法主要包括主成份分析法、因素分析法和熵权法等。

网络安全企业的特质

作为新兴产业门类，IT企业具有有别于传统企业的特征：

一是具有网络效应，也称网络外部性，这是卡茨和夏皮罗（M.Katz & C.Shapiro，1985）提出的一个重要概念，意为一个产品使用的人数越多，对其他用户的价值就越大，比如说微信，使用的人越多，我们和他人通过微信联系就越方便，微信的价值也就越大，也就会吸引越来越多的人加入。IT企业的这种特质使得IT企业在竞争中很容易进入寡头状态，也就是说一家独大，赢者通吃。

二是规模收益递增，或者说边际成本递减。IT企业一般初期的研发、建设、营销投入巨大，但新增用户的边际成本几乎为零。以脸谱为例，基本的网络建成以后，新增一个用户几乎没有任何边际成本，而其所带来的边际收益则会呈指数上升。因此对于IT企业来说，规模是决定能否盈利的重要因素。

三是高成长性。现代信息通讯技术具有典型的马太效应，无论是IT企业或是互联网企业，其成长性远较传统企业更为迅速。以优步和小米为例，都是在2-3年的时间里从初创企业迅速成长为估值达到500亿美元以上的巨无霸。在非互联网时代，这种情况几乎不可能出现。

四是路径依赖。这也是IT系统的一个重要规律。IT系统集合了大量的软件和硬件，在使用之前需要进行大量的培训和学习，一旦使用，就不易改变。最初的选择可能并非最好的，但由此而产生的依赖却会赋予相关厂商无可动摇的市场地位。这一点也是IT企业和传统产业的一个巨大差异所在。传统产业可能完全是基于性价比的竞争，产品之间的替代成本很低，最终是最优质的产品取胜，而IT行业则不完全如此。例如Windows系统和苹果的MAC系统，一旦先入为主，就很难切换到另一个系统中，不仅是因为操作习惯，更因为很多配套的软件都存在兼容性问题。

作为IT产业一个分支领域，网络安全行业除了上述特征外，还具有以下独特性：

一是以核心技术为基础。IT企业，特别是互联网企业，不少通过商业模式取胜，例如腾讯、阿里、大众点评、京东等，而网络安全企业的核心是技术，商业模式难以起到决定性的作用。如果没有核心技术，网络安全企业几乎不可能生存。例如Fireeye的核心技术是应对APT攻击的防护技术，Pa1o A1to网络公司的核心技术是下一代防火墙，赛门铁克的核心技术是抗病毒技术。技术在网络安全企业竞争力中的作用十分重要。

二是与国家安全利益攸关。网络安全已经成为各国国家安全的一个重要组成部分，国家安全保障需求很大程度上决定了安全企业的发展空间。与国家安全直接相关的本国企业更容易得到国家扶持而发展壮大。仍以Fireeye为例，其基石投资者即包括美国中情局下属的风险投资基金IN-Q-TEL，Fireeye也藉此获得了众多政府订单，受到资本市场热捧。这也决定了未来的国家级竞争能力的安全企业巨头最有可能在中、美、欧、俄之间产生。

网络安全企业核心竞争力评估指标

结合核心竞争力理论和网络安全企业的特性，我们将网络安全企业的核心竞争力分解为以下六个方面：

1. 卓越的技术研发能力，可采用学历构成、研发投入比、专利数量等指标进行衡量；

2. 强大的适应和演进能力，可通过企业的营业收入波动率、利润波动率、市场份额波动率等指标进行衡量；

3. 较高的行业壁垒（初期投入，生态系统），可通过初期投入规模、技术难度评价等指标衡量；

4. 强大的国家背景和良好的政府关系，可通过国家GDP、股东背景、既有政府订单等指标衡量；

5. 稳健的财务能力，可通过资产负债率、资产回报率、现金流、现金和现金等价物等指标进行衡量；

6. 良好的组织能力，可通过员工流失率、产品市场占有率、生产和销售比率等指标进行衡量。

这六种因素相互作用，共同构成了网络安全企业的核心竞争力。在具体指标的选择和设计上，我们兼顾了科学性与数据可获得性的原则，放弃了一些具有明显指标性意义而又难以获得数据的指标，例如企业的专利转化率等。

表1 网络安全企业核心竞争力评估指标

营业收入波动率计算最近5年营业收入的标准差公开数据适应和演进能力利润波动率计算最近5年利润收入的标准差公开数据市场份额波动率公开数据计算最近5年主打产品所占市场份额的标准差市场技术难度评价（产品可替代性）（技术）将技术难度划分为5个级别，邀请专家进行打分行业壁垒认证资质难度（政策）将认证资质难度划分为5个级别专家调研初期投资规模（资金）最初需要的启动资金规模专家调研规模效应规模效应的强弱公开数据国家GDP规模公开数据国家背景依据国家GDP划分为5个等级（1.美国；2.中国、欧盟、俄罗斯、以色列；3. 日本、英国；4. 印度、巴西、南非；5.其他国家股东背景根据股东背景划分为国有独资、国有控股、国有参股、民营独资四个类别。公开数据政府订单占比政府订单金额除以总营收公开数据

资产收益率净利润除以总资产公开数据盈利能力指标净资产收益率净利润除以净资产公开数据利润率利润额除以销售额公开数据总资产周转率销售收入/总资产公开数据资产质量指标应收账款周转率销售收入/应收账款余额公开数据总负债/ EBITDA负债/息税折摊前收入公开数据财务能力资产负债率负债总额/资产总额公开数据偿债能力指标现金流动负债比率经营现金净流量/流动负债公开数据经营活动现金流净额经营活动现金净流入-经营活动现金净流出公开数据市盈率股价/每股收益公开数据经营增长指标销售增长率当期销售额/上期销售额公开数据利润增长率当期利润/上期利润公开数据

注：以上所有指标均为近三年的指标，以反映竞争力的变化趋势。

结语

企业的核心竞争力是一种能力而非结果，是公司多种能力的合力，而非最终的产品和服务。网络安全企业作为IT产业的一个细分类别，具有与其他传统行业以及新兴行业诸多不同的一些特性。本文基于网络安全企业的六大特性，尝试对网络安全企业的核心竞争力进行分解，构建相关的指标体系，力求能够较为客观地反映出网络安全企业在整体行业谱系中的发展水平。需要指出的是，本文只是对网络安全企业核心竞争力研究的初次尝试，后续还有更多的问题需要研究，例如不同指标的赋权，数据的分析和整理，科学性的保证等。

（作者单位：上海社会科学院信息研究所）