衡量前的議題

1. 這項衡量要支援什麼決策？
2. 要衡量的事物，若用可觀察到的結果來定義，會是什麼？
3. 這個事物如何影響相關決策？
4. 關於這項衡量，你目前所知有多少？（也就是，目前的不確定程度為何？）
5. 額外資訊的價值為何？

在【CH4. 釐清衡量問題】中，作者討論的對象是前 3 題。

名詞釐清

• 不確定性：
  • 沒有完全確定，也就是「有一個以上的可能性」
  • 真正的後果/狀態/結果/價值是未知的
• 不確定性的衡量：
  • 為一組可能性指派一組機率
  • 例如「這個巿場有 60% 的機會在五年內成長超過一倍，有 30% 機會慢速成長；有10% 的機會萎縮」
• 風險：
  • 不確定的狀態，這些狀態會涉及損失或任何不想要的結果
• 風險的衡量：
  • 就一組可能性，定義量化的機率和量化的損失
  • 例如「我們相信油井會有 40% 的機會乾涸，而其損失是 1200 萬美元的開採成本」
  • 風險降低必然表示某些「特定事件」的發生機率，或嚴重程度（損失）降低了。

案例討論： IT 防護

作者用了 IT 防護的理論，來將「防護」這個客體分解成相關的部件。

緣起

美國政府某部門想要投資的 IT 防護計劃，邀請作者找出績效指標，來為投資項目進行評估。

問題 1：這項衡量要支援什麼決策？

• 決定投資提案是否可行
• 以及執行完成後，「防護」是否改善，改善程度是否支持進一步投資/或干預

問題 2：要衡量的事物，若用可觀察到的結果來定義，會是什麼？

在情境中，真正問出來的是「所謂的『IT 防護』究竟是什麼意思呢？」

子問題是：

• IT 防護的「改善」看起來是什麼樣子？
• 如果變好或是變壞，我們會看到哪些不同？
• 進一步來說，IT 防護的「價值」到底是什麼？

Step 1：所謂的「IT 防護」究竟是什麼意思呢？

在此例中，在第 1 次會議時，人們很快發現他們對「IT 防護到底是什麼」，並沒有明確的共識範圍。

經過討論，人們認為「IT 防護的改善」的意思是：

• 特定不良事件的發生頻率降低，或
• 特定不良事件的嚴重程度減少

而每一項系統提案都會降低某件事件的頻率和嚴重程度，整理如下圖：

Step 2：在你觀察「IT 防護改善」時，你要衡量些什麼？

有了上表以後，人們確定想要看到的是——上表事件的發生頻率 & 衡擊的降低。

在有這張表以前，原本的衡量對象是：

• 完成特定防護課程的人數
• 安裝防護系統的電腦台數

沒有針對成果做衡量，集中在「容易衡量」的事情上。

開始衡量一些非常特定的事物

作者以「電腦病毒攻擊」為例，此時參照了費米提問（對一個似乎算不出來的量，運用已知數字拼湊和推測，將大問題化為小問題，再逐個估算近似值）來發問：

• 平均多久發生一次病毒攻擊事件
• 攻擊發生時，多少人受到影響
• 受到影響的人，生產力比正常水準降低多少
• 停工持續多久
• 在所有的生產力損失中，勞動損失成本有多少

算式為

病毒攻擊的年平均成本 = 攻擊次數 x 平均受影響人數 x 平均生產力損失 x 平均工時 x 每年勞動成本/2080小時

經過機率評估後，專家得出以下估算，此時的進度是「用機率和範圍量化了不確定性」。計算方法會在下一章討論。

閱讀進度：71->87/394 頁。
昨天還在「只要 5 個數就好」和「起立拍手次數也可以唷」，接下來就進入赤裸的統計領域了orz