如何衡量万事万物 (3) 厘清问题 & 量化不确定性

衡量前的议题

1. 这项衡量要支援什麽决策？
2. 要衡量的事物，若用可观察到的结果来定义，会是什麽？
3. 这个事物如何影响相关决策？
4. 关於这项衡量，你目前所知有多少？（也就是，目前的不确定程度为何？）
5. 额外资讯的价值为何？

在【CH4. 厘清衡量问题】中，作者讨论的对象是前 3 题。

名词厘清

• 不确定性：
  • 没有完全确定，也就是「有一个以上的可能性」
  • 真正的後果/状态/结果/价值是未知的
• 不确定性的衡量：
  • 为一组可能性指派一组机率
  • 例如「这个巿场有 60% 的机会在五年内成长超过一倍，有 30% 机会慢速成长；有10% 的机会萎缩」
• 风险：
  • 不确定的状态，这些状态会涉及损失或任何不想要的结果
• 风险的衡量：
  • 就一组可能性，定义量化的机率和量化的损失
  • 例如「我们相信油井会有 40% 的机会乾涸，而其损失是 1200 万美元的开采成本」
  • 风险降低必然表示某些「特定事件」的发生机率，或严重程度（损失）降低了。

案例讨论： IT 防护

作者用了 IT 防护的理论，来将「防护」这个客体分解成相关的部件。

缘起

美国政府某部门想要投资的 IT 防护计划，邀请作者找出绩效指标，来为投资项目进行评估。

问题 1：这项衡量要支援什麽决策？

• 决定投资提案是否可行
• 以及执行完成後，「防护」是否改善，改善程度是否支持进一步投资/或干预

问题 2：要衡量的事物，若用可观察到的结果来定义，会是什麽？

在情境中，真正问出来的是「所谓的『IT 防护』究竟是什麽意思呢？」

子问题是：

• IT 防护的「改善」看起来是什麽样子？
• 如果变好或是变坏，我们会看到哪些不同？
• 进一步来说，IT 防护的「价值」到底是什麽？

Step 1：所谓的「IT 防护」究竟是什麽意思呢？

在此例中，在第 1 次会议时，人们很快发现他们对「IT 防护到底是什麽」，并没有明确的共识范围。

经过讨论，人们认为「IT 防护的改善」的意思是：

• 特定不良事件的发生频率降低，或
• 特定不良事件的严重程度减少

而每一项系统提案都会降低某件事件的频率和严重程度，整理如下图：

Step 2：在你观察「IT 防护改善」时，你要衡量些什麽？

有了上表以後，人们确定想要看到的是——上表事件的发生频率 & 衡击的降低。

在有这张表以前，原本的衡量对象是：

• 完成特定防护课程的人数
• 安装防护系统的电脑台数

没有针对成果做衡量，集中在「容易衡量」的事情上。

开始衡量一些非常特定的事物

作者以「电脑病毒攻击」为例，此时参照了费米提问（对一个似乎算不出来的量，运用已知数字拼凑和推测，将大问题化为小问题，再逐个估算近似值）来发问：

• 平均多久发生一次病毒攻击事件
• 攻击发生时，多少人受到影响
• 受到影响的人，生产力比正常水准降低多少
• 停工持续多久
• 在所有的生产力损失中，劳动损失成本有多少

算式为

病毒攻击的年平均成本 = 攻击次数 x 平均受影响人数 x 平均生产力损失 x 平均工时 x 每年劳动成本/2080小时

经过机率评估後，专家得出以下估算，此时的进度是「用机率和范围量化了不确定性」。计算方法会在下一章讨论。

阅读进度：71->87/394 页。
昨天还在「只要 5 个数就好」和「起立拍手次数也可以唷」，接下来就进入赤裸的统计领域了orz