下载掌阅APP,畅读海量书库
立即打开
虽然我们可以互相笑着引用聪明政客的说法:谎言、该死的谎言和统计数字!但仍有一些简单的数字反映了最基本的事实,就连最狡猾的人也不能诡辩和躲避。 (英国皇家统计学会会长 伦纳德·考特尼)
面对明显困难的量化工作,写成书面文本是有益的。在进行量化前,需要回答以下问题:
在本章,我们将焦点集中在前3个问题上。一旦回答了前3个问题,就可确定我们对于不确定的事物已经知道什么以及不确定性的风险大小和进一步减少不确定性的价值,这是第5、6、7章的内容。在我的应用信息经济学方法中,无论作什么性质的量化,这些都是我要问的第一批问题。回答完这些问题后,对于组织而言,应该如何量化、量化什么,经常会彻底改变。目前,应用信息经济学方法已经被应用于各大组织的60多个大型决策和量化难题中。
前3个问题定义了量化要支持什么决策以及在此框架下到底要量化什么。 如果一项量化工作至关重要,那是因为它会对决策和行为产生一些可感知的效果;如果一项量化工作不能影响或改变决策,那它就没有价值。
例如,如果你想量化产品质量,不仅需要问哪些事物受它影响,还要问“产品质量是什么意思”这个更一般的问题。你是为了用产品质量信息决定是否改变制造流程吗?如果是,在改变流程前,质量差到什么程度?你是为了用质量管理程序计算管理人员的奖金吗?如果是,计算公式是什么?所有这些,首先都依赖于你对质量的精确了解。
20世纪80年代末,当时我在美国八大会计公司之一的永道公司(Coopers & Lybrand)的管理咨询服务部门工作,为一家小型地方银行提供咨询服务。这家银行正为如何理顺它的报表流程发愁。它一直在用缩微胶片系统存储每周从各分支机构收集的60多张报表,其中绝大部分都是随意收集的,并不为了满足日常管理需要。收集这些报表是因为有个管理人员觉得他们需要知道这些信息。那段时间,虽然Oracle公司( 知名管理软件厂商,也是世界第二大独立软件公司。——译者注 )的一个优秀程序员说,收集和管理这些报表相当容易,但在当时,要如何及时高效管理这些报表,已成为一个大负担。
当我询问银行管理者这些报表支持什么决策时,他们只能找出为数不多的几项,说明这些随意收集的报表改变了或者可以改变某项决策,而那些没有和真正的管理决策产生联系的报表甚至几乎很少有人去读。这也许并不令人惊讶,虽然有人一开始要求得到每一份报表,但初始需求显然被人们忘记了。一旦管理者意识到很多报表和决策根本没有联系,他们就会懂得那些报表肯定没有价值。
几年之后,美国国防部长办公室的工作人员提出了一个类似的问题,他们对数量庞大的每周报告和月度报告的价值感到困惑。当我问他们是否可以确定每份报告确实影响了某个决策时,他们发现相当多的报告对任何决策都没有影响,因此,这些报告的信息价值也是零。一旦我们定义了术语,知道决策是怎样受到影响的,我们仍有两个问题要解决:
第一,你现在对此知道多少?
第二,它是否值得量化?
你必须知道什么是值得量化的,因为对每年价值1 000万美元的量化工作和每年100万美元的量化工作的质量要求是完全不同的。除非我们知道现在已了解多少,否则我们无法计算量化的价值。
在接下来的章节里,我们将讨论一些实例,以回答这些问题。当探讨这些关于量化之前的话题时,我们需说明一点,对不确定性、风险和信息的价值等问题的回答,本身就是有用的量化。
正如前面讨论的那样,为了量化某事物,有必要彻底弄清楚我们要谈论的事物到底是什么以及为什么要量化它。量化信息技术的安全性就是一个好例子,现代任何商业都和它有关,在对其进行量化之前需要进行大量的澄清讨论工作,同样的基本原则也适用于术语“风险”(Risk)和“不确定性”(Uncertainty)。为了量化信息技术的安全性,我们需要问这样的问题:我们所说的“安全”到底是什么意思?哪些决策会依赖于我们对安全性的量化?
对绝大多数人来说,安全性的增加并不仅仅意味着谁参加了安全培训,也不意味着多少台桌面电脑安装了新的安全软件。安全性好,某些风险就应该减少,如果是这样,我们还需要知道风险是什么意思。实际上,这就是我以信息技术的安全性为例子的原因。要弄清这个问题,需要我们同时弄清楚“不确定性”和“风险”这两个词的意义。它们不仅是可量化的,而且一般来说,也是理解量化的基础。虽然风险和不确定性经常被认为是不可量化的,但一些蓬勃发展的行业会依赖于对两者的量化,而且还例行公事地经常量化,其中一个向我咨询过的行业就是保险业。
我记得有一次在为一家总部在芝加哥的保险公司的IT主管作商业案例分析时,他说:“道格拉斯,IT的问题在于它有风险,而且没办法量化。”我回答说:“你为保险公司工作,在这栋房子里你有整整一层楼的精算师,你觉得他们整天都在忙什么?”他显示出一种顿悟的表情,突然意识到在一家将被保事件的风险作为日常量化工作的公司工作,声称风险不可量化是不合时宜的。
对于不确定性和风险的意思和区别,某些专家也觉得有些模糊。看看芝加哥大学的经济学家富兰克·奈特(Frank Knight)在20世纪20年代早期说过的话吧:
必须在某种意义上把“不确定性”和通常所说的“风险”的意思严格区分开,而以前从未这么做过……最本质的事实是,风险在某些情况下意味着在数量上对量化的怀疑,虽然在某些情况下不是这样。依赖于不确定性和风险的现象所体现出来的意义,有着深远和本质的区别。
因此当定义术语时,精确地理解我们需要支持的决策非常重要。在上文中,奈特说的是某些人在使用“风险”和“不确定性”这两个词时具有多义性和模糊性,但这并不意味着我们也要多义和模糊。实际上在决策科学中,这些术语都以相当明确和一致的方式被说明过。不管有人会如何使用这些术语,我们可以选择和我们不得不作的决策相关的方式来定义它们:
不确定性 缺乏完全的确定性,也就是说,存在超过一种可能,例如人们不知道的真实的输出/结果/状态/价值。
不确定性的量化 为结果集合中的各种可能结果赋上相应的概率。例如,在未来5年,这个市场有60%的可能至少增加1倍,有30%的可能以较低速度增长,市场萎缩的可能性是10%。
风险 不确定性的一种状态,该状态包括出现亏损、崩溃或其他不希望结果的可能性。
风险的量化 可能性的一个集合,每种可能性都有相应的发生概率和损失量。例如,“我们相信那口油井有40%的可能是干的,相应的钻探成本的损失为1 200万美元。”
我们过一会儿就会知道怎样量化风险和不确定性,现在至少已经定义了我们的意思,这永远是量化的先决条件。我们选择这些定义是因为它们和我们这里用到的量化实例最为相关:安全和安全的价值。
正如我们将看到的那样,当讨论任何其他类型的量化难题时,这些定义也是最有用的。至于其他人会不会继续使用模棱两可的术语,进行无休止的哲学辩论,面临两难选择的决策者是不关心的。
例如,英语中的单词“力”(Force)在牛顿给它数学定义之前,就使用了几百年了。今天,“Force”有时会和“Energy”(能量,活力)或“Power”(能力,能量)交替使用,但物理学家和工程师是不会这么做的,当飞机设计者使用这个术语时,他们就已经精确地知道这个词语的意思了。
既然我们已经定义了不确定性和风险,那么我们就有了定义安全等术语的一个更好的工具箱了。当我们说安全性已经得到提高时,一般的意思是某些特殊的风险已经降低了。
如果我使用刚才对风险的定义方法,就可以说风险的减少必定意味着一些危险事件发生的可能性或严重性降低了。下文将提到,我曾经帮助美国退伍军人事务部量化过总规模为1亿美元的IT安全投资,用的就是这种方法。
很多政府人员把商界想象成一个靠激励驱动效率和动机的近乎谜一样的世界,在这个世界,害怕出局的恐惧让每个人都不停地工作。我经常听政府工作人员悲哀地抱怨说,他们的效率不如商界高。对商界人士来说,政府是官僚主义、缺乏效率的同义词,政府里的人整天庸碌无为,直至混到退休为止。我在商界和政界都做过很多顾问工作,我想说彼此对彼此的概括都不完全正确。我认为商界可以从政府机构学到很多东西,无论哪边的人都对我这一观点表示惊讶。事实是,结构宏大的大型商业机构至今都有完全脱离经济现实的工作人员,而且他们的工作和政府里的工作一样官僚化。而且我敢保证,作为史上最大的官僚机构,美国联邦政府也有很多充满动力和激情的员工。因此除了商界案例,我也会把我的一些政府客户的案例作为重要案例来讲解。
现在说说退伍军人事务部的IT安全量化项目的更多背景。2000年,联邦首席信息官(Chief Information Officer,以下简称CIO)委员会想作些测试来比较不同的绩效量化方法。CIO委员会名副其实,是一个由联邦机构和很多直属机构的首席信息官组成的组织,委员会有自己的预算,有时还有赞助人资助,这可以惠及所有联邦CIO的研究。在看了几种绩效量化方法之后,该委员会决定用应用信息经济学方法测试一下。
我的任务就是在委员会的严格监督下,为每一个和安全有关的系统确定绩效标准,并评估这项IT安全投资策略。每次报告我的发现,委员会的好几个来自于不同机构(如财政部、联邦调查局、住房和城市发展部)的观测者都会出席会议。每次工作会议之后,他们会把他们的意见汇集起来,写一篇将应用信息经济学方法和另一种在其他机构里普遍使用的方法进行详细比较的文章。
和绝大多数情况一样,我问退伍军人事务部的第一批问题是:“你们对此进行量化是想解决什么问题?你们说的IT安全是什么意思?”也就是说为什么这项量化工作对你们如此重要?IT安全提高之后看起来应该是什么样子?如果安全性变得更好或更糟了,我们看到和检测到的东西有什么不同?更进一步的提问是:安全的价值是什么意思?在这个案例中,对第一个问题的回答相当直接,退伍军人事务部要马上作一项投资决策,是关于7个IT安全投资项目提案的,在未来5年里总投资为1.3亿美元,表4.1中列出了这7个投资提案。之所以要进行这些量化工作,是为了确定可以作哪些投资以及投资之后,安全性的提高是否值得继续投资或作其他一些修补工作,例如对系统加以改进,或附加一个新系统。
表4.1 为退伍军人事务部IT安全项目进行的量化工作
下一个问题对我的客户来说就有点困难了。IT安全看起来不像是绝大多数需要量化的短命或模糊概念,但项目参与者不久就发现,他们并不十分了解这个术语的意思。
很显然,流行病毒攻击的频率和影响的减小,可以表明安全性确实提高了,但什么是“流行”和“影响”?还有,黑客对系统未经授权的访问也是违反IT安全性的例子,但是偷窃一台笔记本电脑呢?如果数据中心遭遇火灾、水灾或台风呢?在第一次会议上,与会者发现虽然他们都认为IT安全性应变得更好,但对究竟什么是IT安全却没有共同的理解。
并非不同派别提出了各不相同的IT安全的详细模型致使每个人脑海中对此都有不同的认知结构,当时还没有人详细思考过IT安全的详细定义。一旦人们见到IT安全的具体实例,就会对一个毫不含糊而且内容全面的IT安全模型达成一致意见。
他们认为,IT安全性的提高意味着一系列不希望发生的事件的发生频率和严重性的降低。以退伍军人事务部为例,他们认为这些事件应该包括病毒攻击、未经授权的访问以及其他类型的灾难如火灾导致的数据中心的毁坏等。每种事件都有相应的损失,表4.1列出了各个项目和希望避免的事件以及相关事件的花费。
每一个希望立项的系统,都会减少特定安全事件的发生频率和影响。这些事件将带来特定的组合成本。例如,病毒攻击会对人们的生产力产生影响,而未经授权的访问会导致生产力降低、欺诈,甚至可能由于私人医疗数据的不当披露而产生法律问题。
有了这些定义,我们就会对提高了的IT安全性的真正意义有更具体的理解,然后就可以量化了。当我问:“当你观测提高了的IT安全性时,你都看到了什么?”退伍军人事务部的人现在可以回答得很具体了。退伍军人事务部的人现在意识到,当他们量化“更好的安全性”时,观测的是这些具体事件发生概率和影响的减少,他们达到了量化的第一个里程碑。
你或许会对这些定义的某些方面有不同意见,例如你可能认为从严格意义上说,火灾不属于IT安全的范畴。但退伍军人事务部的人决定在他们的组织里应该包含火灾的风险。除了对外围一些东西有小的不同意见外,我认为我们提出的模型,是IT安全量化的基本模型。
退伍军人事务部以前量化安全的方法是完全不同的。他们曾经把重点放在计算有多少人完成了某些安全培训课程、安装了某些系统的台式机有多少台,换句话说,退伍军人事务部的量化结果非常不着边际,他们将所有的努力都放在了量化容易量化的东西上。在我和CIO委员会一起工作之前,一些人认为安全的最终效果是无法量化的,因此没有作过任何减少不确定性的努力。
我们决定借助参量来量化一些非常具体的事情。于是,我们建立了一个清单,这实际上就是另一个“费米问题”。例如对于病毒攻击,我们问了以下问题:
如果我们知道上面每一个问题的答案,就可以计算出部门级病毒攻击的损失了:
当然,这个计算公式只考虑了没有病毒攻击时的劳动力成本,而没有计算病毒攻击对退伍军人的事务和其他方面造成的损失。不过即使该公式没有考虑某些损失,它还是可以得到保守估计的损失下限。表4.2显示了公式中每一因素的数值。
这些反映了以前在退伍军人事务部有过病毒攻击经历的安全专家的不确定性范围。有了表4.2中所给的上下限,专家们就可以认为真实的损失值有90%的可能在这些范围之间。我培训过这些专家,所以他们可以很好地对不确定性作定量估计,实际上,他们就像使用任何科学仪器那样“校准”这些变量。
表4.2 退伍军人事务部对病毒攻击后果的估计
这些范围或许相当主观,从可量化性来看,一些人的主观估计的确比其他人更准确。我们将这些范围看成是有效的,是因为我们知道专家早已在一系列测验中显示出他们能够达到90%的确定性。
至此为止,你已经看到了怎样将像安全这样的模糊术语转化为相关可观测的事物。通过定义安全,退伍军人事务部在量化的道路上向前迈进了一大步。此时退伍军人事务部还没有作任何观测来减少不确定性,它所做的一切就是使用概率和范围,将不确定性数量化。
那么,安全专家该如何确定具有90%确定性的范围呢?这就要看一个人对可校准的可能性的估计能力了,这就像任何科学仪器都要被校准,以保证它们能给出合适的结果。校准概率评估是量化当前不确定性的关键,学习怎样将不确定性定量化,是对事物进行量化的重要步骤。提高这一技能就是第5章的重点。