整理‧撰文 韋惟珊
這樣提案才能說服老闆:說清楚能「少賠」或「多賺」多少錢!
「客戶資料是公司的重要資產,我們應該再加強資安系統,降低資料外洩或受損的風險。」身為IT人員的你,依照對產業環境的觀察,向直屬主管提出建議,希望他能夠授權,讓你負責IT防護計畫,確保資料安全。
為此,你準備了詳細的提案報告,裡面包含可行方案、需要的專案人員、應購買的設備、以及執行的時間。但在確保可行性之外,別忘了回頭想一想,這項計畫最主要的目的,是要「降低可能的損失」。
你不能只埋首於規畫執行細節,還必須運推算出你所做的每一步,各自是為了降低「多少」風險,才能供主管進一步評估,到底要不要、爭取預算,並放手讓你執行。
在工作現場裡,只要提到方案選擇,大家除了會計算成本,也會同步考量:能不能改善現狀,或是可能會帶來哪些損失?
這些思考,就是在嘗試「降低風險」。《如何衡量萬事萬物》一書對風險的定義是:不確定的狀態,可能涉及損失、災難或其他不想要的後果。作者道格拉斯‧哈伯德(Douglas Hubbard)認為,想要「衡量風險」,必須設法釐清這些不確定狀態的發生機率,以及可能的量化損失,通常是換算成「公司會賠多少錢」。
拆解會影響的範圍,量化可能的損失
《專案管理知識體指南》將風險拆解為「影響程度」(橫軸)和「發生機率」(縱軸)兩個構面,形成一個「機率與衝擊矩陣」(Probability and Impact Matrix)。
按圖可放大
凡是落在右上方的方案,屬高風險區域,應該優先採取行動來免除;左下方則是低風險區,可以先忽略不理。
回到前述提到的IT防護計畫,你發現資訊安全最主要的問題,來自於電腦病毒侵入,以及意外發生(火災和水災)時,同仁來不及處理造成的資料損失。在提出解決方案和對應要添購的設備之前,你應該先著手分析公司的資訊系統,因病毒侵入和天災而受損的風險。
以病毒入侵為例,你可以這樣計算:電腦病毒會造成系統罷工、無法工作,它的影響程度可能包含以下因素:
1.人數:發生時,有多少人會受到影響?
2.生產力:這些人每小時生產力因此減少的百分比?
3.工時:受到影響的人,大概都損失多少工作時間?
4.工資:這些人每小時的平均工資為何?
上述4點相乘,就會得出每次發生電腦病毒攻擊時,公司可能損失的勞動成本。
當然,你也可以接著評估「電腦病毒攻擊對顧客購買力的影響」,只要將生產力轉換成購買力減少的百分比,工資以平均消費金額來替代即可。把你所有想的到的影響面向,個別計算出公司會損失的金額,加總起來,就能具體知道電腦病毒的影響。
評估影響項目可能發生的頻率,再決定風險程度
發生機率則以「頻率」來預估,曾發生的次數愈多,代表機率愈高,會落於圖表上方。
最後,把每個資訊安全問題造成的可能損失,全都列於機率與衝擊矩陣之中,挑出風險較高、該優先處理的項目後,再提出對應要添購的設備和行動指南,化成IT防護計畫裡的執行方案,主管就能明確連結每項投資的結果,做出較好的判斷。
風險評估,是幫助你預見未來可能發生的危機,如果盡可能地精確衡量,就能事先做好準備,避免承受過多損失。
