關於我自己

我的相片
Taiwan
跨越現實與虛幻的分野,躍成玄靈裡的泡沫。
隔離了人世間所產生的距離感,恰似透過玻璃櫥窗來看著所有一切。
我只是一個努力成為平凡的人,並樂於享受有限的生命。
『生命的存在並不拘泥於特定的形式。』 風,如是說。
撕裂後的靈魂歸處,不是唯一的選擇,而那,也不只會是吞沒在黑暗裡的深淵。

2014年7月25日 星期五

[小語] 春暖‧花開

士希賢,賢希聖,聖希天。
精煉氣,氣煉神,神煉虛。
皈依佛,皈依法,皈依僧。
自性覺,自性正,自性淨。

一路跌撞起伏,由微觀而至宏觀,再回歸至本來諸己。
上窮碧落下黃泉,兩處茫茫皆不見。
終於才明白,非得等到春暖了,花兒才會開得燦爛。











《五燈會元》‧趙州從諗:

 問:「如何是祖師西來意?」
 師曰:「庭前柏樹子。」
 曰:「和尚莫將境示人。」
 師曰:「我不將境示人。」
 曰:「如何是祖師西來意?」
 師曰:「庭前柏樹子。」
又,
 問:「柏樹子還有佛性也無?」
 師曰:「有。」
 曰:「幾時成佛?」
 師曰:「待虛空落地時。」
 曰:「虛空幾時落地?」
 師曰:「待柏樹子成佛時。」

休管它幾時成佛幾時落地,干卿底事?
春暖了,花就開。花開了,春也就暖了。
便概只是待著,『因緣俱足』罷了。

2014年7月11日 星期五

[交流] 風險管理概述

企業在做風險評鑑的時候,通常會包含以下四大流程:

1. 風險識別
2. 風險分析
3. 風險評估
4. 風險處理

註:風險識別、分析與評估亦合併稱為『風險評鑑』。

在進行風險評鑑階段,需要進行對於可能會影響企業營運目標相關之各種因素做識別分析,並配合以定性與定量方式做計算評估,之後再依據其結果採取相應對策。

風險函數 = 風險發生機率(P, Probability) x 風險衝擊(I, Impact)

在常用的概念式裡,
風險(Risk) = 威脅(Threat) x 機率(Probability) x 營運衝擊(Business Impact)

在NIST-800-30裡列出關於風險分析(評估)的九個程序:

1. 系統特性(System Characterisation)
  • 識別系統,其資源與控制邊界。
  • 建立風險評估工作的範圍。
2. 威脅識別(Threat Identifucation)
  • 角色與動機,在某些情況下是指現狀與方法。
  • 人力、技術、實體、環境、自然等因素。
3. 漏洞識別(Vulnerability Identification)
  • 找出缺陷或弱點,如果發生時可能會導致系統安全性的影響程度。

4. 控制分析(Control Analysis)
  • 對於承接已識別的漏洞所有已存在或已計劃的控制。

5. 似然*測定(Likelihood Determination)
  • 考量動機與程度,漏洞的性質,以及控制的存在性與有效性。
6. 衝擊分析(Impact Analysis)
  • 即時面:機密性,完整性與可用性的損失。
  • 營運面:營收,聲望,維修成本的損失。
7. 風險分析(Risk Determination)
  • 風險是以威脅似然率與營運影響所計算的函數。
  • 使用定性與定量混合評估。

8. 控制建議(Control Recommendations)
  • 如果導入這些管理將可減輕部份已經過分析確認之風險的建議

9. 結果文件化(Result Documentation)
  • 將資訊的機密性,完整性與可用性的最終責任(當責者)以文件化記錄並管理。

註: 「似然性」與「或然性」或「機率」意思相近,都是指某種事件發生的可能性,但是在統計學中,「似然性」和「或然性」或「機率」又有明確的區分。機率用於在 已知一些參數的情況下,預測接下來的觀測所得到的結果,而似然性則是用於在已知某些觀測所得到的結果時,對有關事物的性質的參數進行估計。

當作風險分析計算時,會使用以下函式:
單一預期損失(Single Loss Expectancy,SLE) = 資產價值(Asset Value,AV) x 風險因子(Exposure Factor,EF)

但是還需要代入以年為計算的函式:

年預期損失(Annual Loss Expectancy,ALE) = 單一預期損失(Single Loss Expectancy,SLE) x 年發生率(Annual Rate of Occurrence,ARO)

風險的評估可列出矩陣來表示,首先需將風險的影響程度做分級,
如 極嚴重、嚴重、中等、較輕、可忽略,並沒有一定的等級數,需依據企業營運目標及相關影響來作分定基準。


而做完風險評鑑後,需要考量採取風險控制處理對策。

風險控制的四種基本方法是:
風險規避、損失控制、風險轉移和風險保留。

1. 風險規避,是指通過一些方法或計劃來消除風險或降低風險發生的條件,保護目標免受風險的影響。規避風險並不表示能完全消除風險,而是規避風險產生時可能造成的損失。像是採取事先控制措施降低損失發生的機率,或者以事先控制或事後補救的措施來降低損失的程度。

2. 損失控制,是指採取各種措施減少風險發生的概率,或在風險發生後減輕損失的程度。損失控制是一種積極的風險控制手段,它可以克服風險迴避的種種局限性。

3. 風險轉移,是指將風險及其可能造成的損失全部或部分轉移給他人。通過轉移風險而得到保障,是應用範圍最廣、最有效的風險管理手段,比如保險或委外(在契約中明訂罰則)。

4. 風險保留,亦稱風險承擔。當風險發生致使損失時,經濟主體(如企業本身)將以當時可利用的任何資金進行支付。風險保留包括無計畫自留、有計劃自我保險兩種。
  • 無 計畫自留。指風險損失發生後從收入中支付,即不是在損失前做出資金安排。當經濟主體沒有意識到風險並認為損失不會發生時,或將意識到的與風險有關的最大可 能損失顯著低估時,就會採用無計畫保留方式承擔風險。一般來說,無資金保留應當謹慎使用,因為如果實際總損失遠遠大於預計損失,將引發資金周轉困難。
  • 有計劃自我保險。指可能的損失發生前,通過做出各種資金安排以確保損失出現後能及時獲得資金以補償損失。有計劃自我保險主要通過建立風險預留基金的方式來實現。

而在 ISO-31000:2009 標準中,對於風險處理的對策則細分為七項,仍不脫風險控制的四種基本原則:

1. 通過決定不啟動或停止產生風險的活動而避免風險。
 比如說,拿全部身家財產做生意,但是對生意沒把握,生意失敗後可能全家都要去跳樓,覺得風險太大乾脆不幹了。
2. 為了追求機會採取或增加風險。
 就像移動設備如手機等3C產品,為了搶市場佔有率,即使功能還有改善空間但是先行上市鋪貨的策略。因為為了作改善而延後上市,極有可能會讓競爭對手的產品搶先一步,這時產品改良得再好也已經來不及。
3. 消除風險源。
 比如彈藥庫嚴禁煙火。

4. 改變(or降低)可能性(發生機率)。
 比如搬到離海邊較遠地區以避免海嘯衝擊。

5. 改變(or降低)後果(發生的衝擊)。
 比如股票交易設立停損點,認賠賣出以避免血本無歸。

6. 與其他方便共同分擔風險
 轉移or轉嫁風險,如保險或委外處理。

7. 通過有事實依據的決策保留風險(接受風險)。
 通常在採行風險控制措施來降低或減少風險損失後的殘餘風險,也只能承受。

雖然各種風險管理的理論大多是以企業營運角度來討論,但是放在自身生涯各種規劃(事業與學業、愛情與婚姻..),其實也是可以適用。畢竟誰也無法完全避免掉任何風險,因此對於風險管理有點認知也是有益的。

在此文裡其實並沒打算討論太深,如有興趣的朋友們請查閱相關文獻資料。

2014年7月8日 星期二

[小語] 真愛

年輕的時候,總是把『愛』想得太容易。
很深,很真,但那並不是愛。
頂多,只是錯將那痛徹心扉的誤解,不自覺的將其冠上了光環名堂,成為寬慰自我的理由。

感到自己脆弱,並不困難。
難的,是承認自己的脆弱。

明白自己錯誤,也不困難。
難的,是承認自己的錯誤。

生命中的各種緣份,遇見過的人,總是來來往往。
一段又一段的偶遇,如烈火燃燒,最後灰飛煙滅。
沒有誰生來就充滿智慧,從不會做出錯誤的選擇。

但在每段故事中,總有值得領悟學習之處,生命的河流,也終將把我們帶往該去之路。

多年以後再回首才會發現,
原來,在不斷的追逐裡總是渴盼著夢幻泡影,
而最該被疼惜的,其實是自己。

這次失敗了,下次再來。
起碼,還能堅持著勇氣,也不會是什麼壞事。

~祝福你。

2014年2月18日 星期二

[交流] 奴性文化

"For he who can be, and therefore is, another's and he who participates in rational principle enough to apprehend, but not to have, such a principle, is a slave by nature. "

~Aristotle, "Politics"




在歐美的文化中,比較鼓勵菁英份子,也就是重視天才。而且,也重視每個人的差異性,不尋求齊頭式平等,而是鼓勵自我探索,並且多嘗試與了解。
因此,許多外商公司在用人的時候會講究才能、專業與獨特性,而通常具備這些特殊素質的天才們往往個性比較孤僻排他,因此如果具備特殊才華又具備領導素質的人,就很容易受到重視。因為能夠凝聚群眾意志也是相當重要的才能。

這也是許多國外企業中為何會很重視求職者在學時,是否曾經擔任學校球隊對長或社團主席之類的經歷的原因之一。

但是在東方教育中,卻是講究群體大於個人,好比常有人說一把筷子折不斷之類的寓言故事來教育下一代團結的重要。

然而,團結就必須犧牲與壓抑個人天賦來符合團體的程度不可嗎?
這是一個相當值得質疑的問題。

事實上,東方傳統教育是基於封建君王制度的管理需求而建立的。
天才的存在容易影響群體意志,而這群體意志往往是與統治者的意志相左。
也就是說,讓天才出頭是有可能聚眾,並進而有可能發生『造反』事件。

因此,統治者並不樂見於這樣的狀況產生,所以最好人民們都是笨蛋,搞些『天地君親師』的階級制度,讓人民認為『你生來就是這個命,乖乖當蠢蛋就好,別想翻身找麻煩。』

這種奴性階級化的徹底點就像是印度的種姓制度,你老媽當雞的生了女兒世世代代就得當雞,你老爸挖糞的生的兒子世世代代就只能挖糞,因為,誰叫你不長眼要出生在他們家。

扯遠了。

話說,就算是自認為已經是國際化時代的現今,這種奴性文化仍是時時充斥在社會上的各個角落。
比方,在公司發現工作上的系統有問題而提出,並徵詢相關單位是否能注意到這個問題並尋求解決,所得到的回答往往是:『別人都沒問題為何就只有你有問題?』

答案很簡單啊,因為他們是笨蛋,我卻恰巧不是,不行嗎?
可是一旦這句話說出了口,免不了得罪人,只好自認倒楣乖乖閉嘴,也省得找自己麻煩。

並不是說崇洋媚外,或是國外的月亮就一定比較圓,事實上在東方文化中也有許多處世智慧與哲學,只不過整體上來說,講究低調與不突出於群體的東方文化與歐美崇尚英雄主義般力積極主動找尋機會並努力表現的文化相比較來說,所造成的結果就像是某個笑話所說的:

甲乙兩人吃牛排,一塊大一塊小。
甲挑了大的先吃,乙責怨說為何那麼沒禮貌也不先問問。
甲問,若是你先挑會挑哪塊?
乙答,我當然會先禮讓的選小塊的啊。
甲說,那你現在不是得到小塊的了還抱怨什麼?

在現在這個社會是需要好好思考一下,誰有那個美國時間來慢慢去了解你是誰,你有什麼美德,有什麼才華。倘若花了時間成本去證明不適合,那這些時間成本損失該算誰的?

知識爆炸時代,科技日新月異,所有一切都快速得令人一眨眼就消逝。
當然不是說非得要搞得沒臉皮或讓人反感來求表現不可,但是回歸基本層面上來說,你是否擺脫奴性文化教育的陰影,準備好自己,並找出能夠適當表現自我的機會呢?

從最基本來說,
你懂得自我介紹嗎?如何自我介紹才是得體適當的?
沒有誰有興趣了解你爸媽做啥的,兄弟姐妹有幾位。
重要的是你自己,以及你如何看待自己。

既而,如何看待其他一切,你會站在哪個位置,能扮演怎樣的角色,帶來怎樣的成果,是否能舉證推估加強說服力而不是天真妄想做白日夢。


要能夠具備足夠宏觀的視野來看待自我及一切並不容易。
要能擺脫奴性化教育的影響更不是只消一朝一夕就可以。

但是行遠必自邇,登高必自卑,凡事總是要有起步才是開始。

"For he who can be, and therefore is, another's and he who participates in rational principle enough to apprehend, but not to have, such a principle, is a slave by nature. "

~Aristotle, "Politics"

由亞裡斯多德在《政治學》所說這段繞口的話,簡單來翻譯成中文口語來說,就是指『如果無法讓理性原則所規範的人,本質上就是個奴隸(具備奴性的人)。』


試著袒誠檢視自我,其實答案顯而易見。