在信息系统审计（CISA）和风险管理学习中，风险分析方法是一个高频考点。不同的分析方法，不仅影响风险评估的结果，还决定了后续控制措施的选择与优先级。今天，我们来系统梳理三种核心方法：定性、定量、半定量风险分析，并教你一眼辨别考试题目考的是什么。

一、核心概念与方法比较

1. 定性风险分析

• 是什么？
  用描述性的等级（高、中、低）或颜色（红、黄、绿）来表达风险的可能性与影响。依赖专家经验和直觉。

• 特征：

  • 主观：基于感受与判断。

  • 快速：操作简单，成本低。

  • 输出：风险热图、风险矩阵。

• 例子：

  • 访谈中专家说：“宕机概率低，但一旦发生，后果灾难性。”

  • 小组投票，将“高可能+高影响”的风险定义为“极高风险”。

• 优缺点：

  • ? 简单易懂，适合缺乏数据时。

  • ? 结果可能因人而异，难做成本效益分析。

2. 定量风险分析

• 是什么？
  用具体的数值和货币金额表示风险大小。依赖客观数据与数学模型。

• 特征：

  • 客观：用数据说话。

  • 复杂：耗时，依赖可靠数据。

  • 输出：SLE、ARO、ALE 等财务指标。

• 核心公式：

  • SLE（单一损失期望）= 资产价值 × 暴露因子(EF)

  • ALE（年度损失期望）= SLE × 年度发生率(ARO)

• 例子：

  • 主数据中心火灾概率=0.1%（ARO=0.001），单次损失100万元（SLE），则 ALE = 100万元 × 0.001 = 1000元。

  • 使用蒙特卡罗模拟进行预测。

• 优缺点：

  • ? 结果可直接做成本效益分析。

  • ? 数据难获取，模型复杂，声誉损失难量化。

3. 半定量风险分析

• 是什么？
  介于定性与定量之间。把等级转化为数字（如1-5），再进行数学运算，得出风险分值。

• 特征：

  • 使用序数尺度（1-5、1-10）。

  • 输出是风险分值，但无真实货币意义。

• 例子：

  • “高可能性=5，高影响=5 → 风险分=25”

  • “中可能性=3，极高影响=7 → 风险分=21”

  • → 优先处理25分的风险。

• 优缺点：

  • ? 比定性更精确，比定量更简便。

  • ? 数字只是人为赋值，易误导。

二、CISA考试中的应试技巧

很多考生容易混淆三种方法，其实只要抓住“输出结果”就能快速判断：

1. 看输出结果

   • ?? 货币金额 / 概率 → 定量分析

   • ?? 高/中/低 → 定性分析

   • ?? 风险分值（无货币单位） → 半定量分析

2. 看输入数据

   • 历史数据、财务金额、概率模型 → 定量

   • 专家意见、投票、研讨会 → 定性

   • 打分表（高=5，中=3）并计算 → 半定量

3. 关键词锚定法

   • 定性：风险矩阵、风险热图、专家判断、德尔菲法

   • 定量：SLE、ARO、ALE、年度损失期望、成本效益

   • 半定量：风险分值、1-5分、加权、乘法、排序

三、总结口诀（便于记忆）

• 定性 → 看颜色，靠直觉

• 定量 → 看数字，算钱花

• 半定量 → 打分制，做排序

?? 考点提示：在CISA考试中，若题目出现“货币”“概率”“ALE”等字眼，100%是定量分析；若出现“专家小组讨论”“风险矩阵”，就是定性；若给“分数制（1-5、1-10）”，就是半定量。