在列出所有可能的风险源之后，需要对风险进行具体分析，对风险的可能性以及风险可能造成的影响进行分析。针对已认知的风险，分析风险的根源或深层原因，并将成因进一步分解。

（1） 风险发生的可能性分析

风险的可能性分析分为定性分析和定量分析两种。定性的可能性分析主要评估因素是：威胁源的动机和能力，脆弱性的特点，存在的控制措施的有效性。最简单的办法来描述风险的可能性就是分为高、中、低。下表描述了这三个可能级别。

可能性	描述
高	威胁的能力充分，有较强的动机，保护措施不力
中	威胁源能力充分，有动机，但保护措施不够或威胁能力不够或缺少动机
低	威胁缺少动机和能力，控制到位

定量分析主要采用概率分析方法，对风险发生的可能性进行量化。评价风险过程中的概率分析主要有累积频率分析法、时间序列分析法和主观概率法三种。

a. 累积概率分析法。风险的概率分析可利用大数法则，通过对原始资料的分析，依次画出风险发生的直方图，（以频率为纵坐标，以损失程度为横坐标），由直方图估计累计频率分布。根据统计学知识，只要样本相互独立且足够大，这种频率分布就能够以很小的误差逼近真实的概率分布，但是，累积频率分析只适合于稳定的风险环境。

b. 时间序列预测法。这一方法利用风险环境变动的规律性和趋势性来估计未来风险因素的最可能范围和相应概率。其中，移动平均法、自然回归法等都能对有规律的波动或者趋势性变动进行预测。其假设前提是本期受前一期至几期的影响，根据这一方法，可以揭示风险运动有规律的随机过程。

c. 主观概率法。对于既无确定性规律，也无统计性规律的风险，只能由专家或管理者根据主观判断来分析和估算概率。这种评估一般很难定量，即使运用模糊数学方法，系统误差也较大。

评估风险的一个重要方面是考察风险带来的潜在影响。影响分析应该是事前分析而不是事后总结，因此，对于影响分析一般要用数学期望值来进行计算。风险的影响最终要转换成量化指标，如损失额等。

IT治理框架

信息化/电子政务运维管理

G3研究课题