风险的测算也包括两种方法，定性方法与定量方法。

定量的风险评估方法基于两个主要的要素：风险事件发生的概率（一般为一年中）和风险可能带来的损失。这两个要素的乘积是一个数学期望值，称为估计损失值，或称风险额，用以衡量风险。具体算式如下：

风险额=预估每次风险的损失额*损失发生的概率

风险额一般包括直接的物理损失，处理延迟的损失，替代方案的成本及机会损失等等。而损失发生的概率与项目系统所处的环境、现有的控制状况等都是有关的，因此要精确预估每次风险的损失额与损失发生的概率都是比较困难的。在承担风险分析时，风险分析人员要深入系统部门，详细反复地了解情况，分析调查结果，这才能做好风险分析。

定量分析的优点是对控制措施的成本效益进行分析时提供了一个定量的尺度。缺点是定量分析取决于度量指标，它的意义不清；而且如果定量分析的值是由主观判断得出，则它的结果实际上是定性的。

定性的风险评估主要采用矩阵结构来进行分析，矩阵的两个维分别是风险发生的可能性的定性判断和风险带来的影响的严重度。如下表所示：

风险的可能性影响严重的程度	高	中	低
高
中
低

定性分析的优点在于它提供了一个风险间的相对的优先级，和快速识别脆弱性。缺点是它没有提出具体的定量的影响程度的测度，因此对控制措施的效益分析变得很困难。

 

IT治理框架

信息化/电子政务运维管理

G3研究课题