快速风险审计：​专家作为工具

专家作为工具

如果您之前使用定性评分方法或风险矩阵，那么您依赖的是专家判断。快速审计也利用了这一点。我们只是建议专家不要使用“高、中、低”或1到5等等级，而是学习如何主观评估这些等级背后的实际数量，即概率和美元影响。

与风险矩阵一样，所提出的方法实际上只是当前不确定状态的另一种表达。它尚未反映适当的“测量”，即我们根据额外的观察进一步减少了不确定性。我们只是陈述我们之前的不确定性。但现在我们已经以一种允许我们明确传达风险并用新信息更新这种不确定性的方式表达了这种程度的不确定性。

有些人可能反对主观评估概率的想法。一些分析师毫不犹豫地说可能性是1到5等级中的4级或口头等级中的中等，但他们会争辩说，对定量概率的要求使得量化变得不可行。不知何故，在尝试陈述有意义的概率时，使用更模糊的方法不是问题的问题却成为主要障碍。

这是一个常见的误解。正如我们在第2章中首次介绍的那样，使用主观概率来表示主题专家的先前不确定状态在数学上是有效的。事实上，统计学中的一些问题只能通过使用概率表达的先验不确定状态来解决，这可能需要以概率估计的形式表达的信念。而这些实际上是与任何领域的决策最相关的情况，包括网络安全。

稍后，我们将讨论支持这种方法的来源，包括一些证明其有效性的大型实证研究。此外，我们有一章专门帮助读者使用一系列简短的练习来衡量和提高自己评估概率的技能，这些练习可以帮助他们随着时间的推移不断提高。我们称之为“校准概率评估”，我们将证明有大量研究支持这种方法的有效性。大多数专家始终对估计过于自信，而校准培训可以减少这种错误。我们还将展示以明显优于最佳个体专家的方式组合多个专家的估计的方法。

现在，只需认识到大多数专家都可以接受培训来主观评估概率，并且这种技能是客观可衡量的（听起来很讽刺）。请记住，如果使用概率方法的主要问题是缺乏数据，那么您也缺乏使用非定量方法的数据。正如我们所说，到目前为止，这两种方法都基于相同的数据源，即网络安全专家的专家意见。我们不能假设您在未经训练的情况下使用定量概率可能给决策带来的任何错误都可以通过使用定性方法来避免。在第五章中，我们将更多地讨论这一点以及对定量方法的其他常见误解和反对意见。

除了纠正过度自信之外，还可以通过使用解决判断错误的其他两个来源的方法来提高专家水平：专家的高度不一致和在概率思考时容易犯常见的推理错误。这些改进也将在接下来的章节中讨论。（当然，这些误差源根本没有在典型的风险矩阵中得到处理。）