标准在档案信息系统风险管理中的应用探讨.docVIP

PAGE PAGE 1 ISO31000标准 在档案信息系统风险管理中的应用探讨 天津开发区档案馆 马爱华 李翠绵 在安全风险管理领域，国际标准化组织（ISO）于2009年11月发布了一项新的国际标准，即《ISO31000：风险管理原则与实施指南》。ISO31000秉承了ISO9000、ISO14000等广为人知的朴素、普适、严谨的原则，有效地指导管理实践，是一项各领域通用的风险管理国际标准，体现了世界范围内的风险管理的最新理论和最佳实践。 ISO31000的发布，促使许多国家及国际组织进行了对应的风险管理标准或规定的修改。中国政府于2009年发布了国家标准 GB/T 24353——2009《风险管理原则与实施指南》，作为我国各组织实施风险管理的最高级别标准，此标准正是参照ISO 31000 编制的。目前，ISO31000风险管理标准已在国内部分大型央企与上市公司中应用，包括中国海洋石油集团、中国五矿集团、中国航天科技集团及中国航天科工集团等。 在当前档案业界全面推进档案安全体系建设进程中，借鉴并运用ISO31000风险管理标准的理念、原则，建立清晰的档案风险管理体系架构与过程，应是一种有益的尝试。本文仅从ISO31000标准在档案信息系统风险管理方面的应用进行初步探讨。 ISO31000风险管理标准简介 《ISO31000：风险管理原则与实施指南》，以澳大利亚和新西兰风险管理标准《AS/NZS 4360:2004》为基础，由国际标准组织（ISO）风险管理技术委员会制订，旨在推进各种机构、组织进行高效风险管理。该标准适用于任何公共、私有或社会企业、协会、团体或个人，应用于任何类型的风险的管理。标准提供了通用的指导准则和一般性指导方针，在应用时需结合各个机构组织的具体应用环境，风险管理的设计和实施取决于各机构、组织的不同需要、特定目标、范围、组织结构、产品、服务项目、业务流程和具体操作1。 ISO31000其内容主要包括原则、框架与流程三大部分，描述了风险管理的原则、框架与风险管理流程之间的关系（图1），并提供了风险确认和分析的方法。ISO31000认为，全面风险管理是以一种相容性的、机构化的、增值性的方式来处理风险，它通过风险辨识、风险分析、风险评价的全过程，来决定这些风险是否需要处理以满足风险准则2。 实施这一国际标准益处在于：以预防性代替被动型进行管理风险，变被动为主动；认识到在整个机构内部环境和外部环境中识别风险和处置风险的必要性；识别造成风险的影响要素，发现薄弱环节，提高辨识各种风险隐患的水平；有助于风险应对策略的选择；改善事故管理程序，预防事故发生，在无法避免的事故发生时减少事故损失等。这些作用同样适用于档案风险管理领域。 尽管过去一段时间在档案业界，为满足不同的需要，已经开展了相应的风险管理实践，但在一个综合框架内采用一致性过程进行风险管理的模式尚未形成，而此种模式更加有助于确保在组织内有效、综合性地管理风险。ISO31000国际标准中所描述的通用方法提供了在任何范围和状况下，以系统、清晰、可靠的方式管理风险的原则和指南3。档案信息系统在应用的全过程中存在多种风险，通过运用ISO31000，有利于建立安全的内部、外部运行环境，预防突发事件的发生，积极应对突发风险事件，并通过不断的改进，提高整个档案管理系统和档案管理机构应对风险的能力。采用ISO31000标准，可以改进风险管理的信息沟通，培养风险文化，建立风险偏好，增强风险意识，提高风险管理技术的水平。 图1：风险管理的原则、框架与流程的关系 对标ISO31000确立档案信息系统风险管理的原则 风险管理是档案信息资源与档案信息系统风险管理的上位类概念，根据ISO31000中风险管理中原则的确立方法，确定对档案信息系统风险管理的原则。 风险管理创造价值 档案信息系统风险管理的目标，要服务于档案管理的总体目标，与档案安全保障体系的目标一致，即控制环境，降低风险4。档案信息系统风险管理，应该有助于建立有效的机制，实现对档案信息系统风险的识别、评价、预警与控制，提高档案信息化水平，增强核心竞争力与可持续发展能力。 风险管理是档案管理全过程的组成部分 档案信息系统的风险管理不是一个孤立存在的过程，而是融会贯穿于档案管理的各个环节，特别是档案信息系统构建、运转和档案信息管理的整个过程，涉及档案的采集、保管、利用等各个环节。从其相关的硬件设施以及制度、技术、人员等诸多支撑要素来看，必须将其作为一个有机整体的系统工程，统筹考虑和谋划，全方位地整体推进5。 风险管理明晰解决不确定问题 档案信息系统是由计算机硬件、计算机软件、网络和通讯设备、档案 HYPERLINK /view/58439.htm \t _blank 信息资源、档案信息用户及相关 HYPERLINK /