电子文件的风险管理.docx
《电子文件的风险管理.docx》由会员分享,可在线阅读,更多相关《电子文件的风险管理.docx(27页珍藏版)》请在三一办公上搜索。
1、电子文件风险管理导论 前言 风险管理作为一种科学管理理论和管理方法,较多地应用于金融、投资等经济管理领域,旨在预防、降低经济损失,获取高额的经济收益。随着信息技术的不断普及,竞争的日益激烈以及社会生活的日趋复杂化,政府、企业、公众蒙受各类损失的事故不断出现,其中既包括经济损失,也包括非经济损失。如何防范损失成为大家普遍关心的问题,风险管理的基本理念、原理和方法正在逐渐向多个社会生活领域渗透,出现了项目风险管理、信息安全管理、医疗风险管理等多个新分支。将这样一个日益普及的管理理论和方法引入电子文件管理领域的事实前提是,电子文件管理系统(或其所属信息系统)中的确存在着形形色色的文件风险。本章将阐述
2、电子文件风险的概念、表现与成因,并结合电子文件管理的特点,分析电子文件风险管理的基本原理。第1节 电子文件风险的基本概念要了解信息系统中是否存在文件风险,首先必须界定什么是文件风险,而对文件风险概念的阐释,需要从什么是风险谈起。1.1风险、风险事故和风险因素1.1.1风险 在日常生活中,我们经常会使用到“风险”一词,同时还经常会采取一些非正式的风险管理措施,例如,驾驶汽车时系上安全带以降低严重交通事故造成伤害的可能性,调节饮食结构以避免体重严重过度增加。但是要从理论高度给“风险”一个科学的定义并不容易。迄今为止,有关“风险”的定义众说纷纭,国际上尚没有一个统一的认定。 美国著名风险管理学家A.
3、H.威雷特认为:“风险是关于不愿发生的事件发生的不确定性之客观体现。” 美国经济学家F.H.奈特认为:“风险是可测定的不确定性。” 日本学者武井勋认为:“风险是在特定环境中特定期间内自然存在的导致经济损失的变化。” 我国台湾学者郭明哲认为:“风险是指决策面临的状态为不确定性而产生的结果。” 可以看出,在风险的定义中,有两个关键词:一是损失;另一个是不确定性。在经济管理领域,损失(loss)“是指非故意(unintentional)、非计划(unplanned)、非预期(unexpected)的经济价值(economic value)减少的事实”。不过,在社会生活中,非故意的、非计划的、非预期的
4、损失除了能以货币衡量经济损失之外,还涉及政治、文化、军事、社会安全。社会公正等各类非经济损失。所谓“不确定性”(uncertainty),使之风险后果是否真正发生、何时发生、损失有多大等并不确定。换个角度来看,“不确定性”实质上是“可能性”;只不过,这种“可能性”是很难预期的。风险管理的困难正是源于这种“不确定性”,风险管理的必要性也正是在于如何减少或避免这种“可能性”。 因此,风险可以被界定为“损失的不确定性”。 1.1.2风险事故和风险因素 在风险管理领域,除了风险之外,人们还经常会使用“风险因素”、“风险事件”、“风险事故”等术语。“风险因素”是指增加、减少损失或算还发生频率和大小的主、
5、客观条件。“风险事件”,是指生活主体未曾预料到或虽然预料到其发生但未预料到其后果的事件。从理论上讲,风险事件及可能造成损失,也可能是活动主题获得意想不到的收益,在经济管理领域就有“高风险、高收益”的说法。“风险事故”是指直接造成损失或损害的风险事件。例如下雨天某人走路摔了一跤造成骨折,其中,与天使风险因素,某人走路摔跤是风险事故,而造成骨折则是风险后果(既损失)。鉴于“风险因素所风险事故发生的潜在原因,是造成损失的间接和内在的原因”,在某些场合,人们会模糊处理风险因素、风险事故和风险之间的区别,这些术语等同使用。不容:不少学者按照来源将风险划分为“自然风险”和“人为风险”,自然风险就是由于自然
6、力的作用造成的风险,人为风险就是由于人的活动而带来的风险。人的活动涉及经济、技术、政治、行为、组织多方面,所以人为风险又可以划分为经济风险、技术风险、政治风险、行为风险、组织风险等。事实上,这种分类并不是对风险本身的划分,而是对造成风险的原因(风险因素)的划分。由此可见,风险、风险因素、风险事故三个概念之间彼此关联、渗透、叠交。 1.2 电子文件风险、风险因素与风险事故1.2.1电子文件风险电子文件风险是指电子文件质量缺损及其引发的其他损失的不确定性,系可能产生的预期结果与实际结果的负面差异。由于风险就是“在给定情况下和特定时间内,那些可能发生的结果间的差异”,“这种差异程度就是实际结果与预期
7、结果的变动程度”,因此,分析电子文件管理不当造成的损失可以从文件管理的预期目标和实际结果的差异入手。在经济管理活动中预期结果与实际结果的差异有两种情况:一是正面差异,即赢利(经济利益比预期增加);二是负面差异,既损失(经济力比预期减少),而在信息系统中,电子文件管理的预期结果与实际结果的差异只有负面差异这一种情况。需要说明的是,本书所称电子文件专指组织(包括政府机构、企事业单位等)在其职能、业务活动中形成的具有特定效用的数字形式的凭证性信息。电子文件管理的目标主要可以分为两类:一类是电子文件的质量目标,包括真实性、准确性、完整性、可读性、可用性、保密性、关联性、及时性、一致性等,其中本内涵如表
8、1-1所示;另一类是电子文件管理的其他目标,包括支持业务活动的连续性、维护社会记忆的完整性等,这些目标的实现程度依赖于电子文件的质量。根据预期结果与实际结果之间的差异,电子文件管理不当造成损失包括两类:(1)基本损失基本损失(elementary loss)即电子文件的质量缺损,包括不真实、不准确、不完整、不可读、不可用、泄密、不关联、不及时或不一致等情况,如表1-2所示。(2)连带损失连带损失(accessional loss)是指因电子文件质量缺损而引起的其他损失。就政府机构而言,若其生成和保存电子文件质量缺损,便可能影响政府的科学决策和自身业务的正常开展,也可能会对整个国家、民族、地区、
9、社会或民众产生历史文化、政治、经济、军事安全等诸多方面的负面影响。连带损失主要表现在历史文化、政治、经济等多个方面。其一,历史文化方面的损失。由于电子文件质量缺损,会造成国家、社会“记忆丢失”和“历史空白”,这是一种人类历史文化财富的损失。这种损失引起了世人高度关注,2002年联合国教科文组织专门起草了数字文化遗产保护纲领、数字文化遗产保护指导方针。其二,政治方面的损失。电子文件泄密,会严重损害党和国家的政治利益;电子文件不及时,往往会降低政务活动的效率,损害政府的公众形象。如案例1-1中,硬盘故障造成电子文件不可读、不可用,险些因耽误当时极为重要的“非典”防治政务而造成社会恐慌,损害中国政府
10、形象。案例1-1“非卖疫情数据险丢失”2003 年5 月9 日深夜,北京海淀匹非典防疫大队指导部正在汇总各单位上报的非典疫情极据。这些数据将上报北京市非典防治领导小组,在次日的新闻发布会向中外记者通报。这时防疫大队计算机系统中的一台电脑因硬盘故障突然死机。国家信息中心信息安合研究与服务中心近6 小时的抢救,数据才得恢复。其三,经济方面的损失。政府负有规划和调控国家宏观经济、进行对外贸易谈判和诉讼等经济职责。若电子文件信息失密,有关国家经济方面的秘密数据、信息被泄露,活着由于电子文件不完整致使政府提供不出一些必要的证明文件,就会导致谈判失利或诉讼失败,从而严重损害国家经济利益。如果电子文件不真实
11、,国家根据是真的数据、信息进行宏观经济调控,则会影响整个国民经济的健康发展。其四,军事安全方面的损失,因电子文件泄密造成国家战争失利、安全受损的事例比比皆是,对于企业来说,若其生成和保存的电子文件质量缺损,可能造成直接或间接的巨大经济损失,损害投资人、员工、顾客及其他相关组织或个人的利益。1.2.2电子文件风险因素电子文件风险因素是决定文件风险后果(即损失)发生的频率、大小的各种主、客观条件。电子文件风险后果系由文件管理不当造成,因此,笼统地说,不当的文件管理是风险因素。电子文件管理与机构内外众多因素具有密切的联系吗,电子文件管理不当又是由管理人员、管理方法、政策标准等多方面的原因引起的,因此
12、,具体的电子文件风险因素分布较广,需要详细分析。相见本章1.3的阐述。1.2.3电子文件风险事故直接导致电子文件质量缺损的文件管理事件是风险事故,也可以将风险事故理解成电子文件质量缺损的具体体现。虽然从理论上讲,风险事件既可能造成损失,也可能使活动主体获得意想不到的收益,所以本课题只研究造成损失的风险事件,也就是风险事故。我们可以这样来理解电子文件风险因素、风险事故、损失和风险四者之间的关系:风险因素引起风险事故,风险事故导致损失,这种损失的不确定性即使风险。也就是说,风险事故是造成损失的直接原因,风险因素是造成损失的间接原因(见图1-1)例如,某政府结构电子文件管理制度不健全,为不法之徒留下
13、可乘之机。一天,该机构的一名工作人员非法查阅了秘密文件,使得一些秘密信息被泄露出去,造成了恶劣的政治之影响。这个案例中,管理制度不健全是风险因素(间接原因),工作人员非法查阅秘密文件是风险事故(直接原因),泄密是基本损失,恶劣的政治影响是连带损失。第2节 电子文件风险的特点和种类 2.1 电子文件风险的特点 2.1.1 客观性在一般意义上,风险是人类社会的必然现象。无论是潜在的,还是暴露的;无论是严重的,还是轻微的;无论人们意识到了,还是没有意识到,风险都是客观存在的,它不以人的意志为转移。在一定时间、空间、条件下,当风险因素发生作用时,风险事故就会产生。风险的客观相也可以说是一种必然性。因此
14、,我们无法完全避免或彻底消除风险,只能认识风险,管理风险,使之处于能够有效控制的状态或范围,以减少风险带来的损失。同样,电子文件的风险也是我们无法完全回避的客观存在,文件管理不可能百分百的达成预期目标。我们唯有主动地面对文件风险,通过科学有效的管理活动和技术措施控制其发生的概率或减少损失程度。电子文件风险存在的必然性决定我们进行电子文件风险管理研究和实践的必要性。2.1.2 广泛性电子文件管理的目标既包括维护文件信息的真实、准确、完整、可读、可用等相对具体的质量目标,也包括支持科学决策、支持业务连续性、维护社会记忆、保护社会合法权益等相对宏观的业务目标,任何于预期目标产生的偏差都可能存在电子文
15、件风险。电子文件管理目标的广泛性,也从另一个角度证明了电子文件风险存在的广泛性。能够引发电子文件风险的因素也较为广泛,涉及技术、制度、文件业务、资金、观念、人员素质等多个方面,任何一个方面的不健全、不完备都可能导致电子文件管理风险。电子文件风险因素的广泛性直接引发了电子文件风险的广泛性。电子文件风险的广泛性还表现在风险后果的广泛性上。在经济管理领域,风险事故造成的损失大多是直接的、经济方面的损失,而间接的、非经济方面的损失则比较少。政府机构电子文件风险事故造成的损失涉及面相当宽广,除了经济损失之外,更多表现为政务、历史文化、政治、军事等诸多方面的损失,在许多情况下难以用经济价值衡量,却是对人类
16、社会价值的折损。2.1.3连带性电子文件是机构活动的记录,是信息化的基础。因文件管理不当造成的损失包含多个方面,而且可能环环相扣,具有“牵一发而动全身”的“多米诺骨牌”效应。文件风险的连带性表现为以下三个方面:其一,损失的联动性。电子文件风险的后果首先表现为文件本身的质量缺损,如不完整、不可读、不真实等。文件质量缺损还会引发其他损失,如工作延误、决策失误、国家安全受损、公众满意度下降等。其二,文件质量缺损的连锁性。信息系统中,某些基本风险可能引发其他基本风险。比如文件的不完整可能导致不真实,如果没有完整捕获、留存元数据,就无法证明电子文件的真实性;再如文件的不可读可能导致不完整,如果某电子文件
17、无法正常输出,那么该文件在实用意义上已经不存在。其三,受众面的扩散性。一般情况下,非政治组织的文件风险主要由本机构来承担,而政府机构的主要职责是管理社会事务,为社会提供服务,因此其文件管理的优劣不仅关系到本机构的运转效率,更会波及社会其他成员的工作和生活。不如电子政务系统中的文件没有存留,不仅会影响到政务活动的延续性,而且会造成某些社会记忆空白,损害到社会公众权益。案例1-4“美国宇航局人类首次登月录像丢失” 2006年8月5日,美国宇航局(NASA)爆出惊人消息:人类首次登月的原始录像带已经丢失。这些记录了人类首次登月详细资料的录像磁带数量非常庞大,共计1.3万盘,装在2000个箱子里。其中
18、记录两名宇航员登月“关键时刻” 的录像带有15盘,分装在3个柿子里。最初,这些原始录像带被保存在马里兰的格达德空间中心, 20世纪70年代就被转移到了美国国家档案馆保存, 1984年又被送回格达德。1997年,有科学家开始调查帕克斯天文台在“阿波罗11 号”登月任务中的作用,因而向NASA 索要登月录像带,但被告知录像带已经找不到了。为此,美国宇航局成立搜寻队正在查找这些录像带的下落。具有世界意义的文件的丢失,带来的将是人类文明发展史和社会记忆的缺失!2.1.4继承性一份电子文件在其生命周期中,将依次经过制作或接受、流传、传输、保存等几个阶段。每一个阶段的文件都面临风险。一般来讲,电子文件在生
19、命周期的后续阶段将直接继承前期积存的风险。比如在电子文件流转过程中没有按照要求完整的背景信息,那么到了保存阶段,也会延续这种不完整情况。2.1.5潜伏性电子文件风险后果现实的时间并不总和导致损失的风险事故同步,也就是说某些风险事故的不良影响会潜伏下来,一段时间之后才爆发。比如由于文件形成者的疏忽(如未采用标准格式存储文件),可能导致多年后文件信息的不可用。潜伏性的特点说明文件风险在某种时候是相当隐秘的,而管理工作中很可能会忽略那些损失形成之后不会立即显示的风险。2.1.6难以弥补性电子文件风险如果演变成为事实,相关损失就很难弥补,甚至无法弥补,表现在三个方面:其一,风险发生时文件信息比软硬件更
20、难恢复。信息系统硬件设施遭破坏后,可以对其进行修复或重新购置;软件系统遭受攻击后,也可以给与修复或重新设计,人们为此付出的主要是近期的经济代价。但是,电子文件一旦被丢失、篡改,一般是很难恢复的,如果大部分电子文件被破坏,整个计算机系统就剩下一个空壳,难逃崩溃的噩运。案例1-4向我们警示了采取必要措施应对电子文件风险损失的不可逆的重要性。其二,保存阶段的文件风险难以弥补。文件形成阶段的一些风险还存在弥补的余地,比如文件信息不准确,可以重新采集;文件丢失,可以重新制作。而若等到生成、处理文件的活动结束后才发现文件的质量问题,由于文件无法重制,故而损失是难以弥补的,有时甚至是无法挽回的。其三,已经扩
21、散到社会中的文件风险难以弥补。电子文件是一个组织处理社会失误或开展业务活动的工具,质量受损的文件可能造成与该组织相关的其他机构、个人乃至国家的利益损失和社会记忆的缺失,这样的风险也是难以弥补的。2.2 电子文件风险种类对于电子文件分类进行科学分类,有助于我们认识各种风险的具体特点,有重点、有针对性的应对。划分风险种类的标准有多重。2.2.1 根据损失的破坏客体划分如前所述,按损失的破坏客体,电子文件风险事故造成的损失可分为基本损失和连带损失。据此,电子文件风险也可分基本风险和连带风险。基本风险是指因电子文件管理不当放而造成电子文件质量缺损的不确定性。电子文件质量缺损是指电子文件未达到电子文件质
22、量目标,出现不真实、不准确、不完整、不可读、不可用、泄密、不关联、不及时或不一致等情况。连带风险是指因电子文件质量缺损而引起历史文化、政治、经济、军事安全等方面的损失的不确定性。此外,还有一类特殊的连带风险,那就是虽然电子文件质量没有缺损,但是由于电子文件管理投入过度也会存在低成本效益比的可能性。大多电子文件风险首先表现为基本风险。2.2.2 根据损失的承担主体划分根据损失的承担主体,电子文件风险事故造成的损失可分直接损失和间接损失。其中有电子文件形成机构承担的损失可以谓之“直接损失”,而波及电子文件形成机构以外的社会公众损失可以谓之为“间接损失”。相应的,我们可以将电子文件风险分为直接风险和
23、间接风险。直接风险是指因电子文件管理不当对电子文件形成机构造成损失的不确定性。间接风险是指因电子文件管理不当对电子文件形成机关以外的社会公众造成损失的不确定性。2.2.3 根据损失的显示时间划分根据风险后果的显示时间,即损失实际发生的时间,文件风险分为当前风险、短期风险和长期风险。当前风险指风险事故发生后损失立即显示的风险,短期风险指风险事故发生后一段时间之后损失才会显示的风险,长期风险是指风险事故发生后很长之后损失才逐渐显现出来的风险。风险后果显现的时间并不总和导致损失的风险事故同步,也就是说导致某些风险事故的不良影响会潜伏下来,一段时间之后才爆发,这个现象的存在导致管理工作中很可能忽略那些
24、价值的文件上,比如由于现在的疏忽(如为将电子文件转换为标准格式)可能导致多年后文件信息的不可用,这样的风险是保存阶段的风险,风险事故却发生在生成阶段。生成风险、流传风险和保存风险的共生,以及当前风险、短期风险和长期风险的并存,提醒我们从时间维度上去辨析风险事故发生的时间、风险后果影响的对象以及损失显现的时间,全面地识别出各种风险,适时防范。2.2.4 根据损失的内容性质划分如果电子文件管理出问题,那么文件形成机关、社会公众可能遭受的损失包括政治、经济、科技、文化、军事等若干方面。根据损失的具体内容,文件风险也可以分为政治风险、经济风险、科技风险、文化风险、军事风险等多方面。比如,电子文件运行不
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子 文件 风险 管理
链接地址:https://www.31ppt.com/p-1862848.html