浅谈企业电子文件的风险管理

杨珍

（四川大学公共管理学院，四川 成都 610065）

浅谈企业电子文件的风险管理

杨珍

（四川大学公共管理学院，四川 成都 610065）

当前，各企业的电子文件都存在着一定程度的风险，文章介绍了企业电子文件风险管理的概念以及建立企业电子文件风险管理的重要价值，从几个方面说明了企业电子文件的风险来源，并针对这些风险来源提出了一些措施。

电子文件；风险管理；风险来源；措施

目前，我国各大企业采用电子化办公的现象十分普遍，由此产生了大量的电子文件。虽然无纸化办公在一定程度上节约了企业成本，但是因广泛使用电子文件而产生的一些风险问题仍不容小觑。这是由于电子文件的形成包含了许多环节，如果各企业对这些相关环节不重视，从而使电子文件的运行在某一环节出现管理上的差错，那么就有可能会造成企业电子文件的风险事故，这将会给企业带来无法弥补的损失。

一、企业电子文件风险管理的涵义

对企业来说，稳定、安全、准确的电子文件是使企业能够保持前进状态最主要的条件之一，但是，由于电子文件本身会受到各种风险因素的影响，从而导致电子文件质量缺损，这在某些情况下又将会引发企业的其他损失，所以企业要重视电子文件风险管理。

企业电子文件风险管理具体来说，就是企业首先要对电子文件的风险进行一系列的识别和评估，然后通过采用合理的方法和技术对电子文件风险加以预防和控制，以期达到用最小的成本把电子文件风险所致的损失降低到最低程度的管理活动。

二、建立电子文件风险管理具有重要价值

由于黑客攻击致使各种企业内部信息曝光的事件越来越频繁，企业电子文件的重要性就越来越受到人们的重视。以西方国家和我国为例，可以看出现今各国对电子文件风险管理的重视程度，这在另一方面也间接地促进了各国企业对电子文件保护的重视。

西方国家在电子文件保护工作方面做得比较成功，主要是因为西方国家在电子文件的保护方面颁布了许多法律法规，强制要求企业要对某些关键电子信息的保密性、完整性等进行完善保护。比如，美国的《金融服务现代化法案》以及其他与电子文件相关的法律、澳大利亚的《电子交易法》、加拿大的《统一电子证据法》等。

与其他国家相比，我国虽然对电子文件风险管理的意识要比国外略弱，但是近几年来我国对电子文件的重视程度也越来越高。如我国在2004年8月28日颁布了《电子签名法》，该法的颁布是实现电子文件管理法治化和认可电子文件法律效力最基本的依据和最重要的法律保障。该法的颁布将在一定程度上维护企业的合法利益，以防止一些不法企业利用电子文件的法律漏洞危害其他企业及消费者的合法权益，这对提高企业界的经营效益和质量将起着极大的促进作用。

可见随着信息化建设的深入和电子文件相关法律的日渐完善，如何促进企业电子文件的安全、准确、完整并充分考虑电子文件风险形成的各相关因素，将是每个企业管理者都必须思考的问题。

三、企业电子文件的风险来源

企业电子文件风险主要来自以下几个方面：

1.企业在信息化建设方面时兴外包机制

目前，我国各企业对信息化建设都比较重视，但由于各方面因素的相关考虑，大部分企业都对本企业的信息化实行外包机制，这在一定程度上也促进了信息建设外包公司的发展、壮大。外包机制，具体来说就是企业将其部分信息系统的开发、建设、维护等方面专业性要求较强的信息业务工作，委托给第三方专业信息机构承担的活动。外包机制对于一些人员较少、系统较多、任务较重的企业来说具有一定的益处，因为企业一方面可以把一些信息技术要求较高的工作转托给第三方信息服务商去处理，另一方面，企业也可以借助信息服务商多年的IT管理经验，来帮助企业尽快制定出一套正规化的适合本企业运行的IT运营管理体系。但是，如果企业长期把信息建设交予第三方并依赖于外包公司的帮助的话，将会对企业信息化建设的发展形成不利影响，因为这种大量的外包往往会造成产权转移的不彻底性，从而使一些核心技术受制于第三方，这对于企业电子文件而言，将是一个严重的安全隐患。

2.人才问题

企业电子文件风险管理顺利进行的基本条件就是人才的保证。因为电子文件风险管理与传统纸质文件的风险管理相比，其管理的技术和方法都有很大的不同，因此就对人员的素质提出了更为严格的要求。它要求企业的工作人员要符合复合型专业人才的条件，即从业人员不仅要熟悉本企业业务及精通业务知识，还要掌握一定程度的计算机、网络等高科技方面的知识，更重要的是，要对企业内部的业务工作流程以及电子文件的形成、传递过程有比较深刻的了解。但到目前为止，我国企业在这方面的专业人才不仅匮乏，而且还要与其他外资企业进行激烈的人才竞争，因此，对于今后如何解决人才短缺问题将是我国各企业必须要思考的问题。

3.电子文件信息保护问题

当前信息技术的广泛使用，使各企业的业务工作和服务流程日趋虚拟化和数据化，企业很多关于业务方面的电子文件的往来及办理都是通过网络这个虚拟平台来进行的，如果不对这些不稳定的电子文件信息进行完善的安全保护措施，那么就势必会造成企业电子文件的不真实、不完整。另外，由于网络信息技术的不完备及企业管理本身的不到位，再加上企业的信息数据系统有被有意或无意破坏的可能，如电子设备的自然损耗不可预测的自然环境因素，黑客攻击与电脑病毒的入侵等，如果企业的应用系统、操作系统、硬件设施与纷繁复杂的网络结构中任何一个方面出现问题或着受到破坏，都有可能会造成企业电子文件的质量缺损及信息的不完备，从而导致电子文件的风险损失。

4.电子文件的自身风险问题

电子文件的自身风险包括两个方面：一是电子文件的可分离性造成的安全性风险。由于电子文件是直接写在磁盘上，并且在磁盘上可以任意地对其进行修改，即电子文件随时产生、随时更改。对电子文件而言，信息与载体并不是不可分离的，所以电子文件的这种可分离性使电子文件信息随时面临着被修改、盗窃甚至被销毁的危险。也就是说，在电子文件的生成、流转、保存和利用的过程中，有很多情况可能会导致文件的真实性、完整性缺损。二是电子文件相关设备更新造成的利用风险。因为电子文件的识别必须要依靠计算机，所以随着计算机技术的不断更新，会使一些文件由于兼容性不强而导致无法识别。一般说来，电子文件无法识别及无法使用的技术原因主要有两个方面：一是信息技术革新，使旧的存贮技术消失；二是商业性的原因，即单个厂家生产或销售的电子文件设备会由于其破产或改变产品生产而很难找到相关配套的产品。

5.相关法律、法规的不健全

由于目前针对企业电子交易及管理的法律、法规还不是很完善，所以企业的信息系统尤其是商业银行、保险公司等性质的企业就很容易引起各种形式的网络犯罪，如黑客攻击、企业内部人员作案、病毒入侵等情况，这都将会引起一定程度的电子文件的风险事故。对于如何解决这些问题，最主要的还是要建立一套完善的法律、法规体系来对其进行规范化、制度化的管理。

四、应对企业电子文件风险的措施

1.选择外包业务要慎重

企业在信息化建设过程中如要选择将部分信息系统建设转托给外包供应商时，应充分考虑、慎重选择。首先，要对第三方服务供应商的经营状况进行系统评估，并调查了解其财务状况和对风险的驾驭控制能力与责任承担能力；其次，要充分认识该外包公司对本企业电子文件风险控制的影响程度；再次，要与第三方服务供应商签订具有法律效力的书面合同，明确规定双方的保密义务和相关责任；最后，针对外包业务可能形成的风险建立相关的应急计划，以备不时之需。如果企业要将那些涉及本企业电子文件机密数据的管理与部分核心信息系统进行外包时，应该召开企业董事会会议，只有经过企业董事会或者法人代表的批准才可以对其进行外包业务。

2.培养复合型的企业电子文件风险管理人才

由于电子文件风险管理人才对于企业信息化建设的成功是最主要的条件之一，因此要从以下几个方面培养这种复合型的电子文件风险管理人才：一是企业要建立复合型人才培养战略，采取各种有效措施以吸引和凝聚众多优秀的科技人才，以充分发挥优秀人才的作用；二是要为优秀人才提供良好的学习环境和外部条件，鼓励人才深入研究和探索电子文件风险管理各方面的理论知识，以提高对电子文件风险防范的实际操作能力；三是要加强对信息技术人员的培训，为人才提供各种理论技术方面的培训，鼓励人才继续深造，同时积极吸纳外部人才以提高企业的实力及增强企业活力。

3.加强信息技术的安全管理，以确保电子文件质量

目前，各企业都很重视信息系统的开发。但是由于信息技术并不是百分百的完善，所以要提前预防或及时发现并适时解决信息技术在使用过程中出现的各种问题，这对于技术风险的防范是一个比较重要的环节。首先，企业要对现行的技术风险程序进行系统评估，以确保其完善性、持续性，使其可以及时解决当前或计划之中的信息技术所带来的新风险。其次，企业要建立一套高效的电脑实时监控系统，改变过去以人为主的监控管理体系，以实现智能化的监控与管理。再次，企业要制定突发事件的应急方案，以提高应对各种灾难的能力。最后，各企业可以模仿平安保险公司建立“IT灾难恢复系统”来应对电子风险。

4.通过多种备份形式转移风险，利用双套制来分散风险

对于电子文件的自身风险问题，企业电子文件可以采用以下途径来转移风险：对归档的电子文件，按本企业的档案分类方案进行分类、整理，并拷贝至耐久性好的载体上，一式三套，一套封存保管，一套异地保管，一套提供利用。同时还可以利用双套制来分散风险。企业电子文件可以通过电子文件格式的多样化来分散风险。一般可采取多格式存贮，即电子文件原文件格式存贮一份，再用其他格式存贮一份；或采用双轨制，即电子文件保存一份，纸质文件保存一份，使风险得到分散。

5.建立健全与电子文件风险管理相关的法律、法规

企业信息化建设的顺利发展首先就是要解决企业电子文件的风险管理问题，而电子文件风险管理的解决又要以相关的法律、法规为基础和依据，只有在建立了健全的电子文件相关的法律、法规的基础条件下，企业信息化建设才能持续、稳定、健康地发展下去。虽然我国在2004年8月28日颁布了《电子签名法》，这个法律对电子文件的健康发展的作用功不可没，但是在我国能算得上真正意义上的信息化法律却是屈指可数，这些法律漏洞对我国企业在向信息化发展的道路上产生了极大的阻碍，如对黑客的入侵如何定性、对被破坏的电子文件如何进行经济上的补偿等等问题，迫切需要相关法律、法规对其加以规范。只有这样才能更好地促进企业信息化的发展，才能更好地提高我国企业的竞争力。

［1］张慧，李肖军.论保险公司电子文件的风险管理［J］.兰台世界,2009，（7）.

［2］刘越男.识别电子政务系统中的文件风险［J］.档案学通讯，2006，（2）.

［3］冯惠玲.论电子文件的风险管理［J］.档案学通讯，2005，（3）．

［4］徐拥军.电子文件风险管理的必要性与可行性［J］.档案学通讯，2005，（6）.

F27

A

1673-0046（2011）11-0095-02