王丰威
随着经济的迅速发展和社会的不断进步,个人和组织所面临的风险以及对风险的认识开始发生了巨大甚至是根本性的变化,并由此而带来了对风险管理概念的全新诠释和风险管理方法的推陈出新。1996 年,彼得·L·伯恩斯坦在《与天为敌:风险探索传奇》一书中写道:“所谓对风险的掌握就是说未来不再更多地依赖上帝的安排,人类在自然面前不再是被动的。在人们发现跨越这个分水岭的道路之前,未来只是过去的镜子,或者是属于那些垄断了对未来事件进行预测的圣贤和占卜者的黑暗领地。风险管理有助于我们在非常广阔的领域里进行决策,从分配财富到保护公共健康,从战争到家庭计划安排,从支付保费到系安全带,从种植玉米到玉米片的市场营销。”近年来,随着风险管理在理论和实践上的日趋成熟,为其在电子档案领域的应用奠定了基础。
一、理论基础:风险管理相关理论
风险管理理论由于它的广泛适用性,现已应用于各国社会与经济发展、国家建设、国家安全、公共安全和信息安全诸多领域。近些年来,风险管理思想也已经广泛应用于信息领域。例如,计算机安全风险管理、信息安全风险管理、网络安全风险管理等已经被广大的学者深入研究;国外许多企业已将信息风险或网络风险纳入了企业风险管理的范畴。在 2004 年中国计算机安全论坛及第 19 次中国计算机安全学术交流会上,计算机安全风险管理成为学者关注的首要焦点;大量的有关信息风险管理与控制之类的学术著作也大量涌现。风险管理思想开始在整个信息领域成功应用,成为保障信息安全的有力武器。尽管信息安全风险管理并没有将风险管理的焦点置于电子档案之上,但电子档案作为一种特殊的信息,信息安全风险管理当中的一些理论以及实践当中的经验教训,必能为我们进行电子档案风险管理的研究和实践提供直接的、有益的支持。
二、研究基础:大量已有的电子档案研究成果
虽然我国开展电子档案风险管理的起步较晚,但随着电子档案的大量涌现,风险也逐渐在管理过程中出现,引起广大档案工作者的重视,而且随着国际交流的逐步深入,国外的风险管理思想与技术也逐渐为国内的档案工作者所认识和接受。电子档案风险管理是一项复杂的系统工程,需要综合运用技术、管理、法规等诸多领域的知识,而在技术方面,电子签名技术、信息加密技术、网络防火墙技术、元数据技术等已经日趋成熟;在管理方面,我国电子文件管理专家、档案学专家已经提出了比较完善的电子档案管理功能需求报告、业务流程重组方案;在法规方面,我国政府正在制定电子证据、电子文件和电子档案管理等方面的法律制度。比如,《电子签名法》已经于 2005 年正式颁布实施。此外,国内一些企业开发出来的信息系统产品或信息系统整体解决方案中,电子档案风险管理也开始得到相当程度的关注和体现。所有这些都为我们进行电子档案风险管理的研究和实践提供了良好的基础。
三、实践基础:风险管理在其他领域的成功应用
风险来自于未来的不确定性。人类认识风险的历史几乎与人类的文明一样久远。虽然人类真正提出“风险”并对之进行研究不过始于 18 世纪,但是,当人类的第一个成员思考明天的生存问题的时候,人类对风险的认识就已经开始了。而人类对风险的认识同时也成就了人类文明的进步。人们在一切社会经济活动中,面临着种种风险。从总体上看,风险是一种客观存在,是不可避免的,而且在一定的条件下还有某些规律性。因此,人们只能把风险缩减到最小的程度,而不可能将其完全消除。这就要求各部门、各行业主动认识风险,积极管理风险,有效控制风险,把风险减至最小的程度,以保证社会生产和人民生活的正常运行。随着生产力和科学技术的不断发展,上世纪 30 年代产生了风险管理。所谓风险管理,是指经济单位对风险进行识别、衡量、分析,并在此基础上有效地处置风险,以最低成本实现最大安全保障的科学管理方法。
然而,对风险的掌握是一个极其漫长的过程。人类活动的扩展引起风险日趋复杂,其种类不断增加,同时,风险的发展刺激了风险管理的发展,而风险管理的发展又推动人们向更高的目标登攀。风险管理技术随着人们对风险认识的深入,得以不断提升。风险数量及其复杂性的增加促进了金融衍生品市场的增长,期货、期权、远期互换、資产证券化等金融衍生产品层出不穷。这些金融衍生品为企业提供了转移风险的工具,使得企业应对风险的策略和手段日益丰富。同时,信息技术的发展虽然提高了企业风险的发生水平,但也使得对许多风险的有效监控成为可能。一些更精确、更直观、更容易操作的风险度量方法和风险管理工具不断涌现,如 VAR、EVA 等。与 20 年前相比,风险管理的手段更趋多样化、系统化,风险应对策略更趋复杂化、专业化。自上世纪 80 年代以来,美国、英国、法国、日本等国家先后建立起全国性和地区性的风险管理协会。这些组织积极推动了各国的风险管理理论研究和实践,先后出台了各国的风险管理标准,在1995 年,由澳大利亚和新西兰联合制订了世界上第一个风险管理标准(AS/NZS4360);2003 年英国制订了 AIRMIC/ALARM/IRM 标准;2004 年,美国 COSO 制订了 COSO ERM 标准等。与此同时,西方十国集团在 2001 年又签署了《巴塞尔协议Ⅱ》,对银行的风险管理提出了更加明确的要求。国际标准化组织(ISO)也正着手制定风险管理标准。可见,风险管理已成为一门跨越自然科学和社会科学的边缘学科。它不仅同地质学、生态学、气象学相关,还与系统工程学、行为科学有密切的联系,是一种包含多类学科的综合经济管理。风险管理思想在各领域的成功运用,说明进行电子档案风险管理研究与实践也具有可行性。