文档介绍:专业资料参考首选 ISO31000 标准在档案信息系统风险管理中的应用探讨天津开发区档案馆马爱华李翠绵在安全风险管理领域,国际标准化组织( ISO )于 2009 年 11月发布了一项新的国际标准,即《 ISO31000 : 风险管理原则与实施指南》。 ISO31000 秉承了 ISO9000 、 ISO14000 等广为人知的朴素、普适、严谨的原则, 有效地指导管理实践, 是一项各领域通用的风险管理国际标准, 体现了世界范围内的风险管理的最新理论和最佳实践。 ISO31000 的发布, 促使许多国家及国际组织进行了对应的风险管理标准或规定的修改。中国政府于 2009 年发布了国家标准 GB/T 24353 —— 2009 《风险管理原则与实施指南》, 作为我国各组织实施风险管理的最高级别标准,此标准正是参照 ISO 31000 编制的。目前, ISO31000 风险管理标准已在国内部分大型央企与上市公司中应用, 包括中国海洋石油集团、中国五矿集团、中国航天科技集团及中国航天科工集团等。在当前档案业界全面推进档案安全体系建设进程中, 借鉴并运用 ISO31000 风险管理标准的理念、原则,建立清晰的档案风险管理体系架构与过程,应是一种有益的尝试。本文仅从 ISO31000 标准在档案信息系统风险管理方面的应用进行初步探讨。 1、 ISO31000 风险管理标准简介《 ISO31000 : 风险管理原则与实施指南》, 以澳大利亚和新西兰风险管理标准《 AS/NZS 4360:2004 》为基础, 由国际标准组织( ISO ) 专业资料参考首选风险管理技术委员会制订, 旨在推进各种机构、组织进行高效风险管理。该标准适用于任何公共、私有或社会企业、协会、团体或个人, 应用于任何类型的风险的管理。标准提供了通用的指导准则和一般性指导方针, 在应用时需结合各个机构组织的具体应用环境, 风险管理的设计和实施取决于各机构、组织的不同需要、特定目标、范围、组织结构、产品、服务项目、业务流程和具体操作 1。 ISO31000 其内容主要包括原则、框架与流程三大部分,描述了风险管理的原则、框架与风险管理流程之间的关系(图 1) ,并提供了风险确认和分析的方法。 ISO31000 认为,全面风险管理是以一种相容性的、机构化的、增值性的方式来处理风险,它通过风险辨识、风险分析、风险评价的全过程, 来决定这些风险是否需要处理以满足风险准则 2。实施这一国际标准益处在于:以预防性代替被动型进行管理风险, 变被动为主动; 认识到在整个机构内部环境和外部环境中识别风险和处置风险的必要性;识别造成风险的影响要素,发现薄弱环节, 提高辨识各种风险隐患的水平; 有助于风险应对策略的选择; 改善事故管理程序, 预防事故发生, 在无法避免的事故发生时减少事故损失等。这些作用同样适用于档案风险管理领域。尽管过去一段时间在档案业界,为满足不同的需要,已经开展了相应的风险管理实践,但在一个综合框架内采用一致性过程进行风险管理的模式尚未形成,而此种模式更加有助于确保在组织内有效、综合性地管理风险。 ISO31000 国际标准中所描述的通用方法提供了专业资料参考首选在任何范围和状况下,以系统、清晰、可靠的方式管理风险的原则和指南 3 。档案信息系统在应用的全过程中存在多种风险,通过运用 ISO31000 , 有利于建立安全的内部、外部运行环境, 预防突发事件的发生, 积极应对突发风险事件, 并通过不断的改进, 提高整个档案管理系统和档案管理机构应对风险的能力。采用 ISO31000 标准,可以改进风险管理的信息沟通, 培养风险文化, 建立风险偏好, 增强风险意识, 提高风险管理技术的水平。图1 :风险管理的原则、框架与流程的关系 2、对标 ISO31000 确立档案信息系统风险管理的原则风险管理是档案信息资源与档案信息系统风险管理的上位类概念,根据 ISO31000 中风险管理中原则的确立方法,确定对档案信息系统风险管理的原则。专业资料参考首选 风险管理创造价值档案信息系统风险管理的目标,要服务于档案管理的总体目标, 与档案安全保障体系的目标一致,即控制环境,降低风险 4 。档案信息系统风险管理, 应该有助于建立有效的机制, 实现对档案信息系统风险的识别、评价、预警与控制, 提高档案信息化水平, 增强核心竞争力与可持续发展能力。 风险管理是档案管理全过程的组成部分档案信息系统的风险管理不是一个孤立存在的过程, 而是融会贯穿于档案管理的各个环节, 特别是档案信息系统构建、运转和档案信息管理的整个过程, 涉及档案的采集、保管、利用等各个环节。从其相关的硬件设施以及制度、技术、人员等诸多支撑要素来看, 必须将其作为一个有机整体的系统工程, 统筹考虑和谋划, 全