檔案信息化建設的風險管理

摘要：文章從項目風險管理的角度出發，在對風險管理進行簡要認識基礎上，著重分析了檔案信息化建設風險管理的三大過程管理：風險識別、風險評估與風險應對。

關鍵詞：檔案信息化 風險管理 風險識別風險評估 風險應對

近年來，在我國政府全面實施信息化強國發展戰略的背景下，檔案信息化建設如火如荼。然而在這場信息化建設的大潮中，信息化建設的風險問題也逐漸顯露。根據Standish Group對《財富》500強企業的信息化項目連續6年的調查，發現只有26％的信息化項目完全成功，而28％的項目則完全失敗，其余46％的項目則超過了預算或工期。可見信息化項目是一項高風險的系統工程，要確保檔案信息化建設的成功，就必須強化檔案信息化建設的風險管理。

1 風險管理的再認識

風險指行動或者事件的結果的不確定性，無論其結果是消極的威脅還是積極的機會。信息化建設中的風險包括威脅和機會兩層涵義，而不僅指傳統意義的威脅。風險管理則是指項目管理組織對可能遇到的風險進行計劃、識別、評估、應對、監控的全過程，是以科學的管理方法實現最大安全保障的實踐活動的總稱。具體而言，風險管理包括兩層涵義：一是風險管理強調對目標的主動控制，對信息化建設過程中遭遇的風險和干擾因素進行預防，從而減少損失。二是風險管理追求的目標是將積極因素的概率及其產生的影響最大化和使消極因素的概率及其產生的影響最小化。檔案信息化建設的風險管理重點是要加強風險管理的三大過程管理：風險識別、風險評估與風險應對。

2 檔案信息化建設的風險識別

風險識別是進行風險評估的基礎和前提。風險識別就是將項目風險的因子要素歸類和分層地查找出來。檔案信息化建設中主要的風險因素有：

2.1觀念和認識風險。在檔案信息化建設中，一方面，一些部門或地方的領導，對檔案信息化認識過于簡單，將檔案信息化等同于技術改造，認為檔案信息化建設就是購買軟、硬件、建網絡或開發幾個應用軟件，結果大部分檔案部門雖然建立起計算機與網絡系統，但信息化效果卻收效甚微。另一方面，就是認為信息化可以解決檔案事業發展中的一切問題，樹立“信息化神話論”，直接誤導檔案信息化建設。

2.2投資風險。檔案信息化建設是一項高投入的系統工程，從軟、硬件到信息網絡，再到系統平臺與信息資源建設和維護都需要高額的投入。按理說，高投入就應該有高回報，但由于檔案信息化建設投入與產出沒有一個明確指標，使得檔案信息化建設投資成為一個無底的“黑洞”。此外，至今相當一部分地區或單位還沒有從本地區、本單位發展戰略高度出發，制訂出一個切實可行的檔案信息化建設規劃，致使檔案信息化建設重復投資現象十分嚴重。

2.3技術風險。技術風險主要表現為：一是盲目采用新技術。很多檔案信息化建設負責人一方面害怕現有的技術過快地被淘汰，另一方面在系統提供商富有感染力的推銷下，迫切期望運用新技術、新產品，但一旦實際采用就會發現，很多技術問題很難一下子找到比較好的解決方式。二是選購設備安全等級低。據統計，目前我國市場上約三分之二的軟件是外國產品，操作系統和大型應用軟件約90％是外國產品。美國出口我國的微機安全系統級別只有C2級，對美國國防部規定的8個安全級別之中的倒數第三位。這對安全級別要求極高的檔案部門來說是致命打擊。

2.4管理風險。俗話說“三分技術，七分管理”。管理漏洞是信息化失敗的最主要原因。檔案信息化的實質，應該是檔案業務與管理的精細化，很難想像一種先進的技術應用到一種落后的管理模式上會取得好的效果。目前，大多數檔案部門缺乏對整個檔案業務管理模式的認識，管理構架不明，在制定信息化建設方案和實施信息化項目時就遇到了很大障礙，導致信息化建設陷入曠日持久的拖延、拉鋸狀態。

2.5人才風險。據國家信息化測評中心統計，我國信息化指數為38.46時，我國信息化人才資源指數僅為13.43。信息化人才匱乏是導致檔案信息化項目實施失敗的主要原因之一，尤其是專業性復合性人才的缺乏，致使檔案部門很難真正開展檔案信息化建設。

3 檔案信息化建設的風險評估

風險評估是風險應對的前提。風險評估就是對識別出的風險進行測量，給定某一風險的概率。它是通過對風險分析工具、技術以及風險表現類別的掌握，對風險的影響和損失、風險級別加以分析的。簡言之。風險評估就是風險量化，通過比較風險的大小，來決定是否需要采取相應的應對措施。Kaplan和Garrick認為，風險不是一個數字，也不是一條曲線或一個向量，而應該是一個三元組的完備集，即R_risk={i，l_i，x_i}_c。其中，R_risk代表風險，s_i為第i個有害事件，l_i代表第i個有害事件發生的概率，x_i表示第i個事件的結果。是一種損失指標：c腳標表示這個集合是一個完備集。集合中的元素，即三元組i，l_i，x_i>只是風險的一個答案，整個集合才是全部風險。根據Kaplan和Garrick理論，筆者認為，檔案信息化建設的風險評估可從以下幾個步驟入手：首先，構建檔案信息化建設風險要素表，也就是將風險識別出來的風險因素表格化。其次，確定各種風險發生的概率值。第三，評價風險程度，對檔案信息化建設過程中可能遇到的各種風險進行定量分析，確定對應風險后果值集。最后，將風險進行綜合風險評價，劃分為若干個風險等級。

舉例說明：如表1所示，可以用1到10分的等級來評估風險，如果檔案信息化建設發生投資風險時，認為它非常不可能發生，得3分，但是一旦發生后果則非常嚴重，得9分；然后把二個分數相乘，即得到該風險的風險值，再同其他單個風險值相比，確定安全等級。風險等級越高，表示風險越大，就需要檔案部門制定相應的措施認真對待。

4 檔案信息化建設的風險應對

風險應對就是針對風險評估的結果，采取相對應的措施去響應風險，其目的是創造機會，回避威脅。風險應對中，需要對正面風險(機會)制定增強措施，對負面風險(威脅)制定應對方法。對于不同的風險，需要根據其重要性、影響大小以及已經確定的處理優先次序，采取相應的措施加以控制。對正面風險的應對策略是開拓、分享、強大，這主要是指風險值處于“極不嚴重”級的風險。對負面風險的應對策略是規避、轉移或減輕，主要措施有：

4.1實行分等級風險管理措施。首先，根據檔案信息化建設的風險評估結果，按照已區分的不同級別的風險，確定檔案信息化風險管理的優先級及可接受的風險等級。其次，在劃分風險管理優先級的基礎上，為每一級的風險要素規定風險管理要求。最后，根據劃分的風險管理要求，確定檔案信息化建設是否在可接受風險等級內，若不在可接受風險等級內，就應及時響應風險，采取相應的風險管理措施，進行風險應對。

4.2加強培訓，提高檔案工作人員對檔案信息化的認識。培訓對規避檔案信息化建設的風險有良好的效果。信息化培訓能夠提高參與檔案信息化建設人員和業務人員甚至管理人員、領導者對規避信息化項目風險的認識水平促進檔案部門管理的創新。

4.3預留風險保證金，制訂建設規劃，防范資金風險。檔案信息化建設是一項投資大、周期長、高風險的系統工程，在項目預算時應預留一定數量的風險保證金，以有效應對由于項目需求改變、范圍增加或意外事件而造成的資金風險。此外，各地區或單位檔案信息化建設負責人要從本地區、本單位發展戰略出發，制訂與之發展目標相適應的、切實可行的檔案信息化建設規劃，避免檔案信息化重復投資，保證資金的合理利用。

4.4采用逐步更新、持續改進的技術措施。技術的未來發展前景，在某種程度上很難預測。規避風險很難，無論是哪種新技術都無法從根本上解決，宜采用的辦法是“逐步更新、持續改進”。在技術的應用上首先要考慮技術產品的成熟性、穩定性、應用的廣泛性及與現有系統的兼容性，而不能盲目地追求新技術。在設備選購上，要建立起適合檔案信息化建設需要的選型標準。從設備的可用性、可靠性、可維護性、風險性、成本等指標上進行綜合評估，選購出合適的設備。

4.5引入信息監理方，一定程度緩解目前管理、人才的風險。筆者認為，在檔案信息化建設中引入中立、客觀、專業的第三方——監理方，來監控和管理整個信息化建設是降低或規避信息化風險，提高檔案信息化建設成功率的有效方法。一方面，信息監理方可以幫助和指導檔案工作人員學習先進的管理理念、技術、模式，充當檔案信息化建設的培訓師，一定程度緩解檔案信息化人才緊張的情況。另一方面，信息監理方可以運用先進的項目管理理念及軟件工程管理思想，幫助檔案部門優化檔案業務與檔案管理流程。改變檔案業務流程基礎薄弱的環節。同時，信息監理方可利用自身在設備、技術、管理、人才上的優勢，緊密監督與管理項目承建方的信息化行為，以確保整個檔案信息化建設處于可控、可管的狀態。