论质量认证企业档案管理风险评估体系的建设

2022-09-11

随着全球化不断加速, 科学技术也在迅速发展, 一个“风险社会”已展开在全体人类社会面前。无论是自然灾害, 如地震、海啸、风灾和水灾, 还是人为灾难, 如恐怖袭击事件和大规模战争, 都破坏了人类大量的珍贵档案, 带来的损失往往是无法挽回。档案安全与档案相伴相生、如影随形。档案载体类型随着信息化、智能化时代的发展而变化, 呈现出多元化、数字化等新特点, 给档案安全管理带来一系列挑战。《档案法》着重对档案管理提出了要维护档案完整与安全的要求。

档案安全取决于档案工作是否存在风险, 是档案工作的底线, 是档案事业的根基。因此, 配备必要的设施资源, 建立档案工作风险评估体系, 及时监控、预防企业档案工作风险成为各级各类企业档案机构的当务之急[1]。

一、企业档案工作风险的意义

在日常生活中, 我们经常用到“风险”一词, 但有关“风险”的定义却是众说纷纭, 没有形成一个统一的认定。

百度百科对“风险”的定义就是指生产目的与劳动成果之间的不确定性, 大致有两层含义:定义一是将风险表述为各类不确定的收益;定义二是将风险表述为成本或所付出的代价的不确定, 总而言之说明了风险如果产生, 可能会带来不确定的损失。因此, 风险通常被界定为“损失的不确定性”。

企业档案工作风险是指企业在履行档案管理职责的行为和活动中, 由于行为的缺失或者过失乃至错误而导致可能产生损失的不确定性, 即预计产生的结果成效与实际结果成效的差距。

在企业档案日常管理工作中, 假如没有制定“防盗”管理制度和执行相应措施, 导致档案丢失的结果属于行为缺失产生的风险;假如档案信息系统中的人为误删除则属于行为过失导致的风险。总之, 企业档案工作风险司空见惯, 需要专门的防范机制和措施预防风险、控制风险、消除风险。

二、当前质量认证企业档案工作存在的风险点

从事质量、环境和职业健康安全管理体系认证等业务的企业, 审核申请企业相关管理体系并颁发有关资质证书是主要业务, 质量认证主要是智力成果输出, 档案管理即质量认证公司的智力无形资产管理尤为重要, 该类企业档案承载着认证企业的全部智力数据和信息, 几乎等同于公司唯一重要的资产, 故对档案管理的风险。当前质量认证企业档案工作主要存在三个方面的风险[2]。

(一) 常规风险

质量认证企业档案工作与其他社会组织的档案工作一样都面临着自然灾害和突发事件带来的风险。自然灾害主要包括各类气象、地震、水灾、泥石流、火山喷发和相关诱发的次生灾害等;突发事件主要包括火灾、泄密、治安事件及设备事故等。自然灾害和突发事件对档案实体和信息带来的威胁相当大, 甚至是毁灭性的, 在企业档案工作中要建立应急处置预案, 最大程度减少损害。

(二) 特殊风险

质量认证企业在认证业务形成档案的过程中具有全数字化、无纸化等显著特征, 其档案工作重点围绕电子文件和数据的管理而开展, 依据档案工作风险的破坏客体可以划分为基本风险和连带风险, 这也是由质量认证行业的特殊性决定的。基本风险是指对电子化文档管理失当, 从而造成文件质量下降, 缺损等的不确定性。电子文件质量缺损是指电子文件出现失真、失准、缺损、无法读取、无法使用等情况, 未达到电子文件质量目标;连带风险是指因电子文件质量缺损而引起损失的不确定性, 质量认证企业对电子文件单一数据源等风险控制具有特殊的要求。

(三) 管理风险

质量认证企业档案管理风险包括档案管理意识薄弱造成的, 档案管理制度或流程缺乏明确规定随意性较大, 档案归档内容不全, 归档媒介选择不恰当, 查阅困难, 存放条件不符合要求, 存放空间不合理, 借阅制度不明确, 归档未使用原件, 密级标准不清, 登记不到位, 管理人员混乱, 电子档案安全性规定不清, 借阅未授权, 借阅资料长时间未归还, 对长时间、无利用价值的档案未及时进行销毁等[3]。

三、构建企业档案工作风险评估体系的思考与建议

(一) 档案工作风险评估体系建设势在必行

企业档案是每一个企业不可替代的重要过程资源和重要资产, 是对于国有企业来讲, 也是国有资产的重要组成部分。企业档案工作应服从和服务于企业生产经营、改革发展和资产保值增值, 建立健全确保档案安全保密的档案安全体系势在必行, 建设企业档案工作风险评估体系是大势所趋, 刻不容缓。

通过调研了解相关质量认证企业档案工作安全体系建设状况, 一定程度上存在着点状的、碎片化的现象, 缺乏风险管理的统筹策划与先期研判, 没有形成完整的工作体系。企业档案工作的重点风险聚焦在产品数据管理系统和档案信息化管理系统, 企业的档案工作是否真正安全、档案工作风险是否已经降到最低, 亟需“企业档案工作风险评估”这把尺子为来测量和检验。因此, 企业档案安全需要建立相应的风险评估体系[3]。

(二) 现代企业内控管理的必然要求

档案工作是现代企业项目发展、能力建设和经营管理的重点环节, 加强内部控制, 防范经营风险是一项重要的基础性工作。ISO15489《信息与文献—文件管理》强调, 评估和分析应对文件风险是文件管理的重中之重。国际文件和行政工作人员协会 (ARMA) 出版了《文件与信息的风险管理》, 这本著作的问世为全世界的文件管理者提供了具体的管理方法论。《基于风险评估的数字仓储审计方法》是由欧洲数字保护中心 (DCC) 欧洲数字保护 (DPE) 课题组研发的。

我国《企业档案工作规定》 (DA/42-2009) 要求:“制定档案管理应急预案。对可能发生的突发事件和自然灾害, 企业应制定档案抢救应急措施, 包括组织机构、抢救方法、抢救程序、保障措施和转移地点等。对档案信息化管理软件、操作系统、数据的维护、防灾和恢复, 应制定应急预案。”现代企业档案管理工作, 一个重点就是建设档案管理相对应的风险管理体系、制定相关应急预案。

(三) 质量认证档案工作风险评估体系构建思路

1. 评估体系构建原则

质量认证档案工作风险评估即根据档案工作的内外部环境, 围绕维护档案实体和信息安全的目标, 对所面临的风险进行辨识、分析以及评价的过程。

档案工作风险评估应坚持“谁主管谁负责”的原则, 相关责任方、参研方对自身档案业务领域内的风险管理工作承担管理评估责任, 具体负责自身业务领域内风险的辨识、分析和评价, 负责风险管理策略和解决方案的制定及执行[5]。

2. 风险评估工作步骤

质量认证档案工作风险评估的过程和顺序, 一共分为三个步骤, 具体体现为对风险的识别、分析和评估。风险识别是指查找每个业务单元文件、文件管理活动和重要业务流程中的风险和形成风险列表的过程。风险分析是指明确表述、识别风险及其特征, 分析并描述可能的高风险、低风险失事件, 可能产生风险的过程条件。风险评估是指对企业档案工作风险的评估、目标的影响程度、风险价值等的过程。

3. 明确风险评估类别

质量认证档案工作风险评估包括全面风险评估和专项风险评估。全面风险评估是指在某一时间段内, 对整个企业档案工作进行的常规性的风险评估工作, 一般应每年开展一次, 由档案业务领导部门负责牵头, 各责任单位进行自我评估, 系统梳理风险事件, 形成风险库;牵头部门负责核查筛选形成风险池, 并经会商讨论形成档案工作重大风险, 制定专题应对方案并限时整改落实。专项风险评估是指针对固定资产投资等重要专题档案进行专门的评估, 根据工作进展等需要随时组织开展专题评估, 预防局部档案工作风险。

4. 建设风险管理文化

质量认证档案工作范围广、参与人员多, 要将档案风险管理文化融入参研企业文化建设全过程。各参研企业应当在企业文化建设中, 大力培育和塑造良好的档案风险管理文化, 树立正确的档案风险管理理念, 增强员工档案风险管理意识, 促进档案风险管理目标的实现。各参研单位应在内部各个层面营造档案风险管理文化氛围, 各级档案风险管理人员应在风险管理文化培育过程中发挥骨干作用。

摘要：本文从企业档案工作风险定义入手, 全面分析当前质量认证企业档案工作存在的风险点, 并对构建企业档案工作风险评估体系的必要性和建设思路进行了探索, 对完善企业档案安全体系建设, 促进企业档案的规范管理化、科学化管理具有积极意义。

关键词：企业档案,风险评估,体系