电子文件关键风险因素的调查分析

表１电子文件关键风险因素的分布

编号

关键风险因素

层次

类别危险程度（评估值）１．２主管部门没有出台维护电子文件真实、完整、可读的管理办法、规范极严重（４．７５）管理标准

１．３缺乏整体的、长期的国家电子文件管理战略

战略极严重（４．６３）１．１政府电子文件作为正式文件的法律地位尚未得到普遍认同法规严重（４．３８）２．２地方主管部门未合理规划电子文件管理工作

政策严重（４．３８）２．３地方主管部门未出台维护电子文件真实、完整、可读的管理办法规范严重（４．２５）及标准

２．１没有明确的主管部门体制严重（４．１３）２．５资金投入严重不足

资金较严重（３．８８）２．４本地区整体信息化水平不高，信息通讯基础设施和技术落后技术较严重（３．６３）３．１６没有完善的备份措施，包括异地备份（容灾）措施

技术极严重（４．６３）３．１

机构领导很不重视

人员

极严重（４．５０）

在国家社会科学基金重点项目“电子政务系统

中文件管理风险分析与对策研究”（０３ＡＴＱ００２）的前期研究中，课题组采用目标偏离法初步识别出电子文件风险和风险因素，

!

"并开具了详细清单，涉及

１００多个风险因素。为了能够将有限的资源应用到

最关键的风险因素的管理上，以集中应对那些后果相对严重的风险，课题组根据理论分析，先行挑选出若干个关键风险因素，再采取德尔菲法，邀请了６位国外专家和８位国内专家对这些因素的危险程度进行了两轮量化评估。笔者已经从横向对比的角度，就其中的２１个关键风险因素对中外专家两次评估结果进行了比较研究，

#

"本文将依据最终评估

结果，对全部２９个关键风险因素$

"

进行整体分析。一、关键风险因素的分布

关键风险因素的入选条件有两个：其一，导致多种风险的风险因素，如元数据的缺失对电子文件的完整、真实、及时、关联都有影响；其二，导致严重风险的因素。我们的研究未设定具体的业务环境和文件种类，从一般意义上来讲，严重风险指机构没有达到法律规定的文件管理的基线要求，如《中华人民共和国电子签名法》第四、五条所规定的真实、完整、可读、可用。

从纵向看，关键风险因素分布在宏观层面（即

国家层面）、

中观层面（即地方层面）和微观层面（即机构层面）。从横向看，关键风险因素涉及战略、政策、法规、体制、规范、技术、管理、人员、资金等九大类别。

为便于专家评估，课题组将关键风险因素的危险程度分为５个等级，由高到低对应着５、４、３、２、１这５个分值，其含义分别为“负面影响会带来严重的损失且波及范围较大”、“负面影响比较显著”、“负面影响有限且一目了然”、“负面影响极为有限”和“几乎没有任何负面影响，不需要特殊的保护措施”。调查显示，所有被评风险因素的平均评估值都在３分以上，其中最高分为４．７５分，最低分为３．２５分。这说明课题组挑选的２９个风险因素切实存在于电子文件管理之中，其负面影响是显而易见的，确系关键风险因素。

根据评估值的高低，可将被评估的关键风险因素分为四组，第一组为极严重风险因素，评估值在

４．５以上；第二组为严重风险因素，评估值在４．０￣４．５

之间；第三组为较严重风险因素，评估值在３．５￣４．０之间；第四组为中度风险因素，评估值在３．０￣３．５之间。所有２９个风险因素的分布如表１所示。每一层次的风险因素都按照危险程度（评估值）的高低排列。

电子文件关键风险因素的调查分析

中国人民大学信息资源管理学院

张宁

刘越男

［摘要］本文基于电子文件风险专家评估的结果，探讨了在电子文件管理过程中可能导致损失的若干关

键风险因素的危险程度。

［关键词］电子文件风险因素

风险评估

宏观风险因素

中观风险因素

二、总体印象

１．宏观因素比中观因素、微观因素危险级别更高

３个宏观因素中有２个属于极严重风险因素，１

个属于严重风险因素，

分别占其总数的６７％和

３３％；５个中观因素中没有极严重风险因素，严重风

险因素占６０％；而２１个微观因素中极严重风险因素和严重风险因素分别占１４％和４３％。宏观层面的风险因素系国家行为的结果，规定或明确了电子文件管理定位、视角、责任和基本条件。中观层面的风险因素则是地方政府行为的结果，如地方性规划、规章、标准等，这些因素影响机构电子文件管理的组织、模式和方法。如若一个地方大多机构电子文件风险都很低，不等于这个地方的信息化就建立在低文件风险的基础上；如若一个国家大多区域各自实现了低文件风险的信息化，不等于全国信息化战略就有了可靠的信息支撑。这是因为将局部利益直接相加并不一定等于全局利益，无规范无制约的局部利益之和一定不等于全局利益。如果国家没有从全局出发规范电子文件管理，没有从长远发展的角度明确什么样的电子文件管理方式才是低风险的，那么各地方、各单位费尽心力自行探究的电子文件管理之路可能因为上级政策的突然变化而遭全盘否定，造成投入与产出的极大反差，造成无法修复的文件管理缺陷。这或许是电子文件管理最大的风险，专家的风险评估结果从经验的角度证明了这一点。

２．非技术因素比技术因素危险级别要高

在２９个关键风险因素中，有１８个非技术因素和１１个技术因素。非技术因素风险级别高于技术因素的表现有三个方面：第一，极严重和严重风险因素中，非技术因素的数量多于技术因素，两者分别为１０个和４个；第二，非技术因素极严重和严重等级的比例均高于技术因素，５６％的非技术因素属于极严重和严重风险因素，只有３６％的技术因素位于此列；第三，危险级别最低的中度风险因素全都是技术因素。正所谓“三分技术，七分管理”，引导技术应用、保障技术应用成功的非技术力量往往比技术应用本身更有力量。

３．制度性质的风险因素的危险级别最高

本文采用的是广义的制度概念，即人类设计的

制约人们相互行为的约束条件。!"

电子文件管理世

界中的制度包括组织机构乃至整个社会为实现电子文件管理目标而采用的一系列规范体系。表１中的战略类、政策类、体制类、法规类和规范类共９个关键风险因素具有制度性质。从评估结果看，这９个因素无一例外都属于极严重或严重风险因素，且评估值在同组因素中普遍较高。技术可以引进，管理可以学习，然而制度设计却要全面考虑国家、地方和机构的实际情况，是不可模仿、必须创新的。这一结果反映了电子文件风险应对的艰难性。

三、深度分析

１．极严重风险因素

极严重风险因素无疑是最令人关注的一组风

３．１８在系统升级、

变换时未迁移电子文件技术极严重（４．５０）３．３机构内各有关部门、人员文件管理的职责不明确规范严重（４．３８）３．７

无针对电子文件归档、鉴定和长期保管的明确规定

规范严重（４．３８）３．１３电子文件管理系统没有完整捕获文件内容、

结构、背景信息的功能技术严重（４．３８）３．２０没有文档保管场所安全保护措施自然

严重（４．３８）３．１７文件管理过程中的元数据记录不全

技术严重（４．２５）３．１５没有对文件生成、

管理、利用过程进行监控、审计管理严重（４．１３）３．１１机构没有一套全面有效的电子文件管理系统开发／实施规划管理严重（４．１３）３．６机构没有制定科学合理的文件操作程序规范严重（４．００）３．２１没有针对本地易发天灾的防范措施

自然严重（４．００）３．２资金严重不到位

资金较严重（３．８８）３．５文档人员素质不高，技术、管理能力差（如错误操作等）人员较严重（３．８８）３．８机构内部各信息系统没有集成，联通性差，电子文件管理分散技术较严重（３．８８）３．１２未采用有效的病毒实时监视软件技术较严重（３．８８）３．４业务人员缺乏责任心

人员较严重（３．７５）３．１０未定义各类用户的存取权限或定义不当技术较严重（３．７５）３．９

未采用严格的用户身份认证技术

技术较严重（３．６３）３．１４没有规定文件的格式

技术中度（３．２５）３．１９未保存生成电子文件的软硬件

技术

中度（３．２５）

微观风险因素

续表