Risk is a foundational concept in digital preservation. While it has been examined from technical, economic, and organizational perspectives, I argue that it is also a social phenomenon. In this study I report on the results from 42 interviews with stakeholders in the Trustworthy Repositories Audit & Certification (TRAC) system, and analysis of documents relating to the ISO 16363 standard in order to examine how standard developers, auditors, and repository staff members understand the concept of risk for digital repositories. The results of this research demonstrate that members of these three stakeholder groups identified risk in the TRAC audit and certification process in terms of specific potential threats or sources of risk, which I have organized into five main categories: finance, legal, organizational governance, repository processes, and technical infrastructure. While standard developers, auditors, and repository staff generally shared an understanding of the major sources of potential risk that face digital repositories, they disagreed about whether and how these risks can be mitigated and how mitigation can be proven. Individuals who were more removed from the day-to-day work of the repositories undergoing an audit were more likely to accept well-documented risk identification and mitigation strategies as sufficient evidence of trustworthiness, while repository staff were skeptical that documentation was sufficient evidence of risk assessment and mitigation and thus questioned whether this would translate to actual trustworthiness for long-term digital preservation.

风险是数字保存的基本概念。虽然已经从技术、经济和组织的角度对其进行了研究，但我认为它也是一种社会现象。在这项研究中，我报告了与可信存储库审计和认证 (TRAC) 系统中的利益相关者的 42 次访谈的结果，以及对与 ISO 16363 标准相关的文件的分析，以检查标准开发人员、审计员和存储库工作人员如何理解数字存储库风险的概念。这项研究的结果表明，这三个利益相关者群体的成员根据特定的潜在威胁或风险来源识别了 TRAC 审计和认证过程中的风险，我将其分为五个主要类别：财务、法律、组织治理、存储库流程，和技术基础设施。虽然标准开发人员、审计员和存储库工作人员通常对数字存储库面临的潜在风险的主要来源有共同的理解，但他们对是否以及如何减轻这些风险以及如何证明减轻存在分歧。远离接受审计的存储库日常工作的个人更有可能接受有据可查的风险识别和缓解策略作为可信度的充分证据，而存储库工作人员则怀疑文档是否足以证明风险评估和缓解，因此质疑这是否会转化为长期数字保存的实际可信度。和存储库工作人员普遍了解数字存储库面临的潜在风险的主要来源，但他们不同意是否以及如何减轻这些风险以及如何证明减轻。远离接受审计的存储库日常工作的个人更有可能接受有据可查的风险识别和缓解策略作为可信度的充分证据，而存储库工作人员则怀疑文档是否足以证明风险评估和缓解，因此质疑这是否会转化为长期数字保存的实际可信度。和存储库工作人员普遍了解数字存储库面临的潜在风险的主要来源，但他们不同意是否以及如何减轻这些风险以及如何证明减轻。远离接受审计的存储库日常工作的个人更有可能接受有据可查的风险识别和缓解策略作为可信度的充分证据，而存储库工作人员则怀疑文档是否足以证明风险评估和缓解，因此质疑这是否会转化为长期数字保存的实际可信度。他们在是否以及如何减轻这些风险以及如何证明减轻这些风险的问题上存在分歧。远离接受审计的存储库日常工作的个人更有可能接受有据可查的风险识别和缓解策略作为可信度的充分证据，而存储库工作人员则怀疑文档是否足以证明风险评估和缓解，因此质疑这是否会转化为长期数字保存的实际可信度。他们在是否以及如何减轻这些风险以及如何证明减轻这些风险的问题上存在分歧。远离接受审计的存储库日常工作的个人更有可能接受有据可查的风险识别和缓解策略作为可信度的充分证据，而存储库工作人员则怀疑文档是否足以证明风险评估和缓解，因此质疑这是否会转化为长期数字保存的实际可信度。