信息化建設中的風險識別與控制

摘要 本文介紹了風險的概念，討論了風險的特點，并以電子政務應用為例，從項目立項、招投標、項目的實施以及合同的簽訂與執行等環節，分析了信息化建設中可能存在的幾個關鍵風險點，并對這幾個關鍵的風險點提出了相應的控制措施。

關鍵詞 信息化建設；關鍵風險點；風險識別；風險控制

中圖分類號 F270.7 文獻標識碼 A 文章編號 1673－0194(2009)06－0059－03

隨著電子商務、電子政務應用的發展，政府及各企事業單位在信息化建設中的資金投入也越來越多，與此相應的責任、壓力、風險也大大增加。近年來，不少單位在信息化建設中的違規現象時有發生，并在數量、程度和范圍上呈上升趨勢，這給政府以及各企事業單位的聲譽造成了負面影響。究其原因，其中固然有多種影響因素，但與各單位對信息化建設中的風險認識不清，不能很好地采取防范措施不無關系。如何對信息化建設中的風險進行有效識別并采取有效的防范措施，以確保電子商務、電子政務應用的健康發展，已成為擺在當前政府及各單位管理者面前急需解決的棘手問題之一。

一、風險的概念及特點

風險是人們在經營活動中，對未來結果的不確定性或損失以及對這種不確定性或損失的判斷與認知。風險是客觀存在的，而且風險往往伴隨著某種損失的發生。

信息化建設是一項復雜的系統工程，涉及眾多環節和技術，在此過程中的風險往往表現出以下特點：

(1)風險的客觀性和普遍性。風險是不以人們意志為轉移并超越人們主觀意識的客觀實在，而且貫穿在信息化建設的生命周期內，風險無處不在、無時不有。有些風險是可以通過人的智慧、知識等進行預測并能夠控制的，而有些風險則是通過人的智慧和現有知識等無法預測和控制的。

(2)風險的偶然性和必然性。某個具體風險的發生往往是諸多風險因素和其他因素共同作用的結果，表現為一種隨機現象，但大量風險的發生則呈現出一定的規律和必然性。

(3)風險的可變性。在信息化建設的整個過程中，各種風險在質和量上的變化是會隨著項目的不斷推進而發生變化的。有些風險會隨著項目建設的不斷深入得到控制，有些風險則會發生轉移，而在項目的新階段則可能產生新的風險。由于電子商務、電子政務信息化建設的項目資金投入，少則十幾萬元，多則上百萬元，涉及多種信息技術，在此背景下，風險的可變性則表現得更加明顯。

(4)風險的多樣性。信息化建設可能包含大量的信息網絡系統、資源系統以及與這些系統相關的新建、升級、改造工程等內容，涵蓋了計算機工程、網絡工程、通信工程、結構化布線工程、軟件工程、系統集成以及電子商務、電子政務的其他諸多應用，具有專業性強、涉及面廣、建設周期長、風險產生的影響因素多等特點。在這樣復雜的環境下，大量風險因素之間內在的關系錯綜復雜，內部風險因素與外界環境、人為認識與政策風險之間交叉影響，使得信息化建設的風險呈現出多樣性。

二、信息化建設中的關鍵風險點分析

有了對信息化建設風險特點的認識，就需要人們對風險進行有效識別。風險識別是風險管理中最重要的步驟，也是做好風險防范的基礎。風險識別的目的在于確認風險的存在及其性質，并預測風險可能造成的后果，進而為管理者進行風險評估、采取科學的防范措施提供決策參考。

由于風險的客觀性和多樣性。在政府及各企事業單位信息化建設過程中，人們不能對所有的風險進行預測和防范，但必須對那些可通過人的智慧、知識等進行識別的風險給予高度關注，因為這類風險是可控制的，否則將會給單位的資產以及聲譽等造成重大的損失。下面以電子政務中工程項目建設為例，從項目立項、招投標、項目的實施、合同的簽訂與執行等幾個關鍵節點，分析并識別可能存在的風險點。

1.立項階段的風險

立項是所有信息化項目建設的起點，這個環節所遇到的最大風險是項目決策的不嚴謹而使學校的資金和財產不能被有效利用而產生的風險。如工作人員不能切實結合本單位的財力、物力狀況，不按要求對即將立項的項目在符合相關規定的基礎上進行充分論證和編制科學合理的投資估算；不深入一線主動去對項目的需求進行了解，不去調研、了解本校是否已有功能相似的資源，已有的資源能否合理共享等；對項目所涉及的技術不進行仔細的歸類、整理，不了解技術的成熟性與可靠性，一味追求“大而全”；對項目所需的設備，不仔細調研型號、規格、基本配置、歷史價格、當前的市場價格等相關信息，從而導致信息完整性的缺失；不評估項目建設后的使用績效；不能建立項目實施績效的考核細則和問責制等，直接導致信息化建設“高配低用”、“路寬車少”以及項目實施的績效不高等風險，大量有限的資金被浪費。

2.招投標環節的風險

招投標環節是一項嚴肅的法律活動，也是政府規范化管理的重要組成部分。這個環節的風險點主要表現為參與人的行為和活動，對這個環節的控制不力將直接導致商業賄賂和腐敗行為的發生，從而造成單位社會聲譽的嚴重損失。

在此環節的風險點主要表現為：將應該公開招標的項目變為邀請招標，將本該邀請招標的變為直接發包；有的不依法公開發布招標信息，采取控制投標人資質等“量體裁衣”的手法設置限制性條件，影響潛在的投標人；有的工作人員為達到自己的私利，有意拖延項目的前期準備時間，招標時以領導要求緊、時間來不及等為由，來達到逃避招標的目的；有的甚至鉆法律法規的空子，將完全可以整包的項目通過分包、拆包的方式，照顧方方面面的關系，以謀取個人或小團體的利益。

3.項目實施環節的風險

項目的實施環節直接決定信息化建設工程的內在結構和質量，這個環節的風險點主要體現在對工程質量的監督與管理方面，對這個環節風險的認識不清、控制不力將直接導致“豆腐渣”工程的產生，給單位的資產造成損失。如對內部項目管理人員的任用風險。因為項目管理人員的管理和創新能力，直接影響和決定著工程的質量、安全等，如果項目管理人員缺乏基本的業務素質和管理素質，就難以對施工中出現的偷工減料、設備的以次充好等問題及時發現和糾正，造成財產的損失、浪費。再如，由于IT人員與政府機關管理人員在知識背景、工作作風等方面的差異，導致在具，體項目實施過程中，以“IT企業(實施方)為主導，企業客戶(業主方)為主體”的“雙主”模式，常常會引發扯皮、需求不明確，甚至合作失敗的風險。那時單位要花費大量的人力處理方方面面的后遺癥，最終受害最大的還是自己。

4.合同簽訂與執行環節的風險

信息化建設的活動是通過一系列的合同體現的，合同既是對業主方和施工方在責、權、利方面的界定，同時也是產生糾紛的根源。因此，在合同簽訂與執行環節必須高度關注由于合同簽訂的不嚴謹以及執行不力所導致的各種法律風險，以避免本單位產生重大的經濟損失。

在電子政務建設過程中，無論是通過什么方式進行設備采購、項目招標等，在合同簽訂時要注意以下3個方面的風險：一是合同形式的合法性，如當事人有無簽訂、履行該合同的權利能力和行為能力以及合同經辦人是否有書面的授權；合同內容是否符合國家法律、政策和有關規定；當事人的意思表達是否真實、一致，權利、義務是否平等；合同的訂約程序是否符合國家的法律規定等。二是合同內容的嚴謹性，如合同應具備的條款是否齊全；當事人雙方的權利、義務是否具體、明確；文字表述是否確切無誤等。三是合同執行的可行性，如當事人雙方特別是對方是否具備履行合同的能力和條件；合同執行過程中所可能承擔的風險以及對合同非正常履行時可能受到的經濟損失如何約定等。此外，在合同執行階段，還要密切注意由于合同履行監控不到位所導致的風險，如對項目實施應變更的合同內容沒有及時變更，不應變更的內容反而進行了變更；對項目實施中的各種會議沒有及時形成書面紀要，即使有也沒有及時書面告知當事方，致使發生糾紛時找不出令人信服的依據，造成不斷扯皮的局面；對應當鑒證的合同沒有辦理鑒證確認，當發生糾紛時，也因無法舉證而導致敗訴的風險等。

三、對關鍵風險點的控制措施

1.立項管理

在此環節要加強工作人員的責任心教育，確保項目立項前信息收集的完整性、客觀性、準確性和規范性。為此，要求本單位工作人員要切實負起責任，充分了解和熟悉擬建項目的概況、專業性質及特點，了解已有的資源與擬建項目的關聯性，對不能實現資源合理共享的項目，要求做好項目在立項前的各種調研，重點注意項目論證的充分性報告，項目的可行性、必要性報告，審查項目預算的合理性；此外，還需了解工程技術的成熟性與可靠性，建立項目實施績效的考核細則和問責制，對項目論證的結果、流程等的記錄要全面、明晰、規范，以便領導進行科學決策，降低由于項目決策不嚴謹而產生的決策風險，也為項目的后續工作奠定良好的基礎。

2.對招投標進行監督

在此環節除了制定相關的內部控制制度外，單位還要組織專門人員對應該招投標的項目是否全部進行了招投標進行監督、檢查，對招投標形式(公開招標、邀標、競爭性談判還是單一來源采購等)的合規性進行確認。此外，還要重點檢查招標文件是否進行了認真的編制，項目的功能需求以及實施范圍的描述是否清晰；對招投標文件的標底編制是否真實可信；對招標的結果能否控制在預算范圍內進行調研；標書中是否有人為設定限制性條件而影響潛在投標人的現象；對投標單位資質的設定是否苛刻；對投標單位資質的審查是否公正；評標和定標的組織程序是否符合規定；評標成員的人員構成是否合理；評分標準是否公正、合理等，最大限度地降低由于招投標過程的不規范和不嚴謹而導致的違規風險。

3.項目實施環節引入信息系統工程監理機制

信息系統工程監理是受業主單位委托，站在第三方立場上，依據國家有關法律法規、技術標準和信息系統工程監理合同，對信息系統工程項目實施監督與管理。由于電子政務信息化建設所需的資金巨大、專業性強，機關單位顯然無法組織專門的技術隊伍來對信息化建設進行專業的管理，也很難保證工程建設的有效性、安全性和可靠性，即使有專門的技術隊伍也不能保證工程項目實施的公正性、客觀性和高效性，最關鍵的是違背了國家有關《電子政務工程技術指南》的相關精神。因此，在電子政務中借助第三方的專業隊伍對工程項目實施監理，可以很好地彌補機關項目管理人員的專業缺陷，幫助本單位協調工程建設中涉及的各方關系。監理工程師們通過對施工現場的旁站式監督，對所供設備的規格、型號以及性能等進行檢查、確認；對隱蔽工程的質量進行檢查；對施工過程中的各種鑒證手續是否完備、記錄是否詳細、準確等負責，從而保證施工的有序展開，有效避免由于本單位項目管理人員知識結構不足而導致的風險。

4.合同的簽訂與執行管理

在合同的簽訂與執行管理方面把握好3個環節：一要落實好合同管理的機構、人員，通過學習、培訓、進修等手段，培養一支懂法律、會管理的專業隊伍，使合同管理人員掌握合同的法律知識和簽約技巧，增強他們的責任感和使命感。二要切實把好合同簽訂審核關。在簽訂合同時，嚴格審查對方當事人的主體資格、資信情況和履約能力；對合同的每一條款要認真推敲，盡量采用或套用政府招標、采購等格式合同，以防止單位單獨編寫合同考慮不周所造成的歧義和誤解。對需要辦理鑒證的合同一定要依照有關法律規定及時辦理鑒證手續，以保證合同的合法性、嚴謹性和可行性。三是建立健全合同管理制度，切實做好合同的履行監控。合同管理制度的主要內容應包括：合同的歸口管理，合同資信調查、簽訂、審批、會簽、審查、登記、備案，法人授權委托辦法，合同示范文本管理，合同專用章管理，合同履行與糾紛處理，合同定期統計與考核檢查等，從而使合同的簽訂、履行、糾紛處理都處于有效的控制狀態。

四、結束語

對信息化建設中的風險識別與控制是一個復雜的系統工程，涉及太多的環節，也受到眾多因素的影響。本文以電子政務應用為例，僅從信息化建設項目所涉及的部分環節對可能產生的風險點進行了探討，旨在提醒決策者在信息化建設的各個環節重視對風險的識別、分析和評估，并采取相應的應對策略，力求將信息化建設中的風險減到最小，將本單位可能遭遇的損失降至最低。