政府信息化項目中的風險管理研究

張喜瑞

（河北省人口和計劃生育信息中心，石家莊 050061）

政府信息化項目中的風險管理研究

張喜瑞

（河北省人口和計劃生育信息中心，石家莊 050061）

本文在信息化系統建設和多年工作實踐基礎上，從信息化項目建設的全過程管理和風險識別的角度出發分析了政府部門在信息化項目建設中存在的6類風險，并提出相應的解決對策。

政府；信息化；風險管理

當前我國正處于經濟轉軌、社會轉型的歷史時期，工業化、城鎮化、市場化、國際化不斷深入發展，為適應新形勢新任務，必須完善社會管理體系、開展社會管理創新，解決廣大人民群眾生活、就業、就醫、教育、住房、社保等實際問題，優化配置公共管理資源，利用當今信息化技術建立政府（部門）信息化的服務管理系統，構建社會管理和公共服務平臺。如何有效地提高信息化項目建設的成功率，是越來越多信息化建設人員需要思考的問題。信息化項目的各方參與者應充分認識到信息化工程組織、實施、管理過程中存在的風險，并采取相應對策積極應對和管理。

1　風險的識別和分析

信息化是個系統工程，由人、硬件、軟件、文化氛圍4部分組成。系統風險即發生在這4個組成部分的相互銜接之上。筆者通過多個項目、多年信息化建設的開發和升級、改造工程項目的切身實踐經歷，深切體會到信息化建設的復雜性和艱巨性?？偨Y以往信息化建設實踐的經驗教訓得出信息化建設主要包括以下6類潛在風險：組織管理、項目管理、技術、經費、培訓、安全等。

1.1組織管理風險

例如人口與計劃生育業務相關信息系統，涉及國家、省、市、縣、鄉、村各級單位和人員，共同組成信息系統應用的有機整體，除信息系統間的數據對接交互，系統在使用時還受各級用戶業務水平、部門間協調機制、業務辦理時限、政策調整等因素影響，用戶業務水平低、部門間協調不通暢及拖延辦理等因素都會造成應用系統的使用體驗效果下降。這些不確定性，都會給項目建設帶來一定的風險。

1.2管理風險

項目在設計、施工、設備、開發等環節，均會面臨招投標、資金使用、成本控制、時間進度等風險，風險控制直接影響到項目的正常有序進行。

1.3技術風險

技術風險主要為過度追求新技術所帶來的風險。在進行系統設計、升級或改造的過程中，信息化項目常遇到是否需要選用最新技術的問題，因為信息技術是一個飛速發展的知識領域，新鮮事物層出不窮。新技術可以提供更好的解決方案、為業務變化提供更多可能。而且提供新技術的公司常常會承諾提供一個團隊用于實施信息化項目，而無需改變業務流程本身。因此，某些部門傾向于研發基于新技術的系統以實現這一系列的嶄新功能。但經驗表明，使用新技術存在一定風險，因此，要采用穩定成熟的技術，避免過度追逐新技術。

1.4經費風險

項目經費風險主要為項目建成后維護資金不足的風險。系統在運行維護期間，缺乏相應的費用預算，軟硬件設備的維護經費短缺，使得系統運作艱難。目前政府部門的信息化建設項目經常只包含項目建設經費，不含系統建成后的運行維護費用。雖然建設項目的軟硬件設施費用由財政提供，但每年巨大的日常維護費用（電費、網絡線路費、軟硬件的技術支持保障服務費等），也經常超過財政預算。因此經費風險主要表現為系統建成后的維護資金不足。

1.5培訓風險

培訓風險主要是系統開發完畢后，測試環節和各級用戶等基層推廣環節普遍缺乏系統的、有效的、高水平的培訓工作，直接影響了基層工作效率、工作質量及問題溝通，甚至直接耽誤群眾辦事，影響政府形象。

1.6安全風險

安全風險包括信息系統軟硬件安全風險和所涉及系統人員的泄密風險。信息系統軟硬件安全風險是指信息系統中發生用戶標示截取、偽裝、重放攻擊；數據截??；非法使用；病毒；拒絕服務；惡性移動代碼；數據庫數據文件丟失；系統損壞；系統源文件泄露；系統管理員口令泄露等軟件應用和硬件安全問題。因此可能造成信息系統發生重大安全事件。涉及系統人員的泄密風險是指參與本系統的開發、操作、運維等人員，由于各種原因，泄露系統數據而帶來的泄密安全風險。

2　風險對策和管理

針對政府部門信息化項目建設存在的主要風險因素，項目單位應采取積極的應對措施，防范上述風險發生。

2.1明確劃分權力與職責

明確各組織實施相關部門的職責，加強職責管理。明確技術維護、設備維護的崗位職責，加強崗位管理。明確應用系統中省、市、縣、鄉各級平臺管理人員的管理權限，加強權限管理。

2.2全面推行招標投標制和信息化工程監理制

全面推行招標投標制，加大信息化項目工程監理力度，控制信息化項目建設成本，控制項目實施時間，提高項目完成質量。在開展信息化項目建設時，要在項目設計、施工、設備、開發、監理等各個環節，全面推行招標投標和施工監理制，擴大信息化項目招標工程面。遵循公開、公平、公正和誠實信用的原則，通過競爭，擇優選擇。要強化工程監理職能，加強監理人員素質及職業道德教育，加強對監理單位業務水平評審工作，使監理工作能夠真正發揮作用。此外，監理單位在監理過程中因過錯造成重大經濟損失的，也應承擔相應的經濟責任和法律責任。

2.3促進信息系統建設

按照國家和省級信息化總體戰略規劃要求，統籌業務需求，做好頂層設計，保證信息化建設的整體性、系統性、可持續性。強化應用是關鍵、互聯共享是核心、業務協同是目的，以需求為導向、以應用促發展，通過業務協同，提高服務和管理水平，服務于民、惠及于民，建設實用、共享、安全的信息網絡體系，有效支撐政府部門職能的高效運作。

充分考慮系統的擴充性，使不同平臺、不同系統間的信息交互更為方便易行，在互聯網、大數據、云技術流行且日益成熟的今天，必須堅決杜絕信息孤島現象的再次發生。

隨著業務系統、操作系統及硬件設備的升級改造，必然會對正常的業務開展帶來影響，縮短常見問題的處理時間，及時完善系統功能，實現同步更新發布相關參考資料，都會大大提高一線系統用戶的業務處理效率，進一步保障應用系統的穩定高效運行。

2.4加強對協議和資金的管理

加強協議和資金管理，預留升級、運維和培訓經費，為各項相關工作順利高效完成提供資金保障。加強協議管理，協議雙方要嚴格按照協議內容對程序需求調研、開發、測試、應用、運維及項目進度和各階段的資金投入等履行應盡的義務和責任。尤其要針對非原定需求的功能增加（比如某處室的某個緊急調查、統計或新政策調整需要新增功能），運行維護及技術支持培訓等內容預留經費，為各項相關工作順利高效完成提供資金保障。

2.5重視培訓，提升信息化素質隊伍建設

建立并完善逐級培訓機制，逐級進行業務、技能培訓，提高整體隊伍信息化水平。大規模的系統技能培訓面臨交通、食宿、安全等重多問題，同時還需要投入大量的人力、財力和物力。建立完善逐級培訓機制，可大大降低單次培訓規模，組織方式靈活，且各地可同時展開，能有效提高整體隊伍對新系統新技術的響應速度和信息化水平。

2.6重視安全建設

加強信息系統安全方面的設計，加強人員安全培訓，提高業務素質，增強安全保密意識。嚴格按照國家“信息系統安全等級保護”的相關要求進行總體規劃和建設，從計算環境、區域邊界及通信網絡三個環節分別進行保護，并通過統一的管理中心來協調工作，從而實現基于系統訪問全過程的閉環控制。在硬件選擇方面，要選擇滿足安全要求的解決方案。在網絡安全方面，要將內部網絡與外部網絡隔離，通過物理隔離，減少系統暴露面，發現系統問題及時報告、及時處理。在信息系統建設方面，借鑒成熟的運行系統，采用成熟的信息技術，加強軟件版本管理。在信息系統運行方面，建立健全信息系統相關的規章制度、技術規范、操作規章等，明確與信息系統相關人員的職責權限，建立制約機制。此外，還要對相關人員進行培訓，提升其業務水平和道德素質，防止盜取信息、泄密等事件的發生。

主要參考文獻

［1］周蓮茹，黎安明，范振中，等.醫院信息系統建設及安全管理［M］.北京:北京郵電大學出版社，2011.

［2］ 楊俊芳.怎樣做好信息系統項目風險管理［J］.中國信息界，2007（5）.

［3］韓瑩利，李文明.淺談信息系統項目的風險管理［J］.科學時代，2012（24）.

10.3969/j.issn.1673 - 0194.2015.12.179

D630

A

1673-0194（2015）12-0239-02

2015-04-22