信息化建设中的风险识别与控制

卢加元

摘要本文介绍了风险的概念，讨论了风险的特点，并以电子政务应用为例，从项目立项、招投标、项目的实施以及合同的签订与执行等环节，分析了信息化建设中可能存在的几个关键风险点，并对这几个关键的风险点提出了相应的控制措施。

关键词信息化建设；关键风险点；风险识别；风险控制

中图分类号F270.7文献标识码A文章编号1673－0194(2009)06－0059－03

随着电子商务、电子政务应用的发展，政府及各企事业单位在信息化建设中的资金投入也越来越多，与此相应的责任、压力、风险也大大增加。近年来，不少单位在信息化建设中的违规现象时有发生，并在数量、程度和范围上呈上升趋势，这给政府以及各企事业单位的声誉造成了负面影响。究其原因，其中固然有多种影响因素，但与各单位对信息化建设中的风险认识不清，不能很好地采取防范措施不无关系。如何对信息化建设中的风险进行有效识别并采取有效的防范措施，以确保电子商务、电子政务应用的健康发展，已成为摆在当前政府及各单位管理者面前急需解决的棘手问题之一。

一、风险的概念及特点

风险是人们在经营活动中，对未来结果的不确定性或损失以及对这种不确定性或损失的判断与认知。风险是客观存在的，而且风险往往伴随着某种损失的发生。

信息化建设是一项复杂的系统工程，涉及众多环节和技术，在此过程中的风险往往表现出以下特点：

(1)风险的客观性和普遍性。风险是不以人们意志为转移并超越人们主观意识的客观实在，而且贯穿在信息化建设的生命周期内，风险无处不在、无时不有。有些风险是可以通过人的智慧、知识等进行预测并能够控制的，而有些风险则是通过人的智慧和现有知识等无法预测和控制的。

(2)风险的偶然性和必然性。某个具体风险的发生往往是诸多风险因素和其他因素共同作用的结果，表现为一种随机现象，但大量风险的发生则呈现出一定的规律和必然性。

(3)风险的可变性。在信息化建设的整个过程中，各种风险在质和量上的变化是会随着项目的不断推进而发生变化的。有些风险会随着项目建设的不断深入得到控制，有些风险则会发生转移，而在项目的新阶段则可能产生新的风险。由于电子商务、电子政务信息化建设的项目资金投入，少则十几万元，多则上百万元，涉及多种信息技术，在此背景下，风险的可变性则表现得更加明显。

(4)风险的多样性。信息化建设可能包含大量的信息网络系统、资源系统以及与这些系统相关的新建、升级、改造工程等内容，涵盖了计算机工程、网络工程、通信工程、结构化布线工程、软件工程、系统集成以及电子商务、电子政务的其他诸多应用，具有专业性强、涉及面广、建设周期长、风险产生的影响因素多等特点。在这样复杂的环境下，大量风险因素之间内在的关系错综复杂，内部风险因素与外界环境、人为认识与政策风险之间交叉影响，使得信息化建设的风险呈现出多样性。

二、信息化建设中的关键风险点分析

有了对信息化建设风险特点的认识，就需要人们对风险进行有效识别。风险识别是风险管理中最重要的步骤，也是做好风险防范的基础。风险识别的目的在于确认风险的存在及其性质，并预测风险可能造成的后果，进而为管理者进行风险评估、采取科学的防范措施提供决策参考。

由于风险的客观性和多样性。在政府及各企事业单位信息化建设过程中，人们不能对所有的风险进行预测和防范，但必须对那些可通过人的智慧、知识等进行识别的风险给予高度关注，因为这类风险是可控制的，否则将会给单位的资产以及声誉等造成重大的损失。下面以电子政务中工程项目建设为例，从项目立项、招投标、项目的实施、合同的签订与执行等几个关键节点，分析并识别可能存在的风险点。

1.立项阶段的风险

立项是所有信息化项目建设的起点，这个环节所遇到的最大风险是项目决策的不严谨而使学校的资金和财产不能被有效利用而产生的风险。如工作人员不能切实结合本单位的财力、物力状况，不按要求对即将立项的项目在符合相关规定的基础上进行充分论证和编制科学合理的投资估算；不深入一线主动去对项目的需求进行了解，不去调研、了解本校是否已有功能相似的资源，已有的资源能否合理共享等；对项目所涉及的技术不进行仔细的归类、整理，不了解技术的成熟性与可靠性，一味追求“大而全”；对项目所需的设备，不仔细调研型号、规格、基本配置、历史价格、当前的市场价格等相关信息，从而导致信息完整性的缺失；不评估项目建设后的使用绩效；不能建立项目实施绩效的考核细则和问责制等，直接导致信息化建设“高配低用”、“路宽车少”以及项目实施的绩效不高等风险，大量有限的资金被浪费。

2.招投标环节的风险

招投标环节是一项严肃的法律活动，也是政府规范化管理的重要组成部分。这个环节的风险点主要表现为参与人的行为和活动，对这个环节的控制不力将直接导致商业贿赂和腐败行为的发生，从而造成单位社会声誉的严重损失。

在此环节的风险点主要表现为：将应该公开招标的项目变为邀请招标，将本该邀请招标的变为直接发包；有的不依法公开发布招标信息，采取控制投标人资质等“量体裁衣”的手法设置限制性条件，影响潜在的投标人；有的工作人员为达到自己的私利，有意拖延项目的前期准备时间，招标时以领导要求紧、时间来不及等为由，来达到逃避招标的目的；有的甚至钻法律法规的空子，将完全可以整包的项目通过分包、拆包的方式，照顾方方面面的关系，以谋取个人或小团体的利益。

3.项目实施环节的风险

项目的实施环节直接决定信息化建设工程的内在结构和质量，这个环节的风险点主要体现在对工程质量的监督与管理方面，对这个环节风险的认识不清、控制不力将直接导致“豆腐渣”工程的产生，给单位的资产造成损失。如对内部项目管理人员的任用风险。因为项目管理人员的管理和创新能力，直接影响和决定着工程的质量、安全等，如果项目管理人员缺乏基本的业务素质和管理素质，就难以对施工中出现的偷工减料、设备的以次充好等问题及时发现和纠正，造成财产的损失、浪费。再如，由于IT人员与政府机关管理人员在知识背景、工作作风等方面的差异，导致在具，体项目实施过程中，以“IT企业(实施方)为主导，企业客户(业主方)为主体”的“双主”模式，常常会引发扯皮、需求不明确，甚至合作失败的风险。那时单位要花费大量的人力处理方方面面的后遗症，最终受害最大的还是自己。

4.合同签订与执行环节的风险

信息化建设的活动是通过一系列的合同体现的，合同既是对业主方和施工方在责、权、利方面的界定，同时也是产生纠纷的根源。因此，在合同签订与执行环节必须高度关注由于合同签订的不严谨以及执行不力所导致的各种法律风险，以避免本单位产生重大的经济损失。

在电子政务建设过程中，无论是通过什么方式进行设备

采购、项目招标等，在合同签订时要注意以下3个方面的风险：一是合同形式的合法性，如当事人有无签订、履行该合同的权利能力和行为能力以及合同经办人是否有书面的授权；合同内容是否符合国家法律、政策和有关规定；当事人的意思表达是否真实、一致，权利、义务是否平等；合同的订约程序是否符合国家的法律规定等。二是合同内容的严谨性，如合同应具备的条款是否齐全；当事人双方的权利、义务是否具体、明确；文字表述是否确切无误等。三是合同执行的可行性，如当事人双方特别是对方是否具备履行合同的能力和条件；合同执行过程中所可能承担的风险以及对合同非正常履行时可能受到的经济损失如何约定等。此外，在合同执行阶段，还要密切注意由于合同履行监控不到位所导致的风险，如对项目实施应变更的合同内容没有及时变更，不应变更的内容反而进行了变更；对项目实施中的各种会议没有及时形成书面纪要，即使有也没有及时书面告知当事方，致使发生纠纷时找不出令人信服的依据，造成不断扯皮的局面；对应当鉴证的合同没有办理鉴证确认，当发生纠纷时，也因无法举证而导致败诉的风险等。

三、对关键风险点的控制措施

1.立项管理

在此环节要加强工作人员的责任心教育，确保项目立项前信息收集的完整性、客观性、准确性和规范性。为此，要求本单位工作人员要切实负起责任，充分了解和熟悉拟建项目的概况、专业性质及特点，了解已有的资源与拟建项目的关联性，对不能实现资源合理共享的项目，要求做好项目在立项前的各种调研，重点注意项目论证的充分性报告，项目的可行性、必要性报告，审查项目预算的合理性；此外，还需了解工程技术的成熟性与可靠性，建立项目实施绩效的考核细则和问责制，对项目论证的结果、流程等的记录要全面、明晰、规范，以便领导进行科学决策，降低由于项目决策不严谨而产生的决策风险，也为项目的后续工作奠定良好的基础。

2.对招投标进行监督

在此环节除了制定相关的内部控制制度外，单位还要组织专门人员对应该招投标的项目是否全部进行了招投标进行监督、检查，对招投标形式(公开招标、邀标、竞争性谈判还是单一来源采购等)的合规性进行确认。此外，还要重点检查招标文件是否进行了认真的编制，项目的功能需求以及实施范围的描述是否清晰；对招投标文件的标底编制是否真实可信；对招标的结果能否控制在预算范围内进行调研；标书中是否有人为设定限制性条件而影响潜在投标人的现象；对投标单位资质的设定是否苛刻；对投标单位资质的审查是否公正；评标和定标的组织程序是否符合规定；评标成员的人员构成是否合理；评分标准是否公正、合理等，最大限度地降低由于招投标过程的不规范和不严谨而导致的违规风险。

3.项目实施环节引入信息系统工程监理机制

信息系统工程监理是受业主单位委托，站在第三方立场上，依据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施监督与管理。由于电子政务信息化建设所需的资金巨大、专业性强，机关单位显然无法组织专门的技术队伍来对信息化建设进行专业的管理，也很难保证工程建设的有效性、安全性和可靠性，即使有专门的技术队伍也不能保证工程项目实施的公正性、客观性和高效性，最关键的是违背了国家有关《电子政务工程技术指南》的相关精神。因此，在电子政务中借助第三方的专业队伍对工程项目实施监理，可以很好地弥补机关项目管理人员的专业缺陷，帮助本单位协调工程建设中涉及的各方关系。监理工程师们通过对施工现场的旁站式监督，对所供设备的规格、型号以及性能等进行检查、确认；对隐蔽工程的质量进行检查；对施工过程中的各种鉴证手续是否完备、记录是否详细、准确等负责，从而保证施工的有序展开，有效避免由于本单位项目管理人员知识结构不足而导致的风险。

4.合同的签订与执行管理

在合同的签订与执行管理方面把握好3个环节：一要落实好合同管理的机构、人员，通过学习、培训、进修等手段，培养一支懂法律、会管理的专业队伍，使合同管理人员掌握合同的法律知识和签约技巧，增强他们的责任感和使命感。二要切实把好合同签订审核关。在签订合同时，严格审查对方当事人的主体资格、资信情况和履约能力；对合同的每一条款要认真推敲，尽量采用或套用政府招标、采购等格式合同，以防止单位单独编写合同考虑不周所造成的歧义和误解。对需要办理鉴证的合同一定要依照有关法律规定及时办理鉴证手续，以保证合同的合法性、严谨性和可行性。三是建立健全合同管理制度，切实做好合同的履行监控。合同管理制度的主要内容应包括：合同的归口管理，合同资信调查、签订、审批、会签、审查、登记、备案，法人授权委托办法，合同示范文本管理，合同专用章管理，合同履行与纠纷处理，合同定期统计与考核检查等，从而使合同的签订、履行、纠纷处理都处于有效的控制状态。

四、结束语

对信息化建设中的风险识别与控制是一个复杂的系统工程，涉及太多的环节，也受到众多因素的影响。本文以电子政务应用为例，仅从信息化建设项目所涉及的部分环节对可能产生的风险点进行了探讨，旨在提醒决策者在信息化建设的各个环节重视对风险的识别、分析和评估，并采取相应的应对策略，力求将信息化建设中的风险减到最小，将本单位可能遭遇的损失降至最低。