谢彤芳 陈平 卢小清

摘 要：随着高校信息化建设的不断发展，信息化项目管理成为高校管理工作的重要组成部分，高校信息化项目如何加强控制，如何提高项目资金的使用效率和效果值得深入探讨。本文分析了高校信息化项目管理的难点及存在的风险，并着重从内部控制视角着眼，按照内部控制基本要求梳理信息化项目管理所涉及的各项管理活动的关键风险控制域、控制风险点，并基于此提出改进高校信息化项目管理规范性的体系化建议。

关键词：高校信息化；管理项目；内部控制；规范化

中图分类号：TU71 文献标志码：A 文章编号：1673-8454（2018）05-0084-03

一、引言

信息化项目是根据一定区域或单位的信息化发展需要，采用现代通信技术和计算机技术等主要手段，以IT网络、IT设施、IT资源和IT应用为主要建设内容的建设项目。在高校，信息化项目是以推行高校的管理、教学、科研、服务等主要职能而建设的信息化项目，包括软件、硬件建设与运维项目。高校信息化自1995年互联网引入中国开始，经过二十多年的蓬勃发展，已经历“硬件为主、硬件软件并举、软件建设为主”的三个阶段[1]，各高校如何更好地对项目进行全生命周期的精细化和专业化管理成为决定信息化健康发展的重要因素。

本文针对高校的信息化项目管理，从内部和外部风险分析和控制视角着眼分析了管理风险，并着重探讨了如何把握项目内部风险的管控域和管控点，进一步提升高校信息化项目建设的成功率。

二、高校信息化项目建设的复杂性和风险

1.信息化项目建设复杂性

高校信息化项目，在建设形式上，普遍采用外包给供应商的方式建设，在管理的流程上涉及项目规划、项目预算、项目评审、项目招投标、项目合同、项目过程、运行维护、项目审计、项目验收等多个环节，一般通过国家对高校专项资金或高校自筹资金进行建设。因此，整体上高校信息化项目是一个涉及到外部和内部、长流程的、全过程的、与经济密切相关的综合的复杂系统工程[2]。

2.信息化项目建设风险

项目建设到成功上线在整体面临多个方面的风险：按照组织机构边界分：外部风险、内部风险；按照性质分：规划风险、需求风险、经济风险、质量风险、信息安全风险。两个维度有交集，我们主要从外部和内部维度来分析风险[3]。

（1）信息化项目外部风险

外部风险主要包括不可抗力风险和人为风险。不可抗力是因自然的不规则变化所导致的不利影响。人为风险是因人的主观原因所造成的负面影响。综合起来，外部风险主要是人为风险，该方面多和供应商相关。

选择合作方失误风险。高校在选择信息技术供应商时，如果没有正确评价供应商的综合服务水平，会最终影响项目的完成质量。一些供应商中标后还会将项目外包给第三方[4]，使得项目建设管理起来更为复杂。

依赖合作方风险。信息化积累到一定阶段，由于系统本身的内在关联性、阶段性和连续性，自然形成软硬件设计上的门槛，导致学校在升级软件或硬件设备的时候都只能继续选择该供应商的产品，会导致高校会严重依赖现有供应商[5]，尤其是软件系统，导致选择单一，无法再用招标杠杆来促进优胜劣汰，而且在供应商研发团队发生重大变故时，难以持续。

预算超限的风险。随着对供应商的依赖越来越强，服务成本可能会上涨[6]；如果要变更供应商，则会导致前期的投入完全浪费，这些都会导致外包成本的上涨可能，致使校方在成本投入方面失去控制。

信息安全风险。技术人员可以轻易地获取学校的一切信息，难以控制有意或无意的信息资源泄漏[7]。数据信息是学校的核心资产，尤其是一些大学承担的涉密科研活动的数据，容易造成严重的外泄安全问题。

（2）信息化项目内部风险

内部风险含制度风险和人为风险。制度风险是由于高校管理制度不完善、管理能力有限导致建设项目未能完成既定目标而造成损失的可能性。管理制度不完善包括制定不完善、执行不力，如没有进行项目论证，没有进行集体决策等；管理能力不足则包括决策短视性、细节不周、缺乏关键点控制等。

人为风险则是指由于专业人员数量不足、素质欠高、责任淡薄、廉政欠缺、缺乏管控分离、权力制衡、难以有效防止权力寻租等带来损失的可能性。

外部风险和内部风险不是各自独立存在的，而是密切相关的，互相影响和互相转化的，是矛盾的两个方面，当前我国高校发展阶段的现实条件下，内部风险显示出矛盾的主要方面，内部风险分析和控制关键因素，因此可以通过加强内部控制，既控制内部风险、也控制外部风险的边界。

三、内部控制视角下信息化项目管理的关键控制点分析

从内部控制视角看，高校信息化项目管理有几个关键控制域，规划管理、立项决策、招标管理、项目设计、监理管理、内容变更、成本管理[8]等主要的5个控制域和44个控制点。掌控好这控制点，就能在主要方面掌控了项目的时间、经费、质量的关键要素，为项目的成功完成奠定了基础。控制域、控制面、控制点的关系如图1所示。

以下对5个主要控制域，14个控制面，44个控制点进行分析。

A.项目规划控制是内控视角的第一步，科学的规划和决策是项目从根本上成功和具有价值的基础，如表1所示。

B.招投标是把高校的信息化需求委托给合适的供应商的一個环节，从这个环节开始，内部风险和外部风险就有了互相影响、互相制约、互相促进的可能性。核心是选择正确的供应方，从而把控两者的关系，促成项目往风险削减、成功率提升的方向发展。如表2所示。

C.项目的详细的需求设计是高校和供应商一起来合作完成的，一方面是学校出正确的需求内容，另外一方面是供应方响应和设计出符合需求的资料，并通过会审来减小对需求偏差的几率，在项目实施前加强共识，共同减小风险发生。如表3所示。

D.在实施阶段由过程控制域控制，需要有几个风控面，首先是需要组织方面是要有监理，监理代表学校方对变更控制、成本控制、质量控制、进度控制等主要关键点进行管控。如表4所示。

E.建設完成后，首先对经济进行审核设计，同时需要通过试运行进行功能检验测试，并在符合建设需求的情况下移交系统和资料， 同时对决算控制、资产入账，支付完成等方面进行管控。如表5所示。

以上管控域和管控点的分析，是高校信息化建设成功的必要的管控域和管控点，每个管控节点都应该制定对应的管理方案，并完全落实实施。

四、落实高校信息化项目管理规范化建议

为切实完成对以上管控域和管控点的监管落实，需要制定合理的规章制度和流程来确保。业务流程和控制方法体系是内部控制的核心环节，其合理、有效与否直接决定着能否实现控制目标[9]。

管理规范化应以以下5方面做好体系性的制度建设：①规范信息系统建设流程， 有效控制内部风险。②加强信息系统建设沟通，有效控制外部风险。③民主公开，有效控制管理风险。④建立起“三道防线”（前期预防、中期监控、后期处置）。⑤建立“四个环节”（计划、执行、考核、修正）。进一步合理分解权力，明晰岗位职责，优化工作流程，完善制度措施，强化监督制约。

落实内控机制还有一个最重要的举措，就是建设内部控制信息系统，因为以上工作制度和流程需要通过建设内控信息系统来固化这些内部控制规则，并将关键风险管控点嵌入系统中。通过内控工作的工具化，才能把高校信息化项目管理的规范化真正落到实处。

参考文献：

[1]黄炎.论述高校信息化建设的现状及发展[J].电脑与电信，2013（6）：57-58.

[2]许青云.高校基本建设内控存在的问题及对策[J].当代经济，2009（9）：17-19.

[3]财政部.行政事业单位内控规范（试行）[S].2012.

[4]宫伟.浅谈高校工程项目内控[J].教育财会研究，2011（4）：23-26.

[5]梁新弘.论信息技术（IT）外包的动因、风险及防范[J].科技管理研究，2004（1）：64-66.

[6]王旭.中国浦东干部学院IT服务外包及风险管理[J].信息网络安全，2007（3）：30-31.

[7]毕建新，孙正娟.高校信息安全风险及其对策——以东南大学为例[J].大学图书情报学，2008（1）：43-45.

[8]肖薇.高校预算精细化编制的实践探索[J].财会月刊，2014（10上）：31-33.

[9]乔春华.高校内部控制研究[M].苏州：苏州大学出版社，2013：88-90.

（编辑：王晓明）