政府采购信息化采购项目相关风险提示

政府采购信息化项目相关风险提示

信息化项目属于政府采购项目中一种特殊采购项目，采购对象通常会同时包含货物和服务，甚至部分少量工程；采购需求涵盖了信息化硬件及软件、信息技术服务、信息工程设计与监理、信息系统建设与维护等内容。该类项目具有技术含量高、管理要求严、项目影响深等显著特点。为规避信息化项目中的各类风险，结合相关法律和工作实际，做风险提示如下：

一、采购需求制定环节

1、信息化采购需求在与本项目采购实际需求挂钩的同时，还需注意结合采购人的长期数字化战略，比如系统兼容性、未来扩展性等，要充分评估新系统与现有IT 架构以及各类系统的兼容性，避免本次采购的系统无法融入现有的业务流程，从而导致数据无法互通、系统无法集成，以致沦为“闲置资产”。尤其是发生机构合并的采购人，这一实际特点更加突出。另外，采购需求也不能一味的求大图高，目标设置脱离实际，导致后期执行不到位，影响合同履约验收与款项支付。

2、需求参数制定不能单纯的拿来主义、照搬以往，要结合以往运行过程中出现的问题，重新厘定，进行必要的删减，同时把一些突发问题和应急问题囊括进需求中，尽量减少年度内通过直接签订协议解决问题的情况。

3、涉及的信息化设备及时查阅并严格遵循国家有关规定。针对一些信息化设备，财政部和工信部出台了财库（2023）29-35号文，覆盖了台式计算机、一体式计算机、工作站、操作系统、通用服务器、便携式计算机和数据库，采购人应当将《需求标准》中加“*”的指标纳入采购需求，并作为采购文件中的实质性要求。在采购信息化设备时，应当将CPU、操纵系统、数据库等“符合安全可靠测评要求”纳入采购需求。同时，关注中国信息安全测评中心网站发布的“安全可靠测评结果公告”，查看供应商所供产品是否在公告清单内。

4、建议将系统建设和等保测评分开采购，以保证评估的客观性和结果的有效性。实践中，部分信息化项目采购需求中要求供应商同时负责项目通过等保测评，这就相当于成交供应商自行委托相关机构来对自己建设的信息进行评价。严格上来讲，应该是由采购人委托第三方对建设单位的项目进行评价，这样才能更好地的保证评估结果的客观性和可信度。

5、信息化接口对接费用和网络对接费用的承担，需要提前在采购需求中明确由哪一方负责，避免后期因对接事项谈不拢造成合同无法履行。另外，在技术开发项目中建议考虑成交供应商在后期其他项目需要对接时免费提供对接接口等。

二、采购文件制作环节

1、评审因素的设定应注意区分和排除部分资质、证书等的适用。

（1）与采购需求不相适应的证书。财政部 1691 号公告涉及的上海民航职业技术学院浦东校区修缮及改扩建工程智慧校园设备采购项目，招标文件中规定的 ISO27017 云服务信息安全管理体系认证、ISO29151 个人身份信息保护管理体系认证等多项证书，因与采购需求不相适应，被认定不能作为评审因素；

（2）未经国家认监委认定的境外机构所出具的认证或资质。例如 CMMI、PMP、ITIL 等境外证书，若没有经过国家认监委认定，一般不能作为信息化项目的加分项；

（3）可能限制中小企业发展的证书。 CCRC 信息安全服务资质认证，因其对注册资本、资产总额以及人员规模等有明确要求，可能违背促进中小企业发展的相关政府采购政策，在一些项目中被认定不能作为加分项；

（4）与项目质量和履约能力无关的证书。软件著作权证书如果与货物服务的质量不相关，不得列为加分项。例如在某项目中，将软件著作权证书作为加分项，因与本项目的具体特点和实际需求不相适应且与合同履约无关，被当地财政部门认定投诉事项成立，该证书不能作为加分项。

2、注意知识产权保护，项目需求中必须明确知识产权的归属。尤其是在一些技术开发服务项目和升级改造项目中，明确系统知识产权归属（如定制化开发部分的版权）、使用权限（如是否允许二次开发、多场景部署），否则后期可能面临侵权纠纷。同时也会给供应商的报价带来影响，如果只是提供服务不涉及版权的话，后期就会产生依赖，而且其他系统在对接或适配时，他们就会以此收费，而不是简单的协助配合。

三、项目履约验收环节

1、履约验收环节，建议实行进度管控，制定清晰的项目里程台账，如需求确认、开发测试、上线试运行节点，或建立进度跟踪机制，避免项目无限期延期，影响业务计划，导致项目搁浅。

2、验收指标要量化，尽量将主观评价性用词转为客观考核性数据，比如将系统运行稳定换作“月故障率不超过百分之多少”等。

四、其他提示

1、信息化项目服务类项目居多，鉴于预算单位对中小企业都有预留任务和标准，且需要公示年度完成情况。这一类项目适合面向中小企业，可以提前考虑纳入预留范围。

2、根据《信息系统工程暂行规定》的要求，信息化工程项目需要匹配相应的监理服务，因此在预算编制时，要对信息系统建设项目，另行立项采购监理服务。

3、关于无偿使用软件的问题：考虑到相关软件缺乏必要的安全设计，如数据加密、权限管控、漏洞防护，或不符合行业数据合规要求，如《数据安全法》《个人信息保护法》，存在数据泄露、被攻击的风险；同时也不符合单位资产管理入库的规定；一旦使用会产生依赖，存在后期转嫁项目收费的问题，因此，不建议采购人无偿使用相关软件。