电子招投标时代科技廉政风险亟待防控
日期:2016-01-25 10:07:02 来源:近年来,电子化招投标快速发展。全过程电子招投标大大提高了公共资源的交易效率,有效节约了交易成本,同时在确保交易过程公开、公平和公正方面也发挥了巨大作用。但交易电子化又带来新的廉政风险,如权力不上线、电子权力管控不当、网络安全隐患或危害等,容易引发公众对电子招投标系统的质疑。交易电子化后,现行权力运行制约和监督机制已经不能有效解决新的腐败问题。如何满足监管机构要求、如何加强廉政风险内部防控以及如何应对公众质疑,是交易中心面临的新课题。在此形势下,鉴于交易中心业务系统的敏感性,广东省东莞市建设工程交易中心从科技廉政风险的角度,引入第三方专业权威测评机构广东省信息安全测评中心,在全过程电子招投标系统开发过程中,在考虑运用信息化全面提高招投标工作效率的同时,将“以廉政为目标、以风险为导向、以文化为总纲、以流程为纽带、以内控为手段、以制度为保障、以技术为支撑”思路贯穿于整个信息化建设过程中,努力提升招投标廉政风险防控水平。这里将对他们电子招投标科技廉政风险防控体系建设的有关情况一探究竟。
电子招投标科技廉政风险防控势在必行
首先,电子招投标科技廉政风险防控是廉政风险防控的需要。
电子招投标依托现有招投标法律法规,借助互联网与电子招投标软件,通过交易各方主体的网上互动,达到完成招投标的目的,是落实“科技+制度”监管的重要举措和发展方向,但如果“科技”本身有风险、有问题,那么运用“科技”的廉政风险防控工作将是不科学的,甚至会被不法分子以“科技”为名进行腐败活动。
根据《电子招投标办法》以及各地电子招投标实施的经验,结合招投标廉政风险防范等工作要求,笔者认为,电子招投标中存在以下风险:
一是网络安全风险。电子招投标系统作为一种网络信息系统,涉及信息在网络环境中的传播和存储,与其他信息系统类似同样具有安全隐患。容易受到竞争对手或黑客等外界攻击或入侵、内部人员有意的破坏与泄密,造成公文失密、信息被盗、被删除或被改写等严重后果。
二是系统安全风险。由于第三方运营服务认证的机构尚未健全,电子化招标投标系统本身的安全性、系统身份认证、信息数据的加密、存储数据的加密等问题无法确保。电子签章的真实性、安全性、通用性无法得到有力的保证。
三是权力不上线风险。交易电子化的目的之一是希望通过信息系统与网络,让整个交易过程公开透明,但某些部门至今对采购权、审批权力仍留恋不已,不放权力,把采购权作为本部门的利益之所在,存在着部门利益、个人利益与公共利益的博弈,将电子招标平台变成“收发室”,作为应对监管的工具,完全违背交易电子化的初衷。
四是电子权力廉政风险。电子权力:包括电子业务权力和电子技术权力,电子业务权力是在计算机程序上实现职权的映射或嵌入,电子技术权力是职权电子化时衍生的一种新型权力,即对支撑业务运行的计算机网络系统一系列的管理权,它具有对电子业务间接的管理权力,是电子业务权力正确行使和发挥作用的重要支撑和保障。电子业务职权人员、内部非职权人员、电子技术职权人员利用科技廉政风险点使用电子权力,获得重要敏感信息产生不廉政行为即为电子权利廉政风险。
从上述分析中可以看出,以上这些风险因素都有可能给电子化招投标工作带来很大的危害,影响建设工程招投标电子化的顺利开展。网络安全风险和系统安全风险是信息化应用中必然存在的风险,是显性风险,对于该类风险大家都会采取相应的措施加以积极防范。但权力不上线风险、电子权力廉政威胁风险,相关人员凭借自身权力、职务便利或影响力,利用与信息系统有关的内部控制缺陷或漏洞,违规操作或破坏信息系统及信息数据资产,做出不廉洁行为的可能性具有极大的隐蔽性,是一种隐性风险,在目前信息化的开发和建设中往往容易被人忽视。为避免产生以反腐败的名义铸成电子招投标中新的“黑箱”这种倒退行为,非常有必要实行电子招投标科技廉政风险防控体系的建设,这是廉政风险防控重中之重。
其次,电子招投标科技廉政风险防控是交易中心信息化建设的需要。
电子招投标作为一种信息技术应用,其信息技术的专业性、技术性都非常强。以东莞市建设工程交易中心为例,在长期的信息化建设和运行维护过程中由于缺乏专业技术人才支撑,缺乏软件开发标准,软件后续开发运行维护大多需要采取外包服务方式,特别是对于技术风险难于把控,当交易过程产生质疑时,无法快速鉴定是否存在内部廉洁问题。当交易过程产生故障或质疑时,无法快速举证并协助监管部门处理问题。科技风险方面的管理制度与技术手段缺乏,无法保障整个交易过程的公平、公正。运行维护压力大,难以保证系统的整个应用及运维管理过程符合上级监管部门的要求。因此,迫切需要建立一套规范、完整、科学、有效的电子招投标科技廉政风险防控体系,以解决交易中心长期对信息化支撑的交易平台合理、合法、合规性的困扰。
电子招投标科技廉政风险防控工作思路及方法
从目前各类信息犯罪案件来看,利用科技廉政风险腐败有4种主要表现形式:一是建设过程非法预设隐权力或超级权力,二是操作过程滥用信息系统或规避监察,三是运营维护中职责未分离、监守自盗,四是利用IT风险事件故意推脱责任或浑水摸鱼。因此,信息科技廉政风险的防控首先依赖于机构的整体治理环境,包括组织、资源、文化、风险管理机制等,同时,机构的整体策略需要落实到具体的业务岗位,以确保信息科技的廉政风险防控不是“走过场”。为此,东莞市建设工程交易中心建立了“以廉政为目标、以风险为导向、以文化为总纲、以流程为纽带、以内控为手段、以制度为保障、以技术为支撑”的电子招投标科技廉政风险防控总体思路。按照“分岗查险、分险设防、分权制衡、分级预警、分层追责”的“五分模式”预警防控方法,将交易中心4个业务系统(交易管理平台、门户网站、专家系统、电子评标系统)纳入电子招投标科技廉政风险防控治理范畴,联合广东省信息安全测评中心,全面梳理与评估电子招投标现行业务流程,从科技廉政风险角度进行电子业务权利和电子技术权利风险点梳理,风险点评估,明确电子招投标责任机制和管理框架,具体工作包括三个方面:业务梳理、风险等级标准的确定、风险点查找与定级。
一是进行业务梳理。从业务层、信息层、应用层和基础设施层自上而下进行全面梳理,为确定科技廉政风险点奠定基础。
二是确定风险定级标准。参照廉政风险定级标准将电子招投标科技廉政风险定级标准划定为三个级别。级别评定根据职责岗位、工作性质等因素对电子权力或信息数据资产造成的危害进行定级。
三是进行风险点查找与定级。科技廉政风险点大致分三类,包括IT组织层面控制、IT一般控制和应用系统控制。IT组织层面控制风险影响全局,IT一般控制风险直接影响应用系统控制风险,IT一般控制风险和应用系统控制风险,最终通过应用系统控制风险实现电子权力和信息资产的滥用或非法侵占。
IT组织层面控制风险从交易中心组织管理层进行查找,包括(不仅限于):廉政风险防控总目标,IT决策、执行、监督权三权制衡,IT信息管理架构及经费投入,科技风险或科技廉政风险的管理,重大IT决策制度、事件通报制度及IT外包管理。
IT一般控制风险从交易中心计算机整体运行环境方面查找,包括(不仅限于):管理控制方面、系统基础设施控制方面、系统访问控制方面、系统网络架构控制方面及灾难恢复控制方面。
应用系统控制从交易中心涉及公共权力或公共利益应用系统层面查找,包括:参数控制方面、应用程序访问与职责分离控制方面、输入控制方面、处理控制方面、输出控制方面和接口控制方面。
电子招投标科技廉政风险防控工作的东莞实践
经过半年左右的业务梳理与现况评估,东莞市建设工程交易中心对现有4个业务系统、12个业务流程,梳理形成涵盖427个风险点的《信息科技廉政风险排查表》和20个易纠纷廉政风险点的《易纠纷廉政风险点处置建议表》。对照这些风险点,东莞市建设工程交易中心通过调研访谈、查询文档、现场评估、日志分析、穿行测试、漏洞扫描渗透测试和综合分析等评估方法,通过排查并从机构信息科技廉政风险防控与岗位廉政风险防控两个方面评估现有控制措施的有效性,发现24个问题项。从排查和评估的结果来看,有些风险点是他们之前已经认识到,并采取了相应有效防控措施,如:招标文件无记名下载,投标文件网络、一体机无记名上传,MD5码“数字指纹”现场关联,投标保证金现场签到自助关联,标书“二次”加密,评标系统自动编制暗码,评标前密码函方式打印暗码对照表等。但有些风险点存在电子权力的控制缺陷以及控制缺失的风险,是他们之前没有认识到或认识到但采取的相应防控措施不足的,如:网络安全硬件防范措施不足,服务器账户未设置口令复杂度限制,自动资格审核环节系统未将当前企业状态做副本快照备份,投标保证金系统银行对接数据未加密处理,系统应用日志记录不足、管理不善等。
根据评估结果,东莞市建设工程交易中心逐项明确风险处置措施,制定信息科技廉政风险处置计划并协调资源组织实施。如:网络安全和系统应用方面,他们建立了交易中心信息系统安全监控体系,引入第三方运维、数据库审计系统,对电子招标系统的安全性、保密性、数据接口公有性形成过程管理和责任落实机制,保证电子招投标系统公平、公正运行。在数据对接方面,该中心实行一对一数据加密技术,将对接数据进行加密处理,避免数据在传输过程被篡改、调包等。
随着电子招投标的逐步应用和完善,信息系统的不断更新、升级,必然存在产生新的科技廉政风险问题。因此,交易中心需要持续关注系统业务发展、内外环境变化,持续监督与不断改善业务流程,加强风险防范与内部控制措施,提高抗风险能力,这样才能构建起以全面风险管理与内部控制为核心的信息科技廉政风险防控体系,打造规范、透明、诚信、高效的招标投标交易市场。
