3．IT风险管理

中国石化按照内部控制和外部监管的要求，建立了包括IT内控业务流程、一般性控制和应用控制在内的IT控制体系，完善了IT风险应急机制，加强了对信息基础设施和信息安全的风险管理，较有效地防范了IT经营风险和合规风险。

IT内控业务流程包括“信息系统管理业务流程”和“信息资源管理业务流程”，前者主要按照信息系统全生命周期管理的要求，提出了对信息系统建设应用各主要环节的控制，后者以信息共享和信息安全为主要目标，体现了信息资源管理的基本要求。

参照COBIT标准设计的IT -般性控制，由企业整体层面的IT控制和企业活动层面的IT控制组成。在“信息系统管理业务流程”中纳入了企业整体层面的IT控制，主要控制点包括信息化管理体系、信息化规划、IT风险评估、信息安全管理等方面；通过制定“ERP系统IT -般性控制流程”、“应用系统IT -般性控制流程”和“基础设施IT -般性控制流程”

三个流程，以实现对企业活动层面的IT控制，包括了对程序和数据访问、程序变更、程序开发、系统运行及网络管理、服务器管理、桌面计算机管理、机房管理、备份介质管理等方面的控制。

在IT应用控制方面，结合ERP系统的应用，在相关内控业务流程中嵌入了400多个ERP控制点，初步实现了配置控制、数据输入控制、操作规范控制、用户权限管理控制和系统接口控制等。同时结合内外部审计及检查，不断完善和提升IT应用控制水平，充分发挥ERP系统的应用控制功能。如将审计工作流程、方法与ERP系统功能相结合，通过对跨模块数据的检索，在国内率先实现在线审计，为事中审计、远程审计、绩效审计提供了手段。

在风险管理方面，制定发布了IT风险评估管理办法，明确要求IT项目可研报告必须包括风险管理，要求每年对重要信息系统进行风险评估；建立IT控制流程，设立控制点，保证IT风险管理到位；形成了由控制流程、控制矩阵、工作底稿、检查办法、管理制度、组织管理办法等组成的比较完善的IT风险防范体系。