3．IT風險管理

中國石化按照內部控制和外部監管的要求，建立了包括IT內控業務流程、一般性控制和應用控制在內的IT控制體系，完善了IT風險應急機制，加強了對信息基礎設施和信息安全的風險管理，較有效地防范了IT經營風險和合規風險。

IT內控業務流程包括“信息系統管理業務流程”和“信息資源管理業務流程”，前者主要按照信息系統全生命周期管理的要求，提出了對信息系統建設應用各主要環節的控制，后者以信息共享和信息安全為主要目標，體現了信息資源管理的基本要求。

參照COBIT標準設計的IT -般性控制，由企業整體層面的IT控制和企業活動層面的IT控制組成。在“信息系統管理業務流程”中納入了企業整體層面的IT控制，主要控制點包括信息化管理體系、信息化規劃、IT風險評估、信息安全管理等方面；通過制定“ERP系統IT -般性控制流程”、“應用系統IT -般性控制流程”和“基礎設施IT -般性控制流程”

三個流程，以實現對企業活動層面的IT控制，包括了對程序和數據訪問、程序變更、程序開發、系統運行及網絡管理、服務器管理、桌面計算機管理、機房管理、備份介質管理等方面的控制。

在IT應用控制方面，結合ERP系統的應用，在相關內控業務流程中嵌入了400多個ERP控制點，初步實現了配置控制、數據輸入控制、操作規范控制、用戶權限管理控制和系統接口控制等。同時結合內外部審計及檢查，不斷完善和提升IT應用控制水平，充分發揮ERP系統的應用控制功能。如將審計工作流程、方法與ERP系統功能相結合，通過對跨模塊數據的檢索，在國內率先實現在線審計，為事中審計、遠程審計、績效審計提供了手段。

在風險管理方面，制定發布了IT風險評估管理辦法，明確要求IT項目可研報告必須包括風險管理，要求每年對重要信息系統進行風險評估；建立IT控制流程，設立控制點，保證IT風險管理到位；形成了由控制流程、控制矩陣、工作底稿、檢查辦法、管理制度、組織管理辦法等組成的比較完善的IT風險防范體系。