3．IT風(fēng)險(xiǎn)管理

中國(guó)石化按照內(nèi)部控制和外部監(jiān)管的要求，建立了包括IT內(nèi)控業(yè)務(wù)流程、一般性控制和應(yīng)用控制在內(nèi)的IT控制體系，完善了IT風(fēng)險(xiǎn)應(yīng)急機(jī)制，加強(qiáng)了對(duì)信息基礎(chǔ)設(shè)施和信息安全的風(fēng)險(xiǎn)管理，較有效地防范了IT經(jīng)營(yíng)風(fēng)險(xiǎn)和合規(guī)風(fēng)險(xiǎn)。

IT內(nèi)控業(yè)務(wù)流程包括“信息系統(tǒng)管理業(yè)務(wù)流程”和“信息資源管理業(yè)務(wù)流程”，前者主要按照信息系統(tǒng)全生命周期管理的要求，提出了對(duì)信息系統(tǒng)建設(shè)應(yīng)用各主要環(huán)節(jié)的控制，后者以信息共享和信息安全為主要目標(biāo)，體現(xiàn)了信息資源管理的基本要求。

參照COBIT標(biāo)準(zhǔn)設(shè)計(jì)的IT -般性控制，由企業(yè)整體層面的IT控制和企業(yè)活動(dòng)層面的IT控制組成。在“信息系統(tǒng)管理業(yè)務(wù)流程”中納入了企業(yè)整體層面的IT控制，主要控制點(diǎn)包括信息化管理體系、信息化規(guī)劃、IT風(fēng)險(xiǎn)評(píng)估、信息安全管理等方面；通過制定“ERP系統(tǒng)IT -般性控制流程”、“應(yīng)用系統(tǒng)IT -般性控制流程”和“基礎(chǔ)設(shè)施IT -般性控制流程”

三個(gè)流程，以實(shí)現(xiàn)對(duì)企業(yè)活動(dòng)層面的IT控制，包括了對(duì)程序和數(shù)據(jù)訪問、程序變更、程序開發(fā)、系統(tǒng)運(yùn)行及網(wǎng)絡(luò)管理、服務(wù)器管理、桌面計(jì)算機(jī)管理、機(jī)房管理、備份介質(zhì)管理等方面的控制。

在IT應(yīng)用控制方面，結(jié)合ERP系統(tǒng)的應(yīng)用，在相關(guān)內(nèi)控業(yè)務(wù)流程中嵌入了400多個(gè)ERP控制點(diǎn)，初步實(shí)現(xiàn)了配置控制、數(shù)據(jù)輸入控制、操作規(guī)范控制、用戶權(quán)限管理控制和系統(tǒng)接口控制等。同時(shí)結(jié)合內(nèi)外部審計(jì)及檢查，不斷完善和提升IT應(yīng)用控制水平，充分發(fā)揮ERP系統(tǒng)的應(yīng)用控制功能。如將審計(jì)工作流程、方法與ERP系統(tǒng)功能相結(jié)合，通過對(duì)跨模塊數(shù)據(jù)的檢索，在國(guó)內(nèi)率先實(shí)現(xiàn)在線審計(jì)，為事中審計(jì)、遠(yuǎn)程審計(jì)、績(jī)效審計(jì)提供了手段。

在風(fēng)險(xiǎn)管理方面，制定發(fā)布了IT風(fēng)險(xiǎn)評(píng)估管理辦法，明確要求IT項(xiàng)目可研報(bào)告必須包括風(fēng)險(xiǎn)管理，要求每年對(duì)重要信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估；建立IT控制流程，設(shè)立控制點(diǎn)，保證IT風(fēng)險(xiǎn)管理到位；形成了由控制流程、控制矩陣、工作底稿、檢查辦法、管理制度、組織管理辦法等組成的比較完善的IT風(fēng)險(xiǎn)防范體系。