中国石化IT治理的实践和成效中国石油化工集团公司信息部李德芳（二〇〇九年十一月二十七日）中国石化高度重视IT 治理工作，将IT 治理作为公司治理的重要组成部分，通过强化IT治理工作，加快信息化建设步伐，推动业务发展，全面提升中国石化的核心竞争力。

通过多年的实践，中国石化逐步形成了具有中国石化特色的IT 治理体系，包括坚持“三结合”理念和“六统一”原则，确立IT治理的指导思想和基本框架，建立信息化管理体系、ERP 应用体系、IT内控体系和信息化制度体系等，推进了中国石化信息化建设健康有序和快速发展。

一、中国石化IT治理的主要实践（一）坚持“三结合”理念，确立IT治理的指导思想中国石化结合自身信息化发展的实践，逐渐形成了信息化“三结合”的明确理念，即信息化要“与加强企业管理、提高管理水平紧密结合，与提升技术水平、增强技术创新能力紧密结合，与把握开拓市场、提高经济效益紧密结合”。

“三结合”理念的核心是建设有效益的信息化，推进信息化与业务的紧密融合，是中国石化信息化的指导原则，也是IT治理的指导思想。

中国石化在多年的IT治理实践中，自觉按照集团战略与发展的要求，按照企业经营、管理、生产的要求，以“三结合”为指导，坚持IT治理与企业目标之间的正确关系，坚持依据中国石化在各阶段面临的主要任务、挑战、困难，制定IT建设的任务、策略、方案，保证IT发挥的价值更大，与企业战略更加充分融合，不断提升企业的核心竞争力。

“三结合”理念突出体现了中国石化IT治理中信息化与工业化融合的思想。

中国石化是传统的石油石化产业，在长期发展中形成了自己的生产模式和管理模式，通过信息化加快对石油石化传统生产模式和管理模式的改造和提升，提高生产效率，降低生产成本，促进产业升级；快速响应市场需求，加快产品更新换代，增加企业经济效益；优化资源配置，提高企业管理水平，实现持久的可持续发展。

同时，传统的石油石化产业也为信息化提供了一定的物质基础，提出了信息化应用发展的需求，为信息化提供了广阔的舞台。

IT治理是公司治理的组成部分，在IT治理中坚持“三结合”的理念，使两化融合的思想落地，使公司治理到位。

（二）坚持“六统一”原则，建立IT治理的基本框架中国石化以“六统一”原则统领信息化全局工作。

在2000年中国石化大规模信息化建设初期，为强化ERP等信息系统建设的统一性，明确提出了信息化“统一规划、统一标准、统一投资、统一建设、统一管理”的“五统一”原则，并在信息系统建设中认真执行。

2008年，为加强信息化建设“统一设计”工作，增加了“统一设计”内容，形成了信息化“六统一”原则。

“六统一”原则中，统一计划是前提，统一标准是基础，统一设计是方法，统一投资是保证，统一建设是手段，统一管理是关键。

“六统一”原则，反映了中国石化信息化发展的内在规律，体现了中国石化IT治理的基本框架，有效防止了“各自为政”、重复建设、“信息孤岛”，保证了从全局角度优化配置信息资源，建设全局性、集成性、有效益的信息系统，保证了重大信息化项目集中决策、统一部署和有序建设，使信息化建设逐步从分散走向集中，有力地促进了信息化建设的健康发展。

实践表明，按照“六统一”原则进行统一运作，是集团化企业又好又快建设信息化的正确选择。

（三）健全信息化组织机构，完善信息化管理体系为保证信息化建设和应用，中国石化自上而下建立了信息化管理体系，总体上形成了“一个整体，两个层次，归口管理，分工负责”的信息化管理格局，对信息化工作进行全系统和全方位管理，包括在总部成立中国石化信息化领导小组（ERP指导委员会），以加强对信息化工作的整体领导，建立信息系统管理部，专职信息化统筹协调和归口管理；在企业同样成立信息化领导小组，健全信息化管理部门和职责等。

“一个整体，两个层次”，是指建立中国石化上下一体化的信息化管理体系，发挥集团化优势，并按照“六统一”原则，实行总部和企业两个层次的信息化管理。

总部对重大项目实行集中决策，统一部署，优化配置信息资源，建设全局性、集成性的信息系统。

企业则按照总部的部署和要求，重点做好总部项目的推广应用和企业层面的信息化建设工作。

信息化的整个工作由中国石化信息化领导小组全面领导，从总体层面负责信息化的组织与管理，决定和协调中国石化以ERP为主线的信息化建设中的一些重大事宜。

“归口管理，分工负责”，是指信息化工作由信息化管理部门统一归口管理，各相关业务和职能部门协同配合、分工负责。

总部与企业两个层次独立设置信息化管理机构，归口统一管理集团公司上市和非上市两个部分的信息化工作。

非上市部分不再设置信息化管理部门。

总部的归口统一管理部门就是信息系统管理部。

企业的信息化管理部门在业务上服从总部信息系统管理部的管理与领导。

业务和职能部门是信息技术应用系统的使用单位，也是与本部门有关的信息化项目建设的牵头单位，与信息化管理部门协同配合共同做好本部门所担负的信息技术应用工作。

“一个整体，两个层次；归口管理，分工负责”的信息化管理体系明确了信息化建设各相关者的职责，建立了较为完善的科学分工和良性互动机制。

（四）明确业务部门的主体地位，创新ERP应用体系创新性地建立ERP应用体系，是中国石化IT治理中一个非常核心的实践。

ERP应用体系在总部层面包括总部ERP指导委员会、总部ERP项目管理组、事业部和相关职能部门应用领导小组、总部ERP支持中心，分别负责对ERP系统应用工作的领导、协调、业务指导和对企业应用的支持；在企业层面包括企业ERP应用领导小组、各业务管理部门、企业ERP支持中心，各司其职，共同承担ERP系统应用。

在ERP应用体系中，总部ERP指导委员会对ERP应用重要事项进行决策，协调解决与ERP应用相关的重大问题。

总部ERP项目管理组在总部ERP指导委员会领导下开展工作，组织制定ERP应用管理制度、应用目标、应用规划、应用规范、应用考核办法、ERP模板、系统整体优化和提升方案，并组织实施。

事业部对所属企业ERP应用负总责，在总部ERP项目管理组协调组织下制定本业务板块ERP应用规划和年度计划、ERP 应用规范、应用考核办法、ERP模板等，负责所属板块的业务流程调整、系统变更的审核和确认，研究本部门和所属企业如何有效利用ERP系统支撑和加强生产经营活动分析及日常经营管理工作等，检查、考核企业ERP应用情况，组织开展经验交流、典型培养等工作。

相关职能部门对信息化应用承担重要的管理责任，如财务部负责制定财务管理模块的应用规划和年度计划，负责财务管理模块流程调整、系统变更、推广模板的审核和确认，负责制定财务管理模块应用规范以及考核办法，负责处理事业部和企业提出的财务管理模块应用中出现的问题，解决银企直联、资产管理、装置成本核算、预算管理等应用问题等。

ERP应用体系明确了事业部和业务部门是ERP等信息系统的应用主体，从组织上保证了ERP及其它系统的应用工作，有效调动了业务部门的积极性，有力推动了ERP等信息系统的深化应用。

（五）实现ERP与内控的有机结合，强化IT内控体系中国石化按照内部控制和外部监管的要求，建立了包括IT内控业务流程、IT一般性控制和IT应用控制在内的IT内控体系，一方面提高了内控制度的执行力，同时推动了关键信息系统的深化应用，实现了ERP系统和内控的有机结合和良性互动。

IT内控业务流程包括“信息系统管理业务流程”和“信息资源管理业务流程”，前者主要按照信息系统全生命周期管理的要求，提出了对信息系统建设应用各主要环节的控制，后者以信息共享和信息安全为主要目标，体现了信息资源管理的基本要求。

IT内控业务流程随同2003年中国石化内控体系建立，多年来在规范信息系统和信息资源管理，深化信息系统应用和发挥信息资源价值方面起到了重要作用。

IT一般性控制参照COBIT标准设计，由企业整体层面的IT控制和企业活动层面的IT控制组成。

企业整体层面的IT 控制包括信息化管理体系、信息化规划、IT风险评估、信息安全管理等，主要控制点增设在“信息系统管理业务流程”的第一部分。

企业活动层面的IT控制通过“ERP系统IT一般性控制流程”、“应用系统IT一般性控制流程”和“基础设施IT 一般性控制流程”三个流程体现，包括了对程序和数据访问、程序变更、程序开发、系统运行及网络管理、服务器管理、桌面计算机管理、机房管理、备份介质管理等方面的控制。

IT 一般性控制有效防范了信息系统自身的一些风险，较好地解决了ERP等系统日常管理不严格，权限管理、密码管理不规范，不相容职责设置未分离和部分外部数据导入不合规等一般性控制缺陷，提高了系统的运行水平，为信息系统深化应用营造了良好的环境。

IT应用控制是IT内控体系中的重要组成部分。

中国石化在IT应用控制方面一是密切结合ERP系统的业务应用，在相关内控业务流程中嵌入了160多个ERP控制点，初步实现了配置控制、数据输入控制、操作规范控制、用户权限管理控制和系统接口控制等。

二是进一步挖掘ERP系统的控制功能，尽量通过ERP系统提供的功能来强化企业的内部控制，有效发挥ERP系统的应用控制功能。

如将审计工作流程、方法与ERP系统功能相结合，通过对跨模块数据的检索，在国内率先实现在线审计，为事中审计、远程审计、绩效审计提供了手段。

三是结合外部审计和内部内控检查发现的IT应用控制方面的缺陷，开展专项整改工作，不断完善和提升IT应用控制。

2009年中国石化在企业层面分步开展ERP权限专项整改工作，主要围绕清理总部用户权限、关键事务代码检查与整改、组织级别检查与整改、不相容权限检查与整改等方面进行，初步形成了分级风险矩阵、关键事务代码、敏感数据和常用组织值等标准，为ERP系统日常管理和深化应用等奠定了基础。

（六）重视制度建设，发展信息化制度体系中国石化十分重视信息化制度的建设，结合内控工作的要求，每年都对信息化管理制度和办法进行梳理和分析，充分考虑业务需求和信息化发展的实际，合并精简，废旧立新，不断充实和提升信息化制度，初步形成了有效规范中国石化信息化的管理制度体系。

中国石化信息化管理制度体系现有53个管理办法和制度，分为三级。

一级是综合管理制度，主要反映信息化管理的纲领性要求，目前主要是《中国石化信息化管理办法》；二级是专项管理制度，主要反映信息化某一领域的总体要求，包括规划计划管理、项目建设管理、应用和运维管理、基础设施管理、信息安全管理、标准和规范管理、信息资源管理等，目前已有的制度主要是《中国石化信息技术项目管理办法》、《中国石化管理信息系统应用管理办法》、《中国石化信息基础设施管理办法》、《中国石化信息系统安全管理办法》、《中国石化信息化标准管理办法》、《中国石化信息资源管理办法》等；三级是细则和规范，目前主要有《中国石化ERP项目管理办法》、《中国石化ERP应用管理办法》、《中国石化ERP系统模板管理办法》、《中国石化MES系统管理办法》、《中国石化网络管理办法》等管理细则及《中国石化信息化发展规划编写规范》、《中国石化信息技术项目合同技术附件编写规范》、《中国石化ERP系统运行和应用规范》、《中国石化数据库系统安全使用规范》、《中国石化域名管理规范》等管理规范。