IT内控体系建立与实施

1、IT内控体系建立与实施 中国联合网络通信有限公司河北省分公司高级工程师 屈玉阁 2009年5月15日 41- 2 原中国网通内控测试结果零缺陷原中国网通内控测试结果零缺陷 为了达到在美国上市公司萨班斯法案的要求，原中国网通公司在近三年 的时间里，完成了147个单位的内控体系建设，共梳理内控流程6920个， 对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计 师事务所审计，中国网通（集团）有限公司测试结果为零缺陷，内控工 作最终取得令人满意的实质效果。 2007年5月31日，普华永道在美国证券交易委员会（SEC）的20F报告中， 对原中国网通内控工作正式出具了无保留意见的审计报告

2、。至此，原中 国网通成为率先通过美国萨班斯法案404条款的国内电信运营商。 原网通河北省分公司作为网通集团内控模板推广试点单位，为原中国网 通集团通过美国萨班斯法案404条款做出了应有的贡献。 41- 3 内部控制基本执行路径内部控制基本执行路径 在美国上市的公司请管理咨询公司，制定满足SOX 要求，遵循COSO框架的制度 在企业各个层面落实 在资本市场公布审计结果 企业请外审公司对执行情况进行审计，得出结论。 41- 4 每年内控工作各阶段划分每年内控工作各阶段划分 依据内控模板 制定、修正本 地化控制活动 省公司组 织检查 各单位改进 外审第一 次测试 各单位改进 外审第二 次测试 工作进

3、度 日期 各单位依据本地 化控制活动检查 实际工作中差距， 并改正。 41- 5 企业信息化工作基本内容企业信息化工作基本内容 企业信息化工作分为两部分，一是信息系统建设，二是信息化管理控制。 IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取 的管理控制工作，是信息化管理控制的一部分。 企业信息化工作 信息系统建设与运营 信息化管理控制 IT内控 41- 6 对财务数据来源控制的途径对财务数据来源控制的途径 SOX404强调财务报告数据来源的准确与控制。 财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人 工处理数据控制等三个方面。 2006年原网通河北省分公司IT内

4、控工作组承担了IT内控、电子表格内 控等两部分工作，其工作量占全部内控工作的60%。 财务报告财务报告 信息系统信息系统 纸质报表纸质报表 电子表格电子表格 41- 7 ITGC标准模板构成标准模板构成 41- 8 原网通公司原网通公司IT内控涉及的领域内控涉及的领域 一般性信息系统 基本控制 信息系统 应用控制 信息系 统安全 信息系 统操作 变更管理 应用系统、 数据库实 施与支持 ERP 计费帐 务系统 41- 9 一般性信息系统基本控制内容一般性信息系统基本控制内容 信息系统安全信息系统安全信息系统操作信息系统操作变更管理变更管理 应用系统、数据应用系统、数据 库实施与支持库实施与支持

5、 一般安全管理一般安全管理 操作系统操作系统 安全管理安全管理 数据库安全管理数据库安全管理 网络安全管理网络安全管理 应用系统应用系统 安全管理安全管理 防病毒安全管理防病毒安全管理 物理安全管理物理安全管理 批处理程序管理批处理程序管理 备份备份 信息化用户信息化用户 支撑体系支撑体系 紧急应变及紧急应变及 系统恢复系统恢复 应用系统变更应用系统变更 操作系统变更操作系统变更 数据库系统变更数据库系统变更 网络变更网络变更 应用系统采购应用系统采购 应用系统、数据库应用系统、数据库 开发与实施开发与实施 Cobit ISO/IEC 17799 ITIL 155- 10 一般安全管理一般安全

6、管理 举例：信息系统安全内控架构举例：信息系统安全内控架构 应用系统安全应用系统安全 数据库安全数据库安全 操作系统安全操作系统安全 网络安全网络安全 物理安全物理安全 防病毒防病毒 安全安全 41- 11 举例：操作系统安全内控结构举例：操作系统安全内控结构 操作系统安全综述操作系统安全综述 帐号管理帐号管理 对用户的管理对用户的管理 认证管理认证管理 权限管理权限管理 对系统的管理对系统的管理 帐号安全设置帐号安全设置 补丁安装补丁安装 监控管理监控管理 41- 12 举例：帐号安全设置举例：帐号安全设置 IT维护部门系统管理员通过对系统进行安全参数设置，实现维护人员对操作系 统访问的限制

7、，根据用户对操作系统访问需求的不同，由IT维护部门系统管理 员对用户访问操作系统进行安全参数设置，记录在操作系统安全参数配置表 。IT维护部门系统维护主管每月审核系统的安全参数设置。操 作系统维护人员必须通过设置操作系统的安全参数等安全措施限制对信息资源 的访问。（控制活动编号：）。其中包含: 对密码格式； 无效登陆次数（三次）； 历史密码记忆个数； 密码复杂度； 密码长度（六位及以上）； 默认帐号锁定； 帐号超时设置（10分钟）； 开放的端口和服务（要合理）； 日志的检查； 系统的默认帐号。 41- 13 举例：应用系统、数据库开发内控结构举例：应用系统、数据库开发内控结构 应用系统、数据库

8、开发应用系统、数据库开发 需求分析需求分析 设计设计 编码编码 测试测试 开发变更管理开发变更管理 应用系统、数据库实施应用系统、数据库实施 割接割接 试运行试运行 初验初验 正式运行正式运行 终验终验 后评估后评估 文档管理文档管理 新的应用系统的测试新的应用系统的测试 新的数据结构的测试新的数据结构的测试 新的系统软件的测试新的系统软件的测试 新的网络的测试新的网络的测试 41- 14 IT内控管理外部环境分析内控管理外部环境分析 从外部环境看，原网通公司内控条款共四百多条，其中IT内控条款占 52%； 涉及的专业为信息系统安全、变更、操作、信息系统采购与开发等四项 内容； 涉及的部门包括

9、计划、工程建设、物流采购、综合部、财务、人力资源、 网络维护、信息系统支撑等八个部门。 电子表格内控工作更是涉及网通公司每个专业工作。 在时间要求上，原网通河北省分公司必须在2006年达到SOX404要求。 41- 15 IT内控管理内部环境分析内控管理内部环境分析 从内部环境看，2006年以前，网通河北省分公司企业信息系统建设相对 通信专业起步晚、信息化管理基础薄弱，表现在两个方面： 1、已有信息系统功能大部分不能满足IT内控条款要求； 2、所属各单位还没有形成系统的IT管理控制流程，存在控制风险。 41- 16 2006年原网通河北省分公司年原网通河北省分公司IT内控开展的工作内控开展的工

10、作 内控制度建设 贯彻风险管理方式，开展针对性培训 与信息化管理控制工作相结合，统一IT内控流程描述和文档格式。 问题整理及整改措施的落实 现场督导，提出具体的管理措施，保证通过普华永道的测试 开展信息系统风险评估，模拟演练预案 积极与相关部门沟通，解决COSO、UAT和久其系统存在的问题 组织各单位，有效开展电子表格内控管理。 41- 17 一、内控制度建设一、内控制度建设 完成中国网通（集团）有限公司河北省分公司信息系统信息安全与风 险管理规范编写； 完成中国网通（集团）有限公司河北省分公司电子表格实施细则编 写； 完成中国网通（集团）有限公司河北省分公司信息系统建设编码七项 规范 修正中

11、国网通（集团）有限公司河北省分公司信息系统管理办法； 帮助财务部编写久其报表软件系统管理暂行办法。 41- 18 二、贯彻风险管理方式，开展针对性培训二、贯彻风险管理方式，开展针对性培训 IT内控工作主要涉及两个方面： 一是对信息系统功能要求； 二是对信息化管理控制流程的要求，而且这部分工作量最大，并涉及相 关工作人员的管理意识的转变。 IT内控工作 信息系统功能应 满足IT内控要求 信息化管理流程 应符合内控要求 41- 19 二、贯彻风险管理方式，开展针对性培训（续）二、贯彻风险管理方式，开展针对性培训（续） 为使涉及IT内控的各单位人员，改变原有的工作方式，树立信息化风险 管理意识，对省

12、公司企业信息化部两次开展内部培训，五次开展省公司 本部相关部门面对面的培训，并举办全省支撑共享中心主任、负责IT内 控主管人员等三十多人参加的专题培训班；去邯郸、唐山、沧州、邢台 等四个市分公司支撑共享中心，对八十多人进行现场培训；两次举办电 视会议培训，三次举办电话会议形式的全省专题培训；在石家庄银河宾 馆和邮电公寓，分两次对公司全体内控工作人员共280多人分别讲解风 险管理工作流程和电子表格内控流程。 41- 20 二、贯彻风险管理方式，开展针对性培训（续）二、贯彻风险管理方式，开展针对性培训（续） 为了配合上述培训工作，我们编写下列等1200多页的IT内控培训文档： 河北网通IT开发与实

13、施与控制环境矩阵； 风险管理与内控； SOX法案与IT内部控制； 电子表格管理说明； 增进与外审师沟通； 电子表格内控自查与复核工作要点。 通过上述培训，原网通河北省公司IT内控和电子表格管理等工作人员内 控工作素质有了质的飞跃，为落实内控工作打下了坚实的思想基础。 41- 21 三、统一三、统一IT内控流程描述和文档格式内控流程描述和文档格式 在实施IT内控工作初期，原网通河北省分公司所属分公司和直属单位有 15个本地化内控文档，由于各单位信息化管理支撑部门内部规章制度和 工作流程不尽相同，管理精细化程度不一，工作人员对内控理解程度也 各不相同。这种情况对不利于全省IT内控工作深度和进度的把

14、握。 为了改变上述局面，我们分析公司信息化各项制度和目前河北省分公司 信息系统现状，收集了各单位信息化流程和各位记录文档，征求15个单 位内控工作人员的意见，提出将河北省分公司IT内控文档统一描述的建 议，得到了公司内控工作组和各相关部门的支持。 41- 22 三、统一三、统一IT内控流程描述和文档格式内控流程描述和文档格式 以网通集团公司企业信息化管理控制体系1.0为基础，以风险管理 思想为理论依据，2006年6月，组织公司各相关单位成立IT内控工作项 目组，经过三周时间的顽强拼搏，疏理了IT内控17个流程中214个控制 活动，统一了9.5万字的IT内控流程描述，规范了176个相关文档格式，

15、 完成了网通河北省分公司十五个IT内控本地稿的统一工作，在2006年7 月，以公司文件形式公布，在各单位执行。 上述工作的开展，不仅仅统一了IT内控流程描述，也实现了河北省分公 司所属各单位信息化管理控制流程和文档的统一，为河北省分公司IT内 控在2006年满足SOX404形成了可量化的工作标准，由于各单位有同样 的文档格式，在IT内控工作深度和进度把握上取得了主动权，管理效果 非常直观，同时也降低了IT内控的工作难度。 此项工作走在原网通集团公司内控工作前列，受到了原网通集团公司的 表扬，也得到了审计公司普华永道的认同和较高的评价。 41- 23 四、问题整理及整改措施的落实四、问题整理及整

16、改措施的落实 建立和落实IT内控责任分解表 为了加强IT内控责任管理，原网通集团公司企业信息化部从2007年开始 上报IT内控责任分解表，以明确每个信息系统中涉及内控的每个管理人 和责任人。 此项工作涉及省公司相关部门和各市分公司IT建设支撑部门，而且由于 信息系统变化、组织与人员的调整，此项工作量非常大。 为了按时按时完成该项工作，我们积极与部门领导商议，并与省公司法 律与风险部进行沟通，共同起草通知文件，向省公司相关部门和各市分 公司布置工作，在7月初保质保量完成此项工作，并向集团公司企业信 息化部上报。 41- 24 四、问题整理及整改措施的落实（续）四、问题整理及整改措施的落实（续）

17、IT内控工作分为以信息系统程序功能实现的流程控制，以及对信息系统 外部环境的控制等两大类。 由于过去开发的信息系统没有按内控要求进行程序设计，所以，有些信 息系统实现的功能不能达到IT内控要求，而由于建设资金和建设周期的 原因，又不可能为实现IT内控要求立即实现信息系统改造，因此必须采 用人工控制来降低信息系统风险。 要求信息系统功能满 足IT内控要求 信息系统外部控制环境 要满足IT内控要求 信息系统系统具备程序控制降低风险 信息系统不具备程序控制功能，需要人工控制 降低风险 建立人工管理控制流程，以降低风险 41- 25 人工降低人工降低IT内控风险整改措施内控风险整改措施 控制声明（制度

18、） 授权和被授权文档 作业流程 与作业流程对应的控制文档 控制轨迹 41- 26 四、问题整理及整改措施的落实（续）四、问题整理及整改措施的落实（续） 网通河北省分公司信息系统功能不能完全达到IT内控要求。 在2006年初各单位整改的基础上，网通河北省分公司IT内控工作组，去 各市分公司收集整理第一轮测试存在20个共性问题，深入理解内控要求， 提出了人工降低IT内控风险整改措施。 积极与集团IT内控项目组和德勤公司沟通，并得到了确认，在2006年6 月中旬完成全部问题的整改。 以工单方式，监督各单位的内控落实工作，对出现的问题进行密切跟踪， 保证落实到位。 进一步细化内控要点，将信息系统变更分

19、为四类，制定了信息系统非 紧急变更实施范围定义表下发给各单位执行。 上述措施的落实，有效地开展了内控工作，并为公司节约建设资金1.6 亿元。 41- 27 四、问题整理及整改措施的落实（续）四、问题整理及整改措施的落实（续） 变更变更 等级等级 提出申请变提出申请变 更审批的部更审批的部 门门/人员人员 审批人审批人 复合部门复合部门 /人员及人员及 复合周期复合周期 变更实施范围定义变更实施范围定义 工作流程工作流程 文档名称文档名称 1重大 运维部主管总经 理 需要省公 司定期复 合 经立项进行的重大升级改造， 或者是开发和实施阶段的变更， 应归入项目的开发与实施进行 管理。 变更申请、变

20、更实施、 变更测试、变更验收、 变更上线 开发与实施的相关流程文档。 2重要 支撑共享中 心主管主任 IT管理部 门（运维 部） 主管总经 理每月复 合 1、系统能力不足，需要的局部 变更； 2、业务部门新需要引起的信息 系统变更； 1、变更管理员职责； 2、信息系统服务支撑 部门职责； 3、信息系统管理部门 职责。 1、信息系统变更申请；2、信息系统变更 方案；3、变更通知单；4、信息系统变 更计划；5、应急回退方案和回退时间点； 6、备份记录；7、信息系统变更版本控制 记录；8、xx系统参数配置表；9、工作 日志；10、上线前的测试计划；11、上 线审批单12、系统割接计划；13、变更 报

21、告；14、使用手册。 3一般 支撑共享中 心班组长 支撑共享 中心主管 主任 IT管理部 门（运维 部）主任 每月符合 1、不影响信息系统运行的参数 变更（新加的参数）； 2、数据库调优（关键参数修 改）； 3、应用系统的补丁程序（新增 加功能模块）； 4、数据库和操作系统补丁程序 （补漏洞）； 5、数据库、操作系统、应用系 统的权限变更； 6、应用系统的关键数据修改； 7、操作系统、数据库、网络报 警阀值调整。 1、变更管理员职责； 2、信息系统服务支撑 部门职责。 1、信息系统变更申请；2、信息系统变更 方案；3、信息系统变更计划；4、应急 回退方案和回退时间点；5、备份记录；6、 信息系

22、统变更版本控制记录；7、xx系统 参数配置表8、工作日志；9、上线前的 测试计划；10、上线审批单；11、系统 割接计划；12、变更报告； 4微小 支撑共享中 心员工 支撑共享 中心班组 长 支撑共享 中心主管 主任 应用系统报警阀值调整；应用系统操作管理员填写操作日志 信息系统非紧急变更实施范围定义表信息系统非紧急变更实施范围定义表 41- 28 四、问题整理及整改措施的落实（续）四、问题整理及整改措施的落实（续） 岗位说明 书 工作授权 书 帐号权限 清单 主管 主任 的 授权 工作 授权方式 41- 29 四、问题整理及整改措施的落实（续）四、问题整理及整改措施的落实（续） 开始开始 提

23、出申请提出申请 主管主任审批主管主任审批 执行并留下工作日志执行并留下工作日志 主管主任定期复核主管主任定期复核 结束结束 工作人员 部门主管主任 申请书申请书 工作日志工作日志 申请书申请书 工作日志工作日志 IT内控人工控制基本流程内控人工控制基本流程 41- 30 举例：数据库参数修改审批控制流程举例：数据库参数修改审批控制流程 开始开始 数据库管理员提出申请数据库管理员提出申请,填写申请表填写申请表 部门主管总经理进行审批部门主管总经理进行审批: 1、修改的内容；、修改的内容； 2、原因；、原因； 3、涉及范围、涉及范围 申请表申请表 通过通过 数据库管理员修改数据库参数数据库管理员修

24、改数据库参数 数据库管理员及时更新数据库参数表数据库管理员及时更新数据库参数表 结束结束 数据库管理员修正申请表数据库管理员修正申请表申请表申请表 数据库参数表数据库参数表 y n 部门主管总经理或主管定期复核部门主管总经理或主管定期复核 41- 31 五、现场督导，提出具体的管理措施，保证通过普五、现场督导，提出具体的管理措施，保证通过普 华永道的测试华永道的测试 为了现场指导监督各单位落实内控要求，原网通河北省分公司IT内控工 作组多次走访所属11个市分公司，与各单位主管内控的总经理、网运部 和支撑共享中心的主任、IT 内控主管人员进行现场沟通，对具体问题具 体指导。 在上述工作基础上，2

25、006年，网通河北省分公司IT内控工作组两次对全 省各单位进行内控测试工作。 根据普华永道审计进度，网通河北省分公司IT内控工作组分别去邯郸、 邢台、石家庄、沧州、唐山、秦皇岛等六个市分公司，现场指导应对普 华的审计工作，同时密切关注其他公司的审计进程，有力了保证了IT内 控普华审计工作效果。 41- 32 六、开展信息系统风险评估，模拟演练预案。六、开展信息系统风险评估，模拟演练预案。 在传统信息系统预案管理方面，存在的缺陷表现在两个方面： 一是将信息系统硬件、软件和应用系统分开管理的； 二是信息系统预案的制定过程没有经过风险评估，针对性不强，处于被 动的局面。 依据风险管理理论，我们将信息

26、系统分为实物、软件、信息、服务等四 类资产，从资产本身的弱点或漏洞、资产存在的外部威胁、威胁发生的 可能性、威胁发生的后果、目前采取的措施等五个方面，建立信息系 统风险评估矩阵，组织公司所属各单位对各个信息系统进行安全风险 评估，找出目前信息系统存在的隐患，以应用系统为单位，制定针对性 应急预案，进行模拟演练，并保留演练文档。 通过上述工作，河北省分公司信息系统应急预案理顺了管理流程，实现 了风险管理，走在集团公司IT内控工作前列。 41- 33 信息系统风险评估过程信息系统风险评估过程 确定信息资产或管理工作的范围确定信息资产或管理工作的范围 开始开始 确定信息资产或管理工作确定信息资产或管

27、理工作 本身存在的弱点或漏洞本身存在的弱点或漏洞 确定信息资产或管确定信息资产或管 理工作面临的威胁理工作面临的威胁 确定目前信息系统或管确定目前信息系统或管 理工作采取的控制措施理工作采取的控制措施 结合信息资产本身或管理工作结合信息资产本身或管理工作 的弱点或漏洞及面临的威胁，的弱点或漏洞及面临的威胁， 考察目前已采取的控制措施，考察目前已采取的控制措施， 确定信息系统或管理工作有可确定信息系统或管理工作有可 能出现的问题（风险）；能出现的问题（风险）； 对可能出现的问题进行排序，对可能出现的问题进行排序， 确定风险的优先级和控制水平确定风险的优先级和控制水平 提交公司安全现状风险报告，提

28、交公司安全现状风险报告， 提供风险列表，归类风险等级提供风险列表，归类风险等级 结束结束 41- 34 事例：综合结算系统资产风险评估表事例：综合结算系统资产风险评估表 序 号 信息资产 类别 资产详细名 称 资产本身存在 的弱点或漏洞 资产存在的外部威 胁 威胁发 生的可 能性 威胁发生的后果 目前采取的控 制措施 确定可能会出现 的问题（风险） 确定风 险的优 先级 风险的 控制水 平 提出整改建议 易受参数配置 的影响产生错 误 可能遭到非法访问 或数据窜改小 1、业务连续性受到影响 2、业务数据的真实性受影 响 1、适当设置安 全参数并定期 检查 2、正确设置其 他参数 3、定期的参数

29、 复核检查流程很低无 硬件有一定的 故障几率设备硬件老化小 1、业务连续性受到影响 2、硬件重新购置的费用 1、维保合同 2、双机等冗余 配置很低无 易受电源、温 度等不稳定影 响。 电源、温度、湿度 不符合要求小 1、业务连续性受到影响 2、可能造成数据丢失，甚 至业务无法回复 主机放置在了 正规的机房， 对各种机房指 标都有严格的 控制很低无 机房的物理访 问控制可能不 十分严格 非法或不合规的机 房物理访问小 所有主机登陆都有用户密 码保护，但如遭恶意破 坏，可能造成服务器硬件 损坏 严格的机房访 问控制，机房 出入登记制度很低无 硬件有一定的 故障几率设备硬件老化小 1、业务连续性受到

30、影响 2、可能造成数据丢失，甚 至业务无法回复 3、硬件重新购置费用 1、维保合同 2、磁盘RAID 冗余技术 3、阵列的 hostspare备 盘技术 4、对数据进行 定期备份到带 库很低无 易受电源、温 度等不稳定影 响。 电源、温度、湿度 不符合要求小 1、业务连续性受到影响 2、可能造成数据丢失，甚 至业务无法回复 阵列放置在了 正规的机房， 对各种机房指 标都有严格的 控制很低无 机房的物理访 问控制可能不 十分严格 非法或不合规的机 房物理访问小 阵列有单独管理的钥匙， 但如遭恶意破坏，可能造 成服务器硬件损坏 1、严格的机房 访问控制，机 房出入登记制 度 2、阵列有单独 管理的

31、钥匙，很低无 硬件有一定的 故障几率设备硬件老化小 1、硬件重新购置费用 2、需要时备份数据不可 用，可能影响业务的预期 恢复 1、维保合同 2、对备份是否 成功的定期检 查很低无 易受电源、温 度等不稳定影 响。 电源、温度、湿度 不符合要求小 需要时备份数据不可用， 可能影响业务的预期恢复 带库放置在了 正规的机房， 对各种机房指 标都有严格的 控制很低无 机房的物理访 问控制可能不 十分严格 非法或不合规的机 房物理访问小 带库有单独管理的钥匙， 但如遭恶意破坏，可能造 成服务器硬件损坏 1、严格的机房 访问控制，机 房出入登记制 度 2、带库有单独 管理的钥匙，很低无 易受参数配置 的

32、影响产生错 误 可能遭到非法访问 窜改小 1、业务连续性受到影响 1、适当设置安 全参数并定期 检查 2、正确设置地 址、路由等参 数 3、定期的参数 复核检查流程很低无 综合结算系统资产风险评估矩阵综合结算系统资产风险评估矩阵 实物资产 3 带库 日期： 2006 年 8月 12日 填表部门：支撑共享中心 1 实物资产 2 实物资产 磁盘阵列 7513 主机: spnode03 spnode04 spnode05 spnode06 P670A P670B 41- 35 七、积极与相关部门沟通，解决七、积极与相关部门沟通，解决COSO、 UAT和久其系统存在的问题和久其系统存在的问题 IT内控

33、涉及COSO、UAT和财务报表久其系统的管理。 原网通河北省分公司IT内控工作组积极与公司COSO组沟通，完成了IT 内控与COSO内控流程进行有效衔接。 根据集团公司IT 内控工作组的要求，IT内控工作组组织各单位在一个月 内完成了UAT文档的整理工作，并提供统一的文档格式； 帮助公司财务部编写久其报表软件系统管理暂行办法等公司文件， 制定了6个文档模板，在各单位财务部门落实。 41- 36 八、组织各单位，开展电子表格内控管理，满足内八、组织各单位，开展电子表格内控管理，满足内 控要求。控要求。 电子表格内控工作是公司内控工作的一个重要部分，相比其它专业的内控工作， 电子表格内控涉及公司各项专业工作，起步晚。在电子表格内控开始阶段，大 家对电子表格的定义和如何开展工作没有明晰的认识，困难重重。 我们首先分析SOX404对电子表格的要求，收集公司现有各类电子表格，依据集 团公司相关制度和风险管理思想，在没有参考资料的前提下，经过一个多月的 艰苦努力，从电子表格管理业务流程和计算机管理流程两个角度，编写了网 通河北省分公司电子表格管理实施细则及对应的九个文