多業態集團型企業的權限管理體系實現

羅 俊

（安徽建工集團有限公司，合肥 230001）

0 引言

多業態集團型企業由不同的業務單元組成，其中絕大部分的業務單元作為獨立的實體存在，由相對獨立的子公司負責運營。各子公司獨立制定業務策略，子公司可能經營一項或者若干項具體的業務。各公司的行業特征明顯、下級公司數量眾多且跨行業分布，沒有統一的管控模式。

多業態集團型企業的權限管理體系要考慮到整個集團內部不同行業、不同業務單元的具體情況以及公司的規章制度，包括權限分配、權限下放、權限范圍、資源實體、系統管理等。在權限管理體系規劃之前，應該展開充分的調研和論證，涉及基礎數據、業務數據、組織單元、功能模塊等。多業態集團的組織及職能如表1 所示。

表1 多業態集團的組織及職能

另外，對于多業態集團型企業而言，分權管理尤為重要，通過分權管理，可以實現下屬公司或組織機構的管理人員來管理自己的系統數據。大體而言，分權管理應該包括如下功能：系統組織結構、人員、角色的創建與權限等系統層面的權限分權，流程維護的權限分權，知識文檔維護的權限分權，項目管理的權限分權，資產管理的權限分權等。但是整個分權管理應該是一個很復雜的功能，權限的分發和回收必須要做到精準和安全。

1 現狀描述

隨著信息化發展水平的不斷提高，企業信息系統的門類和數量也在不斷增加，系統的用戶數量也在逐漸增加，如何精準地控制信息系統的用戶權限，有效保障系統及數據的安全，滿足企業實際的管理和權限要求，降低企業管理風險，是大型信息系統必須要考慮的問題。信息系統的權限管理體系分為系統級和應用級，系統級別的權限控制不在本文討論的范圍之內，應用級別的權限管理是信息系統的核心所在。由于各企業管理內容及管理模式存在千差萬別，作為一套成熟的信息系統的核心組成，其權限管理體系必須結合企業實際管理情況，只有這樣，才能適應各種企業的內控管理需求，從而有效地為企業的管理服務。

結合目前市場上某些行業典型的信息系統的權限管理體系，從幾個方面來闡述多業態集團性企業的權限管理需求，從而更加直觀地反映企業實際的管理需求，研究這類在組織結構、業態分布、管理形式等方面都相對復雜的企業權限體系，對于其他直線型、集權型、單業態企業也具有普遍的適用性。多業態集團企業權限管理需求與行業信息系統對照表如表2 所示。

表2 多業態集團企業權限管理需求與行業信息系統對照表

通過分析，我們了解多業態集團權限體系需求與國內行業成熟的信息系統的權限體系實現之間存在如下三個方面的問題。

（1）權限管理體系要求數據隔離，這一點信息系統基本都可以實現，只是在某些系統統一設置的參數，例如賬套、工資等參數設置時無法進行個性化設置，此外某些行業信息系統在組織和用戶權限方面未做好對組的控制，這些對于多業態集團型企業具有一定的局限性。

（2）權限管理體系細分為使用權和分配權，使用權是用戶具有的操作權限，分配權是用戶可以分配下放給其他用戶的權限，這樣可以實現權限的精細化管理。目前主流信息系統對于分配權的授予大多采用繼承方式，即默認用戶的使用權集合，可以實現分配權定制的也僅是部分功能。

（3）權限管理體系需求分權管理，而目前成熟信息系統基本都只具備部分功能的分權管理，未真正實現分級管理。此外，權限管理體系應該能夠適應實際需求，為可能發生變動的企業應用環境提供合適的解決方案。

2 體系分析

多業態集團型企業權限管理體系的核心內容是管控模式，“以事定崗，以崗定人”。設置崗位既要著眼于企業現實，又要著眼于企業發展。按照企業各部門職責范圍劃定崗位，以角色區分崗位，同一崗位的員工由于職責不同，擁有的權限和扮演的角色亦不同。通過權限管理體系將需要統一管理的內容管起來，將不需要管理的事情放下去。而且管理方式的收放可以依據組織需求進行設定，具有一定的彈性。管理員隸屬于組織，獨立于用戶。各級組織的管理員賬戶與信息系統的管理員賬戶扮演的角色基本是一致的，區別在于：

（1）管理范圍的不同，信息系統管理員賬戶是整個系統的維護角色，而各級組織的管理員擔任相應組織的維護角色。

（2）可分配權限范圍不同，信息系統管理員賬戶可以分配系統內所有的功能權限，而各級組織的管理員只能分配信息系統允許分配的相應權限集合。

通過前面分析，我們了解多業態集團型企業的組織形式和不同單元信息管理的側重點。多業態集團型企業對權限體系的需求總體可以歸納為以下三點：

（1） 支持在權限范圍內靈活的組織結構自主維護與定制，支持層級機構和工作組機構，滿足現代企業機構復雜、靈活的矩陣式組織模型的要求，支持跨組織兼職、業務委托代理。

（2）支持多層級單位、多層級部門、多層級工作組的管理，支持相應層級的業務管理員的創建及權限管理操作，下級單位在上級單位授權范圍內對本級及下級單位進行管理，各層級業務管理員可以查看與管理其權限范圍內的業務數據和組織機構。

（3） 各級業務管理員必須由集團業務管理員創建和授權，各子公司業務管理員可以對其所在公司不同員工賦予不同的操作權限，以此類推，支持層級組織結構。

多業態集團型企業權限管理體系就其特點而言，要求集團公司將具體的系統管理及相關權限賦予分公司和子公司，下級單位在上級單位授予的權限范圍內，建立自己的系統及應用，相互獨立運作，彼此互不干擾。多業態集團權限管理體系的實現過程如圖1 所示。

圖1 多業態集團型企業權限管理體系

企業內部進行崗位劃分，依據崗位職責劃分管理類崗位與業務類崗位，同樣是總經理崗位，可細分為分管財務或者分管營運的不同角色，以角色區分崗位。一種崗位可能包含多個角色，但是一個角色只能屬于一種崗位，用戶關聯角色獲取角色對應的權限，一個用戶可以關聯多個角色，在用戶登錄系統后進行權限校驗，權限集合應為該用戶關聯角色的權限合集。而目前市場主流信息系統選擇的方式都是用戶登錄時選擇相應的角色進行操作，這樣對用戶訪問操作是不友好的。同樣一個角色也可能屬于多個用戶，現實的企業管理中一個崗位由兩個用戶來完成也是存在的，例如輪班制管理。用戶與角色都可以通過組進行集中管理，此外，將權限集合通過資源池的方式整合，可以方便對單個用戶或者角色進行賦權，增加權限管理體系的靈活性。無論是崗位、角色組、用戶組、資源都隸屬于某個組織，在特定的組織范圍內進行權限管控。

3 體系元素

（1）在權限管理體系設計中，如下元素有著相對應的含義：

①用戶（user）：信息系統的使用者，與角色關聯，隸屬于組織。

②角色（role）：區分某個崗位（jobs）具體職責的權限集合。

③組織（organization）：體現了用戶所屬單位及部門的行政關系。

④用戶組（user group）：具有相同職能的用戶的集合。

⑤角色組（role group）：具有相同職責的角色的集合。

⑥崗位（jobs）：具有功能權限的集合，直接與功能權限關聯，被分配相應職責即意味著有權執行這些功能。職責表中的字段“functions”記錄相關的功能id，id 之間用逗號隔開。

⑦功能（function）：系統的一個或者多個執行的準入，對應系統的功能控制、數據訪問、組織范圍、分配下放等相關權限。

⑧資源（resource）：信息系統中所有權限控制點，包括功能權限、操作權限、組織權限等，可在此對用戶進行個性化賦權。

（2）結合上面的元素分析可以在體系中定義以下幾類角色：

①系統管理員：信息系統的基礎數據、數據庫連接等的配置。

②集團管理員：集團數據的管理者，包括集團組織機構樹的創建，下級單位管理員的創建、權限的分配等。

③集團基礎數據管理員：集團層面需要統一設置的基礎數據的設置、維護和管理，例如賬套、會計期間等。

④公司管理員：二級單位的管理員，本身也可能是個集團型組織，需要創建自身的組織結構樹及權限的下放、分配等。

⑤公司基礎數據管理員：公司層面依據具體情況需要統一設置的基礎數據的設置、維護和管理，例如工資等。

⑥組織管理員：三級單位及以下組織的管理員，負責相應組織的組織創建、人員創建、權限分配等。

⑦組織基礎管理員：組織層面依據具體情況需要統一設置的基礎數據的設置、維護和管理，例如工作時間等。

⑧業務管理員：負責具體業務的管理和運營等相關工作的人員。

通過分析可設計權限管理體系模型分級權限如表3 所示。

表3 權限管理體系模型分級權限表

4 體系設計

4.1 邏輯模型

權限管理體系使用ERStudio 8 進行建模，邏輯模型設計后的總體視圖如圖2 所示，相關表及字段設計不盡完善，具體使用中可能會添加若干相關字段或輔助表。本圖僅為本文討論需要及功能實現。

圖2 邏輯模型設計的總體視圖

首先，功能表、操作表、分配表和單位表位于整個設計的最底層，它們與職責表通過關聯，進行權限賦予、范圍限定，彼此之間是多對多的關系，同時職責依據權限類型不同劃分為管理類職責與業務類職責。其次，將職責表關聯到相應角色表，角色同樣區分管理類型與業務類型。最后，才將角色關聯到用戶，角色與用戶均可以進行分組管理，便于統一管理，而用戶最終具有角色包含職責所具有的權限集合和組織范圍，用戶可以在上級用戶設定的權限范圍內完成當前組織的所有工作，實現集團公司組織的分級管理。除此之外，還可以通過資源表對用戶進行直接的權限賦予，實現權限管理的個性化需求。

4.2 物理模型

接下來以Oracle 11G 數據庫環境為例，將前面的邏輯模型轉換為物理模型。包括實體表與關系表以及表的主鍵與外鍵等。物理模型的總體視圖示如圖3 所示。

圖3 物理模型設計的總體視圖

5 總結

通過權限管理體系的控制，一個用戶可以擁有多種角色，但同一時刻用戶只能用一種角色進入系統，在用戶登錄系統后，會進行相關權限驗證，將用戶具有的功能權限菜單予以顯示，在進行相關數據操作時會自動根據用戶所具有的組織權限進行數據篩選。另外還可以單獨對用戶進行賦權操作，直接在資源池中進行賦權管理，可個性化地進行權限分配。以上討論的實體均關聯相應的組織，即不同組織間允許相同名稱的職責、角色和用戶的存在，功能集合的定義由不同組織的管理員自行設置，這樣就可以在同一體系下根據不同組織的需要創建符合自身情況的權限架構方案。

由于多業態集團型企業的業務需求，所屬公司從事的行業及崗位設置、職責以及權限管理可能均有不同，所以需要在整個權限管理體系中設定基礎數據管理員的角色，這個角色可以對集團要求統一的參數進行設置與修改。而公司層面可以設定公司管理員的角色，這個角色可以完成在相應公司范圍內的所有相關操作，包括創建基礎數據及角色與權限的管理。這樣就可以實現各組織內的個性化定制功能，而且組織之間數據相互隔離。

通過對需求的調研及分析，結合目前成熟信息系統的權限體系，多業態集團型企業權限管理體系，采取以下三種方法解決問題：

（1）設計使用權與分配權分離的方式有效解決目前行業信息系統可能出現的權責不清的問題。

（2）設計嚴格的組織范圍權限控制有效地保障公司內部各單位與各組織之間的信息安全，實現數據隔離，有效控制用戶和角色的權限范圍。

（3）設計有效的分權管理體系，實現集團公司組織的分級、分層管理，充分發揮下級單位自主管理的能動性，分而治之。