多业态集团型企业的权限管理体系实现

罗 俊

（安徽建工集团有限公司，合肥 230001）

0 引言

多业态集团型企业由不同的业务单元组成，其中绝大部分的业务单元作为独立的实体存在，由相对独立的子公司负责运营。各子公司独立制定业务策略，子公司可能经营一项或者若干项具体的业务。各公司的行业特征明显、下级公司数量众多且跨行业分布，没有统一的管控模式。

多业态集团型企业的权限管理体系要考虑到整个集团内部不同行业、不同业务单元的具体情况以及公司的规章制度，包括权限分配、权限下放、权限范围、资源实体、系统管理等。在权限管理体系规划之前，应该展开充分的调研和论证，涉及基础数据、业务数据、组织单元、功能模块等。多业态集团的组织及职能如表1 所示。

表1 多业态集团的组织及职能

另外，对于多业态集团型企业而言，分权管理尤为重要，通过分权管理，可以实现下属公司或组织机构的管理人员来管理自己的系统数据。大体而言，分权管理应该包括如下功能：系统组织结构、人员、角色的创建与权限等系统层面的权限分权，流程维护的权限分权，知识文档维护的权限分权，项目管理的权限分权，资产管理的权限分权等。但是整个分权管理应该是一个很复杂的功能，权限的分发和回收必须要做到精准和安全。

1 现状描述

随着信息化发展水平的不断提高，企业信息系统的门类和数量也在不断增加，系统的用户数量也在逐渐增加，如何精准地控制信息系统的用户权限，有效保障系统及数据的安全，满足企业实际的管理和权限要求，降低企业管理风险，是大型信息系统必须要考虑的问题。信息系统的权限管理体系分为系统级和应用级，系统级别的权限控制不在本文讨论的范围之内，应用级别的权限管理是信息系统的核心所在。由于各企业管理内容及管理模式存在千差万别，作为一套成熟的信息系统的核心组成，其权限管理体系必须结合企业实际管理情况，只有这样，才能适应各种企业的内控管理需求，从而有效地为企业的管理服务。

结合目前市场上某些行业典型的信息系统的权限管理体系，从几个方面来阐述多业态集团性企业的权限管理需求，从而更加直观地反映企业实际的管理需求，研究这类在组织结构、业态分布、管理形式等方面都相对复杂的企业权限体系，对于其他直线型、集权型、单业态企业也具有普遍的适用性。多业态集团企业权限管理需求与行业信息系统对照表如表2 所示。

表2 多业态集团企业权限管理需求与行业信息系统对照表

通过分析，我们了解多业态集团权限体系需求与国内行业成熟的信息系统的权限体系实现之间存在如下三个方面的问题。

（1）权限管理体系要求数据隔离，这一点信息系统基本都可以实现，只是在某些系统统一设置的参数，例如账套、工资等参数设置时无法进行个性化设置，此外某些行业信息系统在组织和用户权限方面未做好对组的控制，这些对于多业态集团型企业具有一定的局限性。

（2）权限管理体系细分为使用权和分配权，使用权是用户具有的操作权限，分配权是用户可以分配下放给其他用户的权限，这样可以实现权限的精细化管理。目前主流信息系统对于分配权的授予大多采用继承方式，即默认用户的使用权集合，可以实现分配权定制的也仅是部分功能。

（3）权限管理体系需求分权管理，而目前成熟信息系统基本都只具备部分功能的分权管理，未真正实现分级管理。此外，权限管理体系应该能够适应实际需求，为可能发生变动的企业应用环境提供合适的解决方案。

2 体系分析

多业态集团型企业权限管理体系的核心内容是管控模式，“以事定岗，以岗定人”。设置岗位既要着眼于企业现实，又要着眼于企业发展。按照企业各部门职责范围划定岗位，以角色区分岗位，同一岗位的员工由于职责不同，拥有的权限和扮演的角色亦不同。通过权限管理体系将需要统一管理的内容管起来，将不需要管理的事情放下去。而且管理方式的收放可以依据组织需求进行设定，具有一定的弹性。管理员隶属于组织，独立于用户。各级组织的管理员账户与信息系统的管理员账户扮演的角色基本是一致的，区别在于：

（1）管理范围的不同，信息系统管理员账户是整个系统的维护角色，而各级组织的管理员担任相应组织的维护角色。

（2）可分配权限范围不同，信息系统管理员账户可以分配系统内所有的功能权限，而各级组织的管理员只能分配信息系统允许分配的相应权限集合。

通过前面分析，我们了解多业态集团型企业的组织形式和不同单元信息管理的侧重点。多业态集团型企业对权限体系的需求总体可以归纳为以下三点：

（1） 支持在权限范围内灵活的组织结构自主维护与定制，支持层级机构和工作组机构，满足现代企业机构复杂、灵活的矩阵式组织模型的要求，支持跨组织兼职、业务委托代理。

（2）支持多层级单位、多层级部门、多层级工作组的管理，支持相应层级的业务管理员的创建及权限管理操作，下级单位在上级单位授权范围内对本级及下级单位进行管理，各层级业务管理员可以查看与管理其权限范围内的业务数据和组织机构。

（3） 各级业务管理员必须由集团业务管理员创建和授权，各子公司业务管理员可以对其所在公司不同员工赋予不同的操作权限，以此类推，支持层级组织结构。

多业态集团型企业权限管理体系就其特点而言，要求集团公司将具体的系统管理及相关权限赋予分公司和子公司，下级单位在上级单位授予的权限范围内，建立自己的系统及应用，相互独立运作，彼此互不干扰。多业态集团权限管理体系的实现过程如图1 所示。

图1 多业态集团型企业权限管理体系

企业内部进行岗位划分，依据岗位职责划分管理类岗位与业务类岗位，同样是总经理岗位，可细分为分管财务或者分管营运的不同角色，以角色区分岗位。一种岗位可能包含多个角色，但是一个角色只能属于一种岗位，用户关联角色获取角色对应的权限，一个用户可以关联多个角色，在用户登录系统后进行权限校验，权限集合应为该用户关联角色的权限合集。而目前市场主流信息系统选择的方式都是用户登录时选择相应的角色进行操作，这样对用户访问操作是不友好的。同样一个角色也可能属于多个用户，现实的企业管理中一个岗位由两个用户来完成也是存在的，例如轮班制管理。用户与角色都可以通过组进行集中管理，此外，将权限集合通过资源池的方式整合，可以方便对单个用户或者角色进行赋权，增加权限管理体系的灵活性。无论是岗位、角色组、用户组、资源都隶属于某个组织，在特定的组织范围内进行权限管控。

3 体系元素

（1）在权限管理体系设计中，如下元素有着相对应的含义：

①用户（user）：信息系统的使用者，与角色关联，隶属于组织。

②角色（role）：区分某个岗位（jobs）具体职责的权限集合。

③组织（organization）：体现了用户所属单位及部门的行政关系。

④用户组（user group）：具有相同职能的用户的集合。

⑤角色组（role group）：具有相同职责的角色的集合。

⑥岗位（jobs）：具有功能权限的集合，直接与功能权限关联，被分配相应职责即意味着有权执行这些功能。职责表中的字段“functions”记录相关的功能id，id 之间用逗号隔开。

⑦功能（function）：系统的一个或者多个执行的准入，对应系统的功能控制、数据访问、组织范围、分配下放等相关权限。

⑧资源（resource）：信息系统中所有权限控制点，包括功能权限、操作权限、组织权限等，可在此对用户进行个性化赋权。

（2）结合上面的元素分析可以在体系中定义以下几类角色：

①系统管理员：信息系统的基础数据、数据库连接等的配置。

②集团管理员：集团数据的管理者，包括集团组织机构树的创建，下级单位管理员的创建、权限的分配等。

③集团基础数据管理员：集团层面需要统一设置的基础数据的设置、维护和管理，例如账套、会计期间等。

④公司管理员：二级单位的管理员，本身也可能是个集团型组织，需要创建自身的组织结构树及权限的下放、分配等。

⑤公司基础数据管理员：公司层面依据具体情况需要统一设置的基础数据的设置、维护和管理，例如工资等。

⑥组织管理员：三级单位及以下组织的管理员，负责相应组织的组织创建、人员创建、权限分配等。

⑦组织基础管理员：组织层面依据具体情况需要统一设置的基础数据的设置、维护和管理，例如工作时间等。

⑧业务管理员：负责具体业务的管理和运营等相关工作的人员。

通过分析可设计权限管理体系模型分级权限如表3 所示。

表3 权限管理体系模型分级权限表

4 体系设计

4.1 逻辑模型

权限管理体系使用ERStudio 8 进行建模，逻辑模型设计后的总体视图如图2 所示，相关表及字段设计不尽完善，具体使用中可能会添加若干相关字段或辅助表。本图仅为本文讨论需要及功能实现。

图2 逻辑模型设计的总体视图

首先，功能表、操作表、分配表和单位表位于整个设计的最底层，它们与职责表通过关联，进行权限赋予、范围限定，彼此之间是多对多的关系，同时职责依据权限类型不同划分为管理类职责与业务类职责。其次，将职责表关联到相应角色表，角色同样区分管理类型与业务类型。最后，才将角色关联到用户，角色与用户均可以进行分组管理，便于统一管理，而用户最终具有角色包含职责所具有的权限集合和组织范围，用户可以在上级用户设定的权限范围内完成当前组织的所有工作，实现集团公司组织的分级管理。除此之外，还可以通过资源表对用户进行直接的权限赋予，实现权限管理的个性化需求。

4.2 物理模型

接下来以Oracle 11G 数据库环境为例，将前面的逻辑模型转换为物理模型。包括实体表与关系表以及表的主键与外键等。物理模型的总体视图示如图3 所示。

图3 物理模型设计的总体视图

5 总结

通过权限管理体系的控制，一个用户可以拥有多种角色，但同一时刻用户只能用一种角色进入系统，在用户登录系统后，会进行相关权限验证，将用户具有的功能权限菜单予以显示，在进行相关数据操作时会自动根据用户所具有的组织权限进行数据筛选。另外还可以单独对用户进行赋权操作，直接在资源池中进行赋权管理，可个性化地进行权限分配。以上讨论的实体均关联相应的组织，即不同组织间允许相同名称的职责、角色和用户的存在，功能集合的定义由不同组织的管理员自行设置，这样就可以在同一体系下根据不同组织的需要创建符合自身情况的权限架构方案。

由于多业态集团型企业的业务需求，所属公司从事的行业及岗位设置、职责以及权限管理可能均有不同，所以需要在整个权限管理体系中设定基础数据管理员的角色，这个角色可以对集团要求统一的参数进行设置与修改。而公司层面可以设定公司管理员的角色，这个角色可以完成在相应公司范围内的所有相关操作，包括创建基础数据及角色与权限的管理。这样就可以实现各组织内的个性化定制功能，而且组织之间数据相互隔离。

通过对需求的调研及分析，结合目前成熟信息系统的权限体系，多业态集团型企业权限管理体系，采取以下三种方法解决问题：

（1）设计使用权与分配权分离的方式有效解决目前行业信息系统可能出现的权责不清的问题。

（2）设计严格的组织范围权限控制有效地保障公司内部各单位与各组织之间的信息安全，实现数据隔离，有效控制用户和角色的权限范围。

（3）设计有效的分权管理体系，实现集团公司组织的分级、分层管理，充分发挥下级单位自主管理的能动性，分而治之。