爱华网在企业实践中,权限是随着企业的组织体系建立及变更随之而来的。组织是群体性的、有使命的,有组织,就会是很多人,就涉及到劳动分工(亚当斯密),有分工就涉及到角色定位及具体职责的不同,要干事,在中国的地盘上没有组织资源所需的权利是不行的,然而既然是组织,那权利自然是有限度的,不能大到影响组织中其他主体运行。权限就成为一个需要好好探讨的话题。
权限,放在不同的组织层级,权限的内涵外延是不一样的。在一个企业集团的框架下,组织分为从集团总部、SBU、子公司、分公司或部门等类似机构、岗位等多个层级。不同层级的权限的概念应当不会一样,权限的具体化需要和各级组织的功能定位、职能职责及角色结合。1、权限在集团总部、SBU、子公司、分公司或部门等类似机构中的体现权限在这样的组织层级维度上的概念,可能需要与组织的功能定位和职能匹配起来谈才有意义。这是因为,在企业集团框架下,各级组织的权限要受到集团总部管控模式及具体管控方式的影响,而管控模式及具体管控方式对组织的功能定位及职能的影响几乎是完全直接的。在这样的维度上谈权限,需要和这些结合在一起,才能说的清楚。
2、权限与岗位在一个可操作的系统中,最有意义的探讨是针对岗位——这一是不可再细分的层级实施权限分析。2.1岗位分解权限的最具体的着落在于岗位。当然,这里的岗位是需要足够细的,精度要达到一岗一人的水平,或者基于岗位下的某一具体角色赋予权限。权限必须达到可赋值的最小对象,方可达到精细化管理的要求。这里可以实施岗位分级,例如总调室订单管理员岗有多位员工,但可以继续细化为订单管理员-华北区等,直到岗位可以分配到具体一个执行人。当然也可能存在即使岗位分解到一个具体执行人,但执行人承担的职责却不大可能是单一的,这个时候可以再考虑基于赋予该岗位的职责进行角色分解。权限的赋值就基于前述精细化的岗位设置,这样的权限才是最精细的,可识别的,可直接与流程执行匹配的,可管理的。2.2岗位说明书或岗位任命书等文件与权限岗位说明书或岗位任命书等文件中,应当为该岗位在相应的职责下具备的权限进行足够的阐释。这份文件,将随着岗位批准或任命审批而生效,作为公司对该岗位进行授权的正式文件。当然,在信息化条件下,这份文件也成为为该员工开通信息系统及权限的依据文件。
3、权限在信息系统条件下的实现多信息系统下,企业需要处理好不同系统中的权限管理问题。这是个挑战。有一个路径可以考虑。首先:企业需要在hr系统中做到:a、公司需要在各个法人主体内实现从公司-部门及其他等同机构-岗位(岗位分级,直到实现一岗一人等)-岗位等各层级的功能定位、职能职责描述-岗位干系应用系统-系统角色(分为功能角色、数据角色甚至更多,角色甚至可以放到其他系统根据的职责来构建,);b、公司员工信息,包括员工代码及姓名等信息;c、人岗变更
其次:公司各应用系统做到:读取人岗信息,根据hr系统描述的职能职责及角色等信息并结合系统具体情况配置具体权限(功能权限、数据权限,例如查询、修改、添加、删除),并根据hr系统中的人岗变更进行权限变更、冻结、注销等(尤其针对岗位变动或人员离职)。
再次:基于内控的要求(18号指引),还要设计如下一些机制:a、建立hr系统针对各应用系统用户的权限信息扫描,或者各应用系统定期提交用户的权限报告,使得公司可基于岗位说明书等文件对用户实际获得权限进行对比审查,确保的权限赋予的适当性(防止授权不当或非授权账号);b、针对重要系统,建立对用户权限使用情况的统计报告,审阅系统用户账号是否存在活跃程度低(看频率、看最近登录时间等)、交叉登录等异常使用情况。这些工作可能要交给信息系统的管理员或hr来做了。当然,工作量不小,但频率可以不需要太高,赋权后一周,或者之后的每个季度,足够了。
当然,这里涉及到多系统,就会涉及到应当构建企业门户(portal),实现单点登录等功能,解决系统登录效率问题。当然由于组织的多层次性,也应考虑实施分级授权,将系统管理员下放各成员单位,解决授权的及时性和精准性问题。
然而即使是这样,精细化的权限分配依然面临挑战:a、组织很复杂,除了正常是行政组织外,可能还有诸多的虚拟组织,还有虽然统一使用系统,但并不对其实施管控的联盟成员单位(他们的管理水平是否能跟上呢?)。这需要hr系统需要作出区别性设计,对非行政组织加注标签,有效区隔。b、岗位体系复杂。岗位精细到我们要求的程度,对于庞大的企业集团而言,难度非常不小。更何况不少岗位体系尚未规范化,体系化,精细化就更谈不上了。c、岗位与权限的精确匹配实现不容易。一份简单的岗位说明书或者岗位任命书,可能无法提供足够精准的权限赋值信息,岗位职责对权限设置的指导性作用实在不太乐观。这同时考验着hr其他工作的质量。
