◎?qū)O丹

加強(qiáng)應(yīng)用系統(tǒng)的權(quán)限管理

◎?qū)O丹

由于會計(jì)業(yè)務(wù)的深化應(yīng)用、崗位的不斷調(diào)整和細(xì)化，基于崗位職責(zé)的授權(quán)機(jī)制也越來越有實(shí)際意義，只有安全合理的用戶權(quán)限管理，才能避免誤操作，提高財務(wù)信息的質(zhì)量。本文就用戶權(quán)限的配置、授予及管理進(jìn)行探討。

用戶授權(quán)方式

在會計(jì)集中系統(tǒng)和TMS系統(tǒng)中，用戶必須擁有不同的功能權(quán)限、數(shù)據(jù)權(quán)限，才能在系統(tǒng)中進(jìn)行相關(guān)的業(yè)務(wù)操作。兩個系統(tǒng)的授權(quán)方式各有所不同。

會計(jì)集中系統(tǒng)授權(quán)采取按“用戶”授權(quán)的方式，其權(quán)限系統(tǒng)由用戶、角色、功能和數(shù)據(jù)權(quán)限組成。具體說，用戶基于業(yè)務(wù)要求被分配適合的角色，再根據(jù)工作需要賦予相應(yīng)的數(shù)據(jù)權(quán)限，該用戶就可以操作本單位的查詢、業(yè)務(wù)處理、主數(shù)據(jù)申請、報表修改、報表計(jì)算等各種業(yè)務(wù)；角色可包括三種權(quán)限信息，即可以執(zhí)行哪些具體功能權(quán)限、可以使用哪些數(shù)據(jù)權(quán)限以及對這些數(shù)據(jù)可以進(jìn)行哪些操作。如“報表編制”這個角色，包括了“報表校驗(yàn)”、“報表匯總”、“單位數(shù)據(jù)上報”等多種功能權(quán)限及“BA01”、”BA02”等多種報表格式數(shù)據(jù)的權(quán)限。

TMS系統(tǒng)采取“用戶組”授權(quán)的方式為用戶賦予權(quán)限。在系統(tǒng)中設(shè)置了不同用途的單位權(quán)限組、功能權(quán)限組和計(jì)劃權(quán)限組。如“資金計(jì)劃編制”組、“資金計(jì)劃復(fù)核”組、“江蘇石油勘探局運(yùn)輸處計(jì)劃權(quán)限”組、“江蘇石油勘探局運(yùn)輸處單位權(quán)限組”等等，這些功能組的合理組合，可使用戶擁有不同系統(tǒng)的操作權(quán)限。如對單位權(quán)限與功能權(quán)限進(jìn)行組合就可使用戶處理本單位的非流程性業(yè)務(wù)，如各類業(yè)務(wù)的發(fā)起、查詢；如對單位權(quán)限與計(jì)劃權(quán)限的組合就可使用戶處理本單位的計(jì)劃編制、計(jì)劃復(fù)核等業(yè)務(wù)。業(yè)務(wù)部門可根據(jù)實(shí)際情況，通過給用戶賦予不同的權(quán)限組，使用戶只能對自己業(yè)務(wù)范圍內(nèi)的數(shù)據(jù)進(jìn)行相應(yīng)操作。

用戶權(quán)限管理現(xiàn)狀

會計(jì)集中系統(tǒng)、TMS系統(tǒng)上線后，用戶權(quán)限統(tǒng)一由財務(wù)資產(chǎn)處管理，下設(shè)權(quán)限管理員和權(quán)限審批員。各單位在新增用戶或者需要給老用戶新增權(quán)限時，向財務(wù)處權(quán)限管理員提交權(quán)限申請，權(quán)限管理員根據(jù)操作系統(tǒng)用戶提出的權(quán)限申請，配置相應(yīng)的權(quán)限；權(quán)限審批員則對賦予的權(quán)限進(jìn)行審核把關(guān)。

目前權(quán)限申請有兩種情況：

自由申請。用戶通過口頭、電話、QQ等途徑，直接向權(quán)限管理部門提出權(quán)限、密碼解鎖等申請，由權(quán)限管理部門負(fù)責(zé)審批和授權(quán)。在會計(jì)集中系統(tǒng)和TMS系統(tǒng)上線初期，由于系統(tǒng)還不完善，每個用戶的權(quán)限非常有限，且各權(quán)限、角色、崗位之間界限模糊，對權(quán)限申請與授權(quán)都是根據(jù)工作需要臨時進(jìn)行處理。此種申請方式在系統(tǒng)運(yùn)行初期尚可滿足當(dāng)時的工作需要。

紙質(zhì)審批。在會計(jì)集中系統(tǒng)和TMS系統(tǒng)上線平穩(wěn)運(yùn)行一段時間后，權(quán)限管理部門對用戶權(quán)限申請的流程進(jìn)行了規(guī)范。當(dāng)申請用戶權(quán)限時，首先要填寫權(quán)限申請單，經(jīng)本部門領(lǐng)導(dǎo)審批、申請權(quán)限所涉及業(yè)務(wù)科室審批和權(quán)限管理部門審批后，最后由權(quán)限管理部門實(shí)施。它要求每個二級單位配備一名權(quán)限申請人，由權(quán)限申請人負(fù)責(zé)對本單位用戶所填寫權(quán)限申請報告進(jìn)行規(guī)范、整理，并與財務(wù)處權(quán)限管理員共同完成本部門的權(quán)限申請工作。這種權(quán)限申請方式不僅實(shí)現(xiàn)了有據(jù)可查，而且通過層層審批、層層把關(guān)、層層負(fù)責(zé)的方式，有效規(guī)范了權(quán)限管理工作，大大降低了用戶權(quán)限使用的風(fēng)險。

存在的問題

會計(jì)集中和TMS系統(tǒng)上線后，由于種種原因，存在一些不合理的現(xiàn)象：如一個用戶同時擁有憑證制單和憑證審核這類不相容的權(quán)限，違反了內(nèi)部控制管理的規(guī)定；用戶調(diào)離的崗位多年，系統(tǒng)中仍未刪除該用戶等等。權(quán)限管理部門不掌握二級單位人員的轉(zhuǎn)崗、離職等等變動情況，不能停用離職人員的用戶、不能刪除轉(zhuǎn)崗人員的相應(yīng)權(quán)限，系統(tǒng)里就存在一定的風(fēng)險。

隨著業(yè)務(wù)領(lǐng)域的不斷拓寬和系統(tǒng)功能的升級，用戶權(quán)限的需求也隨之增加，權(quán)限申請方式的弊端也逐漸顯現(xiàn)。自由申請方式由于權(quán)限申請缺乏“記錄”和“備案”等環(huán)節(jié)，一旦出現(xiàn)問題，難以查證與核實(shí)，不利于責(zé)任的劃分；紙質(zhì)審批方式由于權(quán)限管理員對二級單位的數(shù)百個用戶不能做到一一了解，難以準(zhǔn)確判斷出申請的權(quán)限是否合理，是否超出內(nèi)控規(guī)定的權(quán)限范圍。紙質(zhì)申請的方式也存在著權(quán)限申請周期較長，需要權(quán)限涉及的所有主管部門領(lǐng)導(dǎo)逐級審批，一個權(quán)限的申請周期一般需要1-3天的時間，申請單在審批層逐級審批時，難以查詢和監(jiān)控申請單所處的具體部門，也無從知曉每個部門的審批時間，就使用戶仍然愿意使用自由申請的方式。

改進(jìn)建議

加強(qiáng)配置環(huán)節(jié)管理，規(guī)避系統(tǒng)數(shù)據(jù)風(fēng)險。權(quán)限申請人、權(quán)限管理員、權(quán)限審核員要共同監(jiān)管。權(quán)限申請人應(yīng)熟悉本部門業(yè)務(wù)相關(guān)的流程，嚴(yán)格按照內(nèi)控要求排查不相容權(quán)限、控制本單位系統(tǒng)用戶查詢及操作系統(tǒng)中數(shù)據(jù)的范圍，從而保證系統(tǒng)的安全性。權(quán)限管理員不得兼任系統(tǒng)業(yè)務(wù)操作權(quán)限，要預(yù)防系統(tǒng)配置環(huán)節(jié)產(chǎn)生的風(fēng)險；權(quán)限管理員應(yīng)該掌握權(quán)限的內(nèi)容，熟練運(yùn)用各種權(quán)限的組合功能，使用戶的權(quán)限既能滿足日常業(yè)務(wù)需求，又能遵循內(nèi)部控制管理對權(quán)限的要求。權(quán)限審核員對權(quán)限操作員的工作要認(rèn)真審核，嚴(yán)格把好權(quán)限賦予的最后一關(guān)。

各單位應(yīng)定期對本單位用戶進(jìn)行梳理。由于崗位變動或已調(diào)離單位的操作人員，二級單位必須及時通知權(quán)限管理部門，由權(quán)限管理員根據(jù)業(yè)務(wù)部門負(fù)責(zé)人審核意見，在系統(tǒng)中進(jìn)行調(diào)整并記錄權(quán)限維護(hù)結(jié)果。對于調(diào)離或半年未使用的用戶，要根據(jù)業(yè)務(wù)部門負(fù)責(zé)人意見進(jìn)行必要鎖定或刪除。

開發(fā)權(quán)限申請管理系統(tǒng)，規(guī)范用戶權(quán)限申請流程。權(quán)限管理部門制定出權(quán)限申請流程的管理規(guī)定，開發(fā)集會計(jì)集中、TMS權(quán)限申請為一體的權(quán)限提報系統(tǒng)，由二級單位申請人在系統(tǒng)中填寫用戶權(quán)限申請信息，經(jīng)二級單位部門負(fù)責(zé)人線上審核后，再由財務(wù)處相關(guān)部門的權(quán)限規(guī)范者在權(quán)限提報系統(tǒng)里進(jìn)行線上審核，最后由權(quán)限管理員在系統(tǒng)中維護(hù)權(quán)限、相關(guān)人員進(jìn)行權(quán)限測試并確認(rèn)。權(quán)限管理部門只受理各二級單位業(yè)務(wù)部門指定的權(quán)限申請人在權(quán)限提報系統(tǒng)中申請、并經(jīng)相關(guān)部門審核批準(zhǔn)的權(quán)限申請，而對電子郵件、電話、紙質(zhì)申請，一概均不受理。申請人、單位負(fù)責(zé)人、權(quán)限規(guī)范者等相關(guān)人員可以在系統(tǒng)中查詢到申請的權(quán)限的業(yè)務(wù)流程圖、流程節(jié)點(diǎn)的執(zhí)行情況等等，便于權(quán)限申請的追蹤，加快權(quán)限申請的進(jìn)程。既避免了自由申請的隨意性又避免了紙質(zhì)申請周期過長的情況。

合理的用戶權(quán)限分配和完善的用戶權(quán)限變更流程是保障權(quán)限安全的基礎(chǔ)，系統(tǒng)管理人員和每一個操作用戶都應(yīng)該嚴(yán)格按照各種管理規(guī)定要求，認(rèn)真做好日常工作，確保系統(tǒng)安全、穩(wěn)定、高效運(yùn)行。

（作者單位：中石化江蘇油田分公司財務(wù)資產(chǎn)處）