在风险管理及内部控制中,权限分配是作为内部环境和重要控制活动来定位的。
《企业内部控制基本规范》内部环境中,要求企业编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,以正确行使职权(14条)。
《企业内部控制基本规范》控制活动中,被传说为七种武器之“授权审批控制”明确要求企业应当编制常规授权的权限指引,明确各岗位办理业务和事项的范围、权限、审批程序和相应责任。同时对特别授权也提出了相应的管理要求(30条)。
在《企业内部控制应用指引》随处可见各个模块对权限分配的具体要求。
抛开风险管理及内部控制的框框,在没有兴起风险管理及内部控制这一套的时候,组织架构以及架构下的岗位及其责权同样是现代企业运转之根本。这个根本的根本是随着企业的组织体系建立及变更随之而来的。组织是群体性的、有使命的。有组织,就会是很多人,就需要劳动分工(亚当斯密),有分工就会有角色定位及具体职责的不同,有分工就需要相关的权力。
放在不同的组织层级,权限的内涵外延是不一样的。在一个企业集团的框架下,组织分为从集团总部、SBU、子公司、分公司或部门等类似机构、岗位等多个层级。不同层级的权限的概念应当不会一样,权限的具体化需要和各级组织的功能定位、职能职责及角色结合。本文主要分析微观层面的岗位权限。
1、权限在集团总部、SBU、子公司、分公司或部门等类似机构中的体现
权限在这样的组织层级维度上的概念,需要与组织的功能定位和职能匹配。尤其在企业集团框架下,各级组织的权限要受到集团总部管控模式及具体管控方式的影响,在这样的维度上谈权限,需要和这些结合在一起,才能说的清楚。
2、权限与岗位
在一个可操作的系统中,最有意义的探讨是针对岗位——这一不可再细分的组织单元实施权限分析。
2.1岗位分解
权限的最具体的着力点在岗位。当然,这里的岗位是需要足够细的,精度要达到一岗一人的水平,或者基于岗位下的某一具体角色赋予权限。权限必须达到可赋值的最小对象,方可达到精细化。这里可以实施岗位分级,例如总调室订单管理员岗有多位员工,但可以继续细化为订单管理员-华北区等,直到岗位可以分配到具体一个执行人。当然也可能存在即使岗位分解到一个具体执行人,但执行人承担的职责却不是单一的,这个时候可以再考虑基于赋予该岗位具体某一职责中承担的具体角色进行赋权。
权限的赋值基于前述精细化的岗位进行设置,这样的权限才具有可操作、可管理的现实意义。
2.2岗位说明书或权限指引等文件
常规授权一般是通过组织的正式文件来下达的。岗位说明书或权限指引等文件中,应当对该岗位在相应的职责下具备的权限(人、财、物、事四类权限,甚至可能是四项的组合)进行清晰、完整的列示。这份文件将随着岗位批准或人员任命审批而生效,作为公司对该岗位进行常规授权的正式文件。该岗位员工据此开展日常工作。
岗位说明书或者权限指引需要按照岗位管理机制进行动态管理。手工条件下一般到此为止。
在信息化条件下,这份文件就是为该员工开通信息系统及权限的依据文件。
3、权限在信息系统条件下的实现
在相当多的企业的相当多的应用系统里,每个应用系统都建立一套关于企业组织、岗位及人员的数据。这是单个系统的打法。多信息系统下,企业需要处理好不同系统中的权限管理问题。这是个挑战。有一个路径可以考虑。
首先:企业需要在E-HR系统中做到:1)公司需要在各个法人主体内实现从公司-部门及其他等同机构-岗位(岗位分级,直到实现一岗一人等)-岗位等各层级的功能定位、职能职责描述-岗位干系应用系统-系统角色(分为功能角色、数据角色甚至更多,角色甚至可以放到其他系统根据的职责来构建)的组织体系构建;2)公司员工信息,包括员工代码及姓名等基本信息;3)人岗变更
其次:公司各应用系统做到:读取E-HR系统人岗信息,根据E-HR系统描述的职能职责及角色等信息并结合系统具体情况配置具体权限(功能权限、数据权限,例如查询、修改、添加、删除),并根据E-HR系统中的人岗变更进行权限变更、冻结、注销等(尤其针对岗位变动或人员离职)。
再次:基于内控的要求(应用指引第18号指引),还要设计如下一些机制:1)建立E-HR系统针对各应用系统用户的权限信息扫描,或者各应用系统定期提交用户的权限报告,使得公司可基于岗位说明书等文件对用户实际获得权限进行对比审查,确保的权限赋予的适当性(防止授权不当或非授权账号);2)针对重要系统,建立对用户权限使用情况的统计报告,审阅系统用户账号是否存在活跃程度低(看频率、看最近登录时间、登录地点等)、交叉登录等异常使用情况。这些工作可能要交给信息系统的管理员或HR来做了。当然,工作量不小,但频率可以不需要太高;3)对关键用户账号(系统管理员、超级管理员、中高级管理人员、财务人员、主数据文档维护人员等)进行定期扫描监控。
E-HR系统与其他各应用系统在组织、岗位及人员信息方面应当实现互联互通、互动。这才是一体化新信息化建设的路子。
涉及到多系统,就会涉及到应当构建企业门户(portal),实现单点登录等功能,解决系统登录效率问题。此外考虑到组织的多层次性,也应考虑实施分级授权,将系统管理员下放各成员单位,解决授权的及时性和精准性问题。
然而即使是这样,精细化的权限分配依然面临挑战:
1)组织很复杂,除了正常是行政组织外,可能还有诸多的虚拟组织,还有虽然统一使用系统,但并不对其实施管控的联盟成员单位(他们的管理水平是否能跟上呢?)。这需要E-HR系统需要作出区别性设计,对非行政组织加注标签,有效区隔。或者允许其他应用系统基于e-E-HR系统进行个性化配置。
2)岗位体系复杂。岗位精细到我们要求的程度,对于庞大的企业集团而言,难度非常不小。更何况不少岗位体系尚未规范化、体系化,精细化就更谈不上了。
3)岗位与权限的精确匹配实现不容易。一份岗位说明书或者权限指引,可能无法提供足够精准的权限赋值信息,岗位职责对权限设置的指导性作用实在不太乐观。
实际上,在内控与风险管理、流程等工作中,我们发现不少风险点及缺陷点背后的源头都在于权限管理机制薄弱、权限不清、授权不充分、责权不匹配、与管理能力不匹配、过于集中缺乏足够牵制、过于分散不利于整体效率效益等。权限无小事。
摘自:http://blog.vsharing.com/banderuilq/A1663946.html
评论