加強應用系統的權限管理

◎孫丹

加強應用系統的權限管理

◎孫丹

由于會計業務的深化應用、崗位的不斷調整和細化，基于崗位職責的授權機制也越來越有實際意義，只有安全合理的用戶權限管理，才能避免誤操作，提高財務信息的質量。本文就用戶權限的配置、授予及管理進行探討。

用戶授權方式

在會計集中系統和TMS系統中，用戶必須擁有不同的功能權限、數據權限，才能在系統中進行相關的業務操作。兩個系統的授權方式各有所不同。

會計集中系統授權采取按“用戶”授權的方式，其權限系統由用戶、角色、功能和數據權限組成。具體說，用戶基于業務要求被分配適合的角色，再根據工作需要賦予相應的數據權限，該用戶就可以操作本單位的查詢、業務處理、主數據申請、報表修改、報表計算等各種業務；角色可包括三種權限信息，即可以執行哪些具體功能權限、可以使用哪些數據權限以及對這些數據可以進行哪些操作。如“報表編制”這個角色，包括了“報表校驗”、“報表匯總”、“單位數據上報”等多種功能權限及“BA01”、”BA02”等多種報表格式數據的權限。

TMS系統采取“用戶組”授權的方式為用戶賦予權限。在系統中設置了不同用途的單位權限組、功能權限組和計劃權限組。如“資金計劃編制”組、“資金計劃復核”組、“江蘇石油勘探局運輸處計劃權限”組、“江蘇石油勘探局運輸處單位權限組”等等，這些功能組的合理組合，可使用戶擁有不同系統的操作權限。如對單位權限與功能權限進行組合就可使用戶處理本單位的非流程性業務，如各類業務的發起、查詢；如對單位權限與計劃權限的組合就可使用戶處理本單位的計劃編制、計劃復核等業務。業務部門可根據實際情況，通過給用戶賦予不同的權限組，使用戶只能對自己業務范圍內的數據進行相應操作。

用戶權限管理現狀

會計集中系統、TMS系統上線后，用戶權限統一由財務資產處管理，下設權限管理員和權限審批員。各單位在新增用戶或者需要給老用戶新增權限時，向財務處權限管理員提交權限申請，權限管理員根據操作系統用戶提出的權限申請，配置相應的權限；權限審批員則對賦予的權限進行審核把關。

目前權限申請有兩種情況：

自由申請。用戶通過口頭、電話、QQ等途徑，直接向權限管理部門提出權限、密碼解鎖等申請，由權限管理部門負責審批和授權。在會計集中系統和TMS系統上線初期，由于系統還不完善，每個用戶的權限非常有限，且各權限、角色、崗位之間界限模糊，對權限申請與授權都是根據工作需要臨時進行處理。此種申請方式在系統運行初期尚可滿足當時的工作需要。

紙質審批。在會計集中系統和TMS系統上線平穩運行一段時間后，權限管理部門對用戶權限申請的流程進行了規范。當申請用戶權限時，首先要填寫權限申請單，經本部門領導審批、申請權限所涉及業務科室審批和權限管理部門審批后，最后由權限管理部門實施。它要求每個二級單位配備一名權限申請人，由權限申請人負責對本單位用戶所填寫權限申請報告進行規范、整理，并與財務處權限管理員共同完成本部門的權限申請工作。這種權限申請方式不僅實現了有據可查，而且通過層層審批、層層把關、層層負責的方式，有效規范了權限管理工作，大大降低了用戶權限使用的風險。

存在的問題

會計集中和TMS系統上線后，由于種種原因，存在一些不合理的現象：如一個用戶同時擁有憑證制單和憑證審核這類不相容的權限，違反了內部控制管理的規定；用戶調離的崗位多年，系統中仍未刪除該用戶等等。權限管理部門不掌握二級單位人員的轉崗、離職等等變動情況，不能停用離職人員的用戶、不能刪除轉崗人員的相應權限，系統里就存在一定的風險。

隨著業務領域的不斷拓寬和系統功能的升級，用戶權限的需求也隨之增加，權限申請方式的弊端也逐漸顯現。自由申請方式由于權限申請缺乏“記錄”和“備案”等環節，一旦出現問題，難以查證與核實，不利于責任的劃分；紙質審批方式由于權限管理員對二級單位的數百個用戶不能做到一一了解，難以準確判斷出申請的權限是否合理，是否超出內控規定的權限范圍。紙質申請的方式也存在著權限申請周期較長，需要權限涉及的所有主管部門領導逐級審批，一個權限的申請周期一般需要1-3天的時間，申請單在審批層逐級審批時，難以查詢和監控申請單所處的具體部門，也無從知曉每個部門的審批時間，就使用戶仍然愿意使用自由申請的方式。

改進建議

加強配置環節管理，規避系統數據風險。權限申請人、權限管理員、權限審核員要共同監管。權限申請人應熟悉本部門業務相關的流程，嚴格按照內控要求排查不相容權限、控制本單位系統用戶查詢及操作系統中數據的范圍，從而保證系統的安全性。權限管理員不得兼任系統業務操作權限，要預防系統配置環節產生的風險；權限管理員應該掌握權限的內容，熟練運用各種權限的組合功能，使用戶的權限既能滿足日常業務需求，又能遵循內部控制管理對權限的要求。權限審核員對權限操作員的工作要認真審核，嚴格把好權限賦予的最后一關。

各單位應定期對本單位用戶進行梳理。由于崗位變動或已調離單位的操作人員，二級單位必須及時通知權限管理部門，由權限管理員根據業務部門負責人審核意見，在系統中進行調整并記錄權限維護結果。對于調離或半年未使用的用戶，要根據業務部門負責人意見進行必要鎖定或刪除。

開發權限申請管理系統，規范用戶權限申請流程。權限管理部門制定出權限申請流程的管理規定，開發集會計集中、TMS權限申請為一體的權限提報系統，由二級單位申請人在系統中填寫用戶權限申請信息，經二級單位部門負責人線上審核后，再由財務處相關部門的權限規范者在權限提報系統里進行線上審核，最后由權限管理員在系統中維護權限、相關人員進行權限測試并確認。權限管理部門只受理各二級單位業務部門指定的權限申請人在權限提報系統中申請、并經相關部門審核批準的權限申請，而對電子郵件、電話、紙質申請，一概均不受理。申請人、單位負責人、權限規范者等相關人員可以在系統中查詢到申請的權限的業務流程圖、流程節點的執行情況等等，便于權限申請的追蹤，加快權限申請的進程。既避免了自由申請的隨意性又避免了紙質申請周期過長的情況。

合理的用戶權限分配和完善的用戶權限變更流程是保障權限安全的基礎，系統管理人員和每一個操作用戶都應該嚴格按照各種管理規定要求，認真做好日常工作，確保系統安全、穩定、高效運行。

（作者單位：中石化江蘇油田分公司財務資產處）