加強應用系統(tǒng)的權限管理

◎孫丹

加強應用系統(tǒng)的權限管理

◎孫丹

由于會計業(yè)務的深化應用、崗位的不斷調整和細化，基于崗位職責的授權機制也越來越有實際意義，只有安全合理的用戶權限管理，才能避免誤操作，提高財務信息的質量。本文就用戶權限的配置、授予及管理進行探討。

用戶授權方式

在會計集中系統(tǒng)和TMS系統(tǒng)中，用戶必須擁有不同的功能權限、數(shù)據(jù)權限，才能在系統(tǒng)中進行相關的業(yè)務操作。兩個系統(tǒng)的授權方式各有所不同。

會計集中系統(tǒng)授權采取按“用戶”授權的方式，其權限系統(tǒng)由用戶、角色、功能和數(shù)據(jù)權限組成。具體說，用戶基于業(yè)務要求被分配適合的角色，再根據(jù)工作需要賦予相應的數(shù)據(jù)權限，該用戶就可以操作本單位的查詢、業(yè)務處理、主數(shù)據(jù)申請、報表修改、報表計算等各種業(yè)務；角色可包括三種權限信息，即可以執(zhí)行哪些具體功能權限、可以使用哪些數(shù)據(jù)權限以及對這些數(shù)據(jù)可以進行哪些操作。如“報表編制”這個角色，包括了“報表校驗”、“報表匯總”、“單位數(shù)據(jù)上報”等多種功能權限及“BA01”、”BA02”等多種報表格式數(shù)據(jù)的權限。

TMS系統(tǒng)采取“用戶組”授權的方式為用戶賦予權限。在系統(tǒng)中設置了不同用途的單位權限組、功能權限組和計劃權限組。如“資金計劃編制”組、“資金計劃復核”組、“江蘇石油勘探局運輸處計劃權限”組、“江蘇石油勘探局運輸處單位權限組”等等，這些功能組的合理組合，可使用戶擁有不同系統(tǒng)的操作權限。如對單位權限與功能權限進行組合就可使用戶處理本單位的非流程性業(yè)務，如各類業(yè)務的發(fā)起、查詢；如對單位權限與計劃權限的組合就可使用戶處理本單位的計劃編制、計劃復核等業(yè)務。業(yè)務部門可根據(jù)實際情況，通過給用戶賦予不同的權限組，使用戶只能對自己業(yè)務范圍內的數(shù)據(jù)進行相應操作。

用戶權限管理現(xiàn)狀

會計集中系統(tǒng)、TMS系統(tǒng)上線后，用戶權限統(tǒng)一由財務資產處管理，下設權限管理員和權限審批員。各單位在新增用戶或者需要給老用戶新增權限時，向財務處權限管理員提交權限申請，權限管理員根據(jù)操作系統(tǒng)用戶提出的權限申請，配置相應的權限；權限審批員則對賦予的權限進行審核把關。

目前權限申請有兩種情況：

自由申請。用戶通過口頭、電話、QQ等途徑，直接向權限管理部門提出權限、密碼解鎖等申請，由權限管理部門負責審批和授權。在會計集中系統(tǒng)和TMS系統(tǒng)上線初期，由于系統(tǒng)還不完善，每個用戶的權限非常有限，且各權限、角色、崗位之間界限模糊，對權限申請與授權都是根據(jù)工作需要臨時進行處理。此種申請方式在系統(tǒng)運行初期尚可滿足當時的工作需要。

紙質審批。在會計集中系統(tǒng)和TMS系統(tǒng)上線平穩(wěn)運行一段時間后，權限管理部門對用戶權限申請的流程進行了規(guī)范。當申請用戶權限時，首先要填寫權限申請單，經(jīng)本部門領導審批、申請權限所涉及業(yè)務科室審批和權限管理部門審批后，最后由權限管理部門實施。它要求每個二級單位配備一名權限申請人，由權限申請人負責對本單位用戶所填寫權限申請報告進行規(guī)范、整理，并與財務處權限管理員共同完成本部門的權限申請工作。這種權限申請方式不僅實現(xiàn)了有據(jù)可查，而且通過層層審批、層層把關、層層負責的方式，有效規(guī)范了權限管理工作，大大降低了用戶權限使用的風險。

存在的問題

會計集中和TMS系統(tǒng)上線后，由于種種原因，存在一些不合理的現(xiàn)象：如一個用戶同時擁有憑證制單和憑證審核這類不相容的權限，違反了內部控制管理的規(guī)定；用戶調離的崗位多年，系統(tǒng)中仍未刪除該用戶等等。權限管理部門不掌握二級單位人員的轉崗、離職等等變動情況，不能停用離職人員的用戶、不能刪除轉崗人員的相應權限，系統(tǒng)里就存在一定的風險。

隨著業(yè)務領域的不斷拓寬和系統(tǒng)功能的升級，用戶權限的需求也隨之增加，權限申請方式的弊端也逐漸顯現(xiàn)。自由申請方式由于權限申請缺乏“記錄”和“備案”等環(huán)節(jié)，一旦出現(xiàn)問題，難以查證與核實，不利于責任的劃分；紙質審批方式由于權限管理員對二級單位的數(shù)百個用戶不能做到一一了解，難以準確判斷出申請的權限是否合理，是否超出內控規(guī)定的權限范圍。紙質申請的方式也存在著權限申請周期較長，需要權限涉及的所有主管部門領導逐級審批，一個權限的申請周期一般需要1-3天的時間，申請單在審批層逐級審批時，難以查詢和監(jiān)控申請單所處的具體部門，也無從知曉每個部門的審批時間，就使用戶仍然愿意使用自由申請的方式。

改進建議

加強配置環(huán)節(jié)管理，規(guī)避系統(tǒng)數(shù)據(jù)風險。權限申請人、權限管理員、權限審核員要共同監(jiān)管。權限申請人應熟悉本部門業(yè)務相關的流程，嚴格按照內控要求排查不相容權限、控制本單位系統(tǒng)用戶查詢及操作系統(tǒng)中數(shù)據(jù)的范圍，從而保證系統(tǒng)的安全性。權限管理員不得兼任系統(tǒng)業(yè)務操作權限，要預防系統(tǒng)配置環(huán)節(jié)產生的風險；權限管理員應該掌握權限的內容，熟練運用各種權限的組合功能，使用戶的權限既能滿足日常業(yè)務需求，又能遵循內部控制管理對權限的要求。權限審核員對權限操作員的工作要認真審核，嚴格把好權限賦予的最后一關。

各單位應定期對本單位用戶進行梳理。由于崗位變動或已調離單位的操作人員，二級單位必須及時通知權限管理部門，由權限管理員根據(jù)業(yè)務部門負責人審核意見，在系統(tǒng)中進行調整并記錄權限維護結果。對于調離或半年未使用的用戶，要根據(jù)業(yè)務部門負責人意見進行必要鎖定或刪除。

開發(fā)權限申請管理系統(tǒng)，規(guī)范用戶權限申請流程。權限管理部門制定出權限申請流程的管理規(guī)定，開發(fā)集會計集中、TMS權限申請為一體的權限提報系統(tǒng)，由二級單位申請人在系統(tǒng)中填寫用戶權限申請信息，經(jīng)二級單位部門負責人線上審核后，再由財務處相關部門的權限規(guī)范者在權限提報系統(tǒng)里進行線上審核，最后由權限管理員在系統(tǒng)中維護權限、相關人員進行權限測試并確認。權限管理部門只受理各二級單位業(yè)務部門指定的權限申請人在權限提報系統(tǒng)中申請、并經(jīng)相關部門審核批準的權限申請，而對電子郵件、電話、紙質申請，一概均不受理。申請人、單位負責人、權限規(guī)范者等相關人員可以在系統(tǒng)中查詢到申請的權限的業(yè)務流程圖、流程節(jié)點的執(zhí)行情況等等，便于權限申請的追蹤，加快權限申請的進程。既避免了自由申請的隨意性又避免了紙質申請周期過長的情況。

合理的用戶權限分配和完善的用戶權限變更流程是保障權限安全的基礎，系統(tǒng)管理人員和每一個操作用戶都應該嚴格按照各種管理規(guī)定要求，認真做好日常工作，確保系統(tǒng)安全、穩(wěn)定、高效運行。

（作者單位：中石化江蘇油田分公司財務資產處）