◎孙丹

加强应用系统的权限管理

◎孙丹

由于会计业务的深化应用、岗位的不断调整和细化，基于岗位职责的授权机制也越来越有实际意义，只有安全合理的用户权限管理，才能避免误操作，提高财务信息的质量。本文就用户权限的配置、授予及管理进行探讨。

用户授权方式

在会计集中系统和TMS系统中，用户必须拥有不同的功能权限、数据权限，才能在系统中进行相关的业务操作。两个系统的授权方式各有所不同。

会计集中系统授权采取按“用户”授权的方式，其权限系统由用户、角色、功能和数据权限组成。具体说，用户基于业务要求被分配适合的角色，再根据工作需要赋予相应的数据权限，该用户就可以操作本单位的查询、业务处理、主数据申请、报表修改、报表计算等各种业务；角色可包括三种权限信息，即可以执行哪些具体功能权限、可以使用哪些数据权限以及对这些数据可以进行哪些操作。如“报表编制”这个角色，包括了“报表校验”、“报表汇总”、“单位数据上报”等多种功能权限及“BA01”、”BA02”等多种报表格式数据的权限。

TMS系统采取“用户组”授权的方式为用户赋予权限。在系统中设置了不同用途的单位权限组、功能权限组和计划权限组。如“资金计划编制”组、“资金计划复核”组、“江苏石油勘探局运输处计划权限”组、“江苏石油勘探局运输处单位权限组”等等，这些功能组的合理组合，可使用户拥有不同系统的操作权限。如对单位权限与功能权限进行组合就可使用户处理本单位的非流程性业务，如各类业务的发起、查询；如对单位权限与计划权限的组合就可使用户处理本单位的计划编制、计划复核等业务。业务部门可根据实际情况，通过给用户赋予不同的权限组，使用户只能对自己业务范围内的数据进行相应操作。

用户权限管理现状

会计集中系统、TMS系统上线后，用户权限统一由财务资产处管理，下设权限管理员和权限审批员。各单位在新增用户或者需要给老用户新增权限时，向财务处权限管理员提交权限申请，权限管理员根据操作系统用户提出的权限申请，配置相应的权限；权限审批员则对赋予的权限进行审核把关。

目前权限申请有两种情况：

自由申请。用户通过口头、电话、QQ等途径，直接向权限管理部门提出权限、密码解锁等申请，由权限管理部门负责审批和授权。在会计集中系统和TMS系统上线初期，由于系统还不完善，每个用户的权限非常有限，且各权限、角色、岗位之间界限模糊，对权限申请与授权都是根据工作需要临时进行处理。此种申请方式在系统运行初期尚可满足当时的工作需要。

纸质审批。在会计集中系统和TMS系统上线平稳运行一段时间后，权限管理部门对用户权限申请的流程进行了规范。当申请用户权限时，首先要填写权限申请单，经本部门领导审批、申请权限所涉及业务科室审批和权限管理部门审批后，最后由权限管理部门实施。它要求每个二级单位配备一名权限申请人，由权限申请人负责对本单位用户所填写权限申请报告进行规范、整理，并与财务处权限管理员共同完成本部门的权限申请工作。这种权限申请方式不仅实现了有据可查，而且通过层层审批、层层把关、层层负责的方式，有效规范了权限管理工作，大大降低了用户权限使用的风险。

存在的问题

会计集中和TMS系统上线后，由于种种原因，存在一些不合理的现象：如一个用户同时拥有凭证制单和凭证审核这类不相容的权限，违反了内部控制管理的规定；用户调离的岗位多年，系统中仍未删除该用户等等。权限管理部门不掌握二级单位人员的转岗、离职等等变动情况，不能停用离职人员的用户、不能删除转岗人员的相应权限，系统里就存在一定的风险。

随着业务领域的不断拓宽和系统功能的升级，用户权限的需求也随之增加，权限申请方式的弊端也逐渐显现。自由申请方式由于权限申请缺乏“记录”和“备案”等环节，一旦出现问题，难以查证与核实，不利于责任的划分；纸质审批方式由于权限管理员对二级单位的数百个用户不能做到一一了解，难以准确判断出申请的权限是否合理，是否超出内控规定的权限范围。纸质申请的方式也存在着权限申请周期较长，需要权限涉及的所有主管部门领导逐级审批，一个权限的申请周期一般需要1-3天的时间，申请单在审批层逐级审批时，难以查询和监控申请单所处的具体部门，也无从知晓每个部门的审批时间，就使用户仍然愿意使用自由申请的方式。

改进建议

加强配置环节管理，规避系统数据风险。权限申请人、权限管理员、权限审核员要共同监管。权限申请人应熟悉本部门业务相关的流程，严格按照内控要求排查不相容权限、控制本单位系统用户查询及操作系统中数据的范围，从而保证系统的安全性。权限管理员不得兼任系统业务操作权限，要预防系统配置环节产生的风险；权限管理员应该掌握权限的内容，熟练运用各种权限的组合功能，使用户的权限既能满足日常业务需求，又能遵循内部控制管理对权限的要求。权限审核员对权限操作员的工作要认真审核，严格把好权限赋予的最后一关。

各单位应定期对本单位用户进行梳理。由于岗位变动或已调离单位的操作人员，二级单位必须及时通知权限管理部门，由权限管理员根据业务部门负责人审核意见，在系统中进行调整并记录权限维护结果。对于调离或半年未使用的用户，要根据业务部门负责人意见进行必要锁定或删除。

开发权限申请管理系统，规范用户权限申请流程。权限管理部门制定出权限申请流程的管理规定，开发集会计集中、TMS权限申请为一体的权限提报系统，由二级单位申请人在系统中填写用户权限申请信息，经二级单位部门负责人线上审核后，再由财务处相关部门的权限规范者在权限提报系统里进行线上审核，最后由权限管理员在系统中维护权限、相关人员进行权限测试并确认。权限管理部门只受理各二级单位业务部门指定的权限申请人在权限提报系统中申请、并经相关部门审核批准的权限申请，而对电子邮件、电话、纸质申请，一概均不受理。申请人、单位负责人、权限规范者等相关人员可以在系统中查询到申请的权限的业务流程图、流程节点的执行情况等等，便于权限申请的追踪，加快权限申请的进程。既避免了自由申请的随意性又避免了纸质申请周期过长的情况。

合理的用户权限分配和完善的用户权限变更流程是保障权限安全的基础，系统管理人员和每一个操作用户都应该严格按照各种管理规定要求，认真做好日常工作，确保系统安全、稳定、高效运行。

（作者单位：中石化江苏油田分公司财务资产处）