玩转ID，新型组织结构下的赋权管理（AMT研究院 徐嵩泉）

为什么要赋权管理？

赋权管理理论，是继授权管理以后，在现代组织越来越趋向扁平化的基础上诞生的。现代企业经营当中，市场变化比计划快，竞争的激烈让企业必须迅速感知外界的变化。然而传统上的金字塔组织结构，信息一层层向上传递，既容易造成信息失真，也会大大降低信息传递的速度，高级经理们坐在宽敞的办公室里，却不了解企业第一线的业务状况。

现代的企业管理，为了避免金字塔高耸型的组织结构使信息传递链条过长而导致信息失真，呈现出越来越扁平化的趋势。人力资源管理的工作之一，就是减少组织层级，简化工作流程，使层级扁平化，让信息的传递更加流畅，在面对扁平化的组织结构时，授权管理变得越来越不能适应环境的变化。

组织扁平化之所以成为大势所趋的原因，一是组织追求内部简化，提高工作效率的要求。金字塔状的组织结构是集权式的，复杂的，这造成组织内部权力分配错综复杂，无法满足现代企业实现有效沟通的目标。二是企业快速适应市场变化的需要。传统的组织形式使组织的反应速度大大降低，造成“船大掉头难”的现象，难以快速了解并适应不断变化的市场环境，底特律的“汽车大哥”们就曾经迷失在自己的办公室里。为了生存，为了不被淘汰，组织就必须实行扁平化。三是现代信息技术的发展，特别是计算机管理信息系统的出现，使得传统的管理幅度理论被打破，为组织扁平化提供了有力的技术支持。在传统管理幅度理论中，制约管理幅度增加的关键，是无法处理管理幅度增加后指数化增长的信息量和复杂的人际关系，而这些问题在计算机强大的信息处理能力面前迎刃而解。

正是处于这些原因，现代企业管理组织扁平化成为潮流。组织扁平化以后，表现出来的现象包括：扁平化销售渠道，一是渠道直营化；二是渠道短宽化。渠道层级减少，渠道缩短，而渠道宽度大大增加；又譬如扁平化管理体系，微软公司就通过减少组织层级，简化工作流程，使层级扁平化，让信息的传递更加流畅。在微软从公司最低层的接线生到微软的最高层比尔·盖兹之间只有七层，通过这样对组织层级和人数的控制，来达到管理的有效和清晰。但是，组织扁平化的同时，也带来了一些问题：

1、  人员职责开始变得模糊。

组织扁平化，去繁求简，必然导致企业的业务流程进一步整合，而员工的工作内容也就会打破原先的框框，根据流程的优化原则来进行安排。这样，对员工的要求就越来越趋向复合性人材，员工的职责也就相应扩大，所以传统组织结构中的“一个萝卜一个坑”的现象就趋于淡化，代之以灵活的组织架构，这就无疑会造成原来固定的职责分配，变得越来越模糊。

2、  员工的权限管理变得日益复杂。

信息化的发展把企业的业务搬到了“鼠标”平台上，必然会带来员工在信息系统平台上的权限管理问题。如上所言，在传统组织模式中，员工职责固定，但是清晰，对这些员工操作信息系统的管理可以设定一次，固化下来，有的权限管理甚至在系统中写死，这就造成组织变革以后，难以适应动态变化的权限管理。传统的一对多授权的方式，不再适用于扁平化组织管理，这也就是赋权管理可以发挥作用的地方。

然而，赋权管理与授权管理的概念十分接近，很容易造成混淆。哈佛大学的奎因·米勒教授认为：“赋权是描述一种管理风格，其含义非常接近于授权，但如果要进行严格的定义，赋权是指下属获得决策和行动的权力，它意味着被赋权的人有很大程度的自主权和独立性。通过对其他人的赋权，一位领导并不会因此而减少权力，反而会增加权力，特别是当整个组织发挥更大效力时。”

在实践中，赋权管理常常退化为授权的同义词。管理者们并不是真赋予下属权力，依然如以往一样进行重要决策，只是将相对不太重要的任务交给其他人去干。良好的赋权管理是一项艰难的工作，它要求管理者有相当程度的自信和对下属的充分信任。总的来说，管理人员通常是将工作任务下放给经验相对自己较少的人去做。赋权要求管理者信任下属去完成工作，并且能在没有自己的干预下取得结果。赋权管理实际做起来比说要难得多。

赋权另一个问题是观念转变。一些公司处于转型时期，许多管理层被撤消了，但办事的方式却一成不变。留下的管理者们依然承受着巨大压力，依然是超长时间地工作。管理者的职能已发生了很大变化，从传统的控制与计划变成了作为一种资源的教练、领导和行动。如果他们想要完成这一转变，他们就需要培训和支持，使他们学会赋权，让那些向他们报告的下属人员被赋予充分的责任。

赋权管理的实现模型

信息化的浪潮把企业的运作搬到了“鼠标”平台之上，而所有的信息系统都必然会涉及人员的权限管理。赋权管理在信息系统上的实现就是权限管理，所谓的权限管理就是，把当前用户请求的资源与相应的用户权限做个比较以确定用户是否有权进行操作。

权限管理和基于权限分配的访问控制是现在信息管理系统的重要组成部分。由于权限必然涉及人员、组织、角色、资源等等许多元素，并且往往各种元素间和元素本身可能存在各种包容和关联，因而十分复杂。实现权限管理的方法，在不同的系统中，也各不相同，因此，针对不同的信息系统的需求和具体的架构，构建出逻辑完备、易于维护、扩展灵活的权限管理模型是有相当难度的。我们仅就基本概念和一般方法做一个讨论。

用户(User)：表示系统中物理上的实际登录人，也是对系统中的各种资源进行操作的实际主体，一个用户往往用其独有的账号和密码以某个角色身份登入系统，根据其被允许的权限列表执行相应的操作。

组织(Organization)：在物理上表示系统中的一个组织部门或者是一个抽象的范围。每个组织中包含其特有的组别、角色、资源和权限组合。每一个用户可以属于一个或者多个的组织，而组织之间还存在层级关系。

角色(Role)：代表一个具有一定权限组合的虚拟用户。可以将一个角色赋予一个或者多个用户，使其拥有角色所包含的权限组合。

权限(Permission)：是一个操作和资源的组合，例如：发表新闻、删除人员、开具发票、采购原料等等。但是在没有指定一个范围的权限不具备实际操作意义。例如：“删除人员”本身意义不明确，“删除销售人员李某”才具有实际操作意义。这就是一个权限实例，是一个实际有意义的，真正可以被角色包含并赋给用户的实例。

资源(Resource)：表示企业中抽象的具体资料，例如：新闻、人员资料、发票、产品等等，是脱离开实物的电子记录。同样， “人员资料”这个资源在加上“财务科小张”这个组织定义以后，就成为一个具体的资源实例了，它才是系统中实际有意义的某一种资料。

组(Group)：则表示一个角色和组织的集合体，一个组可以包含一个或者多个角色和其他组。实际上，即使没有组，有其他元素组成的这样一个权限管理系统也是完备的，然而加入组的概念后，会为权限管理创造便利：在将多个角色加入一个组的情况下，可以方便的给这多个Roles同时添加、或者删除一定数量的权限实例，避免了需要由管理员为每个角色分别增减权限的繁琐工作；还可将一个组织对应一个组，以实现方便的权限增加和修改。这里就必须再提到一个概念，即权限变化的策略。

策略(Strategy)：代表一个添加或者删除权限实例的操作，并可以与其他权限实例进行叠加，譬如，一个组拥有三个权限实例：A、B、C，为这个添加一个策略(＋D)，那么属于这个组的角色就将拥有四个权限实例：A、B、C、D。如果再加上一个策略(－B)，那么这个组的权限组合就变为：A、C、D。这样就极大方便了权限的修改。

基本上，权限管理的方法是基于以上这些概念进行的。可以把这样的方法称为，基于角色的访问控制方法（RBAC），这是目前普遍应用的解决大型企业的统一资源访问控制的有效方法，其显著的两大特征是：1）减小授权管理的复杂性，降低管理开销，2）灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。

一般的权限管理都会涉及如下的应用模块

可以发现，基于传统金字塔组织结构的权限管理，仍然是十分复杂的。通过对Who、Where、How、What这些概念充分细化来实现。但是面对日益扁平化的组织结构，日趋灵活的组织职能，维护一个这样的权限体系的成本是很高的。在这里，我们就抛砖引玉，为大家介绍一个更为开放的、灵活的权限模型。

组织扁平化以后，员工的职责变得模糊，继续使用十分细致的权限管理，修改和维护都是一件令人头痛不已的事情。为了使权限设置简单，修改方便，我们引进一个安全级别的概念。每一个权限实例具有一个安全级别，同时赋予每一个用户一个安全级别。用户是否具有某个权限实例的操作和访问权利，只要判别他（她）的安全级别是否达到权限实例的安全级别，见下图。

由于这样的权限管理模型，简单易行，权限实例和用户实例都与一个安全级别绑定，十分清晰易改，并能与灵活的组织职能相匹配，所以在组织扁平化的趋势下，将逐渐得到广泛的应用。AMT公司的内部协同办公就是采取了这样的模式。

赋权管理是随着企业组织结构演变，信息化全面渗透应运而生的。不只在理念上贴合现代企业管理的内容，也在实践上，系统上有很好的应用。相信理解了赋权管理的前因后果，管理者可以更清楚地知道战略的方向，人力资源部门可以明确人才需求，而CIO们则可以玩转ID。

作者联系方式：cycle.xu@AMTeam.org