招聘管理系統（ATS）現已成為越來越多集團企業的標配，由于集團企業具有組織機構多、層級深、招聘團隊分布廣的特點，常常動輒幾十個賬號、上百個賬號在同一個系統上在線進行招聘工作，嚴格合理控制各類角色、各分子公司招聘團隊的權限并不是件簡單的事情，是否合理劃分權限會直接影響系統能否正常使用。

如何完美管控集團企業？我們可以設定一家集團企業：海森集團，海森集團下屬金融、地產、航空三大子集團，每個子集團又下設多級部門：

　　在這個案例中，我們將權限體系下的用戶劃分為兩類：

第一類：管理員

集團系統管理員（或者稱為租戶管理員）Derek：擁有能想到的系統所有權限(一個系統只能有一個，賬號一般由集團總部信息部高層掌管)。

地產子集團系統管理員Alex：主要負責管理地產集團的業務用戶，如果有新的招聘專員入職，就會申請系統管理員為Ta新增一個業務用戶也就是賬號。（系統管理員一般由企業信息部人員或者分子公司招聘團隊的Leader擔任。系統管理員角色是不能訪問業務數據的，簡單來說，系統管理員無法看到企業所有的招聘數據）。

第二類：業務用戶

地產子集團招聘經理Lisa：可以訪問被授權范圍內的功能和地產子集團的招聘業務記錄；

地產子集團部門招聘專員Emily：可以訪問被授權范圍內的功能和自己負責的招聘業務記錄；

看到這里如果感到有些迷惑沒有關系，我們先記住以上角色，他們很快就會再次登場。

1分級授權，解放集團系統管理員

分級授權的核心理念是一級授予下一級的權限，包括授權下一級用戶可以使用的權限以及可以再進行分配的權限。分級授權可以解放各級系統管理員，尤其是集團總部的系統管理員。

在沒有分級授權的日子，集團總部系統管理員Derek每天做的事情就是打開郵件，看一下是否有下級或者下下級或者下下下級組織的某個不認識的招聘專員需要增加什么權限。例如地產子集團—部門b1的招聘專員Emily剛剛通過郵件向Derek申請系統賬號，但是Derek根本不認識這位子集團三級部門的同事，這讓Derek苦不堪言。這不僅增加了集團總部招聘管理員的工作量，更是為系統的權限控制帶來了管理風險，因為集團總部的管理員很難具體了解到各級組織的人員及業務分工。

通過分級授權，Derek在地產子集團任命了一位系統管理員Alex，并授予Alex可以創建地產子集團業務用戶的權限，如果未來地產子集團下屬各級部門需要創建業務用戶時，就可以請更了解情況的Alex完成了。分級授權可以優化整個集團的授權體系的創建，同時也推動了集團招聘管控體系的落地。

2基于管理單元，簡化管理者角色授權

管理單元（MOU, Management Organization Unit）

地產子集團招聘經理Lisa周一找到了系統管理員Alex，投訴說有個下級部門的招聘情況她看不到了，可能是因為這個部門的招聘負責人剛剛發生了調換。Alex意識到，應該啟用權限管理單元（MOU）的授權方式了。因為在此之前，地產集團的所有Recruiter都是采用將負責的招聘職位共享給Lisa的形式。

地產集團的系統管理員Alex分兩步實現了Lisa的MOU授權：

第一步： 建立與地產子集團對應的權限管理單元-地產管理單元（MOU）

　　第二步：將地產管理單元授權給Lisa

設置地產管理單元（MOU）包含地產行政組織的下級，那么Lisa就自動擁有地產集團的所有下級各級組織的招聘數據記錄權限。不需要再把地產集團的部門1、部門2等等單獨授權了。如果地產集團增加了新的部門，Lisa也將自動擁有該組織機構的數據管理權限。

3高階應用：靈活可配置的字段級權限

Lisa作為招聘經理可以進行一些招聘的基礎配置工作，例如建立地產集團的招聘流程，而Emily作為招聘專員是不允許配置和修改招聘流程的，這個權限分配場景是簡單的對于功能操作的授權，一般我們通過設置不同的角色：招聘經理、招聘專員，然后為不同的角色設置可以訪問的功能菜單即可。

還有一種更細化的權限要求，例如可以設置在offer審批的過程中，招聘專員只能看到薪酬字段但不能編輯，部門總經理可以在審批時編輯薪酬數據。這時可以通過定義用戶身份（Profile），設置該身份對于某個對象的字段是擁有只讀權限、編輯權限還是根本看不到這個字段。再將定義好的用戶身份(Profile)授予不同的用戶，就可以實現字段級的權限控制了。

面對集團化企業“紛繁復雜”的組織模式和“收放自如”的管控要求，北森不停提升權限管理體系以便輕松應對，幫助客戶建立真正的集團化云招聘管理系統，實現客戶成功。