Questa guida ti accompagna nell'introduzione dei requisiti di approvazione nella tua Organizzazione, un workflow alla volta. Non è necessario configurare tutta la governance in una volta sola: il sistema è progettato per consentirti di portare ogni workflow da operazioni rapide a singolo utente ad approvazioni multi-parte completamente governate, al tuo ritmo.
Per il funzionamento delle policy e delle impostazioni di approvazione, consulta Policy, approvazioni e governance. Per il modello di autorizzazioni, consulta Autorizzazioni e workflow.
L'interazione tra Execute e "Always require approval" ti offre due opzioni di governance per ogni workflow:
I primi tre passaggi sono reversibili. Il quarto – il blocco – è il punto di non ritorno.
Il proprietario parte con le autorizzazioni complete su tutti i workflow. In questa fase, il proprietario è l'unico membro e può completare qualsiasi azione senza approvazione. Questo è lo stato iniziale previsto.
Configura il setup di approvazione per un workflow specifico mentre «Richiedi sempre approvazione» rimane su OFF. L'Owner mantiene Execute e può continuare a lavorare normalmente.
Al termine di questo passaggio, le regole di approvazione sono definite e le persone giuste hanno i permessi, ma nulla è ancora applicato. L'Owner può ancora completare le azioni tramite Execute e modificare le policy da solo.
Attiva "Always require approval" per il workflow di destinazione. In questo modo ogni azione, inclusa quella dell'Owner, viene sottoposta ad approvazione. Verifica che:
Poiché la policy non è ancora bloccata, puoi ancora eseguire il rollback. Disattiva "Always require approval" per ripristinare l'esecuzione immediata e modifica la configurazione prima di riprovare.
Questa è la finestra sicura per la sperimentazione. La governance è attiva per il workflow target, ma l'Owner mantiene il controllo unilaterale sulla policy e può eseguire il rollback in qualsiasi momento.
Quando sei soddisfatto, blocca la policy. Questo è il punto di non ritorno. Da questo momento:
Importante: Prima di bloccare, assicurati che almeno un altro membro attivo abbia il permesso Approve sul workflow Manage Policies. Il sistema richiede un approvatore indipendente prima di consentire il blocco.
Importante: Il blocco impedisce a chiunque di indebolire da solo la governance su questo workflow. Le modifiche future, incluso lo sblocco, dipendono dalla disponibilità di un approvatore indipendente tramite il workflow Manage Policies.
Tutti gli altri workflow rimangono percorsi rapidi: l'Owner può ancora usare Execute su qualsiasi workflow la cui policy non sia stata bloccata. Torna al Passo 2 per il workflow successivo.
Questa progressione è una raccomandazione, non un requisito. Puoi operare indefinitamente con qualsiasi combinazione di workflow governati e non governati.
Un CFO vuole mantenere la possibilità di completare i prelievi immediatamente, richiedendo al contempo che tutti i prelievi dei Fund Manager siano sottoposti a revisione.
Configurazione dei permessi:
Membro | Visualizza | Avvia | Approva | Esegui |
|---|---|---|---|---|
CFO | Sì | Sì | Sì | Sì |
Fund Manager A | Sì | Sì | — | — |
Fund Manager B | Sì | Sì | — | — |
Impostazioni della policy:
Il CFO può avviare e completare subito i prelievi tramite Execute. I Fund Manager possono avviare prelievi, ma ogni richiesta entra nella coda di approvazione e richiede una approvazione da parte del CFO.
Transizione alla governance completa: Quando il CFO decide che tutti i prelievi, inclusi i propri, devono essere sottoposti ad approvazione, invia una richiesta di modifica della policy (che a sua volta richiede un'approvazione indipendente poiché la policy è bloccata):
Dopo questa modifica, il permesso Execute del CFO rimane assegnato ma non ha effetto. La policy ora richiede un'approvazione indipendente per ogni richiesta, inclusa quella del CFO.
Mantenere Execute assegnato, anche quando non ha effetto, preserva l'ambito di accesso del membro nella matrice dei permessi. Sarà particolarmente utile quando sarà disponibile il supporto multi-account, poiché Execute definisce anche su quali account un membro può operare.
Questo esempio mostra un workflow Initiate Withdrawal completamente configurato e illustra come permessi e policy interagiscono nella pratica. Il layout rispecchia la matrice dei permessi visibile nell'interfaccia del prodotto.
Membro | Visualizza | Avvia | Approva | Esegui |
|---|---|---|---|---|
Organization Owner | Sì | Sì | Sì | Sì |
Alice | Sì | Sì | Sì | — |
Bob | Sì | — | Sì | — |
Charlie | Sì | Sì | — | — |
Policy: Approvazioni richieste: 2 su 3 approvatori disponibili. Richiedi sempre approvazione: ON.
L'Owner ha Execute, ma poiché «Always require approval» è ON, non ha effetto.
Ogni richiesta di prelievo deve essere approvata da 2 membri indipendenti. Chi avvia la richiesta è escluso dal gruppo degli approvatori per quella richiesta.
Scenario | Chi avvia | Chi deve approvare | Motivo |
|---|---|---|---|
L'Owner effettua un prelievo | Titolare | Alice e Bob | Dopo l'esclusione dell'Owner, rimangono solo 2 membri con Approve. Entrambi devono approvare. |
Alice effettua un prelievo | Alice | Owner e Bob | Alice è esclusa. Gli approvatori rimanenti sono Owner e Bob. |
Charlie effettua un prelievo | Charlie | 2 a scelta tra: Owner, Alice, Bob | Charlie non dispone di Approve, quindi tutti e 3 gli approvatori sono disponibili. Ne bastano 2. |
Bob avvia | — | — | Bob non dispone di Initiate. Non può creare una richiesta di prelievo. Può solo approvare. |