政策、審批與治理

政策控制您的組織中的操作是立即完成，還是必須先由其他成員審批。每個工作流程都有其獨立可配置的政策。本文解釋了審批、政策和鎖定如何協同工作。有關權限和工作流程的結構，請參閱權限與工作流程。如需概覽，請參閱關於組織。

審批的運作方式

組織中的每個受管操作都遵循相同的生命週期：

步驟 1 — 啟動：擁有啟動或執行權限的成員建立請求。

步驟 2 — 即時完成檢查：如果成員持有執行權限且工作流程不需要審批（「Always require approval」為關閉），請求將立即完成。沒有審批佇列，無需等待。

步驟 3 — 審批佇列：如果請求無法立即完成 — 無論是因為成員缺乏執行權限，還是因為「Always require approval」為開啟 — 請求都會進入審批佇列。擁有該工作流程審批權限的成員可以審閱它。

步驟 4 — 審批門檻：一旦達到所需數量的獨立審批，請求即完成。

步驟 5 — 拒絕：任何單一審批者都可以拒絕待處理的請求。被拒絕的請求不會完成。

職責分離

成員不能審批自己的請求。此規則由系統在所有工作流程中強制執行，不能被任何權限或政策配置覆蓋。

單一成員能夠獨自完成操作的唯一方式是透過執行，並且只有在工作流程政策允許的情況下。

執行與政策互動

執行權限與「Always require approval」政策設定互動：

成員權限	「始終需要審批」	結果
啟動 + 執行	關閉	請求立即完成，無需審批
啟動 + 執行	開啟	請求進入審批佇列，必須等待獨立審批者

重要事項：執行僅在工作流程政策允許即時完成時才有效。當「Always require approval」為開啟時，執行沒有任何作用 — 所有請求都必須由獨立成員審批。

當「Always require approval」為開啟時，執行會怎樣？

執行權限不會從成員身上移除。它在權限配置中仍然可見，但當「Always require approval」為開啟時，系統會忽略它。用戶介面會在執行欄顯示警告顏色指示器。如果您稍後將「Always require approval」切換回關閉，成員可以再次立即完成操作，而無需重新分配權限。

地址變更的電郵確認

當成員使用執行功能立即新增或移除白名單地址（無需獨立審批者）時，系統會在變更生效前發送電郵確認。地址變更直到確認完成後才會最終確定。

在 Beta 期間，電郵確認將發送給組織擁有者，無論是由哪個成員發起變更。將確認直接發送給請求建立者計劃於未來版本發布。

裝置信任狀態不影響此行為 — 立即更改地址時，始終需要電郵確認。

當地址更改請求通過獨立審批者的標準審批流程時，則無需電郵確認。其他成員的審批可作為安全控制。

如何設定政策

前往您組織中的「管理政策」部分。
選取您想設定的工作流程（例如「發起提款」）。
設定所需的審批數量 — 這是完成請求前，必須獲得擁有「審批」權限的獨立成員簽署的數量。
選擇是否啟用「始終需要審批」。開啟時，此工作流程的每個請求都必須通過審批隊列，即使是擁有「執行」權限的成員也不例外。關閉時，擁有「執行」權限的成員可立即完成操作。
檢閱設定並確認。

如果「管理政策」工作流程本身已設定政策，您的更改可能會進入審批隊列。請參閱「鎖定政策」以了解政策治理的運作方式。

重要提示：在設定所需的審批數量之前，請確保足夠的成員在目標工作流程中持有「審批」權限，以達到門檻。系統會阻止無法滿足的設定。

政策設定

每個工作流程都有其自己的政策，並有兩項設定：

設定	功能
所需批准	在請求完成前必須簽署的獨立審批者數量。審批者從擁有該工作流程「審批」權限的成員池中選取。發起請求的人員始終被排除在審批者池之外。
始終必須經過審批	開啟時：所有請求都必須通過審批，即使成員持有「執行」權限也不例外。關閉時：持有「執行」權限的成員可立即完成操作。

鎖定政策

政策鎖定可防止任何單一成員（包括組織擁有者）單獨更改工作流程的治理設定。

當政策被鎖定時：

對該工作流程政策的任何更改都需要獨立成員的審批
解鎖也需要獨立審批
擁有者也受所有其他成員的相同規則約束

一旦治理被鎖定，沒有人可以單獨削弱它。未來的更改仍然可能，但它們取決於獨立審批和審批者覆蓋範圍的可用性。

範圍：政策鎖定適用於每個工作流程。鎖定一個工作流程的政策不會影響任何其他工作流程。這讓您可以逐步加強治理，一次一個工作流程。

政策鎖定與「管理政策」中的「始終需要審批」

這兩項控制措施在不同層次上服務於相同的目標：

控制	範圍	效果
政策鎖定	每次一個工作流程	對該特定工作流程政策的更改需要獨立審批。其他工作流程不受影響。
在「管理政策」上「總是需要審批」	所有工作流程同時進行	每個工作流程的所有政策變更都需要獨立審批。作為批量治理開關。

使用 Policy Lock 進行逐步收緊。只在您想一次性治理所有政策變更時，才在「管理政策」上使用「總是需要審批」。

防護措施

系統強制執行防護措施，以防止無效或不可執行的配置：

審批者可用性：除非至少一名其他 Member（鎖定者除外）在「管理政策」工作流程上持有審批權限，否則政策無法鎖定。如果沒有此條件，鎖定的政策可能會造成僵局，無人能審批未來的變更。

鎖定預防：當工作流程上唯一持有審批權限的 Member 同時持有 Initiate 權限且所需審批數量為 1 時，系統會阻止儲存政策。由於 Member 無法審批自己的請求，因此該 Member 的請求將沒有合格的審批者。

停用不檢查審批者覆蓋：即使停用或移除 Member 會使可用審批者數量低於工作流程所需的閾值，目前仍會繼續執行。停用時的自動覆蓋檢查計劃在未來版本推出。在此之前，請在停用 Member 之前，確認有足夠的其他持有審批權限的 Member 保持活躍，以滿足受影響工作流程所需的審批數量，或需要協助時聯絡支援。

疑難排解

我無法鎖定工作流程的政策

系統要求至少有一名其他 Member（您除外）在「管理政策」工作流程上持有審批權限，政策才能鎖定。如果沒有獨立的審批者，鎖定將造成僵局，無人能審批未來的政策變更。請將「管理政策」上的審批權限指派給另一位 Member，然後再試一次。

我的請求卡在核准隊列中

檢查該工作流程上是否還有足夠持有審批權限的 Member 處於活躍狀態。如果持有審批權限的 Member 自請求創建以來已被停用或移除，剩餘的審批者可能不足以達到所需數量。待處理的請求會保持在創建時適用的審批門檻 — 現在更改政策不會降低已排隊請求的要求。若要解除阻礙，請重新啟用已停用的 Member，或將審批權限指派給另一位活躍的 Member，以便達到原始門檻。如果「管理存取」也需要審批，且相同的審批者不可用，請聯絡支援以獲得協助。

Execute 無效，操作仍進入核准隊列

該工作流程的「總是需要審批」設定為 ON。當此設定啟用時，Execute 處於休眠狀態 — 權限仍然被指派，但每個請求都必須經過獨立審批。若要恢復持有 Execute 權限的 Member 的即時完成功能，請將「總是需要審批」切換為 OFF。請注意，這是「管理政策」操作 — 如果「管理政策」本身需要審批，則該變更必須經過獨立 Member 審批後才能生效。請參閱上方 Execute 和政策互動。

我無法儲存政策配置

此工作流程只有一位持有審批權限的 Member，且該 Member 同時持有 Initiate 權限。由於 Member 無法審批自己的請求，他們的請求將沒有合格的審批者。請將審批權限指派給至少一名其他 Member，或授予此 Member Execute 權限，以便他們在政策允許時無需審批即可完成操作。

我停用了一位成員，現在某個工作流程的審批人不足

停用並不會因審批者不足而受阻。如果您停用了一位在一個或多個工作流程中持有審批權限的成員，請確認仍有足夠持有審批權限的活躍成員以滿足每個工作流程所需的審批數量。如果某個工作流程的審批者不足，請重新啟用該成員，或將審批權限分配給受影響工作流程中的其他活躍成員。這些工作流程中待處理的請求將會留在佇列中，直到達到所需的審批數量。