凌晨两点,你的法务助理发来微信:「哥,合同审批流程卡住了。」
你打开系统一看——确实卡了。不是系统坏了,是流程里少一个人的审批意见。
催一下就行。但问题是,你手上同时有17个流程在跑。每天一半的时间,不是在业务决策,而是在 「登录→复制→粘贴→催促→确认→归档」 的循环里转圈。
这不是你一个人的问题。
很多企业聊AI,聊的是「智能问答」「知识库检索」「智能客服」。这些确实是AI落地的常见形态,但它们有一个共同问题:AI没有真正介入业务流程。员工还是一样登录系统、复制数据、发起审批、催促进度。AI只是多了一个聊天框。
真正有价值的改变,是让AI接管一段可控的、可审计的、风险边界清晰的业务流程。
这需要一套完整的架构设计。
🧱 一、问题的本质:系统是给人设计的
企业数字化的核心矛盾,不是「系统不好用」,而是 「系统是给人设计的,不是给机器设计的」。
GUI的逻辑是:人看页面、理解按钮、处理弹窗、容忍等待。这个逻辑从诞生那天起就是为人服务的。
机器需要的是:稳定接口、明确参数、结构化返回、错误码和日志。就这么几个要求,90%的企业存量系统都做不到。
敲黑板!企业Agent架构的第一步,不是选大模型,不是搭知识库,而是把业务流程的「机器入口」建起来。
🏗️ 二、核心框架:四层架构
| 层级 | 职责 | 回答的问题 |
|---|---|---|
| 系统集成层 | 把存量系统暴露为机器可调用的能力 | 「系统怎么被调用」 |
| 流程Skill层 | 把业务流程固化成可复用、可编排的能力 | 「流程怎么走」 |
| 员工Agent层 | 每个员工有一个岗位Agent,代替员工执行 | 「谁来干活」 |
| 治理层 | 身份、权限、审计、风险分级,贯穿所有层级 | 「谁来负责」 |
🔌 三、第一层:系统集成层
集成方式不止一种:
· REST API / OpenAPI → 各类管理系统的标准接口,优先做
· SDK / CLI 封装 → 老系统的轻量封装
· 数据库只读查询 → 报表、历史数据的查询场景
· 消息队列 / Webhook → 事件驱动场景
· 页面自动化 → 老旧系统最后的兜底手段
· 文件交换(SFTP/共享目录)→ 批量处理场景
有OpenAPI的系统直接调REST API,成本最低。老旧自研系统从可控查询开始,不追求一次全覆盖。
集成层只做四件事
✅ 执行系统动作(审批、查询、归档、通知)
✅ 权限边界校验(这个人有没有操作权限)
✅ 操作留痕(谁、什么时间、调用了什么)
✅ 限流熔断(防止异常调用拖垮业务系统)
集成层只负责「调用」,业务判断由业务系统自己做。合同能不能批——业务系统返回结果,Skill层根据结果决定下一步。金额超没超限——业务系统返回审批状态,Skill层判断是否加签。
集成方式示例
# REST API 方式(各管理系统的标准OpenAPI)
POST https://api.company.com/approval/v4/instances
Headers: Authorization: Bearer ***
Body: {"approval_code": "xxx", "form": [...]}
# SDK 封装方式(老系统轻量封装)
result = bpmClient.approve(instanceId="xxx", operator="员工ID", comment="合规通过")
# 数据库只读查询(报表、历史数据)
SELECT * FROM contract WHERE policy_no = ? AND department_id = ?
# Webhook 方式(事件驱动)
POST https://agent.internal.com/webhook/contract-approved
Body: {"event": "approval_completed", "instance_id": "xxx", "result": "通过"}
# 消息队列方式(异步处理)
Topic: contract.approval.result
Message: {"instance_id": "xxx", "operator": "员工ID", "status": "done"}
# 文件交换方式(批量场景)
PUT sftp://fileserver/batch/export/{date}/contract_ledger.xlsx
安全设计
| 能力 | 作用 |
|---|---|
| 操作留痕 | 完整日志:员工、操作、时间、返回码 |
| 限流熔断 | 单接口异常自动熔断 |
| 字段级脱敏 | 敏感字段按权限过滤 |
🧩 四、第二层:流程Skill层
企业里真正复杂的东西,不在单个按钮上,而在流程里。
什么材料算齐?什么金额要加签?什么条款要法务复核?什么节点超时要催办?什么异常必须暂停?
这些东西过去散落在制度文档里、老员工的Excel里、审批习惯里、群聊记录里。
Skill层就是把流程规则固化成可复用的能力单元。
Skill的六个组成部分
Skill =
trigger(触发条件:邮件主题含"合同"且附件=PDF / 系统新建审批实例)
+ rules(规则引擎:可枚举的判断条件)
+ steps(步骤序列:调用工具的序列)
+ tools(工具:Skill调用的最小执行单元)
+ human_nodes(人工节点:必须人工确认的节点)
+ fallback(异常处理:超时/拒绝/系统异常的应对)
+ audit_log(执行轨迹:每步的输入输出和判断依据)
工具与Skill的关系
| 维度 | 工具(Tool) | 技能(Skill) |
|---|---|---|
| 粒度 | 单个操作 | 一段业务流程 |
| 判断逻辑 | 无 | 包含业务规则 |
| 人工节点 | 无 | 关键节点强制人工 |
| 异常处理 | 调用失败返回错误 | 可编排重试、跳过、人工介入 |
| 复用方式 | 被Skill调用 | 可被多个Agent复用,也可组合 |
简单说:Tool是Skill的执行单元,Skill是加上了流程逻辑的Tool组合。
权限Token的传递机制
工具(Tool):
· 从身份服务获取当前员工的权限access_token
· 调用时将token透传给业务集成层
业务集成层:
· 接收并透传token
· 负责生成和续期 access_token
· 不持有业务数据,只负责token管理和透传
业务系统:
· 接收带access_token的请求
· 验证access_token后执行操作
这样设计的好处:权限token由业务集成层统一管理,工具只负责调用,不持有也不存储token。
Skill完整示例:合同审批Skill
skill_name: 合同审批流程Skill
version: v2.3
trigger:
- 邮件主题包含"合同"且附件类型=PDF
- 合同系统新建审批实例
tools:
- mail_download: 下载邮件附件
- contract_upload: 上传合同到业务系统
- risk_screening: 条款风险初筛
- bpm_create: 发起BPM审批流程
- approval_track: 跟踪审批状态
- notification_send: 发送催办通知
- mail_reply: 邮件回复结果
- archive: 归档
rules:
- 金额 < 10万 → 自动通过
- 10万 ≤ 金额 < 50万 → 法务初筛 + 部门负责人审批
- 金额 ≥ 50万 → 法务初筛 + 合规负责人 + 分管总审批
human_nodes:
- 法务初筛结论为"有风险" → 必须法务人员确认
- 条款包含"无限连带责任" → 必须法务人员确认
- 主体客户在黑名单 → 必须法务人员确认
steps:
1. mail_download → 下载合同附件
2. contract_upload → 上传合同系统
3. risk_screening → 条款风险初筛
4. 根据 rules 结果分支:
- 自动通过 → 跳过人工节点
- 需要审批 → bpm_create
5. approval_track → 监控审批状态
6. if 超时48小时 → notification_send → 超时催办
7. mail_reply → 邮件回复结果
8. archive → 结果归档
fallback:
- 系统超时 → 重试3次,间隔30s,仍失败 → 挂起 + 告警
- 审批拒绝 → 记录原因 + 通知 + 更新台账
- 金额超阈值 → 暂停流程,触发人工确认
- 工具调用失败 → 记录错误码,触发fallback
audit_log:
- 每步输入输出
- 规则判断理由
- LLM推理理由(如有)
- 人工确认记录
Skill的复用与组合
复合Skill = 多个原子Skill + 编排逻辑
例:合同全流程Skill
= 合同审批Skill(主流程)
+ 合同归档Skill(完成后自动归档)
+ 邮件通知Skill(节点状态变化实时通知)
+ 台账更新Skill(结果同步到管理系统)
版本管理
规则更新 → 版本号升级(Skill_v2.3 → Skill_v2.4)
Bug修复 → 热更新版本号,不影响正在运行的实例
灰度发布 → 5%流量切新版本,监控异常率
回滚 → 切回历史版本号
🤖 五、第三层:员工Agent层
Agent ≠ 聊天框
员工Agent不是通用AI助手。它是岗位执行代理,每个员工有且只有一个私有Agent。
它理解你的职责(通过岗位描述和权限配置),继承你的授权(只能调用你有权调用的Skill),替你完成那些无聊的重复性操作——登录、复制、催办、查询——然后在需要你做决定的地方停下来,等你确认。
Agent的工作方式
很多人理解的Agent是「一个对话框,员工说什么它做什么」。
这不是企业级Agent。真正的工作方式是:
触发事件(邮件来了 / 定时器到了 / 员工发起)
↓
Agent感知 → 理解任务 → 规划步骤
↓
调用Skill → Skill调用集成接口 → 执行
↓
记录 → 异常时暂停 → 人工确认后继续 → 完成
你不是对着Agent说话的人,你是审核、授权、处理异常的人。
三类场景
| 场景类型 | 示例 | 自动化程度 |
|---|---|---|
| 高频低风险 | 邮件分类、台账同步、会议纪要归档 | 高,可全自动 |
| 中频中风险 | 报销校验、审批催办、合同初筛 | 中,异常节点人工介入 |
| 低频高风险 | 核保结论、理赔决定、大额审批 | 低,关键节点强制人工确认 |
保险行业的红线
核保结论和理赔决定有法律效力,不能由Agent直接输出:
❌ 错误做法:
Agent直接给出"核保通过/拒绝"结论
✅ 正确做法:
Agent给出"核保建议:建议通过,建议关注以下条款..."
→ 人工确认 → 系统输出正式结论
Agent的六大约束
| 约束 | 说明 |
|---|---|
| 真实员工绑定 | 每个Agent必须绑定真实员工身份 |
| 最小权限 | Agent只能调用员工有权调用的Skill和集成接口 |
| 可追溯 | 所有操作记录到操作日志 |
| 人工兜底 | Skill中标记的human_node必须暂停等待确认 |
| 异常暂停 | 超过风险阈值的操作不能自动执行 |
| 权限生命周期 | 员工离职/转岗时,Agent权限同步变更 |
🛡️ 六、第四层:治理层(贯穿所有层级)
治理架构总览
治理层覆盖四个维度:
身份治理:员工身份 + Agent身份 + 权限生命周期
权限治理:RBAC + ABAC + SOD合规
操作治理:操作审计 + 决策追溯 + 异常分级
风险治理:风险分级 + 人工介入阈值 + 熔断机制
身份治理
员工身份的要素:员工ID(唯一标识)、部门、岗位、直接上级。
Agent身份:绑定员工ID(Agent是员工的代理,不是独立的"它")、Agent类型(法务Agent/财务Agent/销售Agent)、Agent版本。
权限生命周期:
员工离职 → 管理员决定暂停或转移Agent 员工转岗 → 管理员重新配置Agent权限 员工休假 → Agent可暂停或继续
权限治理:RBAC + ABAC + SOD
RBAC(基于角色): 应用A可以调用合同查询API ✓;应用B无权调用核保系统 ✗
ABAC(基于属性): 法务专员A只能查自己负责客户的合同;核保员B只能看自己录入案件的核保结论;字段级控制——风控评分对普通员工不可见。
SOD职责分离(金融行业监管要求):
录入岗 ≠ 审批岗
→ Agent不能替员工完成自己权限范围内的审批
核保录入 ≠ 核保审批
→ 两个岗位由不同员工,Agent也必须分开
资金划转必须双人授权
→ 超过5万的理赔付款,Agent只能发起
实际划转必须另一个有权限的员工操作
操作治理:三层审计
| 审计类型 | 记录内容 | 用途 |
|---|---|---|
| 操作审计 | 集成接口调用:谁、什么时间、调用了什么、返回码 | 合规审查 |
| 规则审计 | Skill判断:触发了哪条规则、规则内容、规则版本 | 规则追踪 |
| 决策审计 | Agent推理:为什么走这个分支、人工确认了什么 | 监管报送 |
AI决策可解释性
# Agent决策日志示例
{
"agent_id": "legal_staff_001_agent",
"task": "合同审批",
"input": {
"email_id": "msg_12345",
"attachment": "合同文本.pdf"
},
"llm_reasoning": "邮件主题包含'合同',附件为PDF,触发合同审批Skill。
合同金额50万,触发规则:10万≤金额<50万需法务初筛+部门负责人审批。
法务初筛结果:条款无明显风险,建议通过。",
"skill_triggered": "合同审批Skill_v2.3",
"rule_applied": ["金额阈值判断", "法务初筛"],
"human_nodes": ["法务初筛结论需人工确认"],
"status": "pending_human_approval",
"timestamp": "2026-05-18T10:30:00+08:00"
}
这段 llm_reasoning 字段,在保险行业监管审计时是必需的。AI不能黑盒运行——每一步都要说清楚为什么。
风险治理:分级与熔断
四级风险分级:
L0 - 自动通过:
金额 < 1万,已有明确规则判断,历史无异常记录
L1 - 记录后通过:
1万 ≤ 金额 < 5万,规则判断通过但需要通知负责人
L2 - 人工确认:
5万 ≤ 金额 < 50万,规则判断存在争议,触发SOD控制
L3 - 强制人工:
金额 ≥ 50万 / 核保结论 / 理赔决定 / 条款涉及特殊免责
三级熔断机制:
集成接口熔断:
单个接口错误率 > 5% → 熔断5分钟
响应时间 > 10s → 熔断2分钟
Skill熔断:
Skill执行失败率 > 10% → 暂停Skill,告警
人工确认超时 > 24h → 升级告警
Agent熔断:
Agent操作异常率 > 20% → 暂停Agent,通知员工
🔄 七、四层闭环:合同审批完整链路
┌─────────────────────────────────────────────────────────────────┐
│ 员工Agent层 │
│ │
│ 法务员工Agent监听到邮件 │
│ ↓ LLM意图识别:合同审批场景 │
│ ↓ 权限检查:法务员工身份,有权调用合同审批Skill │
│ ↓ 任务规划:走合同审批Skill_v2.3 │
└────────────────────────────┬──────────────────────────────────────┘
│ 调用
┌────────────────────────────▼──────────────────────────────────────┐
│ 流程Skill层 │
│ │
│ 合同审批Skill_v2.3 执行: │
│ ① 规则判断:金额50万,触发L2级人工确认 │
│ ② human_node:法务初筛必须人工确认 │
│ ③ 暂停,等待法务员工确认 │
└────────────────────────────┬──────────────────────────────────────┘
│ 调用集成接口
┌────────────────────────────▼──────────────────────────────────────┐
│ 系统集成层 │
│ │
│ 调用序列(REST API / SDK / MQ 等不同方式): │
│ 1. mail_integration.download_attachment │
│ 2. contract_integration.upload_to_system │
│ 3. bpm_integration.create_instance │
│ │
│ 所有调用携带员工身份,权限校验通过,记录审计日志 │
└────────────────────────────┬──────────────────────────────────────┘
│
┌────────────────────────────▼──────────────────────────────────────┐
│ 存量业务系统 │
│ 邮件系统 / 合同系统 / BPM │
└─────────────────────────────────────────────────────────────────┘
▲
┌────────────────────────────┴──────────────────────────────────────┐
│ 治理层 │
│ │
│ 员工身份:legal_staff_001 │
│ 权限边界:法务部-合同审批权限 │
│ SOD控制:录入(Agent) ≠ 审批(人工) │
│ 风险分级:L2,强制人工确认 │
│ 决策审计:LLM推理理由记录完整 │
│ 人工确认:法务员工点击"确认通过",流程继续 │
│ 归档:结果写入审计日志 + 台账 + 邮件回复 │
└─────────────────────────────────────────────────────────────────┘
🗺️ 八、落地路径
别想着一步到位。从一个小闭环开始,逐步扩展。
第一阶段:系统集成层。 存量系统集成化,建立机器调用入口。优先盘有OpenAPI的系统,从可控查询开始。新建Agent网关,负责员工维度权限校验和字段级脱敏。
第二阶段:Skill层。 流程数字化。把高频SOP变成可执行的Skill,重点做好两件事:规则枚举和人工节点标记。
第三阶段:Agent层。 员工Agent闭环。选一个高频场景,让Agent跑通完整链路,验证一件事:员工是不是真的少做了重复操作。
第四阶段:治理层。 SOD控制、AI决策审计、风险分级体系、权限生命周期,持续完善直到通过监管审计。
🎯 九、最后的话
企业Agent架构的核心价值,不是「让AI更智能」,而是 「让AI介入可控的业务流程」。
做到这一点,需要四样东西同时到位:
系统集成化 → 有入口
流程Skill化 → 有规则
员工Agent化 → 有执行者
治理层 → 有边界
缺任何一个,都会变成又一个聊天框。
明天早上到公司,你可以先做一件事:打开你的业务系统,数一数今天需要你手动确认的页面——那些都是可以交给Agent干的。
夜雨聆风