(
5) примерно так
Разрешения доступа по организациям
+
Разрешение доступа по ролям универсальных процессов
+
Разрешение доступа персонально по Ответственным в документах
собственно я такую схему несколько раз реализовывал в самописках, а тут не хочется сильно ломать...