基于PDCA的企業(yè)保密風(fēng)險管理研究與應(yīng)用

鞠姝妹

【摘? 要】風(fēng)險管理是企業(yè)建立保密管理長效機(jī)制的重要手段。論文提出了基于PDCA的保密風(fēng)險管理模型，從確定目標(biāo)和風(fēng)險策劃到風(fēng)險識別、風(fēng)險控制、監(jiān)督與檢查機(jī)制以及資源配置和變更等風(fēng)險管理的全過程進(jìn)行了探索與研究，同時提出了實(shí)施保密風(fēng)險管理的保障措施。

【Abstract】Risk management is an important means for enterprises to establish a long-term mechanism of confidential management. This paper puts forward a PDCA-based confidential risk management model， explores and studies the whole process of risk management from the determination of objectives and risk planning to risk identification， risk control， supervision and inspection mechanism， as well as resource allocation and change， and puts forward the safeguard measures for the implementation of confidentiality risk management.

【關(guān)鍵詞】保密風(fēng)險;風(fēng)險管理;PDCA

【Keywords】confidential risk; risk management; PDCA

【中圖分類號】F272.3? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻(xiàn)標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2020）03-0013-02

1 引言

PDCA是質(zhì)量管理體系持續(xù)改進(jìn)的基本方法，要求把各項(xiàng)工作作出計劃、按照計劃實(shí)施、檢查實(shí)施效果，然后將成功的納入標(biāo)準(zhǔn)，不成功的留待下一循環(huán)去解決。將PDCA循環(huán)方法引入保密風(fēng)險管理，標(biāo)準(zhǔn)即是保密制度和工作流程，通過風(fēng)險策劃、風(fēng)險識別、風(fēng)險評估、風(fēng)險控制等一系列措施開展保密風(fēng)險管理活動，促進(jìn)保密管理體系的不斷完善，使保密風(fēng)險降低在可控制的范圍內(nèi)，確保國家秘密安全。

2 基于PDCA的保密風(fēng)險管理模型

保密風(fēng)險管理是以頂層業(yè)務(wù)架構(gòu)及其流程體系為依托，制定風(fēng)險管控的操作流程，做到全面優(yōu)化保密管理業(yè)務(wù)流程和制度體系，以統(tǒng)一管理防范制約保密目標(biāo)實(shí)現(xiàn)的重大風(fēng)險。通過確定保密風(fēng)險等級，有重點(diǎn)地進(jìn)行風(fēng)險應(yīng)對，能更好地預(yù)測、預(yù)防、控制失泄密事件和重大違規(guī)行為的發(fā)生。保密風(fēng)險管理過程和相應(yīng)的活動包括：確定目標(biāo)→建立保密風(fēng)險框架→風(fēng)險評估→風(fēng)險控制→三級監(jiān)督與檢查→資源配置與變更管理。

對應(yīng)PDCA（Plan-Do-Check-Act）模型，確定目標(biāo)，建立保密風(fēng)險框架屬于計劃階段（Plan），實(shí)施風(fēng)險評估和風(fēng)險控制屬于實(shí)施階段（Do），三級監(jiān)督與檢查屬于檢查階段（Check），資源配置與變更管理屬于處理階段（Act），如圖1所示。該模型是由風(fēng)險驅(qū)動的保密管理體系持續(xù)改進(jìn)模型，其中風(fēng)險評估和風(fēng)險控制是核心[1]。

3 保密風(fēng)險管理實(shí)施

3.1 確定目標(biāo)和風(fēng)險策劃

企業(yè)實(shí)施保密風(fēng)險管理的目標(biāo)就是準(zhǔn)確找到各個業(yè)務(wù)管理流程中的保密風(fēng)險、隱患，并根據(jù)風(fēng)險值合理分配資源投入，同時有針對性地制定安全保密防范措施，通過內(nèi)部管理評審和外部審查，檢查風(fēng)險控制的有效性和合理性，再進(jìn)行資源配置的調(diào)整和制度流程的完善，最后回歸計劃形成新的保密風(fēng)險框架，如此循環(huán)反復(fù)，達(dá)到保密管理體系持續(xù)改進(jìn)的目的。

保密風(fēng)險框架和管理流程要基于業(yè)務(wù)工作流程，將保密管理節(jié)點(diǎn)融合在科研生產(chǎn)和管理活動的業(yè)務(wù)流程中，以流程圖的形式構(gòu)建風(fēng)險管理框架。

3.2 風(fēng)險識別

風(fēng)險識別是風(fēng)險管理實(shí)施階段的首要步驟，一般從人、域、物三個維度來識別業(yè)務(wù)工作中可能存在的潛在保密風(fēng)險，對每個流程節(jié)點(diǎn)進(jìn)行全面的風(fēng)險分析，并將識別出來的風(fēng)險事件進(jìn)行分類，采用矩陣式方法形成風(fēng)險事件庫[2]。

3.3 風(fēng)險評估

風(fēng)險評估是在風(fēng)險識別的基礎(chǔ)上，對風(fēng)險進(jìn)行計量、分析、判斷、排序的過程。我們可以采用LEC評價法對風(fēng)險事件進(jìn)行打分，L（Likelihood）即風(fēng)險發(fā)生的可能性，E（Exposure）即風(fēng)險發(fā)生的頻繁程度，C（Consequence）即風(fēng)險造成的后果，給三種因素的不同等級分別確定不同的分值，再以三個分值的乘積D（Danger，危險性）來評價風(fēng)險的等級，如表1和表2所示。

3.4 風(fēng)險控制

作為管理者會采取各種措施減小風(fēng)險事件發(fā)生的可能性，或者把可能的損失控制在一定的范圍內(nèi)，以避免在風(fēng)險事件發(fā)生時帶來難以承擔(dān)的損失。企業(yè)會根據(jù)內(nèi)外部環(huán)境以及對風(fēng)險的承受度選擇風(fēng)險控制的方式，主要有風(fēng)險規(guī)避、損失控制、風(fēng)險轉(zhuǎn)移和風(fēng)險承擔(dān)四種方式，企業(yè)對風(fēng)險的承

受度通常取決于風(fēng)險等級，一般情況下，風(fēng)險等級為A級和B級選擇風(fēng)險規(guī)避，風(fēng)險等級為C級選擇損失控制，風(fēng)險等級為D級選擇風(fēng)險轉(zhuǎn)移，風(fēng)險等級為E級選擇風(fēng)險承擔(dān)。

3.5 監(jiān)督與檢查機(jī)制

3.3節(jié)的風(fēng)險評估和3.4節(jié)的風(fēng)險控制都是業(yè)務(wù)管理者對業(yè)務(wù)活動者實(shí)施的二級監(jiān)管下自評估和控制行為，企業(yè)應(yīng)建立三級監(jiān)督與檢查機(jī)制，這才是推動PDCA循環(huán)的有力抓手。保密風(fēng)險管理中的監(jiān)督檢查方式主要有內(nèi)部檢查和外部審查，有條件的企業(yè)可以每年實(shí)施管理評審，最重要的步驟是制定檢查方案和培訓(xùn)檢查人員，檢查方案主要包括檢查時間、檢查內(nèi)容和檢查標(biāo)準(zhǔn)等，直接決定了風(fēng)險管理效能，檢查人員的經(jīng)驗(yàn)、水平和能力也間接影響了風(fēng)險管理質(zhì)量。

3.6 資源配置和變更

在實(shí)施檢查的基礎(chǔ)上，針對發(fā)現(xiàn)的問題，要及時采取措施，確保風(fēng)險管理的充分性、適宜性和實(shí)效性。這一階段將根據(jù)重新評估的風(fēng)險等級和控制措施確定人、財、物的資源配置，或是修訂管理制度和重新設(shè)計業(yè)務(wù)審批流程，形成新的保密風(fēng)險框架，進(jìn)入新的PDCA循環(huán)，以達(dá)到持續(xù)提升保密風(fēng)險管理水平的目的。

4 保密風(fēng)險管理的保障措施

一是健全的保密管理制度是實(shí)施保密風(fēng)險管理的前提，制度既要符合國家法律法規(guī)和標(biāo)準(zhǔn)，又要符合企業(yè)實(shí)際情況，方便易操作，否則只是“紙上談兵”，要制度流程化，流程信息化;二是合理的獎懲和考核制度是建立保密風(fēng)險管理長效機(jī)制的催化劑，通過考核和獎懲保證控制措施的執(zhí)行性，同時調(diào)動員工的積極性;三是有效的預(yù)警與應(yīng)急管理制度是保密風(fēng)險管理的防線，風(fēng)險的不確定性和變動性給我們準(zhǔn)確應(yīng)對風(fēng)險帶來了難度，應(yīng)急管理就是通過對突發(fā)事件的預(yù)防和處置來將損失降到最低，是風(fēng)險管理的最后一道防線。

5 結(jié)語

開展保密風(fēng)險管理活動，通過合理配置保密管理資源，有效控制和大幅降低保密風(fēng)險，促使保密管理更加有針對性、真正落實(shí)預(yù)防為主的保密工作原則，同時，增強(qiáng)全員保密風(fēng)險意識，形成風(fēng)險思維，提升企業(yè)整體保密防護(hù)能力，以合理的成本使泄密風(fēng)險控制在能夠接受的狀態(tài)，以合理的代價獲得最大的保密安全保障。

【參考文獻(xiàn)】

【1】王少剛，吳金秋，李險峰.企業(yè)保密風(fēng)險管理的應(yīng)用與實(shí)踐[J].保密科學(xué)技術(shù)，2014（11）：21-26.

【2】張云霞.保密風(fēng)險管理應(yīng)用與實(shí)踐[J].數(shù)據(jù)庫與信息管理，2016（19）：57-59.