基于PDCA的企业保密风险管理研究与应用

鞠姝妹

【摘  要】风险管理是企业建立保密管理长效机制的重要手段。论文提出了基于PDCA的保密风险管理模型，从确定目标和风险策划到风险识别、风险控制、监督与检查机制以及资源配置和变更等风险管理的全过程进行了探索与研究，同时提出了实施保密风险管理的保障措施。

【Abstract】Risk management is an important means for enterprises to establish a long-term mechanism of confidential management. This paper puts forward a PDCA-based confidential risk management model， explores and studies the whole process of risk management from the determination of objectives and risk planning to risk identification， risk control， supervision and inspection mechanism， as well as resource allocation and change， and puts forward the safeguard measures for the implementation of confidentiality risk management.

【关键词】保密风险;风险管理;PDCA

【Keywords】confidential risk; risk management; PDCA

【中图分类号】F272.3                               【文獻标志码】A                                   【文章编号】1673-1069（2020）03-0013-02

1 引言

PDCA是质量管理体系持续改进的基本方法，要求把各项工作作出计划、按照计划实施、检查实施效果，然后将成功的纳入标准，不成功的留待下一循环去解决。将PDCA循环方法引入保密风险管理，标准即是保密制度和工作流程，通过风险策划、风险识别、风险评估、风险控制等一系列措施开展保密风险管理活动，促进保密管理体系的不断完善，使保密风险降低在可控制的范围内，确保国家秘密安全。

2 基于PDCA的保密风险管理模型

保密风险管理是以顶层业务架构及其流程体系为依托，制定风险管控的操作流程，做到全面优化保密管理业务流程和制度体系，以统一管理防范制约保密目标实现的重大风险。通过确定保密风险等级，有重点地进行风险应对，能更好地预测、预防、控制失泄密事件和重大违规行为的发生。保密风险管理过程和相应的活动包括：确定目标→建立保密风险框架→风险评估→风险控制→三级监督与检查→资源配置与变更管理。

对应PDCA（Plan-Do-Check-Act）模型，确定目标，建立保密风险框架属于计划阶段（Plan），实施风险评估和风险控制属于实施阶段（Do），三级监督与检查属于检查阶段（Check），资源配置与变更管理属于处理阶段（Act），如图1所示。该模型是由风险驱动的保密管理体系持续改进模型，其中风险评估和风险控制是核心[1]。

3 保密风险管理实施

3.1 确定目标和风险策划

企业实施保密风险管理的目标就是准确找到各个业务管理流程中的保密风险、隐患，并根据风险值合理分配资源投入，同时有针对性地制定安全保密防范措施，通过内部管理评审和外部审查，检查风险控制的有效性和合理性，再进行资源配置的调整和制度流程的完善，最后回归计划形成新的保密风险框架，如此循环反复，达到保密管理体系持续改进的目的。

保密风险框架和管理流程要基于业务工作流程，将保密管理节点融合在科研生产和管理活动的业务流程中，以流程图的形式构建风险管理框架。

3.2 风险识别

风险识别是风险管理实施阶段的首要步骤，一般从人、域、物三个维度来识别业务工作中可能存在的潜在保密风险，对每个流程节点进行全面的风险分析，并将识别出来的风险事件进行分类，采用矩阵式方法形成风险事件库[2]。

3.3 风险评估

风险评估是在风险识别的基础上，对风险进行计量、分析、判断、排序的过程。我们可以采用LEC评价法对风险事件进行打分，L（Likelihood）即风险发生的可能性，E（Exposure）即风险发生的频繁程度，C（Consequence）即风险造成的后果，给三种因素的不同等级分别确定不同的分值，再以三个分值的乘积D（Danger，危险性）来评价风险的等级，如表1和表2所示。

3.4 风险控制

作为管理者会采取各种措施减小风险事件发生的可能性，或者把可能的损失控制在一定的范围内，以避免在风险事件发生时带来难以承担的损失。企业会根据内外部环境以及对风险的承受度选择风险控制的方式，主要有风险规避、损失控制、风险转移和风险承担四种方式，企业对风险的承

受度通常取决于风险等级，一般情况下，风险等级为A级和B级选择风险规避，风险等级为C级选择损失控制，风险等级为D级选择风险转移，风险等级为E级选择风险承担。

3.5 监督与检查机制

3.3节的风险评估和3.4节的风险控制都是业务管理者对业务活动者实施的二级监管下自评估和控制行为，企业应建立三级监督与检查机制，这才是推动PDCA循环的有力抓手。保密风险管理中的监督检查方式主要有内部检查和外部审查，有条件的企业可以每年实施管理评审，最重要的步骤是制定检查方案和培训检查人员，检查方案主要包括检查时间、检查内容和检查标准等，直接决定了风险管理效能，检查人员的经验、水平和能力也间接影响了风险管理质量。

3.6 资源配置和变更

在实施检查的基础上，针对发现的问题，要及时采取措施，确保风险管理的充分性、适宜性和实效性。这一阶段将根据重新评估的风险等级和控制措施确定人、财、物的资源配置，或是修订管理制度和重新设计业务审批流程，形成新的保密风险框架，进入新的PDCA循环，以达到持续提升保密风险管理水平的目的。

4 保密风险管理的保障措施

一是健全的保密管理制度是实施保密风险管理的前提，制度既要符合国家法律法规和标准，又要符合企业实际情况，方便易操作，否则只是“纸上谈兵”，要制度流程化，流程信息化;二是合理的奖惩和考核制度是建立保密风险管理长效机制的催化剂，通过考核和奖惩保证控制措施的执行性，同时调动员工的积极性;三是有效的预警与应急管理制度是保密风险管理的防线，风险的不确定性和变动性给我们准确应对风险带来了难度，应急管理就是通过对突发事件的预防和处置来将损失降到最低，是风险管理的最后一道防线。

5 结语

开展保密风险管理活动，通过合理配置保密管理资源，有效控制和大幅降低保密风险，促使保密管理更加有针对性、真正落实预防为主的保密工作原则，同时，增强全员保密风险意识，形成风险思维，提升企业整体保密防护能力，以合理的成本使泄密风险控制在能够接受的状态，以合理的代价获得最大的保密安全保障。

【参考文献】

【1】王少刚，吴金秋，李险峰.企业保密风险管理的应用与实践[J].保密科学技术，2014（11）：21-26.

【2】张云霞.保密风险管理应用与实践[J].数据库与信息管理，2016（19）：57-59.