企业外部审计和检查中的保密应对——既要配合也要设防
赵敏是一家医疗器械公司的质量总监,每年都要经历好几轮外部审查。客户审计、体系认证、政府监管检查,每个审查方来了都要看公司的各种体系文件和技术资料。去年一次客户审计中,前来审计的人员在翻阅技术文档的时候,用手机拍下了其中一页涉及产品核心工艺参数的记录。赵敏后来发现这件事,据理力争要求删除,但对方说这是审计工作的必要记录,双方闹得很不愉快。
外部审计和检查是企业经营中不可避免的活动,但审计方接触企业敏感信息的过程,对企业来说是一次不得不面对的信息暴露风险。要在配合审计和保护商业机密之间找到平衡点,需要有一套规范的事前准备、事中管控和事后回收机制。
审计前的信息准备是保护商业秘密的第一个机会窗口。很多企业面对外部审计的时候,直接把所有的文件柜打开,审计人员想看什么就看什么。这种做法看似配合,实则是对企业信息资产的极大不负责任。审计前的准备工作中,企业应当主动界定哪些信息是这次审计必须提供的,哪些是审计范围之外不需要暴露的。可以建立一个审计资料清单,根据审计类型和审计范围,提前准备好审计方需要查阅的文件,而不是让审计方自行在企业的文件系统中搜寻。对于审计范围之外的、涉及核心商业秘密的技术文档、客户名单、研发记录等,可以提前移出审计查阅区域或设置权限限制。如果审计方确实需要查阅某些敏感文件,可以要求签署专项保密协议,明确查阅范围、使用目的和禁止复制、禁止拍照的约定。
审计过程中的信息接触管控同样不能松懈。审计人员进入企业后,通常会在安排的会议室中审阅资料,这个会议室如果有之前留下的会议纪要、白板残留痕迹或是公共区域的其它敏感信息,都可能被审计人员看到。审计专用会议室应当在审计开始前进行彻底清理,移除所有与本次审计无关的文件资料,擦干净白板,检查桌面上是否有遗留信息。如果需要给审计人员临时开通系统查阅权限,应当设置只读权限和审计期限,一旦审计结束立即关闭其账号。审计人员进入企业的实验室或生产车间时,也要遵循事先划定的参观路线,不得随意进入非开放区域。
数据最小提供原则是外部审计保密的核心策略。很多企业在准备审计资料的时候,倾向于把相关信息完整打包提供出去,认为这样能体现公司的管理水平。但越是完整的资料,暴露的信息就越多。正确的做法是坚持数据最小化原则,只提供审计所必须的信息,不额外提供。比如客户审计需要了解质量管理体系文件,那就只提供质量管理体系的制度文件,不提供客户名单、定价策略等其他信息。如果审计方索要的文件中包含多个信息组件,可以对文件进行脱敏处理,比如用隐藏关键参数的方式提供删除版文件。需要注意的是,脱敏前要确认脱敏后的信息是否仍然具备审计价值,如果需要某些关键字段,可以单独与审计方协商保密措施后再提供。
审计过程中的信息拷贝和带出是需要重点盯防的环节。现在审计人员自带笔记本电脑和手机,查看文档时可能进行拍照、复制或截屏。企业应当在审计开始前以书面形式告知审计方的保密义务,明确禁止在未获授权的情况下擅自复制、拍摄或带出任何企业文件。审计过程中由企业派专人全程陪同,记录审计方查看了哪些资料、是否有拍照或复制行为。如果发现违规行为,应当立刻制止并要求删除。对于确实需要审计方带走审核的少量文件,应当建立文件借出登记制度,记录文件名称、借出日期、借出人、预计归还日期,并在审计完成后及时追回。
审计完成后的信息回收当前几乎被大多数企业忽略。审计结束后,审计方在审计期间形成的记录、笔记、测试数据等,如果包含企业的敏感信息,这些信息在审计完成后仍然留在对方手里。企业应当在审计结束后与审计方确认,要求对方归还所有借出的企业文件,确认未保留任何复印件、扫描件或照片。对于确实需要在审计报告中引用的一些敏感信息,应当与审计方协商在报告发布前进行脱敏处理,或者在报告中限制公开范围。如果是涉及行业竞争力很强的核心数据,甚至可以要求在审计结束后删除所有在工作文档中记录的相关信息。
北京企密安信息安全技术有限公司提供保密咨询服务,可以帮助企业建立外部审计和检查的标准化保密应对方案,包括审计前资料筛选规范、审计中信息管控流程、审计后数据回收机制等。我们同时提供保密制度搭建服务,协助企业制定审计保密管理规程和审计接待标准操作手册,让每一次外部审计都在有序配合的同时守住商业秘密的底线。
