供应商现场审计是保密管理中最吃力但也最能发现问题的工作之一。坐在办公室里看供应商交上来的制度文件,往往看不出什么问题。只有走进供应商的车间、机房和档案室,才能看到真实的管理水平。
这几年我跟着团队做了几十次供应商现场审计,积累了一些实操技巧,分享出来供大家参考。
审计前的准备阶段,有一个容易被忽略的工作是做审计重点画像。不是所有供应商都需要一样的审计标准。提前弄清楚这家供应商接触了企业的哪些信息、这些信息存放在供应商的哪些系统和区域内,然后围绕这些重点信息来设计审计路线。比如供应商存放了企业的设计图纸,那审计路线就要覆盖绘图室、文件服务器和打印区域。如果供应商只处理了订单数据,那审计重点放在数据系统的访问控制上就可以了。
到达现场后的首要步,我通常会要求供应商提供一份涉密人员花名册和文件台账,快速了解有哪些人、哪些文件涉及企业的保密信息。然后对照此前供应商提交的制度文件,看实际执行情况是否一致。
现场审计的一个常用技巧是"跟着文件走"。选一份从企业发给供应商的保密文件,从头到尾追踪它在供应商内部的流转路径:哪个岗位接收、用什么系统存储、哪些人有权访问、最终是如何处理或销毁的。一圈走下来,供应商的保密管理水平基本就清楚了。
文件管理区域的检查重点有几项。涉密文件的存储柜是否上锁,钥匙由谁保管,是否有交接记录。电脑桌面和文件夹是否随意存放了企业的保密文件,文件的命名是否规范标注了密级。打印复印区域是否有废弃文件没有及时销毁。有审计人员打印了几张测试页,然后观察打印区域有没有及时清理,超过十分钟还在那里说明管理存在疏漏。
信息系统方面的检查也有几个关键操作点。检查供应商的服务器机房门禁是否严格,进入机房是否需要审批登记。抽查几个供应商员工的电脑,看是否有违规安装了远程控制软件或非工作用的即时通讯工具。向IT管理员要一份近期的系统日志,查看是否有授权之外的人员试图访问企业数据。
人员管理方面,可以随机选择几名接触企业数据的人员进行简短访谈,了解他们对保密制度的认知程度。访谈不需要很长,几个问题就能判断出培训是否真正落地。比如问"你印象中公司的保密制度有哪些规定",如果员工支支吾吾说不出来,那培训显然没有做到位。还可以问"如果发现同事把保密文件带回家了你会怎么做",看员工有没有清晰的报告渠道意识。
审计中还有一个容易被忽视的检查点,是供应商的垃圾处理和废弃物料管理。从垃圾桶里找到带有企业信息的纸张,这种事情在审计中并不罕见。有的供应商将废弃的BOM单和报废样品随便堆在厂区角落,没有任何标识和隔离。现场审计时建议顺路巡视一下垃圾处理区和物料报废区。
审计结束后的总结和整改跟踪同样重要。审计发现的问题要形成正式的整改清单,与供应商确认整改意见和时间节点。整改完成后的两周内进行复核确认,防止整改流于形式。
做一个真正严格的供应商现场审计,供应商一开始可能会有抵触情绪。但只要坚持做上两次,供应商反而会对企业产生信任感,知道这是一个在认真做管理的客户,合作起来也更加放心。
