保密管理体系内部审核与管理评审操作指南
有个客户让我印象很深。他们花了大半年时间建立了一套保密管理体系,制度写得很详细,流程也设计得挺完整。但体系运行一年之后老板发现,很多地方跟当初设计的不一样了——原来规定涉密文件要归档的,有些部门图方便直接在自己的共享文件夹里存着;原来规定设备报废要销毁硬盘的,有些IT嫌麻烦直接把旧电脑卖了。问负责人为什么不按制度执行,负责人说"制度是制度,实际是实际,大家都在这么干"。这种制度与实际脱节的问题,靠日常管理是发现不了的,需要通过内审来揭露。
内部审核(简称内审)和管理评审是保密体系中"检查"和"改进"两个环节的核心工具。前者是"你自己检查自己有没有按制度做",后者是"管理层看这套制度本身有没有用"。两者缺一不可。
内审怎么做。首先,内审需要独立性。内审员不能审核自己所在的部门和工作,否则很难保证客观。建议中小企业至少培养一到两名经过保密管理体系内审培训的内部审核员,或者和兄弟公司相互做审核。如果确实没有资源,可以考虑聘请外部的咨询机构来做审核。内审的周期一般建议每半年一次,至少一年一次不能少。
内审的计划要提前编制。审核计划中明确本次审核的范围、依据的标准、审核组成员、审核日期、被审核的部门名单。提前至少两周把审核计划发给被审核部门,让大家有准备的时间。审核内容不仅限于制度文件是否齐全,更重要的是检查实际操作与制度规定的符合程度。
审核过程主要通过面谈、查阅记录、现场观察三大方式来收集证据。面谈就是问员工"你知道你们部门的保密要求是什么吗?你日常是怎么执行的";查阅记录就是调取培训记录、巡检记录、借阅记录看有没有按时填写;现场观察就是去办公区域走一圈,看看文件有没有乱放、设备有没有上锁、台账有没有更新。审核过程中发现的每一个问题都要记录为不符合项或者改进项。
不符合项要整改闭环。审核报告完成之后,逐项指定整改责任人和整改期限。整改完成后由内审员复核确认整改效果。如果在审核中发现了严重不符合项(比如核心制度完全没有执行、关键环节没有任何管控),需要立即报告管理层采取紧急纠正措施。
管理评审是管理层的责任。内审是对"执行"的检查,管理评审是对"体系设计"的评估。建议每年至少做一次管理评审,由总经理或授权代表主持,各部门负责人参加。管理评审需要评审内审结果、风险评估更新情况、泄密事件统计分析、目标和绩效考核结果、改进建议等。管理评审的结论就是—这个体系要不要调整、资源够不够、目标要不要修改。
常见问题:
Q:内审发现的问题太多怎么办?
A:先区分严重程度。严重不符合必须立即解决,一般不符合项可以纳入整改计划分批处理。不要因为问题多就不做审核,也不能因为问题多就降低整改标准。
Q:小公司没有人员做内审怎么办?
A:可以通过参加行业组织的保密内审培训,掌握基本方法后自己来做。如果实在没有人,至少请公司里不参与具体保密管理的人员来担任审核员。保持基本的独立性比完全不做要好得多。
Q:管理评审的结论需要公开发布吗?
A:管理评审的结论属于公司内部管理信息,不需要对外公开。但应该在管理层面形成正式的评审报告。评审过程中形成的改进项同样需要跟踪。
