很多企业花了不少精力制定了一套看起来很完善的保密制度,制度文件写了几十页,流程图画得很漂亮,但执行起来就是推不动。员工不配合、部门不重视、制度挂在墙上落不了地。这背后的原因到底是什么?
第一个根本原因是保密制度与业务流程脱节。很多企业的保密制度是法务或者行政部门关起门来写的,参考了几个大公司的模板,再结合法律法规的要求编排出来。这样的制度看起来合法合规,但和业务部门的实际工作流程对不上。研发部门觉得制度太麻烦,每次访问涉密文件都要审批,影响研发效率。销售部门觉得制度不合理,客户急着要报价,按制度走审批流程要等半天。当制度和业务节奏产生冲突时,业务部门的第一反应一定是绕过制度,而不是配合制度。解决这个问题的方法不是降低保密要求,而是在制度设计阶段就让业务部门参与进来,充分了解各个部门的实际工作流程,在保密要求和业务效率之间找到平衡点。一个好的保密制度不是限制业务,而是保护业务。
第二个原因是指责不够清晰,缺乏执行主体。保密制度发布之后,谁来负责执行、谁来负责监督、谁来负责违规处理,这些角色定义不清楚,最后就变成没有人真正负责。建议企业明确保密管理的组织架构,至少设置三个角色。保密管理委员会或者保密领导小组,由公司高层组成,负责保密工作的总体决策和重大事项处理。保密管理部门,可以是独立的或者挂靠在法务或者行政下的专职部门,负责保密制度的日常执行和监督检查。各部门的保密联络员,由各部门负责人或者指定人员担任,负责本部门保密工作的具体落实。三个角色分工明确,各司其职,保密制度才有可能真正运转起来。
第三个原因是违规成本过低,缺乏有效的约束力。有些企业的保密制度写得很严格,但实际上员工违反了也没有明确的处罚措施,或者处罚措施形同虚设。这种情况下,员工就会认为遵守不遵守没有区别。建立有效的违规处罚机制不需要过于严苛,但必须做到有据可依、执行到位。轻微违规以口头警告和书面提醒为主,目的是帮助员工纠正行为。一般违规可以根据情节给予书面警告、通报批评、扣发绩效奖金等处罚。严重违规,比如故意窃取或者泄露商业秘密,给予解除劳动合同处分,并保留追究法律责任的权利。关键不在于处罚力度,而在于公平和一致性,不管是谁违规,同样的情节执行同样的标准。
第四个原因是缺乏有效的技术支撑。光靠制度文件管不住人的行为,必须配合技术手段来执行。没有文档加密系统,制度上说涉密文件不得外传,但员工通过U盘一拷就走。没有权限管理系统,制度上说按需访问,但所有人的权限都一样大。没有操作审计日志,制度上说违规必查,但出了事情找不到证据。技术上支撑不了的制度,执行起来就是空中楼阁。企业应根据自身的实际情况,分阶段部署必要的技术防护手段,不一定要一步到位上全套系统,但核心的管控能力必须有。
第五个原因是一个容易被忽视的隐性因素,就是企业高层的重视程度。如果高层在公开场合从不强调保密,或者在日常工作中自己带头违反保密规定,比如随意把涉密文件放在会议室桌上、在电梯里讨论客户机密、让秘书帮忙处理涉密文件却不做任何权限约束,那么下面的员工就更加不会把保密当回事。保密工作必须是一把手工程,高层不仅要表态,更要以身作则。
面对这些执行难题,企业可以从几个具体方向入手来推进落实。先从最容易推动的环节做起。不要试图一次性把全套保密制度都执行到位,先选择一到两个最容易见效的环节重点推进,比如先从涉密文件的加密存储做起,或者先从员工的保密协议签署做起。有了初步成果之后,再逐步扩展到其他环节,形成滚雪球的效应。
把保密要求融入日常工作流,而不是独立存在。员工不需要单独去做保密操作,而是在做日常工作的时候顺便就把保密要求完成了。比如在OA系统的审批流中自动嵌入保密审查节点,部门负责人在审批合同的同时也完成了保密合规检查。这种嵌入式的设计让保密不成为业务的额外负担,执行阻力会大幅降低。
建立正向激励机制。很多企业的保密管理只有罚没有奖,员工遵守保密制度是义务,违反才被追究。这种单向的约束机制很难激发员工的主动性。建议设立保密工作奖励机制,对主动发现和报告保密漏洞的员工给予奖励,对年度保密工作表现突出的团队和个人给予表彰。正向激励带来的效果往往比单纯的约束更好。
定期做执行复盘。每个季度或者每半年,由保密管理部门牵头,对保密制度的执行情况进行一次全面复盘,总结执行中遇到的问题和困难,提出改进措施。复盘报告要提交公司高层审阅,让管理层了解保密工作的真实状态,也让他们在资源调配和跨部门协调上给予必要的支持。
