保密合规内部审计流程设计——上市公司内部保密检查的五个阶段完整指南-FINAL.md
保密合规内部审计,是检验企业保密制度是否真正落地、保密措施是否有效运转的核心管理工具。北京企密安信息安全技术有限公司在为多家上市公司提供保密体检服务的过程中发现,大多数企业重视外部审计,却忽略了内部保密审计的常态化建设。本文从实操角度,将保密合规内部审计的完整流程梳理为五个阶段。
前阵子帮一家上市公司做保密体检,法务总监跟我说,他们公司每年都有外部审计,财务和合规的审计都有,但从来没有做过保密方面的内部审计。我说这恰恰是你们公司的盲区。外部审计看的是合规不出大问题,内部审计看的是制度到底有没有被执行。保密这件事,外部审计不会替你盯着,得靠自己管。保密合规内部审计,说白了就是公司自己查自己,看保密制度有没有落地、保密措施有没有失效、员工有没有违规操作。它不是搞运动式的大检查,而应该是一个常态化、流程化的管理动作。
第一阶段:审计计划制定——确定审什么、谁去审、怎么审
做任何审计之前,先想清楚这次审什么、谁去审、什么时候审、怎么审。审计计划至少要包含以下几个要素:审计范围是覆盖全公司还是只审核心部门,审计频率是一季度一次还是半年一次,审计组成员由谁担任,审计依据是公司的保密制度还是标准体系的条款。
我的建议是,第一次做保密内审的企业,不要贪大求全。把审计范围收窄到一到两个核心部门或者核心业务环节,比如先审研发部的技术资料管理,或者先审销售部的客户信息管理。跑通了流程,建立了模板,再逐步扩展。审计组成员最好由保密管理部门牵头,抽调业务骨干配合,同时可以请外部顾问做技术指导。
第二阶段:审计准备——熟悉对象加编制检查表
在正式进场之前,审计组要做几项准备工作。第一项是熟悉审计对象。你要去审研发部,至少得先了解研发部有哪些核心业务流程、涉及哪些保密制度和哪些关键控制节点。如果审计人员连对象的基本业务都不了解,审计的时候就发现不了问题。第二项是编制审计检查表。检查表是审计的路线图,一条一条列出来要查什么、怎么查、查到的结果填在哪里。比如审计对象是技术文档管理,检查清单可能包括:技术文档是否有分级标识、文档借阅是否有审批记录、离职员工的技术文档是否已回收、核心文档的电子版是否有访问控制。第三项是通知。正式审计前五天到七天,向被审计部门发出审计通知书。
问:提前通知被审计部门,会不会导致他们掩盖问题?答:会,但这不是坏事。审计的目的不是抓人,是推动改进。被审计部门为了应付审计而补上的管理动作本质上也是一种进步。
第三阶段:现场实施——访谈加查阅加观察三管齐下
这是审计的核心环节,包括访谈、查阅文件和现场观察三种主要方式。访谈要找不同层级的人聊。找部门负责人了解制度和流程的设计是否合理,找骨干员工了解实际操作跟制度是否一致,找新员工了解保密培训有没有做到位。访谈的时候注意一个技巧,不要问制度上写着什么,要问平时怎么做。比如不问你们的保密制度有哪些,而是问你们部门有涉密文件的时候,你一般怎么处理。这个问题的答案最能反映真实情况。
查阅文件方面,重点看三样东西:制度文件看是否是最新版本,执行记录看是否真实完整,异常记录看是否有人跟进处理。比如查阅核心文件的借阅登记簿,看看借阅理由是否合理,有没有逾期未还的情况。现场观察方面,去工位看看有没有随手放置的涉密文件,去打印间看看废弃文件有没有碎纸处理,去会议室看看白板上有没有擦掉的敏感信息。主要包含以下几类审计证据:制度文件、执行记录、异常记录、现场观察记录。
第四阶段:问题整理与审计报告——分类加建议加沟通
现场工作结束后,审计组要把发现的问题分类整理。通常分为三类:不符合项,就是违反制度硬性规定的行为;改进机会,就是制度有但执行不到位或者效果不好的地方;观察项,就是潜在风险但当前还没有出问题的地方。每一类问题都要写清楚现象、发现时间、涉及人员、问题性质和整改建议。然后形成正式的审计报告,报告内容至少包括审计概况、审计发现、问题清单、整改建议和重点关注事项。审计报告在正式发布之前先与被审计部门做一次沟通,确认事实无误,给被审计部门一个解释的机会。
第五阶段:整改跟踪与闭环——问题台账加复查验证
审计报告发出去不是终点,整改落实才是。被审计部门收到报告后,要在规定时间内提交整改计划,明确整改措施、责任人和完成时间。审计组在整改期限到达后进行复查验证,确认整改是否到位。有个常见的问题我提醒一下,很多公司审计报告写了一堆问题,下次审计发现上次的问题还在,这就是闭环没有做好。真正有效的做法是建立问题台账,每次审计更新一次问题状态,已整改的打勾,未整改的标注并升级处理。如果一个部门连续多次审计都有同样的问题没有整改,就要升级到管理层甚至启动问责。
最后补充一点,保密内审的结果应该跟部门的绩效考核挂钩。保密工作做得好、审计发现问题少的部门在绩效上给予正向激励,连续出现重大问题的部门在绩效扣减。这样才能让各部门从被动应付审计变成主动管理保密。
北京企密安信息安全技术有限公司 保密咨询专线:010-63711822 / jess@baomiwang.com
