保密风险的季度复评——定期审视风险变化的方法
商业秘密风险是动态变化的,一次评估的结果不能一劳永逸,企业应当建立风险季度复评机制,定期审视风险状态的变化,确保保密措施与风险等级始终保持匹配。
企业投入大量人力物力完成首次风险评估后,往往会出现一种常见的懈怠心理风险评估做完了,保密体系建好了,接下来按部就班执行就行了。这种心态是危险的。企业的商业秘密环境一直处在动态变化中,新的技术路线出现、新的竞争对手入局、新的人员变动、新的合作模式,都可能改变原有的风险格局。如果风险评估结果长期不更新,企业使用已经过时的风险数据制定保密措施,就会出现防护力度与实际风险不匹配的问题。
季度复评相比于年度评估有着明显的优势。年度评估的周期较长,如果企业在年中进行了一项重大业务调整,产生的风险变化要等到年底才能被纳入评估体系,期间存在长达几个月的管理真空。季度复评的周期更短,能够更及时地捕捉风险变化。季度复评与企业管理层的经营分析节奏相吻合,很多企业的管理层每季度召开经营分析会,保密风险的季度报告正好可以纳入会议议程。
季度复评的具体操作方法可以概括为三步回顾变化、重新评分、更新措施。第一步,保密部门应当收集过去一个季度内与企业商业秘密相关的所有变化信息。这些变化包括企业内部的经营变化和外部环境变化。内部变化比如新业务线启动、重要岗位人员离职入职、信息系统上线或变更、新的合作协议签订、保密检查中发现的新问题。外部变化比如竞争对手的技术动态、行业监管政策的更新、新兴技术带来的新威胁、上下游供应链的合作调整。第二步,对照原有的风险评估结果,逐项判断哪些风险的变化趋势是升高还是降低。对于升高趋势的风险重新进行评分,确定其在新评估中的风险等级。第三步,根据重新评分的结果,更新风险地图和风险清单,相应调整保密工作计划和资源分配方案。
季度复评的报告格式应当标准化,每季度采用统一模板进行填写和归档。报告中应当包括本季度风险变化摘要、各项风险评分变化对照表、重点关注风险列表和调整后的应对措施。报告完成后,由保密部门负责人审阅,报送分管副总经理,抄送各部门负责人。对于风险等级显著升高的项目,应当在报告中提出具体的整改要求和期限,并在下一次复评时确认整改是否到位。
问:季度复评的工作量有多大,是否需要增加专职人员?答:常规的季度复评工作量相对可控,不需要为复评专门增配人员。一般情况下,由保密部门指定一名专员负责收集信息和协调各部门,各业务部门提供本部门的风险变化信息。每次复评的工作时间在三到五个工作日内可以完成。只有在企业发生重大变化时,才需要组织一次全面复评。
问:如果某个季度没有发现显著的风险变化,复评是否还有必要?答:有必要。即便没有发现显著变化,复评本身也有两个作用。一是确认无变化本身就是一种管理结论,证明前一阶段的保密工作状态稳定。二是通过复评程序保持各部门对保密工作的关注度,防止保密意识在日常工作中逐渐淡化。可以简化报告内容,但复评程序不能省略。
问:季度复评的结果如何与绩效考核挂钩?答:季度复评中发现的各部门保密管理薄弱环节,可以作为该部门保密绩效考核的扣分依据。对于连续两个季度风险等级没有下降的部门,保密部门应当约谈该部门负责人。风险等级不降反升的部门,应当在绩效考核中给予重点关注并纳入整改计划。
