基于PDCA的軍工企業保密風險管理探索

摘?要：本文簡要闡述了風險、風險管理以及PDCA的定義，保密風險管理的主要內容，PDCA在保密風險中的應用。

關鍵詞：風險;保密風險;PDCA

在國際標準組織ISO發布的《ISOGuide73：2009風險管理—術語》中將“風險”定義為“不確定性對目標的影響。”風險是指客觀存在的，在特定情況下、特定期間內，某一事件導致的最終損失的不確定性。

風險管理科學最早起源于美國，其最主要的目標是控制與處置風險，以防止損失發生或者降低損失發生的概率、減少損失的程度，保障生產和各項生活的順利進行。

20世紀80年代以后，風險管理開始引入我國并日益受到重視。尤其是黨的十八大以來，習近平總書記在國家治理中高度重視風險管理，目前看來，風險管理已經上升到國家治理層面。因此，企業應積極響應國家的號召，高度重視風險管理，深刻認識風險管理對于企業的重要性，加強企業內全面風險的防范與控制，防范發生風險或降低風險發生的概率，減少發生風險后企業的各類損失，以確保企業安全可靠運行。

作為一項管理活動，風險管理包含有制訂工作計劃、風險識別、風險分析與評價、制定管控措施、措施的實施效果與評價幾個步驟。

一、保密風險管理的有關內容

保密管理作為軍工企業管理體系的組成部分，其根本目的是通過采取各項措施，防止發生重大保密風險，降低較小保密風險發生的頻率，確保企業國家秘密安全和體系的有效運行。

軍工企業的保密管理體系在運行過程中面臨著各種風險，大的方面概括為人員管理風險、載體管理風險、信息系統信息設備管理風險、定密管理風險、要害部門部位管理風險、宣傳報道管理風險、協作配套管理風險等。保密風險的發生或者會影響企業的正常運行，或者會影響企業的經濟效益，或者會影響企業的社會形象，或者會導致發生失泄密事件。因此，在軍工企業的保密體系運行中實施風險管理是非常必要的。

保密風險管理是指運用風險管理的方法，通過識別、分析和評價等步驟，掌握企業在保密體系運行中存在的各種風險，制定應對措施，以對保密風險進行有效控制，做到以最少的管理成本最大限度地保障企業保管的國家秘密和商業秘密安全。

（一）樹立風險意識，組織全員參與

保密風險意識的建立不是一朝一夕的事情，因此，企業在推進保密風險工作時，要加強宣傳教育，使全體人員充分認識到保密風險管理的重要性。保密風險管理不僅僅是企業保密管理部門的事，涉及企業的各個部門、各個流程，必須發動所有部門，將保密風險管理貫穿到企業的各個流程。

（二）風險識別

保密風險要素的識別工作須由保密管理部門牽頭，組織所有業務主管部門參與其中。風險要素的識別方式可分為兩種，一種是對已經發生的風險事件進行統計匯總、分析，梳理識別出未來可能發生的風險點;另一種是基于已有的業務流程，對未來即將可能發生的風險事件進行大膽假設，以識別出風險點，并對風險產生的原因進行分析。

（三）風險分析和評價

在風險點識別出來后，保密管理部門組織有關部門成立工作小組，統計已發生風險點的頻次或對該風險點未來發生的可能性進行預評價，運用數理統計方法計算所有風險點發生的概率;假設風險發生后對企業造成的損失做出定量分析，以掌握風險發生的可能性高低、發生后造成損失的大小等，從而更好的認識各個風險點的嚴重程度，便于對保密風險點進行分類管理，并最終形成風險庫。

（四）制定應對措施

對已形成的保密風險庫中的各個風險點發生的原因、造成后果的嚴重程度、發生可能性的大小等進行全面的認識和把握的基礎上，制定管控措施。

二、PDCA的概念及在保密風險管理中的應用

PDCA循環，是美國質量管理專家休哈特博士首先提出的，由戴明采納、宣傳，獲得普及。PDCA循環的含義是將質量管理分為四個階段，即計劃（Plan）、執行（Do）、檢查（Check）和處理（Act）。PDCA循環作為全面質量管理的思想基礎和方法依據，適用范圍不局限于全面質量管理，在保密風險管理中同樣適用。

（一）制定計劃（Plan）

P（計劃）是基礎。當前，各個企業都在建設全面風險管理體系，保密風險管理可納入到企業的全面風險管理工作中，作為企業全面風險管理的一部分，避免重復開展工作。保密風險管理在計劃制定階段，要做好頂層策劃，對保密風險識別全面描述、綜合采用定性與定量方法對風險進行分析評價、提出風險應對措施，并就如何組織和實施計劃進行詳細描述。

（二）組織實施（Do）

D（實施）是保障。嚴格執行計劃是關鍵，對于保密風險管理計劃，在工作開展過程中會涉及到組織機構、人員、條件保障等，企業領導層要給予大力支持，確保計劃的實施。在組織機構方面，成立保密風險工作領導小組，由企業主管保密工作的領導人員擔任組長，企業風控管理部門、保密管理部門的負責人擔任副組長，各業務管理部門的業務主管人員、風險管理部門業務主管人員和保密管理部門的主管人員作為小組成員，并明確小組成員的職責;在人員方面，組織開展保密風險管理方面的業務培訓，安排風險管理專業人員進行授課，使參與工作的有關人員切實掌握保密風險管理核心要義，掌握風險識別的方法，以準確識別風險點，并進行評價;在條件保障方面，企業要投入足夠的經費支持風險管理計劃的落實。

（三）開展檢查（Check）

C（檢查）是動力。保密風險管理是長期的過程，在編制計劃時很難對未來的情況進行準確的預測，因此在計劃執行過程中要根據實際情況及時進行調整。在計劃的執行過程中，主管部門應定期對保密風險管理計劃的實施情況進行檢查，可采取專項檢查、內部自查、互查，不定期抽查等多種形式，查缺補漏。

（四）及時處理（Act）

A（處理）是核心。保密風險管理應針對執行過程中發生的問題，找出問題產生的原因，及時進行調整。通過不斷的循環，及時調整工作計劃，既能確保保密風險管理計劃符合企業實際情況，又服務于企業科研生產，最終確保企業的國家秘密和商業秘密安全。

參考文獻：

[1]王彥，馬春勛，王民.全面深化企業風險管控 確保保密管理長效機制.國防科技工業，2014.

[2]阮謝虹.辨識保密風險 建立控制機制.國防科技工業，2012.

[3]國家保密科技測評中心資質審查部.試論風險管理在涉密資質單位保密管理中的應用.保密科學技術，2013.

[4]劉新立.風險管理.北京大學出版社，2014.

[5]李龍.軍工單位保密風險管理及應對措施.科技視界，2015.