基于PDCA的军工企业保密风险管理探索

摘 要：本文简要阐述了风险、风险管理以及PDCA的定义，保密风险管理的主要内容，PDCA在保密风险中的应用。

关键词：风险;保密风险;PDCA

在国际标准组织ISO发布的《ISOGuide73：2009風险管理—术语》中将“风险”定义为“不确定性对目标的影响。”风险是指客观存在的，在特定情况下、特定期间内，某一事件导致的最终损失的不确定性。

风险管理科学最早起源于美国，其最主要的目标是控制与处置风险，以防止损失发生或者降低损失发生的概率、减少损失的程度，保障生产和各项生活的顺利进行。

20世纪80年代以后，风险管理开始引入我国并日益受到重视。尤其是党的十八大以来，习近平总书记在国家治理中高度重视风险管理，目前看来，风险管理已经上升到国家治理层面。因此，企业应积极响应国家的号召，高度重视风险管理，深刻认识风险管理对于企业的重要性，加强企业内全面风险的防范与控制，防范发生风险或降低风险发生的概率，减少发生风险后企业的各类损失，以确保企业安全可靠运行。

作为一项管理活动，风险管理包含有制订工作计划、风险识别、风险分析与评价、制定管控措施、措施的实施效果与评价几个步骤。

一、保密风险管理的有关内容

保密管理作为军工企业管理体系的组成部分，其根本目的是通过采取各项措施，防止发生重大保密风险，降低较小保密风险发生的频率，确保企业国家秘密安全和体系的有效运行。

军工企业的保密管理体系在运行过程中面临着各种风险，大的方面概括为人员管理风险、载体管理风险、信息系统信息设备管理风险、定密管理风险、要害部门部位管理风险、宣传报道管理风险、协作配套管理风险等。保密风险的发生或者会影响企业的正常运行，或者会影响企业的经济效益，或者会影响企业的社会形象，或者会导致发生失泄密事件。因此，在军工企业的保密体系运行中实施风险管理是非常必要的。

保密风险管理是指运用风险管理的方法，通过识别、分析和评价等步骤，掌握企业在保密体系运行中存在的各种风险，制定应对措施，以对保密风险进行有效控制，做到以最少的管理成本最大限度地保障企业保管的国家秘密和商业秘密安全。

（一）树立风险意识，组织全员参与

保密风险意识的建立不是一朝一夕的事情，因此，企业在推进保密风险工作时，要加强宣传教育，使全体人员充分认识到保密风险管理的重要性。保密风险管理不仅仅是企业保密管理部门的事，涉及企业的各个部门、各个流程，必须发动所有部门，将保密风险管理贯穿到企业的各个流程。

（二）风险识别

保密风险要素的识别工作须由保密管理部门牵头，组织所有业务主管部门参与其中。风险要素的识别方式可分为两种，一种是对已经发生的风险事件进行统计汇总、分析，梳理识别出未来可能发生的风险点;另一种是基于已有的业务流程，对未来即将可能发生的风险事件进行大胆假设，以识别出风险点，并对风险产生的原因进行分析。

（三）风险分析和评价

在风险点识别出来后，保密管理部门组织有关部门成立工作小组，统计已发生风险点的频次或对该风险点未来发生的可能性进行预评价，运用数理统计方法计算所有风险点发生的概率;假设风险发生后对企业造成的损失做出定量分析，以掌握风险发生的可能性高低、发生后造成损失的大小等，从而更好的认识各个风险点的严重程度，便于对保密风险点进行分类管理，并最终形成风险库。

（四）制定应对措施

对已形成的保密风险库中的各个风险点发生的原因、造成后果的严重程度、发生可能性的大小等进行全面的认识和把握的基础上，制定管控措施。

二、PDCA的概念及在保密风险管理中的应用

PDCA循环，是美国质量管理专家休哈特博士首先提出的，由戴明采纳、宣传，获得普及。PDCA循环的含义是将质量管理分为四个阶段，即计划（Plan）、执行（Do）、检查（Check）和处理（Act）。PDCA循环作为全面质量管理的思想基础和方法依据，适用范围不局限于全面质量管理，在保密风险管理中同样适用。

（一）制定计划（Plan）

P（计划）是基础。当前，各个企业都在建设全面风险管理体系，保密风险管理可纳入到企业的全面风险管理工作中，作为企业全面风险管理的一部分，避免重复开展工作。保密风险管理在计划制定阶段，要做好顶层策划，对保密风险识别全面描述、综合采用定性与定量方法对风险进行分析评价、提出风险应对措施，并就如何组织和实施计划进行详细描述。

（二）组织实施（Do）

D（实施）是保障。严格执行计划是关键，对于保密风险管理计划，在工作开展过程中会涉及到组织机构、人员、条件保障等，企业领导层要给予大力支持，确保计划的实施。在组织机构方面，成立保密风险工作领导小组，由企业主管保密工作的领导人员担任组长，企业风控管理部门、保密管理部门的负责人担任副组长，各业务管理部门的业务主管人员、风险管理部门业务主管人员和保密管理部门的主管人员作为小组成员，并明确小组成员的职责;在人员方面，组织开展保密风险管理方面的业务培训，安排风险管理专业人员进行授课，使参与工作的有关人员切实掌握保密风险管理核心要义，掌握风险识别的方法，以准确识别风险点，并进行评价;在条件保障方面，企业要投入足够的经费支持风险管理计划的落实。

（三）开展检查（Check）

C（检查）是动力。保密风险管理是长期的过程，在编制计划时很难对未来的情况进行准确的预测，因此在计划执行过程中要根据实际情况及时进行调整。在计划的执行过程中，主管部门应定期对保密风险管理计划的实施情况进行检查，可采取专项检查、内部自查、互查，不定期抽查等多种形式，查缺补漏。

（四）及时处理（Act）

A（处理）是核心。保密风险管理应针对执行过程中发生的问题，找出问题产生的原因，及时进行调整。通过不断的循环，及时调整工作计划，既能确保保密风险管理计划符合企业实际情况，又服务于企业科研生产，最终确保企业的国家秘密和商业秘密安全。

参考文献：

[1]王彦，马春勋，王民.全面深化企业风险管控 确保保密管理长效机制.国防科技工业，2014.

[2]阮谢虹.辨识保密风险 建立控制机制.国防科技工业，2012.

[3]国家保密科技测评中心资质审查部.试论风险管理在涉密资质单位保密管理中的应用.保密科学技术，2013.

[4]刘新立.风险管理.北京大学出版社，2014.

[5]李龙.军工单位保密风险管理及应对措施.科技视界，2015.