内部控制、商业泄密与风险管理

周婷婷

[摘 要]本文以电视剧《我的前半生》中的若干商业泄密问题为切入点，简要介绍商业秘密的内涵及特点，结合商业泄密的可能原因，从企业内部控制、风险管理的角度提出防范商业机密泄露的若干可行性建议。

[关键词]内部控制；商业泄密；风险管理

doi：10.3969/j.issn.1673 - 0194.2017.22.023

[中图分类号]F239.45 [文献标识码]A [文章编号]1673-0194（2017）22-00-02

最近，电视剧《我的前半生》成为大家茶余饭后的热门话题，剧中涉及“泄密”的问题曾多次出现，不管是高级经理菲尔离职带走项目核心资料和大客户名单，还是小董为报复陷害新任副总唐晶故意泄露企业机密资料，这些“泄密”行径都给咨询企业辰星带来了不可估量的损失。现实中，一旦发生商业泄密，企业所蒙受的损失是非常巨大的。因此，保护商业机密，特别是妥善保管使用信息、资料，对于企业的生存和发展有着很强的现实意义。

1 商业秘密的内涵

根据《反不正当竞争法》第十条规定，“商业秘密，是指不为公众所知悉，能为权利人带来经济利益，具有实用性并经权利人采取保密措施的技术信息和经营信息。”这一定义揭示了商业秘密的三层内容：第一，它是不为众人所知，无法从公开渠道获得的信息或资料；第二，具有重大的实用价值，但需注意，公开渠道可以获取的、有着重大实用价值的信息，不属于商业秘密；第三，信息应被合理保护，以确保信息不会被外泄。如果因为保护措施不当而自行泄漏的，不是侵犯商业机密的行为。

2 商业泄密的原因

一般而言，商业泄密可分为无意识泄密和故意泄密两大类别，其具体形态可以分为：口头泄密、手机泄密、网络泄密及文本泄密等。尽管具体形式不一，但造成商业泄密的主要原因基本相同。

（1）商业秘密保护意识淡薄，有关宣传培训教育不到位，容易忽视保密安全中存在的隐患和漏洞。如前文中提及的电视剧中的泄密，就是由于老员工小董利用不知情的实习生去复印相关核心资料导致的，这反映出企业对机密资料保管不善。现实社会中，员工泄密的例子也屡见不鲜，例如：可口可乐企业泄密案主犯被判8年、苹果前高管受贿泄密被判重罚监禁、海尔前高管跳槽窃取商业秘密获刑3年等。

（2）企业未建立信息安全、保密工作的相关制度。“没有规矩，不成方圆”，即使企业在实际工作中有具体的信息保密措施，但没有具体的规章制度，即缺乏指导性和约束性的条文，就可能会导致工作无章可依，特别是新手不知道从何入手操作，从而影响日常保密工作的顺利开展。

（3）保密工作执行不到位。企业已建立相关规章制度，但受到人员素质、管理能力等多重因素的制约，保密工作往往只是按部就班，忽视了潜在的风险，致使安全隐患长期存在，导火索一旦引燃，后果极其严重。常见的表现形式有：一是对涉密载体从新建、收发、中转、使用、保管和销毁等一系列过程未实行严格管控；二是对涉密信息、资料在联网环境下草拟、存储、传递等过程管理执行不到位。此外，仍存在涉密信息、资料的级别与期限不匹配（如有密不定、低密高定等），密码更换不符合要求等。这些现象与监督机构监察不力、保密工作的责任主体职责不明、绩效考评未与之直接挂钩有着直接的关联。

3 加强信息安全内控管理的建议

结合上述原因，为加强信息安全、把控全程风险管理，企业应当做好以下几点。

（1）深刻理解泄密的严重后果，从根源上防止和避免泄密事件的发生。从人力资源内部控制的角度，企业应注意以下几点。第一，招聘新入职员工时，应细致考查员工的价值观，因为漠视知识产权的人存在泄露商业秘密的潜在风险。第二，员工入职后要签订保密条款或保密协议，对于掌握关键技术、核心岗位的重要员工，还要签订竞业禁止协议。具有法律效力的合同对于商业泄密行为具有一定的心理威慑力，也能防范员工在任职期间利用职权之便泄露商业机密，以及限制、禁止员工在离职期间（最长两年内）不得与该企业开展竞争性业务（包括在竞争对手企业任职或自行开设同类型企业）。第三，保密教育应融入日常培训教育中，保密教育应列入员工手册。特别是新入职员工，保密教育应作为岗前培训的必修内容之一，结合特定岗位掌握必要的法律知识和保密技术，自觉履行保密责任和义务，知晓造成商业泄密的法律后果。第四，企业应明确员工离职、调岗时对岗位所掌握的商业秘密的交接手续以及风险控制。

（2）建立健全保密制度，确保日常保密工作有章可循。一方面，根据《劳动合同法》《反不正当竞争法》等相关法律规定，结合企业需求，将具体操作流程制度化，便于各岗位人员据此执行。以制度形式制定信息、资料密级管理的要求，包括商业秘密分级的标准，根据不同密级如何接触流转、管理归档、销毁信息、资料等，如，明确规定员工应按规范使用电子邮件，发送涉密文件应经过授权审批和加密处理；计算机应设置并定期更新密码，机密数据应采用物理手段（如断网），防范网络入侵和被盗用的风险；涉密的纸质资料一经确认无用，定期粉碎销毁。制度上旨在确保安全完整，要求执行内部控制活动中的不相容职务分析控制和授权审批控制，对员工接触商业机密进行严格控制，保证机密的信息、文档的接触范围受限、权责分明。另一方面，针对企业的现实状况和未来趋势，动态调整、完善企业的保密制度，因时制宜地优化保密流程和具体控制措施，促进信息安全，达成内部控制的资产安全目标。

（3）企业应采用以事前预防为主的控制措施，以潜在风险为导向深入开展内部保密自查工作，对潜在的隐患和发现的漏洞及时予以整改。首先，针对商业机密的重要载体在流转过程中接触到不同的传播媒介而产生的风险，除了对员工进行行为限制外，加强软、硬件的安防措施也是防止泄密的重要环节。作为内部控制五要素之一的信息与沟通，其信息系统运营与维护中的一个主要内容就是保障信息系统的安全，即保护所有软、硬件和数据免于遭受破坏、修改和泄露。具体来说，企业内部可通过上锁、门禁等方法限制进入涉密场所，以加密保护、权限设置等形式限制涉密文件或信息的访问、拷贝和转移，有效防止资料外泄。企业内部可以通过内外网隔绝（特别是禁止涉密电脑联网）、屏蔽USB接口等方式限制信息、资料的复制、中转，实现数据的安全隔离防护，并可以通过安装摄像头、监控录像、网络检测等方式，加强对工作区域的日常安全防护。安防措施通过间接的方式给予员工心理压力与威慑，并可为泄密行为提供直观的证据，某种程度上能帮助企业最大限度减少损失、挽回损失。其次，企业内部监督机构应当将日常监督与专项监督有机结合，加大监督力度，促进保密工作的内部监督的有效落实，及时发现问题与隐患，通过原因分析提出整改方案，优化保密工作的流程，确保信息安全内控的长期有效性。此外，企业应当明确信息安全控制的内部监督机構及相关部门、岗位人员的具体职责，建立责任追究制度，对信息安全过程中执行不力的种种行为进行深层次原因的研究，将保密工作的效果与责任部门的考核、绩效相挂钩，确保相关部门、岗位人员意识到保密工作与他们的切身利益息息相关，促进保密工作内部监督的有效落实。

主要参考文献

[1]周黎，石巍.警惕商业秘密的泄露——浅谈雷诺泄密事件给我们带来的警示[J].保密科学技术，2011（7）.

[2]廖耘平.商业秘密保护与竞业禁止[J].当代法学，2002（11）.

[3]郭学利，高红梅.试论商业泄密现象对企业秘书工作的警示[J].经济论坛，2011（10）.

[4]方红星，池国华.内部控制[M].第2版.大连：东北财经大学出版社，2014.endprint