安全，能成为TO B利润中心吗？

本文发自SECURITY EXECUTIVES，原题为“Can Corporate Security be a Profit Center？”，作者 Mark Lex （TorchStone高级副总裁），经朋湖网作者黎燕微编译整理，供业内参考。

企业安全功能作为一个利润中心的概念已经被讨论了多年，而网安厂商们却很难说服企业组织肯定这个观点，其原因是在大多数情况下，安全并不是一个为企业组织创造新收入和利润的利润中心（抱歉，我不认为部门退款是利润——它只是把资金从一个公司篮子里转移到另一个公司篮子中）。此外，产生收入与实现利润是不同的，把这些术语扔在商业领袖面前，而不知道这些区别，只会表明安全与企业的运作方式不一致。

在我在安全行业长达40年里，企业安全功能真正是组织的可持续利润中心的情况是非常少见的。我认为安全不是利润中心的观点可能会冒犯一些读者，然而，安全功能肯定是可以贡献价值，值得投资的。

它使公司业务部门在进入新市场时有能力承担承担更多的风险，或在面对威胁和挑战时能更持久和更有弹性来实现利润。安全部门通过帮助公司领导正确地识别、评估和理解风险，然后设计和实施程序来减轻风险来实现这一点，没有安全缓解措施给组织带来了可感知的和真实的风险。

如果安全不是一个利润中心，但仍然有价值，你如何定位公司安全成为业务的推动者？您如何实现该价值？或许要从掌握三个关键领域开始——了解你的业务；认清你的风险；找准你的定位。

一

了解你的业务

我相信这是一个组织中任何职能领导者都需要在意的首要因素。你的企业中最有价值的资产是什么？哪些部门或单位创造的收入最多？谁是你们公司的关键人物？

如果不了解业务或发展方向，很难制定一个与业务保持一致的安全战略或计划。我创建了“倡导和对手”的执行组织结构图，作为我的影响力战略的一部分。这并不是我与其他人分享的视觉内容，但它向我展示了影响被阻碍或停滞的瓶颈。在执行层面上，了解谁支持和相信你，就像谁对你或安全职能感到矛盾或消极一样重要。你可以创建并实施针对这个群体的影响策略，包括让支持你的同伴朝着正确的方向影响他们。

你的公司是在收购另一家公司吗？如果你公司的一部分被卖给了另一家公司，你可能会被要求交出员工人数。你是否有一个应急计划来执行80%、70%或50%的当前预算？如果是这样，你将不能再提供什么服务呢？这些都是了解你的业务和组织的一部分考虑因素。我花了大量的时间与安全主管一起处理这些类型的场景。那些掌握了自己业务和与公司安全的互动的人就会成为赢家。

一些公司允许管理层成员暂时在现场操作工作或直接客户互动，作为他们入职和定位的一部分。我个人在担任安全和保安主管后不久，我就有机会在固安格分店和仓库工作了一周。当我成为贝宝公司的安全总监，并跟随我们的客户服务代表，直接处理客户的问题、问题和投诉时，我也提供了同样的机会。这些都是学习业务和观察安全是如何与这些前线位置相互作用的宝贵机会。

您的公司是否重视将同行比较数据和基准测试作为项目验证的一部分？在一个雇主，我的首席财务官带领我们公司召开五分钟会议，审查竞争对手和同行的关键指标。我不确定你来自哪里，但在我的世界里，这叫做一个线索。基准测试和指标是一个很高的核心价值，所以我的首要任务之一就是在我自己的员工会议和向高管做简报时开发和呈现价值指标。

一些企业文化并不强调董事会层面的风险或同行之间的基准测试。我的老板和导师鲍勃·海耶斯，现任安全执行委员会创始人和董事，曾建议我：“什么会让你在一家公司得到晋升，什么会让你在另一家公司被解雇。”花点时间研究你公司的成功领导者如何报告他们的结果、处理数据并得出结论。我曾在那些需要在决策中达成共识的公司工作和咨询过，而其他人则以“迅速犯错”的精神鼓励迅速采取个人果断行动。这些都是了解你的商业文化和什么有用与否的部分。

对于任何安全主管来说，一个关键的方面是将他们的努力与董事会级别的风险相一致。董事会水平或“10k”风险的产生是萨班斯奥克斯利(SOX)和上市公司报告其风险作为年度政府文件的一部分的结果。10k风险一词来源于上市公司向美国证券交易委员会提交的年度10k报告中所报告的信息。这些风险通常分为战略风险、财务风险、法律/合规风险和运营风险。大多数涉及安全的风险因素通常都出现在操作风险类别中。然而，应该对所有的风险因素进行仔细的审查，以确定安全功能的直接参与程度。下图描述了对一家中型制药公司的简单分析。我们很容易将1万美元的风险与安全责任直接联系起来。

在SOX颁布后不久，安全执行委员会(www.securityexecutivecouncil.com)在这一领域进行了开创性的研究，并继续为安全高管提供战略和计划，将这些董事会层面的风险与公司安全职能结合起来。

那些受雇于私营公司的人，在寻找自己在董事会层面的风险方面，可能会面临更大的挑战。年度报告提供关键信息，与高管的讨论将告知这些风险。在类似的上市公司中发现的一些相同的运营风险，很可能也存在于一家私人公司中。 

在我看来，这是最具挑战性的一个领域。大多数人都被提升为角色或被雇佣来影响变革。在这些情况下，野心和耐心有时会发生碰撞。在学习文化和过程之间有一种平衡。如果你等了太久才做出改变，它可能会造成混乱，假设现状一到达就被接受了。然而，正如文章后面所提到的那样，立即发生的改变并不是正确的答案。此外，还需要在您所给定的组织边界内进行更改。我曾与几位安全高管合作过，他们花了更多的时间试图与他们的职能领导保持距离，觉得这不合适，而不是创新地让情况在当前的结构中工作。

例如，我的第一份公司工作是向金融机构汇报工作（这并不是我职业生涯中最后一次向该部门汇报工作）。这并不理想，因为我的责任范围超出了我自己老板的责任范围。我本可以花精力反对报道关系。我当时是一支单人军队，所以同时也在忙着学习业务和解决问题。我终于接受了这种情况，并在当前的结构中寻找创新的方法。

当我环顾一下这个组织时，我发现安全职能部门有很多人，并且被嵌入到了我需要影响的每个领域。我向该组织的职能领导提出了一种伙伴关系，在其中我将支持他的有关安全问题的小组——一份虚线报告。我找到了一种为每个人创造胜利的方法。我没有“篡夺”我的老板地位，而且仍然和他有一个可靠的报道关系。

安全团队很高兴能够将安全功能添加到另一个领域，成为他们可以为我们的制造工厂、配送中心和销售办公室提供服务的领域。我当然可以自己花点时间来雇佣一群人。然而，这并不是我将在文章最后提到的答案。此外，这种服务交付模式需要几年时间才能获得这种模式的支持。相反，我抵制住了帝国建设的诱惑和人们对一个庞大而强大的企业安全组织的看法。

相反，安全被嵌入作为安全组织中整体操作风险的一部分。最终，这个模式是成功的，并且是“最适合”这家公司的。

除非有特定的授权，否则在到达后推迟立即雇用或终止工作。这将需要一些时间来弄清楚事情，合同补充人员可以用来满足立即的需求。如果即将离任的安全主管离职关系良好（例如，自愿退休），那么就考虑雇佣他们6-12个月的顾问。有这个人可以有整整一年的业务周期（即预算、季节性业务周期等）是很有价值的。你不会从面试过程中收集到你需要的所有答案。

尊重传统的员工，不要草率地立即采取行动。在一家公司，一份关键的直接报告摆在我面前，我基本上取代了他。最容易的举动是把他从组织中删除，认为他将是一个责任，但他最终成为了一个亲密和值得信任的盟友。这很简单，因为管理层中的某个人不希望这个人成为高级安全主管，但也不需要反思他们给组织带来的价值。

抵制“少做多”的古老心态。这是一个典型的诱惑，即安全主管会减少具有相同职责的员工或资源，或增加他们的职责范围，而不增加额外的资源。下意识的反应是：“好吧，我想我们只能用更少的事情做得更多。”

我要求你找到一个比执法和安全行业的专业人士更友好、更乐于助人的人。不幸的是，这种方法并不是一种可持续的服务提供模式。其他公司职能部门将划清界限，要么在减少服务发生时减少服务，要么拒绝在没有资源的情况下继续承担额外的责任。

在我职业生涯的早期，我得到了惨痛的教训，当我只是努力工作，加重我的员工负担，因为我的职责迅速增加——我完全接受了用更少的钱做更多的事情。一位高管得出的结论是，我以前一定是人手过剩或表现不佳，因为我现在正在“有效地运作”，增加了责任，但没有增加资源。

总是，我的意思是，总是有一个预算防御策略，以你当前情况的80%，60%，甚至50%来运营你的部门。了解将取消哪些服务，以及这些减少的潜在后果。最终，您不承担风险——业务领导拥有您组织中的安全风险。我的情况是，一家大型公司的整个安全职能被取消了。即使潜在的后果已经明确地显现出来，这些高管们也愿意承担这些风险。

安全功能可能不是一个利润中心，但它是每个组织的重要组成部分。安全领导者可以通过首先掌握了解他们的业务、了解他们的风险以及了解他们在组织中的适应性等概念来展示他们的价值。