本文發自SECURITY EXECUTIVES，原題為“Can Corporate Security be a Profit Center？”，作者 Mark Lex （TorchStone高級副總裁），經朋湖網作者黎燕微編譯整理，供業內參考。

企業安全功能作為一個利潤中心的概念已經被討論了多年，而網安廠商們卻很難說服企業組織肯定這個觀點，其原因是在大多數情況下，安全并不是一個為企業組織創造新收入和利潤的利潤中心（抱歉，我不認為部門退款是利潤——它只是把資金從一個公司籃子里轉移到另一個公司籃子中）。此外，產生收入與實現利潤是不同的，把這些術語扔在商業領袖面前，而不知道這些區別，只會表明安全與企業的運作方式不一致。

在我在安全行業長達40年里，企業安全功能真正是組織的可持續利潤中心的情況是非常少見的。我認為安全不是利潤中心的觀點可能會冒犯一些讀者，然而，安全功能肯定是可以貢獻價值，值得投資的。

它使公司業務部門在進入新市場時有能力承擔承擔更多的風險，或在面對威脅和挑戰時能更持久和更有彈性來實現利潤。安全部門通過幫助公司領導正確地識別、評估和理解風險，然后設計和實施程序來減輕風險來實現這一點，沒有安全緩解措施給組織帶來了可感知的和真實的風險。

如果安全不是一個利潤中心，但仍然有價值，你如何定位公司安全成為業務的推動者？您如何實現該價值？或許要從掌握三個關鍵領域開始——了解你的業務；認清你的風險；找準你的定位。

一

了解你的業務

我相信這是一個組織中任何職能領導者都需要在意的首要因素。你的企業中最有價值的資產是什么？哪些部門或單位創造的收入最多？誰是你們公司的關鍵人物？

如果不了解業務或發展方向，很難制定一個與業務保持一致的安全戰略或計劃。我創建了“倡導和對手”的執行組織結構圖，作為我的影響力戰略的一部分。這并不是我與其他人分享的視覺內容，但它向我展示了影響被阻礙或停滯的瓶頸。在執行層面上，了解誰支持和相信你，就像誰對你或安全職能感到矛盾或消極一樣重要。你可以創建并實施針對這個群體的影響策略，包括讓支持你的同伴朝著正確的方向影響他們。

你的公司是在收購另一家公司嗎？如果你公司的一部分被賣給了另一家公司，你可能會被要求交出員工人數。你是否有一個應急計劃來執行80%、70%或50%的當前預算？如果是這樣，你將不能再提供什么服務呢？這些都是了解你的業務和組織的一部分考慮因素。我花了大量的時間與安全主管一起處理這些類型的場景。那些掌握了自己業務和與公司安全的互動的人就會成為贏家。

一些公司允許管理層成員暫時在現場操作工作或直接客戶互動，作為他們入職和定位的一部分。我個人在擔任安全和保安主管后不久，我就有機會在固安格分店和倉庫工作了一周。當我成為貝寶公司的安全總監，并跟隨我們的客戶服務代表，直接處理客戶的問題、問題和投訴時，我也提供了同樣的機會。這些都是學習業務和觀察安全是如何與這些前線位置相互作用的寶貴機會。

您的公司是否重視將同行比較數據和基準測試作為項目驗證的一部分？在一個雇主，我的首席財務官帶領我們公司召開五分鐘會議，審查競爭對手和同行的關鍵指標。我不確定你來自哪里，但在我的世界里，這叫做一個線索。基準測試和指標是一個很高的核心價值，所以我的首要任務之一就是在我自己的員工會議和向高管做簡報時開發和呈現價值指標。

一些企業文化并不強調董事會層面的風險或同行之間的基準測試。我的老板和導師鮑勃·海耶斯，現任安全執行委員會創始人和董事，曾建議我：“什么會讓你在一家公司得到晉升，什么會讓你在另一家公司被解雇。”花點時間研究你公司的成功領導者如何報告他們的結果、處理數據并得出結論。我曾在那些需要在決策中達成共識的公司工作和咨詢過，而其他人則以“迅速犯錯”的精神鼓勵迅速采取個人果斷行動。這些都是了解你的商業文化和什么有用與否的部分。

對于任何安全主管來說，一個關鍵的方面是將他們的努力與董事會級別的風險相一致。董事會水平或“10k”風險的產生是薩班斯奧克斯利(SOX)和上市公司報告其風險作為年度政府文件的一部分的結果。10k風險一詞來源于上市公司向美國證券交易委員會提交的年度10k報告中所報告的信息。這些風險通常分為戰略風險、財務風險、法律/合規風險和運營風險。大多數涉及安全的風險因素通常都出現在操作風險類別中。然而，應該對所有的風險因素進行仔細的審查，以確定安全功能的直接參與程度。下圖描述了對一家中型制藥公司的簡單分析。我們很容易將1萬美元的風險與安全責任直接聯系起來。

在SOX頒布后不久，安全執行委員會(www.securityexecutivecouncil.com)在這一領域進行了開創性的研究，并繼續為安全高管提供戰略和計劃，將這些董事會層面的風險與公司安全職能結合起來。

那些受雇于私營公司的人，在尋找自己在董事會層面的風險方面，可能會面臨更大的挑戰。年度報告提供關鍵信息，與高管的討論將告知這些風險。在類似的上市公司中發現的一些相同的運營風險，很可能也存在于一家私人公司中。 

在我看來，這是最具挑戰性的一個領域。大多數人都被提升為角色或被雇傭來影響變革。在這些情況下，野心和耐心有時會發生碰撞。在學習文化和過程之間有一種平衡。如果你等了太久才做出改變，它可能會造成混亂，假設現狀一到達就被接受了。然而，正如文章后面所提到的那樣，立即發生的改變并不是正確的答案。此外，還需要在您所給定的組織邊界內進行更改。我曾與幾位安全高管合作過，他們花了更多的時間試圖與他們的職能領導保持距離，覺得這不合適，而不是創新地讓情況在當前的結構中工作。

例如，我的第一份公司工作是向金融機構匯報工作（這并不是我職業生涯中最后一次向該部門匯報工作）。這并不理想，因為我的責任范圍超出了我自己老板的責任范圍。我本可以花精力反對報道關系。我當時是一支單人軍隊，所以同時也在忙著學習業務和解決問題。我終于接受了這種情況，并在當前的結構中尋找創新的方法。

當我環顧一下這個組織時，我發現安全職能部門有很多人，并且被嵌入到了我需要影響的每個領域。我向該組織的職能領導提出了一種伙伴關系，在其中我將支持他的有關安全問題的小組——一份虛線報告。我找到了一種為每個人創造勝利的方法。我沒有“篡奪”我的老板地位，而且仍然和他有一個可靠的報道關系。

安全團隊很高興能夠將安全功能添加到另一個領域，成為他們可以為我們的制造工廠、配送中心和銷售辦公室提供服務的領域。我當然可以自己花點時間來雇傭一群人。然而，這并不是我將在文章最后提到的答案。此外，這種服務交付模式需要幾年時間才能獲得這種模式的支持。相反，我抵制住了帝國建設的誘惑和人們對一個龐大而強大的企業安全組織的看法。

相反，安全被嵌入作為安全組織中整體操作風險的一部分。最終，這個模式是成功的，并且是“最適合”這家公司的。

除非有特定的授權，否則在到達后推遲立即雇用或終止工作。這將需要一些時間來弄清楚事情，合同補充人員可以用來滿足立即的需求。如果即將離任的安全主管離職關系良好（例如，自愿退休），那么就考慮雇傭他們6-12個月的顧問。有這個人可以有整整一年的業務周期（即預算、季節性業務周期等）是很有價值的。你不會從面試過程中收集到你需要的所有答案。

尊重傳統的員工，不要草率地立即采取行動。在一家公司，一份關鍵的直接報告擺在我面前，我基本上取代了他。最容易的舉動是把他從組織中刪除，認為他將是一個責任，但他最終成為了一個親密和值得信任的盟友。這很簡單，因為管理層中的某個人不希望這個人成為高級安全主管，但也不需要反思他們給組織帶來的價值。

抵制“少做多”的古老心態。這是一個典型的誘惑，即安全主管會減少具有相同職責的員工或資源，或增加他們的職責范圍，而不增加額外的資源。下意識的反應是：“好吧，我想我們只能用更少的事情做得更多。”

我要求你找到一個比執法和安全行業的專業人士更友好、更樂于助人的人。不幸的是，這種方法并不是一種可持續的服務提供模式。其他公司職能部門將劃清界限，要么在減少服務發生時減少服務，要么拒絕在沒有資源的情況下繼續承擔額外的責任。

在我職業生涯的早期，我得到了慘痛的教訓，當我只是努力工作，加重我的員工負擔，因為我的職責迅速增加——我完全接受了用更少的錢做更多的事情。一位高管得出的結論是，我以前一定是人手過剩或表現不佳，因為我現在正在“有效地運作”，增加了責任，但沒有增加資源。

總是，我的意思是，總是有一個預算防御策略，以你當前情況的80%，60%，甚至50%來運營你的部門。了解將取消哪些服務，以及這些減少的潛在后果。最終，您不承擔風險——業務領導擁有您組織中的安全風險。我的情況是，一家大型公司的整個安全職能被取消了。即使潛在的后果已經明確地顯現出來，這些高管們也愿意承擔這些風險。

安全功能可能不是一個利潤中心，但它是每個組織的重要組成部分。安全領導者可以通過首先掌握了解他們的業務、了解他們的風險以及了解他們在組織中的適應性等概念來展示他們的價值。