下个月各大公司就要进行年中总结了,大家有思路了吗?
Pixabay | Peggy_Marco
M公司的安全负责人马小陌已经开始准备材料了,尽可能完成一场符合各方面预期的汇报,搬好小板凳一起来学习一下吧!
(本文较长,可以收藏起来写总结的时候参考思路)
不同企业、不同级别的安全团队在年终总结汇报对象上可能存在不同。作为一级部门的安全团队,其汇报对象可能是CEO 甚至董事会,但是在大部分企业,安全团队在组织架构中隶属技术体系,因此年终汇报对象一般是CTO 或技术副总裁之类的技术高管。向谁汇报并不能完全等同于企业对安全的重视程度,但是在汇报内容和方式上需要做适当调整,否则很可能出现汇报对象不关心甚至听不懂汇报内容的情况。
1. 正确看待工作汇报
不少人在工作中存在这样一个认知误区——把自己的工作做好就可以了,如果上级是公正的,那么他自然会给予更多的支持和回报,甚至有一些在执行上非常出色的员工对工作汇报嗤之以鼻,在他们的认知里花时间整理汇报材料几乎等同于浪费时间去琢磨如何邀功请赏。这样的认知符合很多执行者的所谓价值观,而且看似合理,但遗憾的是现实中秉持这种理念的员工很少能够获得预期的支持和回报。
这都是因为遇到了不公正的上级吗?
当然不是!
与专注于具体任务的执行者不同,管理者通常需要同时跟进、处理和决策更多的任务,但每个人的时间和精力都是有限的,因此他们不可能亲自参与或深度跟进每一项工作,而且会不由自主也不可避免地忽略一些在他们看来重要程度相对较低的信息和数据。随着管理层级的升高,管理者接触和管理的范围就会越来越大,被他们忽略的执行细节信息自然也就随之增多。
具体到安全工作,高层管理者和安全团队成员对于业务面临的风险以及相关安全工作实际执行情况的理解天然存在巨大差异。通常高层管理者都对安全领域缺乏了解,他们的相关认知基本来源于安全团队向上输送的信息,其中最重要的输送的渠道就是工作汇报。如果安全负责人不能及时、准确、有效地向上传达安全工作的目标、成绩、问题和诉求,那么高层管理者就很可能因此逐步减少对于安全工作的关注,最终导致安全团队成员产生“不被重视”的挫败感。
因此,安全负责人必须积极思考如何及时有效地向上汇报工作,把最重要的工作信息准确精练地呈现给高层管理者,持续维持他们对于安全工作的了解、关注、认可和支持。安全团队负责人应该基于以下目标准备和执行工作汇报。
-
及时准确地反映当前安全工作的进展和问题,帮助高层管理者了解当前企业面临的主要安全风险和实际防控水平,以便他们做成正确决策。
-
合理精炼地展示过往安全工作的业绩和亮点,逐步加强高层管理者对于安全团队的关注和信任,从而获得更多的资源和支持,同时也可以为安全团队成员争取到更好的薪酬福利和发展机会。
-
客观中立地呈现关键安全工作的问题和不足,首先从职业道德的角度安全负责人必须如实反馈不如预期的重要缺失,其次可以通过向上反馈问题争取到一些更有利于突破阻力或加速进展的高层支持。
工作汇报应该被安全负责人当作向上管理的重要环节重视和对待,只有处理好了工作汇报和其他向上反馈环节,高层管理者才有可能给予安全团队更多的理解和信任,安全团队才有可能获得更多的支持和资源去建立更全面、更深入的安全管控体系,安全团队成员才有可能因此获得更多关于薪资、职级和成就感等方面的回报,最终才有机会进入企业安全发展的良性循环。
如果恰巧你是一个不愿意在工作汇报上花费太多时间、甚至不屑于向上管理的安全负责人,那么你可以换一个角度来思考这个问题——为团队赢得更多认可和资源、为团队成员争取更多收益和汇报,同样属于负责人的工作职责与义务,但是你不可能要求高层管理者事无巨细地主动跟进每项安全工作,并由他们来筛选、判断和评价工作价值和结果,这些信息只能由你提炼之后再传递给他们。
所以,为了企业,为了安全团队,为了安全团队的每一位员工,从现在开始认真地对待每一次工作汇报吧!
积极地向上管理和沟通绝不等同于阿谀奉承或是好大喜功,不谄媚、不欺骗、客观真诚的汇报和沟通才能准确有效地向上传递信息,更有利于高层管理者做出正确决策,同时推动企业业务和安全的整体进步。
2. 汇报的对象和内容
在不同的企业,安全工作面向的汇报对象也各不相同。为了达到更好的汇报效果,安全负责人必须针对不同的汇报对象制定不同的汇报内容。在通常情况下,层级越高的管理者对具体事务的关注度越小,自然也越没有时间和耐心去分析细节或推测结果,他们更加关注某个方向或领域的进展及能力是否能够支撑他们职责范围内的整体布局和规划。相反,随着管理者层级的降低,全局协调的意识会逐渐减少,但是对于执行细节的把控会越来越强,到了基层管理者可能只关心某几个具体项目的进度和质量。
如果企业没有特定的汇报模板或要求,安全工作可以划分为整体状况、风险分布、工作成绩、成本投入、团队建设、问题不足和后续规划这几个主要模块进行汇报,整体上应该以结果和收益为导向,但是不同层级不同职责的汇报对象对每个模块关注的范围和深度会存在一定的差异,接下来从低到高分别讲述几种常见的汇报对象及其相应的汇报内容和注意事项。
在一些对安全不够重视并且团队定位较低的企业,安全工作可能被整体纳入运维职能,这种情况下,安全团队一般作为运维部门的子团队存在,甚至可能只是运维部门里几个独立职能的工程师。当安全工作汇报对象是运维负责人时,安全负责人可以在时间允许的前提下相对详细地汇报各个工作方向的目标、进展和成绩,也可以就部分重点项目的架构、实现和技术先进性展开深入介绍。在问题不足和后续规划中,安全负责人需要给出具体的改进和执行措施,以便争取更多执行层面的理解和支持。但是由于通常情况下运维负责人这种中、基层管理者不具备跨团队分配任务和大范围协调资源的职能和权力,所以除非汇报对象自己要求,否则可以适当避免在成本投入、团队建设和后续规划中提及过多的协调和资源需求。
在大部分对安全具备基础认知的企业里,安全工作的汇报对象一般是CTO、技术VP 或其他类似角色的高层管理者。与中层管理者相比,他们更加倾向于全局思考和布局,但是同时又对流程、技术等具体的落地实施具备较好的了解和认知。因此,面向他们的工作汇报可以淡化执行细节,把汇报重心转移到企业整体以及各个业务条线的安全状况、重点项目和亮点工程的收益和技术优势、团队能力及持续性的建设以及中长期的目标规划,等等。由于高层管理者通常需要对资源投入进行决策和分配,因此安全工作汇报也应该通过成本投入、团队建设和后续规划等模块向汇报对象说明当前的成本及收益情况、以及后续发展的资源期望,等等。
出于对安全极度重视或CEO 个人风格等原因,个别企业的安全团队可能有机会直接向CEO甚至董事会等顶层管理者进行汇报,这样的安全团队一般作为一级部门独立存在。与技术条线汇报完全不同,顶层管理者只关心安全是否能支撑或推进业务的发展,他们完全不会关心技术实现和执行细节,也没有足够的时间和耐心去提炼、分析和总结安全工作的汇报内容。因此,面向他们的汇报内容应该尽可能精简干练,聚焦于企业整体安全状况及防控水平、业务面临的重大安全风险及当前处置情况、安全整体资源投入情况及评价、以支撑业务发展为核心目标的后续工作规划及资源诉求等更贴合全局战略的内容上。在一些特定场景下,安全团队的独特能力甚至可能成为企业业务发展的驱动力,这些内容也是很值得纳入汇报内容的。
至于面对不同层级汇报对象时的一些具体差异,可以大体上梳理成这样一张表。
上表可以为汇报内容提供一些参考,但是作为安全负责人必须明白,每一个管理者都有自己独特的个性喜好和思维模式,有些低层级的管理者习惯高屋建瓴地照顾全局,也有些高层级的管理者喜欢事无巨细地干涉细节。因此,最终还必须充分结合汇报对象的个人偏好进行工作汇报,灵活地调整汇报内容。
如果已经汇报了相关的内容,但是因为高层管理者理解不到位导致了错误决策,汇报人因此受到责备冤枉吗?
我认为不冤枉。尽管这种常见的情况中两者都有责任,但是作为下级的汇报人实际上责任更大一些。因为相对而言,作为汇报对象的上级管理者需要接受和处理更多的信息执行更复杂的决策,尤其像安全这种知识结构独立性很强的领域,上级更不可能深度参与和跟进执行过程,因此,作为下级汇报人的安全负责人就有义务用准确、精炼并且易于理解的方式向汇报对象传达关键信息。
3. 客观呈现工作不足
很多人对向上反馈自己的问题或不足怀有恐惧甚至抵触情绪,这本身是一种正常的心理现象。但是有些管理者出于职位、权力和收益等各方面的考虑,选择了自作聪明地淡化甚至隐瞒真实的问题及其相关影响,这样做也许可以躲过一两次的眼前的惩罚,但最终往往以企业和个人的双输作为结束。
实际上,工作汇报中的问题和不足,同样可以成为一把双刃剑。在安全团队整体能力基本满足业务发展要求、并且不存在原则性过失的情况下,错误的汇报方式可能让高层管理者过于轻易地对安全负责人甚至整个安全团队失去信心,而合理的汇报方式却可以实现一系列的好处。
-
增强高层管理者的信任感。高层管理者更能明白和理解为什么说“金无足赤,人无完人”,及时、客观地上报工作中的问题和不足,可以使他们觉得汇报人更真实、更值得信赖,因而自然也就可以托付更为重要的职能和任务;
-
通过偶发性的失误展现优秀的思考力和执行力。相对任何人都可能出现的失误,高层管理者通常更重视员工是否具备举一反三的能力。如果员工在出现失误后可以主动全面排查同类隐患,并且通过管理流程、技术控制减少同类问题再次出现的概率,那么即使难免短期内的惩罚,但是从长线来说依然有可能得到更多的重任和收益;
-
通过外部原因导致的问题争取必要的资源和支持。安全工作是否可以顺利开展,一方面取决于安全负责人和执行人的工作态度和能力,另一方面还依赖资源分配、团队协调和高层支持等多种客观因素。如果正常的向上沟通难于有效传达来自安全团队之外的干扰和影响,那么借助已经发生的问题(尤其是重大安全事故)来反馈这些情况往往更容易获得高层管理者的理解和支持。
什么样的工作汇报方式才算合理,才能达成上面的3 点目标呢?其实并不复杂,做到以下几点就可以了。
-
工作汇报必须客观、准确地反映事实,不要试图夸大成绩或淡化问题。这样不仅有助于汇报对象更清晰地掌握全局情况后作出更正确的决策,而且可以给他们留下更诚实的印象。实际上,汇报对象既然可以成为层级更高的管理者并且长期维持,那么他们一定擅长于识破这种针对工作结果的“美化”,而且职场上的信任一旦破坏了就很难恢复。
-
安全负责人必须勇于承担责任,避免因为“踢皮球”失去高层管理者和其他团队的支持。责任分配的原则应该是只要发生安全事故或相关问题,安全团队就应该主动认领责任,但是可以根据实际情况区分主要责任和次要责任、从严处罚还是就轻处罚,这样更有利于驱动安全负责人带领团队全方位思考和防范问题,同时可以进一步提升高层管理者的信任和其他团队的协作意愿。
-
汇报安全问题应该附带可行的整改方案,避免过多的原因解释和抱怨。既然问题已经发生,那么更重要应该是快速排查相关隐患并且避免同类问题的下一次出现,因此相对事故原因,上级管理者通常更加关注整改方案。这时候在整改方案中适当地描述资源、授权和跨团队协调方面的诉求,往往会更容易得到肯定批复。另外,即使问题由各种不可控的外部因素导致,安全负责人也必须避免自己陷入受害者思维,只需要客观简明地说明原因即可。
-
安全负责人应该根据汇报对象的管理层级筛选汇报的问题和不足。如果汇报对象是技术VP、CTO 甚至CEO 这样的高层甚至顶层管理者,那么他们只会关心那些可能严重影响到业务发展的重大问题,工作汇报中只需要提及这些问题及其影响和后续整改计划即可。但是不需要向高层管理者汇报并不代表不需要处理,相关问题应该由作为中层管理者的安全负责人自行妥善处置。
客观合理地汇报工作中的问题和不足,不仅仅有利于提升上级信任并争取到必要的资源和支持,而且也可以给下级员工树立诚实公正的榜样,更有助于建立一支敢想、敢做、敢当的精良团队。如果期望获得这样的向下收益,那么安全负责人必须做到奖惩分明,不能因为一两次的失职就彻底否定员工,对于有想法、有能力又敢于承担责任的员工,应该给予充分的试错机会。
尽管汇报重大问题的过程中更容易申请到期望的资源、授权和高层支持,但是并不意味着问题汇报可以被滥用于满足这些期望,否则更容易被上级管理者定性为逃避责任或者引发反感。
安全负责人首先必须确保诉求内容的缺乏是触发相关问题的充要条件,其次是诉求内容合理并且符合企业和审批人的全局利益和可承受范围,最后是谨慎避免此类申请的滥用——无关紧要的问题没必要提出诉求,严重的问题也不可能每一个都有诉求未被满足的原因。
4. 合理制定后续规划
后续规划一般不会在工作汇报中占用太多的篇幅,但是这并不影响它成为一个非常重要的环节。通过工作汇报中看似粗略的后续规划,安全负责人至少可以向上级管理者传达以下信息。
-
大致的后续工作方向、重心和收益。便于上级管理者了解和确认安全工作规划与整体发展目标的一致性,如果存在偏差可以提前纠正。
-
后续规划落地所需的资源和支持。提前获得上级管理者的审批和授权,避免在后续落地过程中临时申请导致的意外和延时。
-
可能出现的问题和负面影响。适当地调整上级管理者预期,并且客观坦诚地说明可能的负面信息更有助于整体决策和提前应对。
-
安全负责人自己的管理能力和全局观。与业务目标紧密一致、充分考虑了整体协调和ROI的工作规划可以让上级管理者更放心地委以重任并分配资源。
制定符合企业利益、满足上级期望的合理工作规划其实并不复杂,关键是要注意以下几个方面。
首先,安全的工作规划必须以支撑和推进业务发展为核心目标,在满足业务发展需求的前提下努力提升ROI,坚决避免脱离业务发展去追求在企业内部没有实际应用价值的高端理念和新技术。因为不同管理层级的汇报对象可能对于业务发展需求有着不同的理解和关注点,因此安全负责人必须适当调整汇报的重点内容和阐述方式,确保汇报对象可以准确无误地掌握他们希望和应该接收的信息。
其次,安全负责人应该在工作规划中尽可能客观、清晰、准确地说明重点项目的收益、时间、成本以及相关的风险,这些都是上级管理者用于决策的核心信息。其中收益应该是明确的,时间、成本和相关风险可以存在一定的偏差,但偏差范围不能影响到整体决策,尤其不能为了通过审批刻意隐瞒或淡化项目可能遭遇或引发的问题和风险。
再者,安全工作汇报应该规避假大空的理念和构想,转而描述可落地的方案、步骤、里程碑和具体措施。根据汇报对象的管理层级和关注偏好,安全负责人需要适当调整各方面内容的比重和细粒度。一般情况下,越高层级的管理者越关注整体收益和ROI,低层级的管理者则更关注具体的执行细节和操作风险。
最后,工作规划应该结合业务需求紧迫度和安全团队已有的资源情况,并合理申请必需的资源和其他支持。安全负责人必须根据安全团队已有的资源、能力和发展阶段合理规划后续工作,从长线上保持员工工作饱和度和资源利用率,避免不理智扩张团队或项目导致后期出现资源空闲和浪费。如果当前资源或能力确实无法满足业务发展需求,那么安全负责人应该简要清晰地在工作规划中说明资源或支持方面的诉求,在汇报过程中获得上级管理者的初步反馈后,再根据反馈情况决定是否启动正式申请流程。
如果安全工作规划应该以支撑和推进业务发展为核心目标,那么为什么还是有很多企业会鼓励技术创新甚至为此建立安全实验室呢?
对部分企业而言,其实两者并不矛盾。如果他们的业务发展需要实现建立和维持技术壁垒、收获和加强市场口碑等目标,那么投入资源鼓励技术创新就完全符合业务发展需求。安全负责人应该与上级管理者充分沟通当前企业或更高一级部门的业务目标和发展期望,并以此为依据调整安全规划中的创新成分。
(本文节选自《企业信息安全管理:从0到1》)
想了解更多安全管理工作小技巧?
赶快入手一本《企业信息安全管理:从0到1》吧!
点击图片或扫码即可购买
福利时间
你的 “上半年” 过的如何?
欢迎大家留言互动~
我们会选出点赞数最高的 2 位读者
送出《企业信息安全管理:从0到1》签名版纸书
5月31日15:00公布获奖名单
相关阅读:从0到1,网上搜不到的企业信息安全搭建全过程,这本书讲透了!
喜 欢 这 篇 文 章?点 个 “ 在看 ” 吧~ ▼