Question

1.免费的胡萝卜

从职业生涯之初，直到成为企业安全负责人，都或多或少会遇到一些困惑：如何说服别人支持自己，以推动安全工作？如果资源是无限的，每个人完成了工作，都可以得到枚钻石，那就简单了，可惜资源是有限的。正因为资源是有限的，因此我们要“多喂免费的胡萝卜”。

“胡萝卜”，在管理学的范畴中，引申为有效的赏识和奖励机制，员工都渴求这种机制的感应和刺激。能力是否得到上司认可，这关系到员工是否要改换门庭—寻找他们能够得到承认和赏识的更好的职场环境。所以，为了留住卓越的员工，保持中坚力量的稳定，领导者就必须在企业内部营造胡萝卜文化，吸纳人才，并努力使团队更多地活跃在达观和愉悦的工作环境中。喂胡萝卜除了对团队成员有效，对与工作相关的任何干系人都有效。

在安全建设推动工作中有哪些免费的胡萝卜呢？表扬、排名、通报、扣分、给荣誉奖项等等都是可行的。

除了上述推动工作方式以外，还有一点就是，跑得勤快一点。“人怕见面，树怕剥皮”，为了推动工作，达到想要的目标，找到关键干系人，一次不行就两次，多去找几次，见面谈，成功概率很大的。笔者特别不提倡的就是通过邮件、微信、电话等和别人谈很重要的工作。对于那些拒绝工作沟通的人，一定要拿出自己的诚意，让别人看到自己的付出和努力，发发邮件、打打电话的方式不可取。

2.要不要满意度

以目前国内企业对安全的认知，安全团队不太可能获得好的满意度。反倒是满意度高的安全团队要思考一下，大 BOSS 会怎么想。以笔者的实际经历来看，满意度高的团队绩效表现一般都比较平庸甚至较低。满意度实际是多方维度，平行团队对你的满意度和上级对安全团队的满意度，以及团队成员对安全团队的满意度，三者都需要考虑。笔者一般考虑的优先级是上级对安全团队的满意度>安全团队成员对安全团队的满意度>平行团队对安全团队的满意度。

上级对安全团队的满意度，其实就是安全团队的价值，安全团队的绩效。创造价值、做出成绩、解决问题，才能让上级满意，这个道理简单易懂。

安全团队成员对安全团队的满意度，其实很重要。满意度不高，团队容易一盘散沙，瞬间分崩离析，肯定也不会取得好的安全绩效。这就要求安全负责人要研究怎么满足安全团队成员的满意度。笔者的亲身体会（包括做员工时期）是，要让团队成员个人价值得到提升，能够通过自己的辛勤劳动获得体面的收入，同时能够收获尊重和认可。价值提升和体面收入，一个是长期收益，一个是短期收益，有眼光的人会优先关注长期收益。所以需要经常和团队成员沟通，要有危机感，不要有太多优越感。可以让团队成员多想想，如果公司不是只有一个安全团队，如果不是垄断，用户会不会买我们的服务？把自己放入互联网企业、制造企业，会不会适应快节奏、低成本、一切都围绕有效来开展工作？

平行团队对安全团队的满意度，如果安全团队做出价值，为公司、部门和平行团队带来安全保障，相信有格局的管理者会给出公平的满意度评价，即使有时候由于各种主观客观原因，对安全团队的打分评价不是很客观，那也可以理解。这个满意度的关键还是在于大 BOSS 怎么看，如果安全团队做得很糟糕，即使大家给安全团队满意度很高，结果也不会好。如果安全团队做得很好，同时还能影响和照顾平行团队的诉求，满意度虽然不一定很高，但至少不会排名倒数第一。多年的实践表明，从倒数第一满意度努力到倒数第二，就是成功。在成为倒数第一的时候，并不需要很生气，因为从正面角度看，至少说明两点：

·安全管控实实在在，不再是可有可无。

·安全肯定有很大改进提升空间。

接下来的事也挺简单，和平行团队沟通，哪些是可以改进优化的，就积极努力去做，按这个思路，第二年基本就不会倒数第一了。

3.内部问责

有了考核、排名、通报，还需不需要内部问责？笔者的建议是：需要。在安全这个需要认真严谨来不得半点敷衍的领域，规则+检查+问责是最好的落地方法。先约定达成一致的安全规则，然后通过强有力的检查发现违反规则的行为，进行考核，对于违反红线的进行内部问责。内部问责是高压线。

安全开发流程（Security Development Lifecgcle，SDL）中提到 SDL 实战经验的四条准则，第三条是树立安全部门的权威、项目必须由安全部门审核完成后才能发布。如果没有这样的权威，安全就变成了可有可无的东西。当然，这句话并非绝对，在树立安全部门权威的同时，安全也可能对业务妥协。比如，对于不是非常严重的问题，在业务时间压力非常大的情况下，可以考虑事后再进行修补，或者使用临时方案应对紧急情况。安全最终是需要为业务服务的。

4.安全考核，没有唯一标准答案，在于实践

安全考核属于企业考核评价体系的一部分，不可能脱离企业评价体系而单独存在，而企业考核评价体系有各种风格，各种实际情况，和企业的文化、风格、所属行业等因素皆相关，因此安全考核注定没有一份唯一的标准答案，但坚持实践一定会得到你想要的最好答案。没有捷径，最好的路径就是日拱一卒。