企业安全“顶层设计”之思考

注：为避免读者混淆，文中“企业安全”一词均指CorporateSecurity，缩略为CS。尽管知晓印度的职业市场近几年很火热，但是入职一年的南亚安全经理的跳槽仍令我颇感错愕。去年年底，我专门邀请她和亚太区其他安全经理来北京，一起做了一次联合安全稽核（jointsecurityaudit）。那次我们聊得很多，她说很感谢我在面试后向她的直线老板推荐了她，也说自己如何喜欢公司文化云云。职场不定，人亦多变，这本来无可厚非。只是她在正式提交辞职信之前，特地跟我长谈了一个小时，把胸中块垒吐了个痛快，我这才真正体会到她在过去一年间经历的几番起伏：登过高峰，也跌过低谷；雷厉风行颇干成了几桩前几任都没做成的大事，也在无形之中得罪了基层的几个遗老。于是从下半年开始，她便感到工作处处受阻，掣肘与冷遇来自四面八方，渐次力不从心，继而心灰意冷，最终决定退出。我在唏嘘之余，也对这一现状作了一番更深的思考。像我们这种有百多年历史的欧洲老牌巨无霸公司，因历史的缘故，企业安全部门在整个公司架构中的地位向来尴尬：姥姥不亲，舅舅不爱，高不成，低不就。虽不至于可有可无，无人问津的地步，但也不是居家必备，人人买账的程度。究其根源，一个来自总部的“原罪”——企业安全部门功能与角色设计先天不足，因此放之四海，常常水土不服，阴阳失调。你以为自己说的是经验之谈行业惯例（industrypractice），生产部门却要求你出具书面公司政策（grouppolicy）；你费尽心力做风险评估，业务部门却对评估结果置若罔闻。这样的生态环境，你如何看待？依我看，上层的设计图没有画好，施工现场绝无可能顺利进展。这就是我所谓的部门“顶层设计”问题。首先要搞清楚一个最基础的问题：“企业安全”部门（CorporateSecurity，CS）到底是什么？这个部门应当扮演什么角色，承担哪些职责，赋有什么权限和权威？这几点若不先讲清楚，最后摊开的，必然只是一张有蛋无面的烂糊煎饼，怎样都不成形。在我看来，企业安全部门首先不是一个“凡事都能往里扔”的杂货筐，更不是一个仅靠个人威望、行业资历和现场手段硬撑起来的“协调部门”，而必须先在集团层面被定义清楚：范围：它到底管什么？不管什么？角色：它是提出建议？还是制定并推行标准？支持背书：公司有无独立稽核/审计作政策支撑？集中化的汇报路径：全球各地安全事件有无升级汇报、不受干扰的路径？授权：在重大风险面前，是否有协调管理危机、推动流程整改的权力和权威？如果这些问题不解决，国家层面的CS经理喊破喉咙也没人理会。很多公司高层所认知的企业安全（CS）无非是：保护员工安全、维护本地治安、支持业务运营、处置突发事件、保护公司资产，诸如此类。诚然这些描述都没有错，但也空泛得可怕。一个部门最怕的不是职责太重，而是边界太虚。边界一虚，别的部门和人员就容易曲解，甚至武断地解释、定义、利用，今天把你当保安头子，明天把你当危机协调员，后天又嫌你多管闲事。其结果就是你明明承担着了巨大的风险责任，却没有得到相应的组织架构地位；你明明看见了问题，却没有足够的制度力量去推动改变。久而久之，很多大型跨国外企的国家级安全经理只能在业务、生产、人事、法务、行政之间穿梭，像一个没有正式委任状的钦差，人人见了都冲你点个头，真正办事时却处处碰壁。清清楚楚定好职责范围和统一标准企业安全部门的工作职责范围（scope&responsibilities）应该首先由全球总部来划定，要定得清清楚楚毫无疑义：哪些是最低安全标准？哪些是必须执行的安全措施？哪些安全风险必须应对并汇报？哪些安全事件必须报告，隐瞒不报严惩不贷？哪些议题由全球团队发起并支持，国家安全经理负责推动、区域团队负责监督？这几条都不能含糊。没有统一标准，所谓的“安全”就只能停留在个人理解和属地经验层面。今天这个国家安全经理认为门禁系统需要升级，明天那个工厂负责人说“我们一直都是这么干的，也没出过事儿。今年没预算，以后再说。”你建议做差旅风险管控，他反问集团政策在哪里；你说现场某处安全管理必须整改，他又追问谁签字、谁买单、谁担责。所有这些其实不是基层和业务不讲理不配合你工作，而是公司没有给你一套可以援引、可供制衡的规定和标准。稽核/审计如“御史”，是制度保证比统一标准更要命的是很多公司根本没有真正意义上的稽核/审计（audit）机制。没有稽核/审计支撑，一切标准只是上墙的口号。没有检查发现讨论整改计划（finding,review,CAP），所有要求都只在会议室里回响；没有跟进（follow-up）和问责，问题就像野草一样，割了长，长了割，野火烧不尽，乱花迷人眼。企业安全部门之所以长期在很多大公司说话不响，一个重要原因就在于它常常只有“劝说权”，没有“验证权”；只有“提醒权”，没有“追责权”；只有“建议权”，没有“推行权”。国家级安全经理之所以容易被架空，并不一定是能力不足，而是因为他背后没有制度撑腰，没有机制托底，没有一把总部下发的“如朕亲临”的“尚方宝剑”。安全“尚方宝剑”从哪来？这把“剑”从哪里来？最终只能从全球总部最高安全官（CSO）对董事会的展示和说服中来。企业安全部门要想真正立得住脚，不能只在职能体系内部自说自话，也不能只满足于在区域层面扎堆取暖，部门必须进入全球董事会的视野，进入公司全球治理的话语体系。全球CSO必须能够向董事会讲清楚：公司到底面临哪些安全风险，这些风险中哪些是比较关键的，它们将如何影响人员、资产、运营连续性与企业声誉，现有控制措施的薄弱点在哪里，不同国家和业务板块之间为何必须建立统一的安全基准线，为什么某些投入并不是单纯支出的“成本”，而是企业保持韧性（resilience）经营的前提。只有董事会有了这个认知，企业安全才不再是某几个安全经理“一个人的武林”，而成为公司整体治理的一部分。换句话说，企业安全部门的权威不应该来自个人，而应该来自全球层面的治理设计（governancedesign）。总部制定战略，董事会成员背书，CSO统筹标准与推行，区域级和国家级经理照章执行、接受稽核/审计、按流程汇报，这才构成一个像样的体系。离开了这条自上而下的路线图，国家层面的企业安全经理在很多地方都难免陷入尴尬：往上够不着，往下压不住，平时像顾问，出事替罪羊。这样架构设计，很难出成绩，也注定留不住人。对中国本土企业的另一种解法话说至此，或许会有不少中国本土企业的安全同行心生疑问：我们既无全球总部，也谈不上董事会层面的CSO发声渠道，这一套“自上而下”的安全治理图景，是否天然与我们无缘？未必如此。对于大量中国民营企业而言，企业安全的“顶层设计”固然难以一步到位，但并非没有现实解法。关键不在于是否具备跨国公司的组织形态，而在于公司是否愿意在治理层面承认安全是一项需要被制度化管理的“企业能力”，而非可有可无的支持职能。在实践中，本土企业至少可以从三个层面破局：由董事长或核心高管明确授权安全负责人，对若干“不可妥协”的底线风险拥有独立直达的汇报路径，而非层层过滤；将安全议题嵌入现有的经营决策机制中，与合规、审计、风控、人力等职能形成联动，而不是另起炉灶；对安全负责人本身提出更高要求——不仅要“会防事”，更要“能讲清楚事”，用业务语言说明风险、后果与取舍，逐步建立信任与影响力。在这样的语境下，安全负责人的权威同样不应来自个人“关系”和临场手腕，而应来自清晰的授权、明确的边界，以及一次次被验证过的判断力。制度未必完美，但只要路径正确，企业安全也可以在中国本土语境中，慢慢从“补丁角色”走向治理角色。【编者按】Editor'sNote本文所讨论的，并非某一家企业、某一个安全负责人的个案困境，而是当前企业安全（CorporateSecurity）在组织治理体系中普遍面临的结构性问题：当安全被视为“支持职能”而非“治理能力”，当风险责任与组织权威长期失配，人才流失只是结果，而非原因。

从ASISChinaChapter的长期观察与会员交流来看，无论是跨国公司在中国的属地团队，还是快速成长的本土企业，安全职能所面临的挑战正在呈现高度共性——风险越来越复杂、责任越来越集中，但制度授权、治理位置与话语权却未同步进化。作者从“顶层设计”的角度切入，直指问题要害：企业安全要真正发挥价值，不能依赖个人能力“硬扛”，也无法通过碎片化改善自发成形，