由于很多安全技术人员不擅长向上汇报和管理,很难传递清楚安全投入的业务价值。这就导致了安全负责人,经常会因无法提供老板关切的、与业务相关的信息,从而影响了安全工作推进。出现这个情况有很多原因,首先是安全技术人员自身不擅长向上汇报,其次是大多数公司管理层、老板不了解技术,然后很多安全投资很少能带来有形的财务收益。
因此针对安全人员向上汇报这一难题,“青藤智库”将专门整理输出一个“安全人员如何向上汇报”专题系列文章,希望能帮助安全从业者更好向上汇报和推进自身工作。
2024年已至,又到了大家申请预算和汇报总结计划的时刻,本次首篇文章将重点阐述安全人员应该如何更好地跟老板申请2024年预算。概括起来就是在面向管理层申请预算的时候,需要回答3个最本质的问题:
问题——为什么需要费用(投资)
解决方案——将会发生什么样的改变
成果——将会实现什么样的成果
**下文将通过10页PPT来回答这个问题。虽然相关数据是虚拟的,但是相关概念适用于所有甲方企业。**甲方人员可以结合所在行业特征进行相关调整。该演示PPT内容可以在20分钟内完成介绍,最好在30-40分钟内介绍完。
PPT1:引起注意
本页PPT目的是快速吸引老板的注意力。要言简意赅,不要介绍大量的细节信息。**在下述示例中,每条解释都有两句话——第一句话描述问题,第二句话描述该问题对业务影响。**为了让管理层对后续材料感兴趣,描述业务影响至关重要。
示例1:如何引起管理层注意
PPT2:说明当前安全建设现状
这1页PPT的目的是支撑上一页PPT中概述的业务风险的特定风险信息。在撰写内容时,不要过分强调以前存在的弊端,而不强调有效措施,管理层们可能想知道以前投资都带来了哪些效益呢。因此,没有必要全盘罗列出每个风险或讨论每个细节。**本页PPT的目的是强调要点,以此作为本次申请预算的必要性及潜在效益。**您选择重点介绍的详细信息应与第一页PPT中概述的风险明确相关。
示例2:当前方案存在的优势和问题
PPT3:评估当前的风险状态
用易于理解的形式重点介绍的风险状态。**如下示例,用穿越矩阵的粗实线来标明了风险承受能力(不同企业对于风险承受能力不一样,需要基于自身情况来确定)。**若这些风险位于风险承受范围之外,这时就需要采取补救措施,将风险控制在风险承受能力范围之内。
在这一张PPT中,除了要强调上一张PPT中讨论的风险是导致第一张PPT中所述的问题的根本原因,在这一页PPT需要强调这些风险超出了组织机构的风险承受能力之外。当然如果讲解时间和PPT页数有限制,那么第1张和第3张PPT内容可以合并,也可以用第3张PPT内容替代第1张。
示例3:评估当前的风险状况
(是否超越组织承受能力)
PPT4:拟议的工作方案/计划
在这一阶段,需要让管理层理解为什么需要进行这些“补救”工作,并且希望了解需要开展哪些工作。**重要的一点是要简要描述解决方案,清楚地介绍方案是如何解决每种风险的。**让管理层对提案计划充满信心,这一点是至关重要的。
重点是要以高度凝练的语言介绍该策略是什么以及将产生的效益(将在后面的PPT中进行介绍)。将每个工作流与将要解决的风险问题关联起来,这样,听众才可以清晰地了解问题、解决方案和收益之间的关系。
示例4:拟议的工作计划
PPT5:预期带来的安全效果
此部分内容重点展示计划方案预期产生的效果。以易于理解的形式说明如何通过方案计划将前面讨论的风险控制在允许的范围内。**本页PPT的重点是说明要进行变革,重点介绍每个工作流将如何促进这一变革。**可以说,本页PPT是演示文稿中最重要的一页,因此,您可以多花些时间讲解这一页PPT。
PPT6:如何将风险控制在可承受范围内(可选)
这一页内容是可选PPT。如果管理层已经接受到目前为止提出的建议,则可能没有必要提供进一步证据证明上一张PPT中讨论的效益。但是,如果管理层需要更多细节来说明如何将风险降低到上一张PPT中所述的程度,则该PPT是对PPT2中所示的图表的一个补充。
本页PPT与PPT2内容相似。可以通过本页PPT来介绍如何通过计划策略,以及将减少哪些风险的详细信息展示出来,并以此作为证明,支撑有关降低风险的陈述。
示例6:如何将风险控制在承受范围之内
PPT7:资源申请(预算)
现在,管理层已经全面了解了问题、拟议解决方案和预期效果。那么最有可能想到的问题是:需要哪些资源?列出有关工作计划将花费多长时间,以及将需要哪些资源。
用一张图有助于解释工作计划周期以及可能需要的资源。各家企业需要基于自身情况设置合理的金额,建议资金需要有一定的备用额度,以应对各种突发情况。
快速介绍图中的每一行内容,只重点介绍与工作流相关的重点问题就行。如果管理层批准了部分预算,而另一部分未被批准。在这种情况下,请参考PPT5,以展示资金短缺将对降低特定风险产生重大负面影响,因为该图显示了拟议工作计划与降低风险之间的明确关系。如果出现这种情况,可以介绍无法充分降低哪些风险,或者询问应该将哪些风险处置优先级调后。
示例7:资源申请
(上图数据是虚拟的,需结合自身情况修订)
PPT8:项目管理团队及流程(可选)
如果管理层支持该计划,则需要制定确保该计划成功的流程和管理机制。但是PPT8是可选的,如果组织机构已经拥有了一个完整且功能齐全的管理方法,无需展示该PPT。
示例8:项目管理流程
PPT9:策略/计划的预期成果
要让管理层对实施该计划之后效益有深刻的印象。但是也要做好预期管理:安全需要不断迭代改进,才能应对不断变化的业务和威胁环境。
示例9:计划落地后预期成果
PPT10:呼吁采取行动
示例10:如何引起管理层注意
最后几点建议
**不要陷入讨论技术细节的泥潭。**尽可能避免介绍技术细节。在提到技术细节时,要从业务影响角度,让管理层可以理解这个技术细节对业务的重大影响。
-完-
热门动态推荐