任何企业的保密文化建设,走到深处都会撞上一面墙——员工心里那扇"这事和我有什么关系"的门。门的一边是制度驱动,这边的人做保密是因为上面有人盯着、检查要过、不遵守要扣钱。门的另一边是价值驱动,那边的人做保密不是因为有压力,而是因为自己真心认同保护信息安全的重要性。从一边走到另一边,就是"要我保密"到"我要保密"的转变。这个转变发生一次,比一百次全员培训都管用。
先说说"要我保密"模式的三个困局。第一个困局叫"监管疲劳"。所有靠外部压力驱动的管理模式都会遇到这个问题——制度越来越多、检查越来越频繁、处罚越来越重,但违规率并不会持续下降,到了一定程度甚至会反弹。在保密领域这种现象尤其明显,因为人的注意力天然偏向对自己有利的选择,保密在很多场景里都是在"增加操作步骤"而不是"提升工作效率",所以它天然站在人性的对立面。如果你再加强处罚,员工不是变得更主动了,而是变得更会隐藏了。
第二个困局叫"执行衰减"。任何依赖制度指令的管理模式都会出现执行力的逐级衰减。董事会的保密决议到了部门经理这里还能保持七成力度,到了普通员工那里能剩下三成就不错了。而且衰减不是一次性的,每经过一层都会被个人理解偏差、工作优先级和时间压力所稀释。你要建立一个覆盖全员的制度检查体系,成本极高,而且越检查越消耗信任。
第三个困局叫"灰色地带空白"。制度只能覆盖已知的风险场景,但保密场景每天都在变化。新工具、新通讯方式、新合作模式层出不穷,制度永远更新不及灰色地带的新挑战。当一个需要保密判断但又不在制度覆盖范围内的问题出现时,靠"要我保密"心态驱动的员工本能的反应是"制度上没写,那就无所谓了"。
这三个困局,仅靠加人加钱加制度是解不开的。解开它们需要的是一个根本性的转变——从"我不得不做"到"我觉得我应该做"。那这种转变是怎么发生的?我观察了多个成功完成转变的企业和团队,发现转变通常经历四个阶段。
第一阶段叫"认知缺口"。员工第一次面对一个真实的保密两难场景时,发现自己现有的制度和知识根本不够用。比如一个负责采购的员工,收到了供应商发来的另一个客户的报价单,里面包含了不该被他知道的信息。他打开一看,一下子就蒙了。他既想知道这个信息是否可以帮自己谈判,又知道这信息不属于自己。这种真实的不适感,是转变的起点。没有这道"缺口",后面的转变不会发生。
第二阶段叫"价值连接"。经历过认知缺口之后,员工需要被引导着去思考一个更深层的问题:信息资源保护这件事,到底和我个人的哪些价值观有连接。不同的人连接的点不一样。有人连接的是职业道德——"我是一个守信用的人,我不能辜负别人对我的信任。"有人连接的是家庭责任感——"信息安全万一出了问题,影响到的是我的房贷、孩子的学费。"有人连接的是集体荣誉——"我们团队从不泄露友商的信息,这是我们引以为傲的事。"找到那个连接点,就找到了让员工自发行动的支点。
第三阶段叫"正向反馈"。当员工基于自己的价值判断做出了一个正确的保密选择后,如果得到了及时的、肯定的反馈,这个行为就会被强化。反馈不一定需要多正式,有时候主管顺口说一句"你刚才那个判断处理得很好",或者同事注意到你的做法后跑来问"这件事你是怎么想到的",就是最强的正向反馈。反过来,如果员工做出正确选择后没有任何回应,甚至因为严格执行保密规定而被批评"办事太死板",那正向反馈就变成了负向反馈,转变也会被打断。
第四阶段叫"身份认同"。当员工反复做出正确的保密选择并持续获得正向反馈后,他开始在内心把自己归为"一个有保密意识的人"。一旦这个身份认同建立起来,保密的决策就不再需要调动外部理由了。因为他做保密不是因为制度这么写,而是因为"我是一个保密意识强的人,所以我自然就会这么做"。到这一步,转变才算完成。
在实际操作中,推动这个转变有几个非常具体的抓手。管理层带头分享自己的保密两难经历,对员工的正面保密选择给予及时的公开肯定,在培训中引入真实的两难情境讨论而不是单纯宣讲制度,把日常工作中的保密决策体验上升为可供团队学习的经验。这四件事情每一件都不大,但如果坚持做下去,它们合在一起产生的作用,比做十次制度宣贯都要大。
需要特别提醒的是,转变不是一蹴而就的。一家企业不可能在今年还是"要我保密"的管理模式,明年就全面变成"我要保密"的自驱模式。中间会有反复,个别员工可能出现"我已经有意识了"但行为上仍然有漏洞的情况。这些都是正常的,不要因为个别人的反复就否定整体方向。只要你持续把推动转变的动作做下去,整体趋势一定是向前的。很多走得快的企业大概三年到五年完成全员的意识转变,走得慢一些的五年到八年。但无论快慢,方向对了,就不怕路远。
