网络安全创业公司的乱局|焦点快看

文/白帽汇赵武

(资料图)

59分，这是我给我们公司过去一年的成绩，不仅仅是中断了我们连续三年的盈利状况，从任何一个角度都难以去歌功颂德。

我们很难去归咎于疫情，也很难去抱怨经济形势，任何所谓的恶劣环境都有企业能够发展，甚至是快速发展。只能说我们认知不够，反应不对，调整不及时，所以一系列操作下来，你就能明显感受到公司过去一年生病了，外表依然阳光，舒不舒服自己知道。我们的合同在增长，收入在增长，毛利也在增长，但消化能力不好，吃得很多，营养吸收不多，最后反而还瘦了几斤。

生病没什么值得害怕的，只要不是绝症，调整饮食作息，加强运动，过一段时间也就好了，怕的是讳疾忌医，不体检不吃药不调整，这么下去，小病也熬成绝症。环顾四周，就跟疫情一般，企业也一批批的生病，有些轻微，有些痛的咬牙切齿，有些“天选之子”丝毫没有影响直接逍遥到决赛圈。

一年下来交了非常多的学费，赚了不少的宝贵经验，总结主要是几个大的思维陷进。

我认为最大的思维陷进是大家目标并不一致，看着大家都很忙，但是对于达成什么样的效果才算满足目标并没有讨论清楚，这就导致到最后出了问题大家才反应过来。最简单的例子就是收入增长这件事情，应该说是大家成立公司每年都会设定的目标。我们年初的时候也很仔细地沟通过，也达成了一致意见，定了一个目标，比如x亿。然后讨论就按照几种模式往下推演：行业平均每个销售能产出300万，咱们多一点搞他450万，于是需要增加可以产单的销售y名（销售还有一年半的成熟期这个暂且不讨论）；只加销售不行，要支持等量增长，现有的产品矩阵不够，必须要扩充产品线，于是需要增加几个满足不同行业的产品品类；为了支持新增的产品品类和支持原有产品项目的新需求，产品团队人数必须增长；为了支持这么多的人员增加，对应的人力财务售前售后都对应增加投入……

大家看出问题出在哪里了吗？定目标没问题，销售目标通常留有容错，直白一点说就是接受没有百分百完成的情况发生，但是那些人力物力对应的资源可是从一开始就奔着完成指标去的，这边可没有容错机制，最后就是收入目标没有达成，投入部分用倾泻而出不为过。为了保证人力快速增加，于是各部门拿出了杀手锏“提高薪资待遇”抢人………好了，这种流程一旦启动，就很难停下来，就看着一个窟窿越来越大。

看似大家目标一致，实际上并没有一致，关键的差异在于：收入增长大家可以接受以什么样的成本去换？并非投入越多收入越多，它是一个曲线而不是直线，效率快速降低的尤其是导致现金流直接崩溃的收入区间是不可取的。在我们公司的历史发展轨迹是稳中求发展，还多了一个前提：保证净利润的情况下让收入的尽可能增长。我们原本应该要画三根线，一根是最好的打算，一根是最坏的预期，还有一根是及格线。最坏的预期是目标没完成但是成本全部投入了，最好的打算是收入超额完成成本并没有成比例增加，及格线是目标也没有完成但是成本等比例增加。现实情况通常是：收入目标肯定没有完成，人数增加严重超出增长部分。

单纯追求规模的网络安全创业企业，你要么就快一点，烧钱让规模快速扩大，快速上市融资，再控制成本，达成平衡；要么就自力更生，早期就让自己的收支平衡。我们选择的是第二条路，主要是没有那么大的魄力，担心一旦发生一点点不可控的外力因素，就会导致覆灭。有时候看着其他行业一些财富故事和创始人经历，感觉有些创始人特别像是在赌博，不成功便成仁，只管起飞不管降落，还是很刺激的。上一批只学习架驾驶飞机起飞而不学习降落的是911的恐怖分子。我觉得企业不应该是这样，企业要做长远，要做稳定能抗风险，能够让大家踏实地长期干下去，就要让大家能够看到个人收入是根据企业收入相关的，且企业是盈利的，当朋友提到企业名称时是尊重的。当然，这只是我的个人想法自己公司少数人的看法，肯定不是大多数人达成了一致。从这一个核心点就能看出来问题，所以后续先跟大家达成目标一致的方式是，把收入是起飞，那么讨论一下如何衡量是平安落地？

根据上面的话题顺延，另一个非常普遍的思维陷进就是取行业平均值。举个例子，我总觉得面试的人里面很多技术是不值对应的薪资待遇的，但是无论是业务负责人还是人力都会告诉我说“行业的水平就是这样，不然就招不到人”。这里很快就进入了思维怪圈，因为创业企业的品牌和资源拼不过大公司，那按同样的待遇自然就没人来了，解决问题的方式就是用高于行业大公司的待遇去请人。这个逻辑其实在匹配核心高管的时候是没有毛病的，而且还必须这么干，用于减少时间成本的情况下完成核心能力拼图；但是在全员匹配的时候，就说明无论是人力和业务负责人都没有真正解开这个结，这个社会一定不是强者恒强弱者恒弱，它会发生变化和交替，这种变化是有本质的原因，至于什么原因，是需要大家去找出来的。否则我党如何最终赢得了抗日战争和内战的胜利？拼早期的钱和品牌资源，怎么看怎么输，显然这些很重要但并不是决定性因素。

平均值的除了待遇还有另一种方式，那就是产出。大家用超出企业能力的待遇请了人，自然期望进来的人能够做出超出行业平均值的产出。但是这个就不是一个人能够决定的了，你没有那么多强的员工配合支撑，缺少对应管理能力的领导，即便不考虑来的人的能力和主动性的问题，庙小佛大，过一段时间发现产出不了。另外，大家最喜欢的方式是去做自己肉眼可见能够完成的任务，对于看不清的事情，下不了决心，不愿意也不敢拍超出行业的输出。

这个问题就来了：网络安全行业的平均输出是亏损，以及技术在全球鲜有领先，那么即便招了很多行业资深人士，公司不还是亏损吗？

显然，问题的解法出了很大的问题。

平庸的输出无法突围，而一个高目标的试错会有很大概率会失败，我们必须要有对应的容错机制。如果目标拆解后都是低价值任务，即便都完成了也是死路一条。就跟投资企业或者开发游戏一样，注定超过半数是失败的，但是，我们总能期待一两个能够超出预期的完成行业领先的效果输出，只有这样，才能推动企业的增长和突围。因此，企业各部门的指标一定要自证比行业内的最好还要好，这才可能有机会。

第三个隐蔽的逻辑怪圈是本末倒置，原本先有因再有果，但是我们很容易跳开因来谈果，最终导致方向性的错误。所以为什么kpi定出来以后，大家的输出效果越来越差。举个例子，我跟大家说代码提交的频率和issue的文字质量很大程度上能够反应出来代码的质量和产品的活跃度以及效果。我的本义是说，优秀的技术自然而然就流露出一些特性，然后技术的相关同事就会把这个写入kpi：每天要提交代码。这就是东施效颦，一个有能力的人士体现出来的气势不在于音调和肢体动作，而在于他经历了很多困难并且成功突围而自然形成的自信的外露。你再怎么学习成功人士的演讲技巧，也无法理解成功的精髓。

这个问题比比皆是，我一直认为企业经营的逻辑是用创新的有亮点的技术来带动品牌，进而带动收入。一旦大家把目标变成了收入增加，动作就全部变形，销售无可厚非，产品就会变成项目，不去做领导者而变成了跟随者，跟着客户走，看似有收入，实际上没有了灵魂，技术没有时间和能力创新，产品上变成了大量定制化界面，这种模式在一两年后就会被打回原形：无法批量化，然后也无法保证收入的增长，最终连最初有的认可和尊重都没有了。

我认为有了技术的领先和产品的独特亮点，客户才能感受到你的核心价值，产品才能好卖，才有议价权，才会跳出低价低质量的死胡同。相反，一味去追求收入，以此忽略了技术和产品的卓越性，你越想追求的收入就越来越远。先有耕耘然后有收获，低头务实耕地总会有产出，想跳过日出而作日落而息的过程，就是本末倒置。

回顾上面的问题，我认为企业的愿景使命价值观是很重要的，是什么都行，一定要大家都认可并且践行。而现实情况通常是大家口头无比认可，身体却非常实诚，该干嘛干嘛。听不懂不相信，文化就是忽悠人的耳边风。我认为追求卓越是我们践行技术一流的习惯，大家当然认可，只是当我说你领先点在哪，大家身体就会实诚地说“没有”；我又说对行业分享我们的技术研究是让大家尊重的前提，大家当然也认可，但是无论是因为“工作太忙”还是“写不出来”甚至是“不想写”等原因，总之就是没有分享。

统一思想非常重要，大家想法不一致体现出来的就是跨部门不团结不协作。什么样的将领带出什么样的兵，当我们说一线的员工认可不了卓越文化，绝大部分原因是上层的管理者自己不认可不践行。所以人数增加带来的问题在于，如果没有把框架搭建好，一级部门负责人带不动二级部门负责人，依次往下，人越多产出越少，原本有能力的人一看这架势，很快被无形的影响。不着急扩人，除非你清楚核心团队的负责人自身理解认可文化，以及对应的管理能力跟得上，只有这样招人才有意义。所以，务必加强核心团队责任人的文化沟通和使命沟通，多开小会多喝茶，一个一个定期聊天沟通，越透彻越好，把大家思想同步。

总结一下，一个网络安全企业创业，需要重视几个陷阱或者逻辑怪圈：一）收入增长对应的逻辑是不是形成共识，对的企业发展的阶段目标；二）招人和任务是不是超出平均主义，输出相比没有独特的亮点，这个企业很难发展起来；三）是否看清什么是因什么是果，我们讲结果导向，是遵从先有的因；四）核心文化是否一致，尤其确保核心管理框架位置上的人要认同，确保言行一致，确保利出一孔。

这是去年一年下来我们用钱买来的经验教训，其实上面所有这些问题，为此负责的就是CEO，你谁也怪不上，因为决策是你做的，人是你招的，钱是你批的，文化是你定的。所以最大的责任人就是我。我并没有找到问题的解法，没能尽快的调整。

实话说，你说有多后悔，倒也真没有。你总会遇到许许多多的问题，当你能够发现并提出这些问题的时候，大概率你能有效地解决这些问题。但你当做没看到或者自怨自艾的时候，你很难走出去。我们的现金流储备还够我们折腾一段时间，我们的财务情况比以前更加稳健，增长的逻辑也越发清晰，最重要的是，我们的核心团队拼图在去年又收集了几个很关键的碎片。还差两三个小碎片，我觉得公司就得进入下一个阶段。关键问题又卡在我这，公司还差一个CTO。

问题的解法也比较明确：更准确的估算投入和产出，聚焦核心业务，减少不出彩的技术研发，确保领先技术以及对行业分享，加强内部沟通搭建管理梯队。2022年就这样了，痛定思痛，2023整装再出发。语无伦次，等我解决了这些问题，若干年后，就再把这些问题拿出来吹吹牛。

标签： 网络安全 收入增长 过一段时间