我们知道风险问题通常会涉及到潜在的较为敏感的事项信息。其中,有一些信息听起来会比较“可怕”,例如,“我们可能会失去项目的主要赞助商”,或者“我们的首席技术官可能要离开公司”等等。这些对于企业或项目来说都是非常严重的风险,因此需要将其纳入风险登记簿。
但是,企业或项目的经理,又或者风险管理负责人,是否应该让其他没有必要知道这些信息的组织成员(如企业股东、关键技术人员等)在风险登记簿中看到这些风险呢?
假设“我们可能会失去项目的主要赞助商”是你负责管理的项目的一个实际发生的风险,你是否愿意与你的团队成员和利益相关者讨论该风险问题呢?
如果你希望其他人作为一个团队成员参与讨论如何降低这个风险,那么你就应该向那些人“开放”风险登记簿。
然而,就像你不需要与项目发起人分享每个子任务的状态(分享里程碑就可以了)一样,与组织的每个利益相关者分享每一个风险在有些时候可能是有害的。
从原理上讲,风险登记簿应该具有透明性、保持向所有人开放。事实上,当你在风险登记簿中开始设置“私密风险”时,你随之产生了一个额外风险,即“有人会发现你有私密风险的风险”。
如果不希望向所有人共享所有识别出的风险,那么可以建立不同的风险登记簿,它们是整个风险登记簿的“子集”。
这类似于政府安全档案管理的做法。通常会对不同级别的人员授权不同级别的安全接触权限。在最高机密级别,被授权人可以看到最敏感的风险。但对于低级别的人员,他们可能只能接触到“不太敏感的”风险信息。
企业或项目的风险管理负责人应该需要与各部门合作,确定风险的敏感程度,并确定组织成员和利益相关者将拥有哪种类型的接触权限。
一个技术解决办法是建立不同的风险登记簿,私密性高的登记簿包含敏感风险,这些只保留给少数需要看到它们的高层管理人员,另外的私密性较低的登记簿可以对企业或项目组织成员公开。
风险登记簿RiskRegister软件在这方面有很好的应对办法。事实上,在最初设计的时候我们就考虑到RiskRegister需要具有管理风险登记簿的私密性的功能。
RiskRegister目前允许风险登记簿管理者设置能进入该风险登记簿的人员权限。这种设置是非常灵活的,可以依据组织背景和管理要求而选择不同的人员拥有风险登记簿的进入权限,从而有效解决了风险登记簿的私密性问题。 |
