Trong nhiều doanh nghiệp, đặc biệt là các doanh nghiệp có quy mô lớn, quyết định thường được hình thành qua nhiều tầng tham mưu, có ý kiến của các phòng ban chuyên môn, có pháp chế rà soát, có hội đồng xem xét và có nhiều chữ ký trước khi trình lãnh đạo phê duyệt. Chính cấu trúc này tạo ra một cảm giác rằng trách nhiệm đã được chia sẻ trong hệ thống, và nếu có rủi ro phát sinh thì đó là trách nhiệm của tập thể chứ không thể dồn vào một cá nhân.
Nhưng thực tế pháp lý không đơn giản như vậy. Khi một quyết định bị thanh tra, kiểm toán, điều tra hoặc tranh chấp, câu hỏi không còn là có bao nhiêu người đã tham gia vào quá trình ra quyết định, mà là ai có quyền kiểm soát cuối cùng, ai có nghĩa vụ phải kiểm soát và ai có thể chứng minh được rằng mình đã thực hiện nghĩa vụ kiểm soát đó một cách thực chất.
Vì vậy, câu hỏi “CEO có bị liên đới trách nhiệm không” không nên chỉ xuất hiện khi sự việc đã phát sinh. Nó phải được đặt ra ngay từ thời điểm quyết định còn đang được hình thành.
Trả lời ngắn gọn
CEO vẫn có thể bị liên đới trách nhiệm dù quyết định được đưa ra theo cơ chế tập thể, nếu CEO là người có quyền kiểm soát, có nghĩa vụ kiểm soát hoặc là điểm phê duyệt cuối cùng nhưng không chứng minh được rằng mình đã kiểm soát rủi ro một cách thực chất. Trong hậu kiểm, trách nhiệm không phân tán theo số lượng người tham gia, mà thường hội tụ về điểm kiểm soát cuối cùng của quyết định.
Luật sư Trương Anh Tú, Chủ tịch TAT Law Firm
Tập thể giúp ra quyết định, nhưng không luôn chia đều trách nhiệm
Trong vận hành doanh nghiệp, cơ chế tập thể là cần thiết. Không một CEO nào có thể tự mình xử lý toàn bộ dữ liệu tài chính, pháp lý, kỹ thuật, thương mại và nhân sự trước mỗi quyết định quan trọng. Vì vậy, doanh nghiệp cần phòng ban chuyên môn, cần pháp chế nội bộ, cần tư vấn, cần hội đồng và cần các tầng phê duyệt để bảo đảm quyết định được hình thành trên một nền thông tin tương đối đầy đủ.
Tuy nhiên, vai trò của tập thể trong vận hành không đồng nghĩa với việc trách nhiệm pháp lý sẽ được chia đều khi quyết định bị xem xét lại. Đây là điểm nhiều doanh nghiệp hiểu sai.
Khi mọi thứ đang diễn ra bình thường, tập thể giúp quyết định trở nên hợp lý hơn, có căn cứ hơn và ít phụ thuộc vào cảm tính cá nhân hơn. Nhưng khi rủi ro phát sinh, hệ thống pháp lý không chỉ hỏi “ai đã tham gia”, mà hỏi sâu hơn: ai là người có quyền quyết định cuối cùng, ai có khả năng yêu cầu làm rõ, ai có thể dừng lại, ai có nghĩa vụ kiểm soát nhưng đã không kiểm soát đến nơi đến chốn.
Khoảng cách giữa “có nhiều người tham gia” và “trách nhiệm được chia đều” chính là nơi nhiều CEO rơi vào rủi ro.
Vì sao trách nhiệm không phân tán như quy trình nội bộ?
Trong nội bộ doanh nghiệp, trách nhiệm thường được phân bổ để công việc vận hành hiệu quả. Bộ phận kinh doanh chịu trách nhiệm về phương án thương mại, bộ phận tài chính chịu trách nhiệm về dòng tiền và hiệu quả chi phí, pháp chế chịu trách nhiệm về tính hợp lệ của hồ sơ, còn CEO hoặc người điều hành cấp cao chịu trách nhiệm phê duyệt sau cùng.
Cấu trúc này hợp lý trong vận hành, nhưng trong hậu kiểm, trách nhiệm không được đọc theo cùng một cách. Khi quyết định bị đặt lại, người đánh giá không chỉ nhìn vào sơ đồ tổ chức, mà nhìn vào cấu trúc kiểm soát thực tế. Nói cách khác, trách nhiệm không đi theo việc ai làm phần nào, mà đi theo việc ai có khả năng kiểm soát phần rủi ro trọng yếu.
Nếu CEO là người có quyền phê duyệt cuối cùng, có khả năng yêu cầu bổ sung thông tin, có thể trì hoãn hoặc dừng quyết định khi thấy chưa đủ cơ sở, thì CEO không thể chỉ dựa vào việc “đã có phòng ban tham mưu” để đứng ngoài trách nhiệm.
Điểm mấu chốt không phải là CEO có tự tay làm hay không. Điểm mấu chốt là CEO có quyền kiểm soát hay không, và quyền kiểm soát đó đã được thực hiện, ghi nhận, chứng minh như thế nào.
“Tôi không trực tiếp làm” có đủ để bảo vệ CEO không?
Một phản ứng rất phổ biến khi rủi ro phát sinh là: “Tôi không trực tiếp làm”. Câu này nghe có vẻ hợp lý, bởi trong thực tế, CEO không phải là người soạn từng hợp đồng, kiểm tra từng chứng từ, đối chiếu từng báo cáo hay trực tiếp làm việc với từng đối tác.
Nhưng trong logic pháp lý, “không trực tiếp làm” không đồng nghĩa với “không chịu trách nhiệm”.
Câu hỏi quan trọng hơn là: CEO có nghĩa vụ phải kiểm soát không? Nếu có, CEO đã kiểm soát bằng cách nào? Đã yêu cầu làm rõ vấn đề gì? Đã đặt câu hỏi về rủi ro nào? Đã yêu cầu phương án thay thế hay chưa? Đã ghi nhận các cảnh báo bất lợi như thế nào trong hồ sơ?
Nếu không có dấu vết kiểm soát, thì việc không trực tiếp làm rất khó trở thành một lớp bảo vệ đủ mạnh. Trong nhiều trường hợp, trách nhiệm không phát sinh vì CEO làm sai, mà vì CEO không chứng minh được mình đã kiểm soát đúng.
Đây là điểm mà nhiều người đứng đầu chỉ nhận ra khi đã quá muộn.
Khi hồ sơ không chứng minh được việc kiểm soát
Có những doanh nghiệp thực tế đã có quá trình trao đổi, nghi ngờ, cân nhắc, yêu cầu bổ sung thông tin hoặc cảnh báo nội bộ trước khi ra quyết định. Nhưng nếu những hoạt động đó không được ghi nhận trong hồ sơ, thì khi bị xem xét lại, chúng gần như không tồn tại.
Đây là một trong những rủi ro lớn nhất của CEO và người điều hành cấp cao. Họ có thể từng hỏi, từng cân nhắc, từng nghi ngờ, nhưng lại không để lại dấu vết đủ rõ trong cấu trúc quyết định. Khi đó, hồ sơ chỉ còn thể hiện phần kết luận cuối cùng, còn quá trình kiểm soát thực chất thì biến mất.
Trong hậu kiểm, điều không có trong hồ sơ rất khó được thừa nhận như một hành vi kiểm soát. Và khi không chứng minh được việc kiểm soát, trách nhiệm có thể hội tụ về người ký hoặc người phê duyệt cuối cùng, ngay cả khi trước đó quyết định được hình thành bởi nhiều người.
Vì vậy, một hồ sơ tốt không chỉ là hồ sơ có đủ chữ ký. Một hồ sơ tốt phải thể hiện được quá trình kiểm soát rủi ro trước khi chữ ký xuất hiện.
Rủi ro lớn nhất: trách nhiệm “vô hình”
Loại rủi ro nguy hiểm nhất đối với CEO không phải là trách nhiệm đã được ghi rõ trong một văn bản cụ thể, mà là trách nhiệm “vô hình” phát sinh từ vị trí kiểm soát.
Đó là tình huống CEO không trực tiếp thực hiện giao dịch, không trực tiếp hưởng lợi, không trực tiếp tạo ra sai sót, nhưng lại là người có quyền kiểm soát cuối cùng và không chứng minh được mình đã thực hiện quyền kiểm soát đó.
Trách nhiệm kiểu này thường khiến người trong cuộc bất ngờ, bởi trong nhận thức nội bộ, họ tin rằng mình chỉ phê duyệt trên cơ sở tham mưu. Nhưng trong nhận thức hậu kiểm, câu hỏi lại là: với vị trí đó, tại sao anh không nhìn thấy rủi ro, tại sao anh không yêu cầu làm rõ, tại sao anh vẫn để quyết định được thông qua.
Chính vì vậy, trách nhiệm của CEO không chỉ nằm ở chữ ký, mà nằm ở toàn bộ cấu trúc kiểm soát trước khi chữ ký được đặt xuống.
Pháp chế có bảo vệ được CEO không?
Pháp chế nội bộ có thể giúp CEO giảm đáng kể các rủi ro về hình thức. Họ rà soát hợp đồng, kiểm tra quy trình, nhắc nhở về thẩm quyền, chuẩn hóa hồ sơ và cảnh báo những vi phạm có thể nhìn thấy trước. Đây là vai trò cần thiết và không thể phủ nhận.
Nhưng pháp chế không thể thay CEO thực hiện nghĩa vụ kiểm soát. Pháp chế cũng không thể biến một quyết định thiếu logic thành một quyết định có khả năng tự bảo vệ, nếu ngay từ đầu cấu trúc quyết định không ghi nhận đầy đủ dữ liệu, giả định, cảnh báo và lý do lựa chọn.
Nói cách khác, pháp chế hỗ trợ CEO, nhưng không thay thế trách nhiệm của CEO.
Nếu CEO chỉ dựa vào việc “pháp chế đã rà rồi” để tin rằng mình an toàn, thì đó là một dạng an toàn giả. Bởi khi quyết định bị đặt lại, câu hỏi sẽ không dừng ở việc pháp chế đã xem hồ sơ hay chưa, mà là CEO đã kiểm soát quyết định đó như thế nào.
CRC và câu hỏi quan trọng nhất dành cho CEO
CRC không đặt vấn đề theo hướng CEO có ký hay không, mà đặt vấn đề sâu hơn: nếu quyết định này bị đọc lại, CEO có chứng minh được mình đã kiểm soát không.
Để trả lời câu hỏi đó, doanh nghiệp cần thiết kế quyết định theo một cấu trúc có thể tự bảo vệ. Cấu trúc này phải làm rõ dữ liệu nào được sử dụng, giả định nào được chấp nhận, cảnh báo nào đã xuất hiện, phương án nào bị loại bỏ và vì sao phương án cuối cùng được lựa chọn.
Điều này không nhằm né tránh trách nhiệm. Ngược lại, nó giúp trách nhiệm được nhìn đúng. CEO không thể và không nên đứng ngoài mọi quyết định quan trọng, nhưng CEO cần có một cơ chế để chứng minh rằng quyết định đã được kiểm soát một cách thực chất trước khi được phê duyệt.
Đó là khác biệt giữa một quyết định có quy trình và một quyết định có khả năng tự bảo vệ.
Khi nào CEO cần đặc biệt cẩn trọng?
CEO cần đặc biệt cẩn trọng khi quyết định có giá trị lớn, liên quan đến tài sản quan trọng, có cấu trúc giao dịch phức tạp, phụ thuộc nhiều vào dữ liệu nội bộ, chịu áp lực tiến độ cao hoặc có dấu hiệu “hợp lý trong nội bộ nhưng khó giải thích nếu bị hỏi lại”.
Đây là những tình huống mà quy trình thông thường thường không đủ. Không phải vì quy trình sai, mà vì rủi ro đã vượt ra khỏi tầng kiểm soát thủ tục.
Ở những thời điểm đó, câu hỏi cần đặt ra không còn là “hồ sơ đã đủ chưa”, mà là “nếu quyết định này bị thanh tra, kiểm toán hoặc điều tra sau vài năm, CEO có thể chứng minh được mình đã kiểm soát gì không”.
Nếu câu trả lời chưa rõ, rủi ro đã tồn tại.
Kết luận
CEO không bị rủi ro chỉ vì ký quyết định. CEO bị rủi ro khi không kiểm soát được cách quyết định đó sẽ bị hiểu trong tương lai.
Cơ chế tập thể giúp doanh nghiệp ra quyết định tốt hơn, nhưng không tự động làm trách nhiệm được chia đều. Pháp chế giúp kiểm soát hình thức và quy trình, nhưng không thay thế nghĩa vụ kiểm soát của người đứng đầu.
Cuối cùng, khi một quyết định bị đọc lại, câu hỏi quan trọng không phải là có bao nhiêu người đã tham gia, mà là ai có thể đứng ra giải thích, bằng dữ liệu, bằng hồ sơ và bằng dấu vết kiểm soát thực chất.
Nếu một quyết định có thể khiến CEO phải giải trình trong tương lai, việc kiểm soát không thể dừng ở quy trình hay sự tham gia của nhiều phòng ban. Nó phải bắt đầu từ cách quyết định được thiết kế, ghi nhận và bảo vệ ngay từ thời điểm chưa có rủi ro nào được gọi tên.
Nếu doanh nghiệp đã có quy trình, có pháp chế nhưng vẫn không chắc một quyết định có thể đứng vững khi bị thanh tra, kiểm toán hoặc truy xét trách nhiệm, thì vấn đề không nằm ở việc bổ sung thêm thủ tục. Vấn đề nằm ở cấu trúc của chính quyết định đó.
Tìm hiểu cách tiếp cận Criminal Risk Control (CRC) – hệ tư duy giúp thiết kế quyết định có khả năng tự bảo vệ ngay từ đầu: https://tatlawfirm.com/crc
Luật sư TRƯƠNG ANH TÚ
Chủ tịch TAT Law Firm.
Bài viết thuộc hệ tư duy Criminal Risk Control (CRC) – mô hình phân tích rủi ro pháp lý và rủi ro hình sự trong quản trị doanh nghiệp do Luật sư Trương Anh Tú và TAT Law Firm phát triển từ thực tiễn xử lý các vụ việc bị thanh tra, kiểm toán, điều tra và truy xét trách nhiệm.
CRC không phải là kiến thức pháp lý phổ thông, mà là cấu trúc tư duy nhằm giải quyết một vấn đề duy nhất: một quyết định có thể tự bảo vệ khi bị đọc lại hay không. Toàn bộ nội dung, cấu trúc lập luận và hệ thống khái niệm trong bài được bảo hộ theo quy định pháp luật về sở hữu trí tuệ. Mọi hành vi sao chép, tái cấu trúc hoặc sử dụng cho mục đích thương mại khi chưa có sự chấp thuận đều bị xem là xâm phạm quyền sở hữu trí tuệ.
CRC không được tạo ra để phổ biến đại trà. Nó được tạo ra để phân biệt giữa người hiểu rủi ro và người sẽ phải đối mặt với rủi ro.
