.webp)
Không ít CEO rơi vào một tình huống rất khó lý giải: quyết định được đưa ra trong bối cảnh hợp lý, có tham mưu, có quy trình, có hồ sơ đầy đủ, đã được pháp chế nội bộ rà soát và không có dấu hiệu vi phạm rõ ràng, nhưng khi bị thanh tra, kiểm toán, tranh chấp hoặc truy xét trách nhiệm, rủi ro vẫn xuất hiện.
Điều khiến nhiều người bất ngờ không phải là việc quyết định có sai hay không, mà là việc một quyết định tưởng như “đúng” lại không thể tự bảo vệ khi bị đặt lại trong một hệ quy chiếu khác.
Câu hỏi vì vậy không còn dừng ở việc CEO đã làm đúng chưa, mà phải đi sâu hơn: vì sao đã có pháp chế doanh nghiệp, đã có quy trình, đã có hồ sơ, nhưng người ký vẫn có thể gặp rủi ro?
Trả lời ngắn gọn
CEO có thể không sai tại thời điểm ra quyết định, nhưng vẫn gặp rủi ro nếu quyết định đó không đủ khả năng tự giải thích và tự bảo vệ khi bị đọc lại dưới góc nhìn thanh tra, kiểm toán, tranh chấp hoặc truy xét trách nhiệm. Pháp chế nội bộ giúp kiểm soát tính hợp lệ của hồ sơ và quy trình, nhưng không phải lúc nào cũng kiểm soát được cách quyết định sẽ bị hiểu trong một bối cảnh bất lợi.
Khi đúng – sai không còn là ranh giới quyết định
Trong vận hành doanh nghiệp, tiêu chí phổ biến để đánh giá một quyết định thường là đúng hay sai. Quyết định có vi phạm pháp luật hay không, có đi đúng quy trình hay không, có đủ hồ sơ hay không, có được pháp chế rà soát hay không. Nếu các câu trả lời đều tích cực, CEO dễ tin rằng quyết định đã an toàn.
Nhưng khi rủi ro phát sinh, hệ quy chiếu đánh giá thay đổi. Người đánh giá không chỉ hỏi quyết định có đúng quy trình hay không, mà còn hỏi vì sao quyết định đó được đưa ra, dữ liệu nào được sử dụng, rủi ro nào đã được nhận diện, phương án thay thế đã được cân nhắc chưa và người ra quyết định có thực sự kiểm soát được các yếu tố trọng yếu hay không.
Khi đó, một quyết định “không sai” vẫn có thể trở thành một quyết định “không bảo vệ được”. Đây là khác biệt rất lớn giữa an toàn trong vận hành và an toàn khi bị hậu kiểm.
.png)
Luật sư Trương Anh Tú, Chủ tịch TAT Law Firm
Pháp chế đã rà soát, vì sao CEO vẫn rủi ro?
Trong nhiều doanh nghiệp, việc pháp chế nội bộ đã rà soát hồ sơ thường được hiểu như một dấu hiệu an toàn. Hợp đồng đã được xem xét, quy trình đã được đối chiếu, thẩm quyền đã được kiểm tra, các tài liệu trình ký đã được chuẩn bị đầy đủ. Đây là vai trò quan trọng của pháp chế doanh nghiệp và không thể phủ nhận.
Tuy nhiên, phần lớn công việc này vẫn chủ yếu nhằm trả lời câu hỏi quyết định có hợp lệ trong hệ thống hay không. Pháp chế nội bộ thường kiểm tra tính đúng về hình thức, tính đầy đủ về thủ tục và sự phù hợp với quy định hiện hành. Nhưng rủi ro của CEO lại thường xuất hiện ở một tầng khác: quyết định đó sẽ bị hiểu thế nào nếu bị thanh tra, kiểm toán, tranh chấp hoặc truy xét trách nhiệm.
Đây là tầng mà pháp chế nội bộ không phải lúc nào cũng có đủ vị trí độc lập và kinh nghiệm thực chiến để kiểm tra đến cùng. Vì vậy, việc “pháp chế đã xem” không đồng nghĩa với việc người ký đã được bảo vệ. Pháp chế có thể giúp giảm sai sót về hình thức, nhưng không tự động chứng minh rằng CEO đã kiểm soát đầy đủ logic, dữ liệu và rủi ro của quyết định.
Rủi ro nằm ở khoảng cách giữa hành vi và cách hiểu
Một trong những đặc điểm nguy hiểm nhất của rủi ro pháp lý doanh nghiệp là rủi ro không nằm trọn trong hành vi. Nó nằm ở khoảng cách giữa hành vi và cách hành vi đó bị hiểu.
Một quyết định kinh doanh có thể hợp lý trong bối cảnh nội bộ, có cơ sở tại thời điểm ban hành, được nhiều bộ phận đồng thuận và đã được pháp chế rà soát. Nhưng khi bị tách khỏi bối cảnh đó, cùng một quyết định có thể bị nhìn theo hướng khác: thiếu thận trọng, không đủ kiểm soát, thiếu căn cứ hoặc không chứng minh được logic lựa chọn.
Khoảng cách này thường không lộ ra khi doanh nghiệp đang vận hành bình thường. Nó chỉ xuất hiện khi quyết định bị đọc lại bởi người ngoài hệ thống, trong một thời điểm khác, với dữ liệu khác và tâm thế đánh giá khác.
Vì sao CEO dễ rơi vào vùng mù này?
CEO thường ra quyết định dựa trên hệ thống. Họ nhận báo cáo, nghe tham mưu, xem ý kiến pháp chế nội bộ, cân nhắc tài chính, đánh giá cơ hội và dựa vào các phòng ban chuyên môn. Đây là cách vận hành bình thường của doanh nghiệp hiện đại, bởi không một CEO nào có thể tự mình kiểm tra mọi chi tiết của từng giao dịch.
Tuy nhiên, chính sự phụ thuộc hợp lý này lại tạo ra một vùng mù. CEO dễ tin rằng hệ thống đã kiểm soát rủi ro, trong khi trên thực tế, hệ thống có thể mới chỉ kiểm soát phần nhìn thấy được: hồ sơ, quy trình, thẩm quyền, hợp đồng. Phần khó hơn là logic của quyết định, dữ liệu nền, giả định rủi ro và dấu vết kiểm soát thực chất lại không phải lúc nào cũng được thiết kế đủ mạnh.
Áp lực thời gian và hiệu quả cũng khiến vùng mù này lớn hơn. Trong kinh doanh, quyết định thường phải nhanh, đúng thời điểm và tận dụng cơ hội. Việc dừng lại để tự hỏi quyết định này sẽ bị hiểu thế nào nếu bị đọc lại sau vài năm thường bị xem là làm chậm tiến trình. Nhưng chính câu hỏi tưởng như làm chậm đó lại là câu hỏi có thể bảo vệ CEO về sau.
Khi quyết định bị tách khỏi bối cảnh
Một quyết định khi được ban hành luôn gắn với bối cảnh cụ thể: thị trường lúc đó ra sao, áp lực cạnh tranh thế nào, dữ liệu sẵn có đến đâu, cơ hội có thể mất đi nếu chậm trễ hay không. Trong nội bộ, những yếu tố này được hiểu ngầm và thường được coi là hợp lý.
Nhưng khi quyết định bị xem xét lại, bối cảnh ban đầu thường không còn đầy đủ. Người đánh giá không sống trong áp lực của thời điểm ra quyết định, không chia sẻ cảm nhận thị trường lúc đó và không mặc nhiên chấp nhận những gì doanh nghiệp từng xem là hiển nhiên. Họ nhìn vào hồ sơ, kết quả, dữ liệu và dấu vết kiểm soát.
Nếu logic không đủ mạnh, quyết định sẽ trở nên yếu, dù tại thời điểm ban hành nó hoàn toàn có thể là một lựa chọn hợp lý.
Rủi ro lớn nhất: không chứng minh được việc kiểm soát
Điểm dễ bị bỏ qua nhất không phải là nội dung quyết định, mà là khả năng chứng minh rằng người ra quyết định đã thực hiện nghĩa vụ kiểm soát. Một CEO có thể đã đặt câu hỏi, yêu cầu làm rõ, cân nhắc rủi ro hoặc trao đổi với bộ phận chuyên môn và pháp chế nội bộ, nhưng nếu những việc đó không được ghi nhận trong hồ sơ, thì khi bị truy xét, chúng gần như không tồn tại.
Trong hậu kiểm, điều quan trọng không chỉ là CEO đã nghĩ gì, mà là có dấu vết nào chứng minh rằng quá trình kiểm soát đã diễn ra. Nếu không có dấu vết này, rủi ro không còn nằm ở đúng hay sai, mà nằm ở việc có chứng minh được hay không.
Đây là lý do nhiều CEO chỉ nhận ra quá muộn rằng điều họ thiếu không phải là thiện chí, cũng không phải là quy trình, mà là khả năng chứng minh logic kiểm soát của chính mình.
Pháp chế nội bộ và CRC: hai tầng kiểm soát khác nhau
Pháp chế nội bộ là tầng kiểm soát cần thiết. Nó giúp doanh nghiệp vận hành đúng khuôn khổ, giảm sai sót hình thức, chuẩn hóa hồ sơ và hạn chế các vi phạm có thể nhìn thấy trước. Nhưng trong những quyết định có rủi ro cao, pháp chế không nên bị kỳ vọng như lớp bảo vệ cuối cùng cho người ký.
CRC đặt câu hỏi khác với pháp chế truyền thống. Không chỉ hỏi quyết định có đúng quy trình không, CRC hỏi: nếu quyết định này bị đọc lại, nó có thể tự bảo vệ hay không.
Điểm cốt lõi của CRC là nhìn quyết định từ điểm rủi ro xuất hiện, chứ không chỉ từ điểm quyết định được ban hành. Cách tiếp cận này buộc doanh nghiệp phải thiết kế lại logic quyết định, ghi nhận quá trình kiểm soát và làm rõ trách nhiệm ngay từ đầu.
CRC không thay thế pháp chế. CRC bổ sung tầng nhìn mà pháp chế nội bộ thường khó tự tạo ra: góc nhìn độc lập, hậu kiểm và truy xét trách nhiệm.
Một quyết định an toàn thực sự là gì?
Một quyết định an toàn không phải là quyết định không có rủi ro, bởi trong kinh doanh không có quyết định quan trọng nào hoàn toàn không có rủi ro. Một quyết định an toàn là quyết định có thể giải thích và bảo vệ một cách hợp lý khi bị truy xét.
Điều này đòi hỏi logic rõ ràng, dữ liệu đủ mạnh, trách nhiệm được xác định và quá trình kiểm soát được thể hiện trong hồ sơ. Quan trọng hơn, quyết định đó phải trả lời được câu hỏi: nếu người ngoài đọc lại, họ có hiểu được vì sao doanh nghiệp đã lựa chọn như vậy hay không.
Nếu câu trả lời không rõ ràng, rủi ro đã tồn tại, dù chưa ai gọi tên nó.
Kết luận
CEO không gặp rủi ro chỉ vì làm sai một cách rõ ràng. CEO gặp rủi ro khi một quyết định hợp lý tại thời điểm ban hành, đã qua pháp chế nội bộ và đã đi đúng quy trình, nhưng không thể tự bảo vệ khi bị đặt lại trong một bối cảnh khác.
Trong môi trường mà mọi quyết định đều có thể bị đọc lại, việc đúng tại thời điểm ký là chưa đủ. Điều cần thiết hơn là khả năng đứng vững trong tương lai, khi quyết định không còn được hiểu bằng logic nội bộ mà bằng logic hậu kiểm, trách nhiệm và truy xét. Nếu một quyết định đã được pháp chế rà soát nhưng CEO vẫn không chắc mình có thể giải thích được khi bị đọc lại, vấn đề không còn nằm ở việc bổ sung thêm một bước kiểm tra hình thức. Vấn đề nằm ở việc cần thiết kế lại cách quyết định được kiểm soát, ghi nhận và bảo vệ ngay từ đầu. https://tatlawfirm.com/crc
Luật sư TRƯƠNG ANH TÚ
Chủ tịch TAT Law Firm.
Bài viết thuộc hệ tư duy Criminal Risk Control (CRC) – mô hình phân tích rủi ro pháp lý và rủi ro hình sự trong quản trị doanh nghiệp do Luật sư Trương Anh Tú và TAT Law Firm phát triển từ thực tiễn xử lý các vụ việc bị thanh tra, kiểm toán, điều tra và truy xét trách nhiệm.
CRC không phải là kiến thức pháp lý phổ thông, mà là cấu trúc tư duy nhằm giải quyết một vấn đề duy nhất: một quyết định có thể tự bảo vệ khi bị đọc lại hay không. Toàn bộ nội dung, cấu trúc lập luận và hệ thống khái niệm trong bài được bảo hộ theo quy định pháp luật về sở hữu trí tuệ. Mọi hành vi sao chép, tái cấu trúc hoặc sử dụng cho mục đích thương mại khi chưa có sự chấp thuận đều bị xem là xâm phạm quyền sở hữu trí tuệ.
CRC không được tạo ra để phổ biến đại trà. Nó được tạo ra để phân biệt giữa người hiểu rủi ro và người sẽ phải đối mặt với rủi ro.
