Trong quản trị doanh nghiệp hiện đại, việc xây dựng bộ phận pháp chế nội bộ thường được xem là một bước tiến quan trọng nhằm kiểm soát rủi ro pháp lý, bởi khi quy trình đã rõ ràng, hợp đồng đã được rà soát và hồ sơ đã đầy đủ, người điều hành có xu hướng tin rằng hệ thống đã đủ an toàn để vận hành.
Tuy nhiên, thực tế lại cho thấy một nghịch lý khó chấp nhận: không ít doanh nghiệp vẫn gặp rủi ro pháp lý, bị thanh tra, kiểm toán hoặc truy xét trách nhiệm dù đã có pháp chế và đã “đi đúng quy trình”.
Điều này buộc phải đặt ra một câu hỏi mang tính bản chất: vấn đề nằm ở việc kiểm soát chưa đủ, hay nằm ở chính cách doanh nghiệp đang hiểu sai về “an toàn pháp lý”.
Khi “đúng quy trình” trở thành một vùng an toàn giả
Trong phần lớn doanh nghiệp, đặc biệt là các doanh nghiệp có quy mô lớn hoặc có yếu tố vốn nhà nước, hệ thống pháp chế nội bộ thường được thiết kế với nhiều lớp kiểm soát, bao gồm quy trình phê duyệt nhiều tầng, phân định rõ thẩm quyền, rà soát hợp đồng và lưu trữ hồ sơ đầy đủ nhằm bảo đảm rằng mọi quyết định đều đi qua một cấu trúc kiểm soát có vẻ chặt chẽ.
Cấu trúc này mang lại giá trị thực, bởi nó giúp giảm thiểu các sai sót hiển nhiên, hạn chế các vi phạm pháp luật trực tiếp và tạo ra một hệ thống vận hành có trật tự, nhưng đồng thời cũng tạo ra một hiệu ứng tâm lý rất nguy hiểm, đó là khi mọi bước đã được thực hiện đầy đủ, doanh nghiệp có xu hướng tin rằng rủi ro đã được kiểm soát.
Vấn đề nằm ở chỗ, quy trình chỉ chứng minh rằng các bước đã được thực hiện, nhưng không chứng minh rằng bản chất của quyết định là an toàn khi bị đánh giá lại trong một bối cảnh khác.
Khoảng trống giữa “hồ sơ đầy đủ” và “logic quyết định”
Một hồ sơ đầy đủ có thể phản ánh rất rõ doanh nghiệp đã làm gì, nhưng lại không trả lời được một câu hỏi quan trọng hơn, đó là vì sao doanh nghiệp lại lựa chọn phương án đó thay vì các phương án khác.
Đây chính là khoảng trống lớn nhất trong quản trị rủi ro pháp lý.
Pháp chế nội bộ thường tập trung vào việc đảm bảo tính hợp lệ của tài liệu, tính đầy đủ của thủ tục và sự phù hợp với quy định pháp luật, nhưng ít khi đi đến tận cùng việc kiểm tra xem toàn bộ quyết định có một cấu trúc logic đủ mạnh để tự giải thích hay không.
Khi quyết định bị xem xét lại, người ta không chỉ đọc những gì có trong hồ sơ, mà còn đọc cả những gì hồ sơ không nói, và chính những khoảng trống này mới là nơi rủi ro hình thành.
Luật sư Trương Anh Tú, Chủ tịch TAT Law Firm
Khi quyết định bị “đọc lại” trong một hệ quy chiếu khác
Ở thời điểm vận hành, doanh nghiệp nhìn quyết định theo logic kinh doanh, nơi hiệu quả, tốc độ và cơ hội đóng vai trò trung tâm, nhưng khi quyết định bị thanh tra hoặc kiểm toán, cùng một quyết định lại được nhìn theo logic truy xét trách nhiệm, nơi trọng tâm không còn là kết quả mà là quá trình kiểm soát.
Trong hệ quy chiếu này, câu hỏi không còn là quy trình có đúng hay không, mà là ai kiểm soát, dữ liệu có đáng tin hay không và rủi ro đã được nhận diện như thế nào.
Sự khác biệt giữa hai cách nhìn này tạo ra một khoảng cách rất lớn, và nếu khoảng cách đó không được nhận diện từ đầu, thì rủi ro chỉ xuất hiện khi mọi thứ đã bị đặt lại.
Vì sao pháp chế nội bộ khó nhìn thấy rủi ro này
Pháp chế nội bộ hoạt động từ bên trong hệ thống, điều này giúp họ hiểu rất rõ bối cảnh kinh doanh, áp lực tiến độ và mục tiêu vận hành, nhưng cũng khiến họ chia sẻ cùng một hệ giả định với hệ thống.
Trong khi đó, người đánh giá ở giai đoạn thanh tra hoặc truy xét lại không ở trong hệ thống, không chia sẻ các giả định nội bộ và không chấp nhận các yếu tố “hiểu ngầm” trong quá trình ra quyết định.
Chính sự khác biệt về vị trí quan sát này tạo ra một điểm mù mà hệ thống nội bộ rất khó tự nhận diện.
Rủi ro thật không nằm ở sai phạm rõ ràng
Trong thực tế, phần lớn các rủi ro pháp lý nghiêm trọng không xuất phát từ những sai phạm rõ ràng, mà xuất phát từ những vùng “xám” nơi quyết định hợp lệ nhưng khó giải thích, hồ sơ đầy đủ nhưng logic yếu, có tham mưu nhưng không rõ ai chịu trách nhiệm và có dữ liệu nhưng không chứng minh được độ tin cậy.
Những rủi ro này không xuất hiện trong vận hành bình thường, mà chỉ lộ ra khi quyết định bị truy ngược trong một bối cảnh bất lợi.
CRC – cách tiếp cận khác về kiểm soát quyết định
Khác với cách tiếp cận truyền thống chỉ tập trung vào kiểm soát quy trình, CRC đặt câu hỏi ngay từ đầu rằng nếu quyết định này bị đọc lại, nó có thể đứng vững hay không.
Điều này buộc doanh nghiệp phải nhìn quyết định từ điểm kết thúc, nơi nó có thể bị thanh tra, kiểm toán hoặc tranh chấp, thay vì chỉ nhìn từ điểm bắt đầu của quy trình.
CRC không thay thế pháp chế, nhưng bổ sung một tầng kiểm soát mà pháp chế nội bộ khó có thể tự thực hiện, đó là kiểm soát cách quyết định sẽ bị hiểu trong những tình huống bất lợi.
Kết luận
Doanh nghiệp không gặp rủi ro vì thiếu quy trình, mà gặp rủi ro vì tin rằng quy trình là đủ.
Một quyết định có thể đi đúng tất cả các bước, nhưng vẫn sụp khi bị đặt lại nếu nó không có khả năng tự giải thích. Và trong mọi trường hợp, khi quyết định bị đọc lại, điều quyết định không còn là doanh nghiệp đã làm gì, mà là quyết định đó có thể được hiểu như thế nào.
Nếu một quyết định có thể khiến doanh nghiệp phải giải trình trong tương lai, thì câu hỏi không còn là có cần thêm quy trình hay không, mà là liệu quyết định đó đã từng được nhìn dưới góc độ của người sẽ đọc lại nó hay chưa.
Bởi nếu chưa từng có góc nhìn đó, rủi ro không nằm ở việc thiếu kiểm soát, mà nằm ở việc kiểm soát sai điểm ngay từ đầu.
Nếu một quyết định hôm nay có thể bị thanh tra, kiểm toán hoặc truy xét trong tương lai, thì câu hỏi quan trọng không còn là doanh nghiệp đã đi đủ quy trình hay chưa.
Câu hỏi đúng phải là: khi bị đọc lại, quyết định đó có thể tự giải thích hay không.
Pháp chế giúp doanh nghiệp vận hành đúng. Nhưng trong những tình huống bất lợi, điều bảo vệ doanh nghiệp không phải là số lượng hồ sơ, mà là cấu trúc logic của chính quyết định.
Criminal Risk Control (CRC) không thay thế pháp chế, mà bổ sung một góc nhìn khác – góc nhìn của người sẽ đọc lại quyết định đó trong tương lai.
Một khi đã nhìn từ điểm đó, doanh nghiệp sẽ không còn đặt câu hỏi “đã làm đủ chưa”, mà bắt đầu đặt câu hỏi đúng hơn: “quyết định này có đứng vững khi bị truy ngược hay không.”
Tìm hiểu thêm: https://tatlawfirm.com/crc
Luật sư TRƯƠNG ANH TÚ
Chủ tịch TAT Law Firm.
Bài viết thuộc hệ tư duy Criminal Risk Control (CRC) – mô hình phân tích rủi ro pháp lý và rủi ro hình sự trong quản trị doanh nghiệp do Luật sư Trương Anh Tú và TAT Law Firm phát triển từ thực tiễn xử lý các vụ việc bị thanh tra, kiểm toán, điều tra và truy xét trách nhiệm.
CRC không phải là kiến thức pháp lý phổ thông, mà là cấu trúc tư duy nhằm giải quyết một vấn đề duy nhất: một quyết định có thể tự bảo vệ khi bị đọc lại hay không. Toàn bộ nội dung, cấu trúc lập luận và hệ thống khái niệm trong bài được bảo hộ theo quy định pháp luật về sở hữu trí tuệ. Mọi hành vi sao chép, tái cấu trúc hoặc sử dụng cho mục đích thương mại khi chưa có sự chấp thuận đều bị xem là xâm phạm quyền sở hữu trí tuệ.
CRC không được tạo ra để phổ biến đại trà. Nó được tạo ra để phân biệt giữa người hiểu rủi ro và người sẽ phải đối mặt với rủi ro.
