Một trong những niềm tin phổ biến nhất trong quản trị doanh nghiệp là hồ sơ càng đầy đủ thì rủi ro càng thấp. Nhiều doanh nghiệp đầu tư rất lớn vào việc chuẩn hóa tài liệu, kiểm soát quy trình lưu trữ, hoàn thiện hệ thống biểu mẫu và bảo đảm mọi quyết định đều có đủ giấy tờ đi kèm. Trong quá trình này, pháp chế nội bộ thường giữ vai trò trung tâm: rà soát, hệ thống hóa, kiểm tra thẩm quyền và hoàn thiện hồ sơ trước khi trình ký.
Nhưng thực tế lại cho thấy một nghịch lý: không ít doanh nghiệp vẫn gặp rủi ro khi thanh tra, kiểm toán hoặc tranh chấp, dù hồ sơ không thiếu và pháp chế đã tham gia đầy đủ. Vậy điều gì đang bị hiểu sai trong cách doanh nghiệp nhìn về giá trị bảo vệ của hồ sơ?
Trả lời ngắn gọn
Hồ sơ đầy đủ không bảo vệ được doanh nghiệp nếu hồ sơ đó không phản ánh được logic quyết định và quá trình kiểm soát thực chất. Pháp chế nội bộ có thể giúp hồ sơ đầy đủ về hình thức, nhưng thanh tra, kiểm toán hoặc cơ quan có thẩm quyền không chỉ kiểm tra sự tồn tại của tài liệu, mà đánh giá xem tài liệu đó có chứng minh được vì sao quyết định được đưa ra và rủi ro đã được kiểm soát như thế nào hay không.
Hồ sơ đầy đủ nhưng không đủ ý nghĩa
Một bộ hồ sơ có thể rất hoàn chỉnh về hình thức: đầy đủ văn bản, đủ chữ ký, đúng quy trình, lưu trữ bài bản và đáp ứng các yêu cầu kiểm tra thông thường. Nhưng câu hỏi quan trọng không phải là hồ sơ có đủ hay không, mà là hồ sơ đó có nói lên điều gì hay không.
Nếu hồ sơ chỉ phản ánh điều đã làm mà không phản ánh lý do vì sao làm, thì giá trị bảo vệ của hồ sơ rất hạn chế. Một quyết định có thể có đủ tờ trình, biên bản, báo cáo, hợp đồng và phê duyệt, nhưng nếu các tài liệu này không làm rõ được logic lựa chọn, dữ liệu nền, cảnh báo rủi ro và quá trình kiểm soát, thì khi bị xem xét lại, hồ sơ đầy đủ vẫn có thể trở thành hồ sơ yếu.
Điều doanh nghiệp cần không chỉ là hồ sơ đầy. Điều doanh nghiệp cần là hồ sơ có ý nghĩa.
Luật sư Trương Anh Tú, Chủ tịch TAT Law Firm
Giới hạn của pháp chế khi hồ sơ chỉ dừng ở tính đầy đủ
Trong nhiều doanh nghiệp, pháp chế nội bộ đóng vai trò trung tâm trong việc chuẩn bị, rà soát và hoàn thiện hồ sơ. Đây là vai trò cần thiết, bởi nếu không có pháp chế, hồ sơ dễ rời rạc, thiếu căn cứ, thiếu thẩm quyền hoặc không thống nhất về hình thức.
Tuy nhiên, một bộ hồ sơ do pháp chế chuẩn bị tốt vẫn có thể chỉ mới đạt yêu cầu về tính đầy đủ, chứ chưa chắc đạt yêu cầu về khả năng tự bảo vệ. Pháp chế có thể bảo đảm rằng tài liệu không thiếu, nhưng câu hỏi khó hơn là các tài liệu đó có giải thích được logic của quyết định hay không.
Khi thanh tra hoặc kiểm toán đọc hồ sơ, họ không chỉ kiểm tra hồ sơ có tồn tại. Họ kiểm tra hồ sơ có chứng minh được rằng doanh nghiệp đã kiểm soát rủi ro một cách thực chất hay không. Nếu hồ sơ chỉ đầy đủ về mặt hình thức nhưng không thể hiện được quá trình cân nhắc, phản biện, lựa chọn và kiểm soát, thì chính sự đầy đủ đó cũng không đủ để bảo vệ doanh nghiệp.
Khi hồ sơ không kể được câu chuyện của quyết định
Mỗi quyết định quan trọng đều có một câu chuyện phía sau: vì sao doanh nghiệp chọn phương án này, vì sao không chọn phương án khác, vì sao chấp nhận mức rủi ro đó, vì sao dữ liệu đầu vào được xem là đáng tin cậy và vì sao người ký tin rằng quyết định có thể được thông qua.
Nếu hồ sơ không thể hiện được câu chuyện này, quyết định sẽ trở nên rời rạc khi bị đọc lại. Khi đó, người đánh giá sẽ tự đặt câu hỏi theo cách của họ, và doanh nghiệp không còn kiểm soát được cách hồ sơ được hiểu.
Một hồ sơ tốt không chỉ ghi lại kết luận, mà phải ghi lại được quá trình đi đến kết luận. Nếu hồ sơ chỉ có phần cuối cùng của quyết định mà thiếu phần logic hình thành quyết định, thì nó giống như một bản án thiếu phần nhận định: có kết quả, nhưng thiếu sức thuyết phục.
Thanh tra và kiểm toán thực sự nhìn gì?
Một hiểu lầm phổ biến là thanh tra và kiểm toán chỉ kiểm tra tính hợp lệ hoặc tính đầy đủ của hồ sơ. Trên thực tế, họ nhìn sâu hơn nhiều. Họ xem tính hợp lý của quyết định, mức độ kiểm soát, logic lựa chọn, dấu hiệu bất thường, mối quan hệ giữa dữ liệu và kết quả, cũng như khả năng giải trình của người chịu trách nhiệm.
Vì vậy, câu hỏi không dừng ở việc hồ sơ có tồn tại hay không. Câu hỏi là hồ sơ đó chứng minh được điều gì.
Một văn bản được ký đúng thẩm quyền nhưng không giải thích được vì sao phương án được lựa chọn vẫn là một điểm yếu. Một báo cáo có số liệu nhưng không cho thấy nguồn dữ liệu được kiểm chứng thế nào vẫn là một điểm yếu. Một biên bản họp ghi nhận sự đồng thuận nhưng không ghi nhận phản biện, cảnh báo hoặc phương án thay thế vẫn là một điểm yếu.
Khoảng cách giữa “có tài liệu” và “có giá trị bảo vệ”
Có tài liệu không đồng nghĩa với có giá trị bảo vệ. Một tài liệu có thể được ký đúng, lưu đúng, ban hành đúng và vẫn không đủ giá trị nếu nó không giải thích được logic của quyết định, không thể hiện quá trình kiểm soát và không xác định rõ trách nhiệm.
Khoảng cách giữa “có tài liệu” và “có giá trị bảo vệ” chính là nơi rủi ro xuất hiện. Doanh nghiệp càng lớn, hồ sơ càng nhiều, khoảng cách này càng dễ bị che khuất bởi cảm giác rằng hệ thống đã đầy đủ.
Nhưng khi thanh tra hoặc kiểm toán đặt các tài liệu cạnh nhau, vấn đề không còn nằm ở từng tài liệu riêng lẻ. Vấn đề nằm ở mối quan hệ giữa chúng. Nếu báo cáo tài chính nói một điều, báo cáo thẩm định nói một điều khác, tờ trình không giải thích được vì sao lựa chọn phương án cuối cùng, còn biên bản họp chỉ ghi nhận kết luận mà không ghi nhận lý do, thì chính hồ sơ trở thành nơi rủi ro bộc lộ.
Vì sao doanh nghiệp dễ rơi vào bẫy hồ sơ đầy đủ?
Doanh nghiệp dễ rơi vào bẫy này vì ba lý do. Thứ nhất là tư duy hình thức: khi hệ thống yêu cầu hồ sơ, doanh nghiệp thường tập trung làm cho đủ hồ sơ, mà không đặt câu hỏi hồ sơ đó có đủ sức giải thích quyết định hay không.
Thứ hai là áp lực tuân thủ: càng nhiều quy định, doanh nghiệp càng có xu hướng xử lý theo biểu mẫu, theo quy trình và theo yêu cầu kiểm tra bề mặt. Điều này cần thiết, nhưng nếu dừng ở đó thì hồ sơ chỉ là hồ sơ tuân thủ, không phải hồ sơ tự bảo vệ.
Thứ ba là thiếu góc nhìn truy xét: doanh nghiệp quen tạo hồ sơ để ban hành quyết định, nhưng ít khi tạo hồ sơ với giả định rằng quyết định đó có thể bị đọc lại sau nhiều năm bởi một người không chia sẻ bối cảnh nội bộ.
Hồ sơ có thể trở thành điểm yếu
Một điều ít được nhắc tới là hồ sơ không chỉ để bảo vệ doanh nghiệp, mà trong một số trường hợp, hồ sơ còn có thể trở thành điểm yếu. Nếu hồ sơ mâu thuẫn, không rõ logic, thiếu nhất quán hoặc chỉ ghi nhận phần có lợi mà bỏ qua phần bất lợi, chính hồ sơ sẽ tạo ra câu hỏi.
Khi câu hỏi xuất hiện, thanh tra hoặc kiểm toán không cần bắt đầu từ một sai phạm rõ ràng. Họ chỉ cần thấy rằng các tài liệu không nói cùng một câu chuyện. Và khi hồ sơ không nói cùng một câu chuyện, người đọc sẽ tự xây dựng câu chuyện theo cách của họ.
Đó là thời điểm doanh nghiệp mất quyền kiểm soát cách quyết định của mình được hiểu.
Pháp chế nội bộ và CRC: từ hồ sơ đầy đủ đến hồ sơ có khả năng tự bảo vệ
Pháp chế nội bộ giúp doanh nghiệp chuẩn hóa hồ sơ, kiểm tra thẩm quyền, bảo đảm tài liệu không thiếu và hạn chế sai sót về hình thức. Đây là tầng kiểm soát cần thiết.
Nhưng CRC nhìn hồ sơ như một phần của thiết kế quyết định, không chỉ như tài liệu lưu trữ. Điều quan trọng không phải là có bao nhiêu tài liệu, mà là tài liệu đó thể hiện được điều gì và có giúp quyết định tự bảo vệ khi bị đọc lại hay không.
Trong cách tiếp cận CRC, hồ sơ phải phản ánh được ít nhất bốn yếu tố: logic quyết định, dữ liệu đầu vào, quá trình kiểm soát và trách nhiệm của các chủ thể liên quan. Nếu thiếu một trong các yếu tố này, hồ sơ có thể đầy nhưng vẫn yếu.
Đây là sự khác biệt giữa lưu hồ sơ để chứng minh đã làm và thiết kế hồ sơ để chứng minh đã kiểm soát.
Một hồ sơ có khả năng bảo vệ cần gì?
Một hồ sơ thực sự có giá trị khi nó phản ánh được logic quyết định, ghi nhận được quá trình kiểm soát, xác định được trách nhiệm và thể hiện được sự hợp lý của phương án đã chọn. Quan trọng hơn, hồ sơ phải đủ rõ để một người bên ngoài đọc cũng có thể hiểu vì sao doanh nghiệp đã quyết định như vậy.
Một hồ sơ tốt không cần dài hơn. Nó cần đúng trọng tâm hơn. Nó không cần nhiều tài liệu hơn. Nó cần các tài liệu liên kết với nhau tốt hơn. Nó không cần ghi mọi thứ. Nó cần ghi đúng những điều sẽ trở nên quan trọng khi quyết định bị đặt lại.
Kết luận
Doanh nghiệp không gặp rủi ro vì thiếu hồ sơ. Doanh nghiệp gặp rủi ro vì hồ sơ không đủ khả năng bảo vệ.
Trong một môi trường mà mọi tài liệu đều có thể bị xem xét lại, việc chỉ đủ giấy tờ không còn là lợi thế. Điều cần thiết là hồ sơ phải có ý nghĩa, có logic và có khả năng tự giải thích.
Khi thanh tra hoặc kiểm toán đến, hồ sơ không chỉ chứng minh rằng doanh nghiệp đã làm. Hồ sơ phải chứng minh rằng doanh nghiệp đã kiểm soát.
Nếu pháp chế đã chuẩn bị đầy đủ hồ sơ nhưng doanh nghiệp vẫn không chắc hồ sơ đó có đủ sức bảo vệ mình khi bị thanh tra hoặc kiểm toán, vấn đề không nằm ở việc làm thêm giấy tờ. Vấn đề nằm ở việc hồ sơ cần được thiết kế để chứng minh logic quyết định và quá trình kiểm soát thực chất.
Hồ sơ đầy đủ giúp bạn chứng minh rằng doanh nghiệp đã làm. Nhưng chỉ những hồ sơ được thiết kế đúng cách mới chứng minh được rằng doanh nghiệp đã kiểm soát.
Trong một môi trường mà mọi tài liệu đều có thể bị đọc lại, rủi ro không nằm ở việc thiếu giấy tờ, mà nằm ở việc giấy tờ không đủ sức bảo vệ.
CRC không giúp bạn có thêm hồ sơ. CRC giúp mỗi hồ sơ trở thành một phần của cơ chế tự bảo vệ quyết định. Tìm hiểu cách CRC giúp doanh nghiệp thiết kế hồ sơ có khả năng bảo vệ ngay từ đầu: https://tatlawfirm.com/crc
Luật sư TRƯƠNG ANH TÚ
Chủ tịch TAT Law Firm.
Bài viết thuộc hệ tư duy Criminal Risk Control (CRC) – mô hình phân tích rủi ro pháp lý và rủi ro hình sự trong quản trị doanh nghiệp do Luật sư Trương Anh Tú và TAT Law Firm phát triển từ thực tiễn xử lý các vụ việc bị thanh tra, kiểm toán, điều tra và truy xét trách nhiệm.
CRC không phải là kiến thức pháp lý phổ thông, mà là cấu trúc tư duy nhằm giải quyết một vấn đề duy nhất: một quyết định có thể tự bảo vệ khi bị đọc lại hay không. Toàn bộ nội dung, cấu trúc lập luận và hệ thống khái niệm trong bài được bảo hộ theo quy định pháp luật về sở hữu trí tuệ. Mọi hành vi sao chép, tái cấu trúc hoặc sử dụng cho mục đích thương mại khi chưa có sự chấp thuận đều bị xem là xâm phạm quyền sở hữu trí tuệ.
CRC không được tạo ra để phổ biến đại trà. Nó được tạo ra để phân biệt giữa người hiểu rủi ro và người sẽ phải đối mặt với rủi ro.
