Trong nhiều năm, kiểm soát rủi ro pháp lý trong doanh nghiệp thường được hiểu là kiểm soát quy trình. Quy trình càng chặt, hồ sơ càng đầy đủ, phê duyệt càng nhiều tầng thì doanh nghiệp càng có cảm giác an toàn. Nhưng thực tế đang cho thấy một nghịch lý: không ít doanh nghiệp có quy trình rất chặt vẫn bị thanh tra, kiểm toán, tranh chấp hoặc đối mặt với rủi ro hình sự khi một quyết định bị đặt lại.
Vấn đề vì vậy không chỉ nằm ở quy trình. Vấn đề nằm ở cách quyết định được hình thành, được ghi nhận và được thiết kế để có thể tự bảo vệ khi bị đọc lại trong một bối cảnh khác.
Trả lời ngắn gọn
Kiểm soát rủi ro hình sự doanh nghiệp không chỉ là kiểm soát quy trình, mà là kiểm soát cách quyết định được thiết kế. Quy trình giúp quyết định được ban hành đúng cách, nhưng không đảm bảo quyết định có thể tự bảo vệ khi bị truy xét. Muốn giảm rủi ro thực chất, doanh nghiệp cần chuyển từ tư duy kiểm soát quy trình sang tư duy thiết kế quyết định.
Giới hạn của tư duy “kiểm soát quy trình”
Quy trình là cần thiết. Không có quy trình, doanh nghiệp rất dễ rơi vào tình trạng vận hành tùy tiện, mỗi bộ phận làm theo một cách, hồ sơ thiếu nhất quán và trách nhiệm không được phân định rõ.
Nhưng quy trình có một giới hạn quan trọng: nó chỉ kiểm soát được cách một quyết định đi qua hệ thống, chứ không kiểm soát được cách quyết định đó sẽ bị hiểu khi được đọc lại từ bên ngoài hệ thống.
Một quyết định có thể đi qua đầy đủ các bước, có đầy đủ chữ ký, không vi phạm quy định rõ ràng, nhưng vẫn có thể yếu nếu không giải thích được vì sao quyết định đó được đưa ra theo cách ấy.
Đây là lý do vì sao nhiều doanh nghiệp vẫn gặp rủi ro dù “đúng quy trình”.
Luật sư Trương Anh Tú, Chủ tịch TAT Law Firm
Khi rủi ro không nằm ở hành vi, mà ở cách hiểu
Trong nhiều trường hợp, vấn đề không nằm ở việc doanh nghiệp đã làm gì, mà nằm ở việc hành vi đó bị hiểu như thế nào trong một bối cảnh khác. Một giao dịch hợp lệ có thể bị xem là bất hợp lý, một quyết định kinh doanh có thể bị coi là thiếu kiểm soát, một lựa chọn có thể bị đặt câu hỏi về lợi ích, dữ liệu hoặc trách nhiệm.
Những cách hiểu này hiếm khi xuất hiện trong vận hành hằng ngày. Chúng thường chỉ xuất hiện khi có thanh tra, kiểm toán, tranh chấp hoặc điều tra.
Khi đó, doanh nghiệp không còn được quyền giải thích quyết định theo cách mình từng hiểu trong nội bộ. Quyết định được đặt vào một hệ quy chiếu khác, nơi mọi dữ liệu, giả định, dấu vết kiểm soát và lý do lựa chọn đều có thể bị bóc tách.
Nếu những yếu tố này không được thiết kế ngay từ đầu, doanh nghiệp sẽ rơi vào thế bị động.
Thiết kế quyết định là gì?
Thiết kế quyết định không phải là làm phức tạp thêm quy trình, cũng không phải là tạo thêm thủ tục để làm chậm hoạt động kinh doanh. Thiết kế quyết định là cách xây dựng một quyết định sao cho khi bị đặt lại trong tương lai, nó vẫn có thể giải thích được bằng dữ liệu, logic và dấu vết kiểm soát.
Một quyết định được thiết kế tốt cần làm rõ vì sao phương án này được chọn, phương án nào đã bị loại bỏ, dữ liệu nào được sử dụng, giả định nào được chấp nhận, rủi ro nào đã được nhận diện và ai là người kiểm soát các yếu tố trọng yếu.
Nói cách khác, thiết kế quyết định là chuẩn bị cho tương lai của quyết định, không chỉ cho thời điểm phê duyệt hiện tại.
Vì sao doanh nghiệp ít làm điều này?
Có ba lý do phổ biến khiến doanh nghiệp ít thiết kế quyết định theo logic phòng thủ rủi ro. Thứ nhất là áp lực tiến độ. Doanh nghiệp thường phải ra quyết định nhanh, đặc biệt trong các giao dịch đầu tư, mua bán, tài chính hoặc dự án có yếu tố thời điểm.
Thứ hai là niềm tin vào quy trình. Khi đã có pháp chế, có quy trình và có hồ sơ, doanh nghiệp thường tin rằng như vậy là đủ an toàn.
Thứ ba là thiếu góc nhìn truy xét. Doanh nghiệp quen nhìn quyết định từ bên trong, nơi mọi bối cảnh đều được hiểu ngầm, nhưng lại ít khi tự đặt mình vào vị trí của người sẽ đọc lại quyết định sau vài năm, khi sự việc đã có kết quả và các giả định ban đầu có thể bị đặt câu hỏi.
Chính vì vậy, rủi ro không xuất hiện ngay khi quyết định được ký, mà âm thầm nằm trong cấu trúc quyết định từ đầu.
Hệ quả: rủi ro chỉ bị phát hiện khi đã quá muộn
Khi quyết định không được thiết kế để tự bảo vệ, rủi ro thường chỉ lộ ra trong các tình huống bất lợi như thanh tra, kiểm toán, tranh chấp hoặc điều tra. Ở thời điểm đó, doanh nghiệp mới bắt đầu rà lại hồ sơ, bổ sung giải trình, tìm cách kết nối các tài liệu và lý giải vì sao mình đã làm như vậy.
Nhưng điều đáng tiếc là khả năng bảo vệ quyết định không thể được tạo ra một cách hiệu quả sau khi rủi ro đã xuất hiện. Một hồ sơ được bổ sung muộn thường không có giá trị bằng một dấu vết kiểm soát được ghi nhận đúng thời điểm.
Vì vậy, nếu doanh nghiệp chỉ nghĩ đến phòng vệ khi đã bị gọi tên, thì lợi thế kiểm soát gần như đã mất.
CRC – cách tiếp cận thiết kế quyết định
CRC không đặt câu hỏi đầu tiên là quy trình đã đúng chưa, mà đặt câu hỏi sâu hơn: quyết định này có thể tự bảo vệ khi bị đọc lại hay không.
Cách tiếp cận này tập trung vào ba yếu tố. Thứ nhất là kiểm soát thực tế, tức là ai thực sự kiểm soát những yếu tố trọng yếu của quyết định. Thứ hai là điểm hội tụ trách nhiệm, tức là nếu rủi ro xảy ra thì trách nhiệm có khả năng bị truy ngược về đâu. Thứ ba là khả năng giải thích, tức là quyết định có đủ dữ liệu, logic và dấu vết để tự đứng vững hay không.
Điểm khác biệt của CRC là không chờ rủi ro xảy ra mới xử lý, mà đặt rủi ro vào quá trình thiết kế quyết định ngay từ đầu.
Một quyết định “đứng vững” cần gì?
Một quyết định có thể đứng vững không nhất thiết là quyết định không có rủi ro. Trong kinh doanh, không có quyết định quan trọng nào hoàn toàn không có rủi ro. Vấn đề là rủi ro đó có được nhận diện, kiểm soát và giải thích hay không.
Một quyết định đứng vững cần có logic rõ ràng, dữ liệu đủ mạnh, quá trình kiểm soát được ghi nhận và trách nhiệm được xác định. Quan trọng hơn, nó phải trả lời được câu hỏi: nếu bị đọc lại trong một bối cảnh bất lợi, quyết định này có thể được giải thích một cách hợp lý hay không.
Nếu câu trả lời là không, thì rủi ro đã tồn tại, dù quyết định chưa bị ai đặt lại.
Chuyển đổi tư duy: từ kiểm soát sang thiết kế
Kiểm soát là cần thiết, nhưng không đủ. Doanh nghiệp không thể chỉ dừng ở việc bổ sung thêm biểu mẫu, thêm chữ ký, thêm tầng phê duyệt và cho rằng như vậy là an toàn.
Trong môi trường hiện nay, doanh nghiệp cần chuyển từ tư duy kiểm soát sang tư duy thiết kế. Không chỉ kiểm soát xem quyết định đã đi đúng đường hay chưa, mà thiết kế để quyết định đó có thể chịu được việc bị truy xét.
Sự chuyển đổi này không làm chậm doanh nghiệp. Ngược lại, nó giúp doanh nghiệp ra quyết định tự tin hơn, bởi mỗi quyết định quan trọng đều có một cấu trúc đủ rõ để bảo vệ chính nó.
Kết luận
Rủi ro hình sự doanh nghiệp không xuất hiện vì thiếu quy trình. Nó xuất hiện khi một quyết định không được thiết kế để chịu được việc bị đọc lại.
Trong một môi trường mà các quyết định kinh doanh, đầu tư, tài chính, quản trị và giao dịch đều có thể bị xem xét lại sau nhiều năm, việc chỉ kiểm soát quy trình là chưa đủ. Doanh nghiệp cần một cách tiếp cận sâu hơn, bắt đầu từ chính cách quyết định được hình thành.
Một quyết định được thiết kế tốt không chỉ giúp doanh nghiệp làm đúng ở hiện tại, mà còn giúp doanh nghiệp đứng vững khi tương lai đặt lại câu hỏi. Nếu doanh nghiệp đã có quy trình nhưng vẫn không chắc một quyết định có thể đứng vững khi bị truy xét, thì việc bổ sung thêm quy trình không phải là câu trả lời. Câu trả lời nằm ở việc thiết kế lại cách quyết định được hình thành, ghi nhận và bảo vệ ngay từ đầu. https://tatlawfirm.com/crc
Luật sư TRƯƠNG ANH TÚ
Chủ tịch TAT Law Firm.
Bài viết thuộc hệ tư duy Criminal Risk Control (CRC) – mô hình phân tích rủi ro pháp lý và rủi ro hình sự trong quản trị doanh nghiệp do Luật sư Trương Anh Tú và TAT Law Firm phát triển từ thực tiễn xử lý các vụ việc bị thanh tra, kiểm toán, điều tra và truy xét trách nhiệm.
CRC không phải là kiến thức pháp lý phổ thông, mà là cấu trúc tư duy nhằm giải quyết một vấn đề duy nhất: một quyết định có thể tự bảo vệ khi bị đọc lại hay không. Toàn bộ nội dung, cấu trúc lập luận và hệ thống khái niệm trong bài được bảo hộ theo quy định pháp luật về sở hữu trí tuệ. Mọi hành vi sao chép, tái cấu trúc hoặc sử dụng cho mục đích thương mại khi chưa có sự chấp thuận đều bị xem là xâm phạm quyền sở hữu trí tuệ.
CRC không được tạo ra để phổ biến đại trà. Nó được tạo ra để phân biệt giữa người hiểu rủi ro và người sẽ phải đối mặt với rủi ro.
