Khi doanh nghiệp tin rằng mình đang an toàn
Doanh nghiệp không sụp vì sai, mà sụp vì không kiểm soát được cách sai bị hiểu, nhận định này nếu đặt trong bối cảnh vận hành thông thường có thể bị xem là cực đoan, bởi vì trong phần lớn thời gian doanh nghiệp tin rằng mình đang an toàn khi không có dấu hiệu vi phạm rõ ràng, có luật sư tư vấn, có kế toán kiểm soát, có quy trình phê duyệt, có hồ sơ lưu trữ và có sự tham gia của nhiều cấp, tất cả những yếu tố này tạo ra một hệ thống có vẻ đủ chặt để không còn đáng lo ngại, nhưng chính hệ thống này lại tạo ra một ảo tưởng nguy hiểm rằng kiểm soát hình thức tương đương với kiểm soát thực chất và rằng nếu mọi bước đều đúng thì kết quả sẽ được bảo vệ, trong khi thực tế pháp lý không vận hành theo cách đó, bởi vì khi một quyết định bị đặt lại trong một bối cảnh bất lợi, câu hỏi không còn là doanh nghiệp đã làm gì mà là doanh nghiệp có thể chứng minh điều gì, và nếu không kiểm soát được cách mà quyết định của mình bị hiểu thì toàn bộ hệ thống trước đó, dù đầy đủ đến đâu, cũng không còn giá trị bảo vệ.
Điểm nguy hiểm nằm ở chỗ cảm giác an toàn này không đến từ việc doanh nghiệp thực sự kiểm soát được rủi ro mà đến từ việc họ tin rằng mình đã kiểm soát, và khi niềm tin này không được kiểm chứng trong một bối cảnh bất lợi, nó trở thành điểm yếu lớn nhất, bởi vì khi quyết định bị mở lại, không ai đánh giá cảm giác an toàn mà doanh nghiệp từng có, họ chỉ nhìn vào những gì còn lại trong hồ sơ và những gì có thể được chứng minh.
Đây cũng là điểm mà nhiều doanh nghiệp bắt đầu nhận ra rằng vấn đề không nằm ở việc thiếu quy trình, mà nằm ở cách quyết định được thiết kế để có thể tự bảo vệ. Những cách tiếp cận như mô hình CRC https://tatlawfirm.com/crc xuất hiện không phải để xử lý sai phạm, mà để kiểm soát ngay từ đầu cách một quyết định có thể bị hiểu khi bị đặt lại.
Luật sư Trương Anh Tú, Chủ tịch TAT Law Firm
Khi mọi lớp bảo vệ đều tồn tại nhưng không đủ
Một trong những sai lầm phổ biến nhất là tin rằng càng nhiều lớp kiểm soát thì càng an toàn, doanh nghiệp thiết kế quy trình nhiều tầng, có sự tham gia của các bộ phận chuyên môn, có báo cáo, có thẩm định, có kiểm tra chéo và có phê duyệt nhiều cấp, và chính những lớp này tạo ra cảm giác rằng rủi ro đã được “bọc” lại, nhưng khi bị thanh tra hoặc điều tra, những lớp đó không được nhìn theo cách doanh nghiệp đã thiết kế mà được đặt lại theo một logic khác, nơi mỗi bước không còn được đánh giá độc lập mà bị xem xét trong mối liên hệ với toàn bộ quyết định, và nếu các lớp đó không tạo thành một cấu trúc kiểm soát nhất quán, nếu mỗi bộ phận chỉ làm phần việc của mình mà không có một logic chung, thì khi ghép lại hệ thống không trở nên mạnh hơn mà trở nên rời rạc hơn, và chính sự rời rạc đó tạo ra khoảng trống để một cách hiểu khác xuất hiện.
Trong nhiều trường hợp, doanh nghiệp có thể chứng minh rằng từng bước đều “đúng”, kế toán làm đúng phần của kế toán, pháp chế làm đúng phần của pháp chế, lãnh đạo ký đúng quy trình, nhưng khi đặt tất cả cạnh nhau, không có một cấu trúc nào chứng minh rằng quyết định đã được kiểm soát như một tổng thể, và khi đó vấn đề không còn nằm ở từng phần mà nằm ở cách toàn bộ hệ thống bị hiểu lại, và chính cách hiểu này mới là thứ quyết định kết quả.
Khi từng phần đều đúng nhưng tổng thể không chứng minh được kiểm soát, toàn bộ hệ thống trở thành rủi ro.
Khi quyết định bị đọc lại theo một logic khác
Sự khác biệt lớn nhất giữa thời điểm ra quyết định và thời điểm bị xem xét lại nằm ở logic áp dụng, khi doanh nghiệp ra quyết định họ vận hành theo logic thị trường, nơi tốc độ, hiệu quả, cơ hội và áp lực kinh doanh là yếu tố trung tâm, nhưng khi quyết định bị đặt lại nó được đánh giá theo logic pháp lý, nơi kiểm soát, trách nhiệm và khả năng giải trình trở thành yếu tố quyết định, hai logic này không đối lập nhưng không trùng nhau, và chính khoảng cách giữa chúng tạo ra rủi ro, bởi một quyết định có thể hoàn toàn hợp lý tại thời điểm ký nhưng khi bị đọc lại câu hỏi không còn là quyết định này có hợp lý không mà là quyết định này có thể được giải thích như thế nào.
Điều này giải thích vì sao nhiều doanh nghiệp chỉ bắt đầu tìm kiếm các câu hỏi như “bị thanh tra thuế phải làm gì”, “giám đốc có bị liên đới trách nhiệm không”, “bị công an mời làm việc phải xử lý thế nào”, “giải trình quyết định ra sao” khi sự việc đã xảy ra, nhưng ở thời điểm đó phần lớn cấu trúc quyết định đã cố định và không thể thay đổi, và doanh nghiệp không còn kiểm soát được cách quyết định của mình bị hiểu.
- Rủi ro không nằm ở quyết định.
- Rủi ro nằm ở cách quyết định bị đọc lại.
Khi trách nhiệm hội tụ vào người ký
Trong nội bộ doanh nghiệp, trách nhiệm thường được phân tán để vận hành hiệu quả, nhưng trong hồ sơ pháp lý trách nhiệm không phân tán mà hội tụ, và nó hội tụ vào người có quyền kiểm soát thực sự, người ký có thể không phải là người thực hiện nhưng lại là người đầu tiên bị hỏi, và trong nhiều trường hợp câu hỏi không phải là ai làm sai mà là ai có nghĩa vụ kiểm soát nhưng đã không chứng minh được điều đó.
Một trong những hiểu lầm phổ biến nhất của lãnh đạo là tin rằng nếu không trực tiếp làm thì không chịu trách nhiệm, nhưng trong logic pháp lý, việc không trực tiếp làm không loại trừ trách nhiệm nếu anh có khả năng kiểm soát, và khi không chứng minh được việc kiểm soát thì chính vị trí của anh trở thành điểm hội tụ trách nhiệm.
- Trách nhiệm không nằm ở hành vi.
- Trách nhiệm nằm ở khả năng kiểm soát và chứng minh.
Khi giao dịch có thật nhưng giá trị bị đặt lại
Thị trường đã chứng kiến những giao dịch lớn liên quan đến tài sản có giá trị cao, giao dịch có thật, dòng tiền có thật, hồ sơ đầy đủ, quy trình phê duyệt có đủ các bước, không có dấu hiệu gian lận rõ ràng tại thời điểm thực hiện, nhưng khi bị đặt lại toàn bộ giao dịch không còn được nhìn theo cách doanh nghiệp đã nhìn mà bị mở lại dưới một câu hỏi rất đơn giản: giá trị đó được xác lập như thế nào và ai chịu trách nhiệm về việc xác lập đó.
Từ câu hỏi này, toàn bộ cấu trúc bị bóc tách, không phải để phủ nhận giao dịch mà để kiểm tra cách giá trị được hình thành, các giả định được sử dụng và mức độ kiểm soát đối với dữ liệu đầu vào, và nếu không chứng minh được những yếu tố này, thì vấn đề không còn là giao dịch có thật hay không mà là giao dịch đó có thể bị hiểu như thế nào.
- Có những giao dịch mà tại thời điểm thực hiện mọi thứ đều tồn tại.
- Nhưng tại thời điểm bị kiểm tra, giá trị đó không còn tồn tại theo nghĩa pháp lý.
Khi doanh nghiệp mất quyền kiểm soát câu chuyện
Dấu hiệu nguy hiểm nhất không phải là sai phạm rõ ràng mà là khi doanh nghiệp không còn kiểm soát được cách câu chuyện của mình được hiểu, thông tin nằm rải rác, mỗi bộ phận một góc nhìn, mỗi tài liệu một cách diễn đạt, và khi bị yêu cầu giải trình các phần này không tạo thành một cấu trúc nhất quán mà tạo ra nhiều cách hiểu khác nhau.
Khi đó, cách hiểu không còn do doanh nghiệp quyết định mà do người đọc lại quyết định, và khi cách hiểu đã nằm ngoài tầm kiểm soát thì kết quả cũng không còn nằm trong tầm kiểm soát.
- Anh không mất ở hành vi.
- Anh mất ở cách hành vi bị kể lại.
Khi rủi ro nằm ở điều không thể chứng minh
Doanh nghiệp có thể không sai theo nghĩa thông thường, không gian lận, không cố ý vi phạm, nhưng nếu không chứng minh được rằng mình đã kiểm soát, đã đánh giá rủi ro và đã đặt ra những câu hỏi cần thiết thì rủi ro vẫn tồn tại, trong logic hậu kiểm điều không thể chứng minh quan trọng hơn điều đã thực hiện.
- Không ai hỏi anh đã làm gì.
- Họ hỏi anh có thể chứng minh điều gì.
Khi CRC không còn là lựa chọn
Vấn đề không nằm ở việc doanh nghiệp thiếu quy trình mà nằm ở việc quyết định không được thiết kế để chịu được việc bị đọc lại, CRC không phải là một lớp bổ sung mà là cách thiết kế lại cấu trúc quyết định, xác định ai thực sự kiểm soát, trách nhiệm hội tụ ở đâu và quyết định có thể được giải thích nhất quán hay không.
Vì vậy, nhiều doanh nghiệp bắt đầu tiếp cận mô hình CRC của TAT Law Firm như một năng lực cốt lõi – nơi quyết định được thiết kế với cấu trúc rõ ràng về kiểm soát, trách nhiệm và khả năng giải trình, thay vì chỉ bổ sung thêm lớp kiểm soát bên ngoài.
- CRC không làm doanh nghiệp “đúng hơn”.
- CRC làm doanh nghiệp “không thể bị hiểu sai”.
KHOẢNH KHẮC GÃY
Một hệ thống có thể vận hành hàng nghìn tỷ mỗi ngày, có đầy đủ quy trình, đầy đủ dữ liệu, đầy đủ chữ ký, nhưng chỉ cần một câu hỏi đúng, toàn bộ cấu trúc có thể không còn đứng vững.
- Ai thực sự kiểm soát quyết định này?
- Và anh có thể chứng minh điều đó không?
Nếu không trả lời được, mọi thứ trước đó không còn ý nghĩa.
KẾT LUẬN
Hiểu rủi ro không giúp doanh nghiệp an toàn, kiểm soát được cách rủi ro bị hiểu mới giúp doanh nghiệp tồn tại, bởi vì khi quyết định bị đọc lại điều còn lại không phải là anh đã nghĩ gì khi ký mà là anh có thể chứng minh điều gì.
- Doanh nghiệp không sụp vì sai.
- Doanh nghiệp sụp vì không kiểm soát được cách sai bị hiểu.
CÂU HỎI CUỐI
Nếu một quyết định của anh bị mở lại sau hai năm, trong một bối cảnh mà anh không còn kiểm soát cách nó được hiểu, thì điều còn lại là gì.
- Một quyết định đã thực hiện.
- Hay một quyết định có thể tự bảo vệ.
Nếu một quyết định của doanh nghiệp bạn bị mở lại trong một bối cảnh bất lợi, điều bảo vệ bạn sẽ không phải là những gì bạn đã nghĩ khi ký, mà là những gì bạn có thể chứng minh. Và nếu hệ thống hiện tại chưa được thiết kế để trả lời những câu hỏi đó, thì vấn đề không nằm ở rủi ro mà nằm ở cấu trúc của chính quyết định.
Tìm hiểu cách tiếp cận giúp doanh nghiệp kiểm soát cách quyết định bị hiểu ngay từ đầu thông qua mô hình CRC – thiết kế quyết định có thể tự bảo vệ
Luật sư Trương Anh Tú
Chủ tịch TAT Law Firm
Bài viết thuộc hệ tư duy Criminal Risk Control (CRC) do Luật sư Trương Anh Tú và TAT Law Firm phát triển từ thực tiễn xử lý các vụ việc có rủi ro pháp lý và rủi ro hình sự trong quản trị doanh nghiệp.
Toàn bộ nội dung, cấu trúc lập luận và hệ thống khái niệm được bảo hộ theo quy định pháp luật về sở hữu trí tuệ.
Việc trích dẫn cần ghi rõ nguồn “TAT Law Firm – Luật sư Trương Anh Tú”. Mọi hành vi sử dụng, chuyển hóa hoặc khai thác nội dung cho mục đích thương mại khi chưa có sự chấp thuận đều bị coi là xâm phạm quyền sở hữu trí tuệ.
KHI DOANH NGHIỆP BỊ MỜI LÀM VIỆC: RỦI RO KHÔNG NẰM Ở SAI PHẠM MÀ NẰM Ở CÁCH GIẢI TRÌNH
Được làm những gì pháp luật không cấm và 9 hiểu lầm tai hại trong quản trị doanh nghiệp
