Trong nhiều doanh nghiệp, “đúng quy trình” thường được xem như một dạng bảo đảm an toàn. Quy trình đầy đủ, hồ sơ đầy đủ, phê duyệt đúng thẩm quyền, pháp chế đã rà soát, các bộ phận đã đi đủ bước, tất cả tạo ra một cảm giác rất rõ rằng rủi ro đã được kiểm soát. Nhưng thực tế lại cho thấy không ít trường hợp doanh nghiệp vẫn rơi vào tranh chấp, thanh tra, kiểm toán hoặc thậm chí rủi ro pháp lý nghiêm trọng dù bề ngoài mọi thứ đều đúng. Vấn đề không nằm ở chỗ quy trình sai. Vấn đề nằm ở chỗ quy trình không phải lúc nào cũng đủ để bảo vệ quyết định khi quyết định đó bị đặt lại dưới một logic khác.
Quy trình là cần thiết, nhưng không phải là lá chắn cuối cùng
Không có doanh nghiệp nào có thể vận hành bền vững nếu không có quy trình. Quy trình giúp phân bổ trách nhiệm, tạo tính nhất quán, giảm sai sót và biến hoạt động quản trị từ cảm tính thành có kiểm soát. Pháp chế nội bộ đóng vai trò rất quan trọng trong việc thiết kế, giữ nhịp và khóa hệ thống này. Họ giúp doanh nghiệp đảm bảo rằng các bước được đi đúng, hồ sơ được lưu đúng, thẩm quyền được xác định rõ, và các giới hạn pháp lý cơ bản không bị bỏ qua.
Ở góc độ vận hành, điều đó là hoàn toàn đúng và cần thiết. Một quyết định đi qua đủ quy trình thường được xem là quyết định an toàn. Nhưng vấn đề là quy trình chỉ trả lời được một câu hỏi: quyết định này đã được thực hiện đúng cách hay chưa. Trong khi đó, khi bị thanh tra, kiểm toán hoặc tranh chấp, câu hỏi lại không dừng ở đó. Câu hỏi chuyển sang một tầng khác: vì sao quyết định đó được đưa ra theo cách đó.
Khoảng cách giữa hai câu hỏi này chính là khoảng trống rủi ro mà rất nhiều doanh nghiệp không nhìn thấy. Họ tin rằng mình đã đi đủ bước, nhưng lại không tự hỏi liệu bản thân quyết định ở giữa các bước đó có thực sự đứng vững khi bị bóc khỏi toàn bộ bối cảnh nội bộ hay không.
Luật sư Trương Anh Tú, Chủ tịch TAT Law Firm
Khi “đúng quy trình” không còn đủ
Một quyết định có thể đi qua đầy đủ các bước, được phê duyệt đúng thẩm quyền, có đủ hồ sơ, căn cứ, chữ ký và ý kiến pháp chế. Nhưng khi bị đặt lại, nếu doanh nghiệp không chứng minh được logic lựa chọn của mình, thì quy trình không còn là yếu tố bảo vệ.
Đây không phải là hiện tượng hiếm. Và nó thường xảy ra một cách rất âm thầm. Ban đầu, mọi thứ đều hợp lệ. Nhưng khi bị đọc lại dưới một hệ quy chiếu khác, toàn bộ quyết định bắt đầu bị truy ngược theo logic trách nhiệm. Khi đó, điều bị hỏi không còn là “đã làm đúng bước chưa”, mà là “vì sao phương án này được chọn”, “vì sao rủi ro này được chấp nhận”, “vì sao doanh nghiệp cho rằng lựa chọn đó là hợp lý”.
Nếu những câu hỏi đó không có câu trả lời nhất quán ngay trong cấu trúc của quyết định, thì quy trình dù đầy đủ cũng chỉ làm một việc: chứng minh rằng doanh nghiệp đã có hệ thống, nhưng không sử dụng hệ thống đó để kiểm soát đến tận lõi của quyết định.
Vết cắt thực chiến thứ nhất: quy trình đầy đủ, nhưng không trả lời được “vì sao”
Một tình huống rất điển hình trong thực tế là doanh nghiệp thực hiện một giao dịch đầu tư hoặc lựa chọn một cấu trúc thương mại với đầy đủ hồ sơ. Có báo cáo, có ý kiến chuyên môn, có rà soát pháp lý, có các bước phê duyệt, có tài liệu lưu trữ và có xác nhận nội bộ. Ở thời điểm quyết định được ký, gần như không ai nghĩ rằng đây là một quyết định có thể gây rủi ro về sau.
Nhưng khi giao dịch bị đặt lại, câu hỏi đầu tiên không phải là hợp đồng có đủ điều khoản chưa hay quy trình có đi đúng không. Câu hỏi là: vì sao doanh nghiệp lựa chọn phương án này.
Ngay tại đó, toàn bộ hệ thống bắt đầu lúng túng. Không phải vì không có câu trả lời, mà vì mỗi bộ phận lại có một câu trả lời khác nhau. Kinh doanh giải thích theo cơ hội thương mại. Tài chính giải thích theo dòng tiền. Pháp chế giải thích theo mức độ hợp lệ của hồ sơ. Điều hành giải thích theo áp lực tiến độ. Mỗi cách giải thích đều có lý nếu đứng riêng. Nhưng khi đặt cạnh nhau, chúng không tạo thành một cấu trúc giải thích thống nhất.
Và đây là lúc quy trình lộ rõ giới hạn của nó. Quy trình chứng minh được rằng doanh nghiệp đã đi đủ các bước. Nhưng nó không chứa được logic sống của quyết định. Trong khi ở hậu kiểm, điều quan trọng nhất lại chính là logic đó.
Giới hạn của compliance logic
Pháp chế nội bộ vận hành theo compliance logic, tức là đảm bảo các bước được thực hiện đúng, hồ sơ được đầy đủ, thẩm quyền rõ ràng và tính hợp lệ được giữ ở mức cao nhất có thể. Trong phạm vi này, compliance logic làm việc rất hiệu quả. Nó giúp doanh nghiệp tránh sai sót hình thức, giảm lỗi sơ đẳng và duy trì được tính trật tự trong vận hành.
Nhưng compliance logic không được thiết kế để trả lời câu hỏi: vì sao lựa chọn này là hợp lý khi bị đặt lại trong một bối cảnh bất lợi. Nói cách khác, pháp chế kiểm soát hình thức của quyết định, nhưng không phải lúc nào cũng kiểm soát được cấu trúc lý do của quyết định. Đây không phải là lỗi của pháp chế. Đây là giới hạn tự nhiên của vai trò.
Nhiều doanh nghiệp nhầm chỗ này. Họ thấy compliance đã làm tốt nên tin rằng mình đã được bảo vệ đầy đủ. Nhưng compliance chỉ giúp quyết định “đúng” trong vận hành. Nó không tự động làm quyết định “đứng vững” trong hậu kiểm.
Legal logic của luật sư thực chiến: kiểm tra từ điểm kết thúc
Luật sư thực chiến nhìn quyết định từ một điểm hoàn toàn khác. Họ không bắt đầu từ quy trình, mà bắt đầu từ điểm mà quyết định có thể bị tranh chấp, bị thanh tra hoặc bị truy xét. Tại đó, quy trình không còn là trung tâm. Trung tâm là khả năng giải thích.
Luật sư không hỏi quyết định có đi đủ bước không. Họ hỏi nếu bỏ hết quy trình đi, quyết định này còn đứng vững không; nếu đặt nó trong bối cảnh bất lợi, nó sẽ bị hiểu theo hướng nào; nếu một cơ quan chức năng bóc quyết định này ra khỏi bối cảnh nội bộ, điểm yếu đầu tiên sẽ lộ ở đâu.
Đây là logic phòng thủ, không phải logic vận hành. Và chính vì vậy, luật sư thực chiến thường nhìn ra những khoảng trống mà hệ thống nội bộ không nhìn thấy, không phải vì họ hiểu pháp luật nhiều hơn, mà vì họ nhìn quyết định từ nơi nó có thể bị tấn công.
Vết cắt thực chiến thứ hai: quy trình tạo cảm giác an toàn giả
Một trong những rủi ro lớn nhất của quy trình là nó tạo ra cảm giác an toàn giả. Khi một quyết định đi qua đủ các bước, người ra quyết định có xu hướng tin rằng rủi ro đã được khóa. Chính cảm giác này làm doanh nghiệp ít kiểm tra lại logic ở tầng sâu hơn.
Trong nhiều trường hợp, người ký tin rằng mình đang dựa trên một cấu trúc đã được kiểm soát qua nhiều lớp. Nhưng thực ra, các lớp đó chỉ kiểm soát về thủ tục, hồ sơ, hợp lệ và quy trình. Chúng không kiểm soát được câu hỏi cuối cùng: nếu quyết định này bị đặt lại, nó sẽ được hiểu như thế nào.
Chính vì vậy, khi sự việc chuyển sang hậu kiểm, doanh nghiệp thường rơi vào một trạng thái rất khó chịu: hồ sơ không sai, nhưng vẫn không đủ. Quy trình không thiếu, nhưng vẫn không bảo vệ được. Đây là dạng rủi ro đặc biệt nguy hiểm, vì nó không lộ ra ở thời điểm ký, mà chỉ lộ ra khi doanh nghiệp không còn khả năng sửa lại kiến trúc của quyết định.
Khi trách nhiệm không nằm trong quy trình
Quy trình có thể phân bổ trách nhiệm để hệ thống vận hành, nhưng không phải lúc nào cũng bảo vệ được trách nhiệm khi quyết định bị truy ngược. Trong hậu kiểm, trách nhiệm không đi theo sơ đồ tổ chức mà đi theo logic kiểm soát. Người chịu trách nhiệm không nhất thiết là người trực tiếp thực hiện, mà thường là người có khả năng kiểm soát và không chứng minh được việc kiểm soát đó.
Đây là một khác biệt rất lớn. Trong nội bộ, doanh nghiệp có thể tin rằng trách nhiệm đã được chia nhỏ. Nhưng khi bị đặt lại, tất cả những gì được chia nhỏ đó có thể co lại về một điểm duy nhất. Và chính ở chỗ này, nhiều quyết định tưởng an toàn bắt đầu chuyển sang trạng thái rủi ro pháp lý.
Khi doanh nghiệp cần nhìn sâu hơn quy trình
Điều này không có nghĩa là quy trình không quan trọng. Ngược lại, quy trình vẫn là nền. Nhưng nền không đủ để thay cho kết cấu chịu lực. Một doanh nghiệp trưởng thành về quản trị rủi ro pháp lý không dừng ở việc hỏi hồ sơ đã đủ chưa, mà phải đi thêm một bước: nếu quyết định này bị đọc lại, chúng ta có thể bảo vệ nó bằng chính logic của nó hay không.
Muốn làm được điều đó, doanh nghiệp phải nhìn quyết định ở một tầng sâu hơn compliance. Phải kiểm soát không chỉ những gì được làm, mà cả cách những gì được làm sẽ bị hiểu khi bị bóc tách khỏi bối cảnh nội bộ. Đây là chỗ mà compliance logic tự nhiên chạm trần và defense logic phải bước vào.
Kết luận
Đúng quy trình là điều kiện cần. Nhưng không phải là điều kiện đủ. Một quyết định có thể đi đúng tất cả các bước, có đủ hồ sơ, có đủ phê duyệt, có pháp chế tham gia, nhưng vẫn không đứng vững nếu không có một logic giải thích nhất quán khi bị đặt lại.
Quy trình giúp doanh nghiệp vận hành. Nhưng chỉ logic của quyết định mới giúp doanh nghiệp tồn tại khi bị đọc lại. Và đó là ranh giới mà rất nhiều doanh nghiệp chỉ nhìn thấy khi đã muộn.
Nếu một quyết định bị đặt lại sau 3 năm, bạn có thể giải thích nó bằng chính logic của mình hay chỉ có thể nói rằng “đã làm đúng quy trình”?
Hiểu đúng rủi ro không nằm ở việc tránh sai. Mà nằm ở việc không để quyết định sụp khi bị đọc lại. Xem toàn bộ hệ tư duy CRC – Criminal Risk Control tại: https://tatlawfirm.com/crc
Luật sư Trương Anh Tú – Chủ tịch TAT Law Firm
“Nhiều doanh nghiệp nghĩ rằng chỉ cần đi đúng quy trình là an toàn, nhưng khi bị đặt lại, điều quan trọng không phải là đã làm đủ bước, mà là có giải thích được vì sao lựa chọn đó là hợp lý hay không.”
CRIMINAL RISK CONTROL (CRC)
CRC không dừng ở kiểm soát quy trình. CRC kiểm soát khả năng giải thích của quyết định.
Một quyết định đúng quy trình chưa chắc an toàn. Nhưng một quyết định có thể tự giải thích sẽ khó sụp khi bị đặt lại.
Nội dung bài viết thuộc hệ tư duy Criminal Risk Control (CRC) mô hình phân tích rủi ro pháp lý và rủi ro hình sự trong quản trị doanh nghiệp do Luật sư Trương Anh Tú và TAT Law Firm phát triển từ thực tiễn xử lý các vụ việc bị thanh tra, kiểm toán, điều tra và truy xét trách nhiệm. CRC không phải là kiến thức pháp lý phổ thông, mà là cấu trúc tư duy nhằm giải quyết một vấn đề duy nhất: một quyết định có thể tự bảo vệ khi bị đọc lại hay không. Toàn bộ nội dung, cấu trúc lập luận và hệ thống khái niệm trong bài được bảo hộ theo quy định pháp luật về sở hữu trí tuệ. Mọi hành vi sao chép, tái cấu trúc hoặc sử dụng cho mục đích thương mại khi chưa có sự chấp thuận đều bị xem là xâm phạm quyền sở hữu trí tuệ.
CRC không được tạo ra để phổ biến đại trà. Nó được tạo ra để phân biệt giữa người hiểu rủi ro và người sẽ phải đối mặt với rủi ro.
GỢI Ý ĐỌC THÊM BÀI VIẾT:
Pháp chế nội bộ có thay thế được luật sư chuyên nghiệp?
