Trong nhiều năm, quản trị rủi ro được xây dựng trên một logic quen thuộc: làm chặt quy trình, làm dày hồ sơ, bổ sung thêm các tầng kiểm tra để giảm thiểu sai sót. Cách tiếp cận này tạo ra một cảm giác an toàn có vẻ hợp lý, rằng nếu mọi bước đều đúng, nếu hồ sơ đầy đủ, nếu có đủ ý kiến chuyên môn và sự tham gia của nhiều cấp, thì quyết định sẽ nằm trong một vùng bảo vệ đủ chắc để không còn đáng lo ngại.
Cách hiểu đó không sai. Nhưng nó không đủ.
Nó không đủ bởi vì nó xuất phát từ một giả định có vẻ hợp lý nhưng ngày càng bộc lộ giới hạn: Rủi ro chỉ xuất hiện khi có sai phạm, và nếu loại bỏ được sai phạm thì có thể loại bỏ được rủi ro. Trong khi thực tế vận hành của quản trị doanh nghiệp cho thấy điều ngược lại, khi không ít quyết định vẫn phát sinh hệ quả pháp lý ngay cả khi không có vi phạm rõ ràng, không có sai sót dễ nhìn thấy và không đi lệch quy trình tại thời điểm ban hành.
Luật sư Trương Anh Tú, Chủ tịch TAT Law Firm.
Giới hạn của cách tiếp cận này nằm ở chỗ nó chỉ tác động vào quá trình, trong khi rủi ro nhiều khi lại phát sinh từ chính cấu trúc của quyết định. Kiểm soát có thể giúp một quyết định được thông qua theo đúng trình tự, nhưng không bảo đảm rằng quyết định đó sẽ giữ được ý nghĩa ban đầu khi bị đặt lại trong một bối cảnh khác, dưới một cách hiểu khác và bởi một người không ở trong hoàn cảnh ban đầu.
Một quyết định, trong thực tế, thường được hình thành để giải quyết một vấn đề trong hiện tại. Nó được tối ưu cho mục tiêu “ra được quyết định”: đủ căn cứ để ký, đủ điều kiện để thông qua, đủ hồ sơ để hoàn tất quy trình, đủ sự đồng thuận để tiếp tục vận hành. Nhưng rất hiếm khi nó được thiết kế cho một mục tiêu khó hơn và quan trọng hơn: vẫn đứng vững khi bị xem xét lại, vẫn giữ được logic ban đầu khi bị đọc dưới một cách hiểu không thuận lợi.
Chính khoảng trống đó là nơi rủi ro bắt đầu hình thành.
Một quyết định có thể đúng quy trình, hợp lý tại thời điểm ban hành và được nhiều người đồng thuận, nhưng vẫn không thể tự bảo vệ khi bị đọc lại. Không phải vì nội dung của nó sai, mà vì cấu trúc của nó không đủ sức giữ lại logic ban đầu khi bị đặt vào một hệ quy chiếu khác. Đây là khác biệt cốt lõi giữa một quyết định “được thông qua” và một quyết định “có thể tồn tại”.
Ở điểm này, vấn đề không còn là quyết định có đúng hay không, mà là quyết định có còn được hiểu đúng hay không khi bị xem xét lại. Và đó là điều mà quản trị rủi ro theo kiểu kiểm soát không chạm tới, bởi kiểm soát hướng tới việc làm đúng trong hiện tại, còn khả năng tự bảo vệ của quyết định lại phụ thuộc vào cách nó tồn tại trong tương lai.
Vấn đề không nằm ở việc doanh nghiệp không biết phải làm gì, mà ở chỗ họ không thể tự nhìn thấy đầy đủ những gì mình chưa kiểm soát. Một quyết định được thiết kế hoàn toàn từ góc nhìn bên trong sẽ luôn có giới hạn khi phải tự bảo vệ trước một cách nhìn từ bên ngoài. Khoảng cách giữa hai cách nhìn đó không phải là thứ có thể được lấp đầy bằng việc bổ sung thêm quy trình hay hồ sơ, mà là một khoảng cách mang tính cấu trúc mà người trong cuộc không thể tự nhận diện đầy đủ.
Một quyết định không thể tự bảo vệ nếu nó chỉ được thiết kế từ góc nhìn của người tạo ra nó.
Từ giới hạn đó, một cách tiếp cận khác buộc phải xuất hiện. Nó không bắt đầu bằng câu hỏi quen thuộc “đã kiểm soát đủ chưa”, mà bắt đầu bằng một câu hỏi khó hơn nhiều: nếu quyết định này bị đặt lại trong một bối cảnh khác, bởi một người không chia sẻ cách hiểu ban đầu, liệu nó có còn giữ được logic của mình hay không.
Nếu câu trả lời không rõ ràng, thì vấn đề không nằm ở việc kiểm soát chưa đủ, mà nằm ở việc quyết định chưa được thiết kế đúng.
Thiết kế một quyết định không có nghĩa là làm nhiều hơn, không phải là thêm bước, thêm chữ ký hay làm dày hồ sơ. Thiết kế quyết định là xác lập ngay từ đầu một cấu trúc đủ vững để quyết định đó không đánh mất ý nghĩa khi bị diễn giải lại. Đó là việc làm cho logic của quyết định tồn tại bên trong chính nó, chứ không phụ thuộc vào trí nhớ, thiện chí hay bối cảnh của người ra quyết định tại thời điểm ban hành.
Một quyết định chỉ thực sự được thiết kế khi logic của nó có thể đứng độc lập, căn cứ của nó có thể tự liên kết thành một chuỗi lập luận nhất quán, và khả năng giải thích của nó không phụ thuộc vào người ký mà nằm trong chính cấu trúc của quyết định. Nếu những yếu tố này không tồn tại ngay từ đầu, thì đến một thời điểm nào đó, quyết định sẽ không còn thuộc về cách hiểu của người đã tạo ra nó nữa.
Một quyết định không an toàn vì có rủi ro, mà vì không thể tự bảo vệ khi rủi ro xuất hiện.
Đến một thời điểm, câu hỏi không còn là có nên kiểm soát thêm hay không, mà là liệu cấu trúc hiện tại của các quyết định đã đủ để tự bảo vệ khi bị đặt lại hay chưa. Đây không phải là điều có thể kiểm tra bằng cảm nhận, mà cần được nhìn lại một cách có hệ thống.
Trong cách tiếp cận này, quản trị rủi ro không còn là việc vá các điểm yếu của quy trình, mà là việc thiết kế lại nền của quyết định. Không còn là làm sao để giảm sai sót, mà là làm sao để giữ được logic ban đầu khi quyết định đi qua những lần giải thích lại. Không còn là phân tán trách nhiệm theo quy trình, mà là xác lập rõ điểm chịu trách nhiệm, điểm giải trình và khả năng tự bảo vệ của chính quyết định đó.
Đây không phải là một điều chỉnh về kỹ thuật. Đây là một sự thay đổi về cách hiểu thế nào là một quyết định an toàn. Nếu một quyết định được đặt lại hôm nay, liệu anh có còn là người định nghĩa cách nó sẽ bị hiểu không?
Một hệ thống không bao giờ tự nhìn thấy điểm mù của chính mình. Quy trình có thể hoàn hảo, pháp chế có thể đầy đủ, nhưng mọi quyết định vẫn được tạo ra trong cùng một góc nhìn. Và chính góc nhìn đó là giới hạn lớn nhất. Khi rủi ro xuất hiện, vấn đề không nằm ở việc đã làm gì sai, mà ở việc không ai nhìn ra điểm phải dừng. Đến lúc đó, quyết định vẫn còn, trách nhiệm đã rõ, chỉ có cơ hội quay lại là không còn. Và điều doanh nghiệp thiếu, không phải kiểm soát, mà là một góc nhìn đủ độc lập để ngăn nó xảy ra.
* Loạt bài này không nhằm đưa ra câu trả lời, mà để đặt lại một câu hỏi: liệu những quyết định đang được ký mỗi ngày đã thực sự được nhìn đủ từ mọi góc độ cần thiết hay chưa. Bởi trong nhiều trường hợp, rủi ro không đến từ những gì doanh nghiệp chưa làm, mà từ những gì hệ thống không tự nhìn thấy.
Luật sư TRƯƠNG ANH TÚ
Chủ tịch TAT Law Firm.
Luật sư Trương Anh Tú - Chủ tịch TAT Law Firm - Chuyên gia về cấu trúc quyết định và kiểm soát rủi ro pháp lý, rủi ro hình sự trong quản trị doanh nghiệp, với định hướng nghiên cứu tập trung vào khả năng tự bảo vệ của quyết định khi bị xem xét lại.
“Một quyết định an toàn không phải là quyết định không có rủi ro, mà là quyết định có thể tự bảo vệ khi rủi ro xuất hiện”.
