Nếu bạn hỏi bất kỳ người nào đang vận hành compliance rằng mỗi tuần họ bỏ ra bao nhiêu giờ để thu thập evidence, câu trả lời gần như lúc nào cũng cao hơn so với con số họ nghĩ là bình thường. Không phải giờ viết policy, không phải giờ review control. Chỉ là kéo tài liệu từ chỗ này sang chỗ khác.

Một vòng lặp quen thuộc

Hãy thử hình dung quy trình điển hình trong một tuần chuẩn bị audit. Bạn gửi email cho IT để xin access log, chờ hai ngày, gửi follow-up, nhận file nhưng sai định dạng, rồi gửi lại yêu cầu rõ hơn. Song song đó, bạn vào Google Drive để tìm tài liệu đã upload từ tháng trước, tìm trong Jira để xác định ai đã approve change request tuần vừa rồi, vào SharePoint để lấy bản scan hợp đồng nhà cung cấp, rồi tổng hợp tất cả vào một folder đủ rõ ràng để auditor đọc được.

Mỗi bước đều tốn thời gian, và không bước nào tạo ra thông tin mới. Tất cả chỉ là chuyển thông tin từ nơi nó được sinh ra sang nơi nó cần có mặt.

Khi phần lớn thời gian đổ vào thu thập

Một dấu hiệu cho thấy có vấn đề về cấu trúc: khi hầu hết thời gian của team compliance dành cho việc thu thập thay vì phân tích và cải thiện, điều đó có nghĩa là evidence đang được tạo ra ở một nơi nhưng không có mặt đúng định dạng khi cần.

Không phải vì team thiếu năng lực. Mà vì cách các công cụ và quy trình được thiết kế không đặt việc thu thập evidence vào lúc hoạt động diễn ra. Thay vào đó, thu thập được dồn về một đầu mối, vào một thời điểm cụ thể, với áp lực deadline.

Cách đo vấn đề này

Một bài tập đơn giản: yêu cầu mỗi người trong team ghi lại thời gian theo loại hoạt động trong một tuần. Phân biệt rõ: viết chính sách, review control, phân tích rủi ro, và thu thập evidence. Hầu hết team chưa bao giờ làm điều này, và đó chính xác là lý do vấn đề cứ tồn tại mà không ai nhìn thấy.

Khi con số xuất hiện, nó thường gây ngạc nhiên. Không phải vì bất kỳ bước đơn lẻ nào mất quá nhiều thời gian, mà vì tổng số giờ tích lũy từ những bước nhỏ lặp đi lặp lại trong nhiều tuần, nhiều chu kỳ audit.

Chi phí thực sự là gì

Câu hỏi quan trọng hơn không phải là "mất bao nhiêu giờ thu thập evidence?" mà là "những giờ đó có thể làm gì nếu không cần dùng vào thu thập?"

Nếu team GRC không phải dành ba ngày mỗi tuần để chạy theo tài liệu, họ có thể đánh giá hiệu quả thực sự của từng control, phân tích xu hướng rủi ro theo thời gian, xây dựng runbook tốt hơn, hoặc phát hiện và xử lý các gap trước khi chúng trở thành audit finding. Đó là công việc tạo ra giá trị thực sự cho tổ chức, không phải logistics di chuyển tài liệu.

Chỉ số ít được đo nhất

Thời gian dành để thu thập evidence là một trong những chỉ số ít được đo nhất trong compliance operations, và thường là chỉ số nói lên nhiều nhất về cấu trúc hệ thống. Khi nó cao, đó là tín hiệu rằng giữa nơi hoạt động diễn ra và nơi evidence cần có mặt đang tồn tại một khoảng cách không cần thiết.

Đo nó trước. Phần còn lại sẽ rõ hơn sau đó.

Thẻ:
evidence collectioncompliance operationsgrc teamaudit preparation