Nhìn vào danh sách control của bất kỳ framework nào, ISO 27001, SOC 2, hay PCI DSS, không framework nào chỉ đụng đến một phòng ban. Mỗi framework trải rộng qua HR, IT, Engineering, Legal và Finance theo những cách rất cụ thể.
Ai thực sự sở hữu evidence
HR chịu trách nhiệm với hồ sơ onboarding và offboarding, tài liệu đào tạo nhận thức bảo mật, và kết quả kiểm tra lý lịch. IT nắm access control log, báo cáo patch management, baseline cấu hình hệ thống, và hồ sơ incident response. Engineering cung cấp log code review, ticket change management trong Jira, kết quả vulnerability scan, và tài liệu SDLC. Legal quản lý hợp đồng, data processing agreement, NDA, và trao đổi với cơ quan quản lý. Finance giữ tài liệu đánh giá vendor, third-party risk review, và hồ sơ phê duyệt chi tiêu.
GRC không thể tự cung cấp tất cả evidence đó. Nhưng mỗi phòng ban cũng không tự nhiên biết compliance cần gì từ họ, cần vào lúc nào, và ở định dạng nào.
Compliance thất bại ở phối hợp, không phải kiến thức
Team GRC có thể hiểu framework từng dòng một. Họ biết chính xác control nào cần evidence gì, và tại sao. Nhưng nếu không có cơ chế rõ ràng để mỗi phòng ban biết họ sở hữu control nào, deadline là khi nào, và nộp evidence ở đâu, GRC sẽ tiếp tục đóng vai trò trung gian thủ công trong mọi chu kỳ audit.
Không phải vì ai thiếu thiện chí. Mà vì không có hệ thống phân công rõ ràng, trách nhiệm compliance mặc định đổ về nơi duy nhất đang theo dõi toàn bộ: team GRC.
Một tình huống điển hình
GRC gửi email cho IT xin log của tháng trước. IT phản hồi sau ba ngày với file bao gồm khoảng thời gian sai. GRC gửi follow-up. IT gửi lại. Nhân tình huống đó lên với ba mươi đến bốn mươi control trải qua nhiều phòng ban khác nhau, và số giờ tích lũy trong mỗi chu kỳ audit trở nên đáng kể. Rồi năm sau, chu kỳ đó lặp lại, gần như y hệt.
Không ai cố tình làm chậm quy trình. Vấn đề là IT không có cách nào biết GRC cần gì cho đến khi email đến. Và GRC không có cách nào nhắc nhở tự động, theo dõi ai đã phản hồi, hay biết liệu file nhận được có đúng yêu cầu hay không, cho đến khi mở ra và kiểm tra tay.
Compliance vận hành được khi trách nhiệm được phân chia rõ
Mô hình hoạt động được không phải là GRC làm tất cả, cũng không phải là mỗi phòng ban tự lo mà không có định hướng. Mô hình hoạt động được là khi mỗi control có một owner cụ thể, owner đó biết mình cần làm gì và khi nào, và có nơi để thực hiện mà không cần chờ GRC hỏi thì mới nhớ.
Compliance vận hành được khi mỗi team biết phần việc của mình và có nơi để thực hiện, không phụ thuộc vào GRC làm cầu nối mỗi lần cần evidence.