Hầu hết GRC Manager đều làm việc chăm chỉ. Nhưng nếu mở lịch sử Slack của họ trong một tuần bình thường, phần lớn những gì hiện ra không phải là thảo luận về kiểm soát rủi ro hay phân tích lỗ hổng bảo mật. Đó là tin nhắn follow-up.

Một tuần nhìn từ lịch sử Slack

Những tin nhắn trông quen thuộc đến mức ai trong ngành đều có thể đọc và gật đầu:

"@IT_Infra anh ơi, access log từ tháng 8 đến tháng 10 anh upload vào folder Drive nào tiện nhất cho anh ạ?"

"@HR_team chị ơi, danh sách nhân viên hoàn thành security awareness training tháng trước chị có chưa ạ?"

"@Dev_lead anh ơi, vulnerability scan report tháng 9 em tìm trong SharePoint không thấy, anh có link không ạ?"

Mỗi tin nhắn đều lịch sự, hợp lý và hoàn toàn cần thiết trong bối cảnh đó. Nhưng cộng lại qua nhiều tuần, chúng đại diện cho một lượng thời gian đáng kể bị tiêu tốn vào việc theo dõi xem ai đã gửi gì, ai chưa gửi và ai cần được nhắc lại. Nhiều team GRC ghi nhận từ 10 đến 15 giờ mỗi tuần chỉ cho công việc này.

Tại sao GRC trở thành người nhắc duy nhất

Upload evidence không phải công việc chính của IT, HR hay Dev. Với họ, đây là một nhiệm vụ nằm ngoài KPI chính, không có deadline cụ thể được hệ thống theo dõi và không có cơ chế tự động nhắc nhở nào. Kết quả là khi deadline đến gần, GRC là người duy nhất biết toàn bộ bức tranh, vì vậy GRC là người duy nhất đi nhắc.

Không ai cố tình thiết kế quy trình theo cách này. Nó hình thành từng bước một, khi compliance được vận hành bằng spreadsheet, Jira ticket thủ công, email thread và thiện chí của mọi người. Mỗi audit đi qua thành công vì mọi người làm việc chăm chỉ hơn, không phải vì hệ thống hoạt động tốt hơn.

Chi phí thực không chỉ là thời gian

Khi phần lớn tuần làm việc đổ vào việc thu thập evidence, GRC mất bandwidth để làm những việc có giá trị hơn. Không còn thời gian để đánh giá mức độ hiệu quả thực tế của từng control. Không còn không gian để xác định process gap trước khi chúng trở thành audit finding. Không còn cơ hội để cải thiện chương trình compliance thay vì chỉ duy trì nó qua từng audit.

GRC dần trở thành một vai trò logistics thay vì vai trò quản lý rủi ro. Người giỏi nhất trong vai trò này không phải vì họ có kỹ năng nhắn tin tốt hơn. Họ giỏi vì họ biết cách ưu tiên và không bị cuốn vào vòng lặp theo dõi thủ công. Nhưng ngay cả họ cũng không thể thoát hoàn toàn khỏi vòng lặp đó khi hệ thống không hỗ trợ.

Tối ưu cách nhắc không giải quyết vấn đề nền

Một số team thử cải thiện bằng cách gửi reminder có cấu trúc hơn, dùng template chuẩn hoặc tạo channel Slack riêng cho từng audit. Những cách này có thể giảm ma sát ở bề mặt. Nhưng chúng không thay đổi được vấn đề cốt lõi: việc nhắc người khác upload evidence không nên là trách nhiệm của một con người ngay từ đầu.

Khi deadline và ownership được gán rõ ràng vào hệ thống, khi reminder tự động chạy theo lịch và khi trạng thái hoàn thành được hiển thị minh bạch cho tất cả các bên liên quan, GRC không cần phải đóng vai trung gian nữa. Họ có thể xem ai đang trễ và leo thang khi thực sự cần, thay vì gõ phím nhắn tin mỗi ngày.


Trong workflow hiện tại của bạn, bao nhiêu phần trăm thời gian GRC đang dùng để nhắc người khác nộp evidence?

Thẻ:
grc operationsevidence managementcompliance workflowteam GRC