Câu hỏi nghe có vẻ cực đoan, nhưng nó phản ánh một rủi ro tổ chức rất thực tế. Khi người phụ trách compliance rời đi, một chuỗi câu hỏi xuất hiện mà không ai có thể trả lời ngay: folder hay email hay ổ cứng nào đang chứa evidence của control nào? Controls nào đã hoàn chỉnh, controls nào còn thiếu? Auditor yêu cầu điều chỉnh gì trong lần kiểm toán trước? Ai phê duyệt từng phiên bản của từng chính sách?

Khi kiến thức nằm trong đầu một người

Khi tất cả những câu trả lời đó chỉ tồn tại trong đầu một người, hệ thống compliance phụ thuộc vào con người đó, không phải vào quy trình. Người mới được tuyển vào sẽ mất vài tuần chỉ để dựng lại bức tranh tổng thể, trước khi có thể bắt đầu xác minh rằng những gì được ghi trong bảng tính có khớp với thực tế hay không.

Đây là kết quả tự nhiên của việc vận hành compliance trên email cá nhân và Google Sheets. Evidence nằm rải rác trong các folder trên Google Drive không có cấu trúc nhất quán. Các chuỗi email trao đổi với IT hoặc Legal không được lưu trữ tập trung. Phiên bản chính sách mới nhất đã được phê duyệt có thể nằm trong một email reply từ tám tháng trước.

Không ai cố tình tạo ra sự phụ thuộc này. Nhưng khi không có hệ thống chung có thể chuyển giao, sự phụ thuộc hình thành theo mặc định.

Sự khác biệt giữa kiến thức compliance và hệ thống compliance

Đây là điểm phân biệt quan trọng. Kiến thức compliance tồn tại trong đầu người phụ trách: họ nhớ control nào cần evidence gì, control nào đang có vấn đề, auditor nào thích định dạng nào, và lịch sử thay đổi của từng chính sách. Kiến thức này không thể chuyển giao qua một buổi handover một tiếng.

Hệ thống compliance là thứ khác. Trong một hệ thống được xây dựng đúng cách, bất kỳ thành viên nào trong team cũng có thể tìm thấy trạng thái evidence của bất kỳ control nào, lịch sử thay đổi, và người chịu trách nhiệm, trong vòng vài phút. Họ không cần hỏi ai. Họ không cần chờ để được giải thích ngữ cảnh.

Khoảng cách giữa hai thứ này là thước đo độ bền thực sự của chương trình compliance.

Khi rủi ro trở thành vấn đề vận hành cụ thể

Vấn đề trở nên nghiêm trọng hơn khi hai sự kiện xảy ra gần nhau: người phụ trách compliance vừa rời đi tuần trước, và chu kỳ audit ISO 27001 hoặc SOC 2 sắp bắt đầu. Lúc này, rủi ro tổ chức không còn là vấn đề trừu tượng nữa. Nó là vấn đề vận hành cụ thể mà không ai được chuẩn bị để xử lý.

Team phải tìm evidence ở những nơi không ai biết chính xác. Họ phải phỏng đoán control nào đã hoàn chỉnh và control nào chưa. Họ liên hệ IT, HR, và các bộ phận khác để hỏi về những thứ đáng lẽ phải được tài liệu hóa từ trước. Thay vì chuẩn bị cho audit, họ đang dựng lại hệ thống từ các mảnh vỡ.

Xây dựng hệ thống có thể chuyển giao

Một chương trình compliance có khả năng chịu đựng sự thay đổi nhân sự không cần phải phức tạp, nhưng nó cần có cấu trúc. Mỗi control cần có owner rõ ràng. Evidence cần được gắn với control, không chỉ tồn tại trong folder. Lịch sử thay đổi chính sách cần có thể tra cứu được. Trạng thái chuẩn bị audit cần hiển thị cho toàn bộ team, không phải chỉ người đang phụ trách.

Khi những điều này được đặt vào đúng chỗ, một người mới có thể hiểu trạng thái hiện tại của chương trình compliance trong buổi làm việc đầu tiên. Không phải vì họ thông minh hơn người tiền nhiệm, mà vì hệ thống đang làm việc thay cho trí nhớ cá nhân.

Compliance không nên là kiến thức cá nhân. Nó phải là hệ thống mà bất kỳ ai trong team cũng có thể tiếp tục vận hành.

Thẻ:
grc operationsknowledge transfercompliance riskevidence management