Spreadsheet không phải là vấn đề, cho đến khi nó là
Hầu hết công ty bắt đầu compliance với spreadsheet. Đó là lựa chọn hợp lý: bạn chưa chắc sẽ cần compliance ở mức độ nào, chi phí platform là một ẩn số, và một CTO hay senior engineer có thể manage tất cả bằng Google Sheets.
Và spreadsheet hoạt động, trong một khoảng thời gian. Vấn đề không phải là spreadsheet sai từ đầu, mà là có những điểm cụ thể mà nó bắt đầu tạo ra rủi ro thay vì giảm rủi ro.
Bài này về những điểm đó.
Dấu hiệu 1: Bạn không biết ai đang chịu trách nhiệm cho gì
Spreadsheet lưu trữ thông tin nhưng không enforce ownership. Control được ghi là "implemented" với tên một người, nhưng người đó có còn là owner không? Họ có biết họ cần làm gì khi cần review không?
Trong team 10 người, điều này hoạt động vì mọi người biết nhau và communicate trực tiếp. Trong team 40 người, một spreadsheet không có cơ chế alert, không có deadline enforcement, và không có audit trail về việc ai đã làm gì.
Khi surveillance audit đến và auditor hỏi về evidence cho một control cụ thể, bạn bắt đầu hỏi vòng: "Ai đang handle cái này?" Câu trả lời thường là "Tôi nghĩ là A, nhưng A đã chuyển team rồi."
Dấu hiệu 2: Evidence nằm ở khắp nơi và chỉ một người biết nó ở đâu
Spreadsheet track control nhưng không lưu trữ evidence. Evidence nằm trong:
- Folder Drive của người tạo ra nó
- Inbox của manager đã approve một review
- S3 bucket mà chỉ DevOps biết
- Desktop của một engineer đã nghỉ việc
Khi bạn cần compile evidence package cho audit, quá trình này hoàn toàn manual. Bạn phải contact từng người, tìm trong từng hệ thống, và hy vọng rằng evidence cho 12 tháng qua vẫn còn đó và có thể tìm được.
Nhiều team phát hiện ra trong lúc chuẩn bị audit rằng evidence cho một số controls không tồn tại. Không phải vì control không được thực hiện, mà vì không ai nghĩ đến việc lưu evidence.
Dấu hiệu 3: Thêm framework là thêm sheet, không phải thêm intelligence
Bạn bắt đầu với ISO 27001. Sau đó khách hàng enterprise yêu cầu SOC 2. Sau đó bạn expand sang healthcare và cần HIPAA.
Với spreadsheet, mỗi framework là một sheet mới, hoặc một file mới. Vì chúng không connected, controls chồng lấp giữa các framework bị làm lại từ đầu:
- Evidence cho ISO 27001 A.9.2.5 (User Access Management) cũng satisfy SOC 2 CC6.2 và HIPAA §164.312(a)(1), nhưng spreadsheet không biết điều đó. Bạn collect evidence ba lần cho cùng một control.
- Khi có thay đổi về một control, ví dụ bạn switch sang identity provider mới, bạn phải update manually trong mỗi framework sheet. Nếu quên update một sheet, evidence inconsistent giữa các frameworks.
Inefficiency là một phần. Phần lớn hơn là risk của inconsistency, và inconsistency là điều auditor chú ý đến.
Dấu hiệu 4: Chuẩn bị audit là một "project" tách biệt
Nếu "chuẩn bị audit" là một sprint hay một period riêng biệt trong calendar của team, thường bắt đầu 4 đến 6 tuần trước audit date, đó là dấu hiệu rõ nhất rằng compliance không được vận hành liên tục.
Điều đó có nghĩa là trong 10 tháng còn lại, compliance tồn tại chủ yếu trong spreadsheet nhưng không phản ánh trạng thái thực tế của hệ thống. Rủi ro tích lũy, evidence không được thu thập, controls drift, và tất cả được phát hiện và "fix" trong rush trước audit.
Auditor SOC 2 Type 2 nhìn vào pattern của evidence. Nếu evidence cluster vào một giai đoạn ngắn trước audit thay vì được phân bổ đều trong observation period, đó là signal đáng chú ý và là finding tiềm năng.
Dấu hiệu 5: Bạn không thể trả lời "chúng ta đang ở mức nào?" ngay lập tức
Câu hỏi "hiện tại compliance status của chúng ta là gì?" không nên mất hơn vài phút để trả lời.
Với spreadsheet, câu trả lời thường là: "Để tôi check với người phụ trách", hoặc "Chờ tôi update sheet rồi cho bạn biết", hoặc "Tôi nghĩ là ổn vì audit vừa pass mấy tháng trước."
Không có visibility real time, bạn vận hành compliance theo kiểu assume everything is fine until it's not.
Khi nào nên nghĩ đến việc chuyển?
Không phải mọi company đều cần platform ngay. Nhưng có những ngưỡng cụ thể mà giới hạn của spreadsheet chuyển từ inconvenience thành risk:
| Tình huống | Tín hiệu |
|---|---|
| Team scale qua 20-25 người | Ownership tracking trong spreadsheet bắt đầu break down |
| Thêm framework thứ hai | Evidence duplication và inconsistency rủi ro tăng |
| SOC 2 Type 2 thay vì Type 1 | Continuous evidence trong observation period là bắt buộc |
| Khách hàng enterprise yêu cầu vendor assessment | Bạn cần có thể demonstrate compliance theo yêu cầu, không chỉ theo kỳ audit |
| Compliance person rời công ty | Knowledge chỉ trong đầu một người và trong spreadsheet họ quản lý |
Series A là mốc mà nhiều SaaS Việt Nam bắt đầu nhận ra vấn đề này, không phải vì funding, mà vì investor due diligence và enterprise sales cycle đòi hỏi khả năng demonstrate compliance theo cách không thể làm với spreadsheet.
Điều không cần thay đổi khi chuyển khỏi spreadsheet
Chuyển từ spreadsheet sang platform không có nghĩa là bắt đầu lại từ đầu. Framework bạn đã chọn vẫn giữ nguyên. Controls bạn đã implement vẫn là baseline.
Điều thay đổi là:
- Evidence được thu thập tự động thay vì manual
- Ownership được enforce thay vì chỉ ghi trên sheet
- Multiple frameworks được map lại với nhau thay vì tồn tại độc lập
- Compliance status là real time thay vì là snapshot từ lần update cuối
Kết quả: audit không còn là "project" mà là kỳ verification của những gì đã được vận hành tốt trong suốt năm.
Spreadsheet phục vụ tốt vai trò của nó khi bạn cần bắt đầu. Nếu bạn đang nhận ra bất kỳ dấu hiệu nào ở trên, đây là lúc để đánh giá xem nó còn đang phục vụ bạn hay đang làm chậm bạn.
Xem thêm pTrackly cho startup đang outgrow spreadsheet để hiểu cách chuyển đổi mà không cần rebuild lại từ đầu.