Thành ngữ Việt Nam có câu “mất bò, mới lo làm chuồng” để chỉ những trường hợp không biết lo xa, không phòng bị trước, đến khi chuyện xảy ra, gây hậu quả mới vội vàng tìm cách để phòng. Ví như trường hợp người nông dân nuôi bò (sự kiện- fact) nhưng không làm chuồng (nguyên nhân-cause), ban đêm trộm vào dắt con bò đi (rủi ro-risk), hôm sau người nông dân thấy bò đã bị mất (sự cố- problem). Người nông dân mất đi con bò đồng nghĩa với mất đi một sản nghiệp của gia đình. Từ câu thành ngữ trên, chúng ta thấy được rằng từ xa xưa cha ông ta đã sớm nhận thức về kiểm soát rủi ro, cũng như việc xây dựng công cụ  kiểm soát rủi ro để phòng bị.

Trong nền kinh tế thị trường, cho dù đóng vai trò chủ đạo và là đầu tàu của nền kinh tế, các doanh nghiệp lại luôn là các đối tượng có khả năng phải gánh chịu các rủi ro cao nhất vì lý do chủ quan và khách quan. Mỗi rủi ro khi xảy ra đều gây ra thất thoát về vật chất, uy tín của doanh nghiệp, thậm chí dẫn đến hậu quả là phá sản. Để bảo vệ được doanh nghiệp khỏi các rủi ro, ngành khoa học về kiểm soát nội bộ đề cập đến một nhiệm vụ rất quan trọng, đó là “hoạt động kiểm soát rủi ro”.

Rủi ro xảy ra do nhiều nguyên nhân như: thiên tai, địch họa, bạo loạn, khủng bố, khủng hoảng kinh tế toàn cầu, hành vi bất cẩn v.v… Tuy nhiên, trong phạm một bài viết, tác giả chỉ muốn tập trung làm rõ nội dung cơ bản về kiểm soát rủi ro pháp lý – một trong những loại rủi ro có tính chất đặc thù và có sự ảnh hưởng lớn đến hoạt động của doanh nghiệp. Nội dung của bài viết sẽ trình bày ngắn gọn các vấn đề sau: (i) Rủi ro pháp lý là gì và tại sao phải kiểm soát nó?; (ii) Các cách ứng xử với rủi ro pháp lý và (iii) Cách thức kiểm soát rủi ro pháp lý?

1. Rủi ro pháp lý là gì?

Thuật ngữ rủi ro pháp lý được giới báo chí, luật sư và cộng đồng doanh nghiệp nhắc đến nhiều, tuy nhiên khi rà soát các văn bản pháp lý cũng như tra cứu các tài liệu chuyên ngành, chúng ta chưa tìm thấy một khái niệm cho thuật ngữ này. Theo COSO[1], rủi ro được định nghĩa là rủi ro là sự kiện không chắc chắn, có thể xảy ra và ảnh hưởng đến mục tiêu của tổ chức. Tương tự, rủi ro pháp lý có thể hiểu là sự kiện pháp lý không chắc chắn, có thể xảy ra và ảnh hưởng đến mục tiêu của chủ thể pháp lý. Như vậy, rủi ro pháp lý là một sự kiện pháp lý có thể xảy ra hoặc không xảy ra (tức là có xác suất dưới 100%) và khi xảy ra, nó sẽ ảnh hưởng đến mục tiêu của tổ chức. Ví dụ: Doanh nghiệp A thực hiện chương trình quảng cáo để khách hàng bốc thăm trúng thưởng (chương trình mang tính may rủi) mà chưa có sự đồng ý của cơ quan có thẩm quyền theo quy định pháp luật. Trong trường hợp này, Doanh nghiệp A có thể bị cơ quan quản lý dừng chương trình quảng cáo này, đồng thời xử phạt vi phạm hành chính (rủi ro pháp lý). Trong thực tế, Doanh nghiệp A có thể bị xử phạt hoặc không, tùy thuộc vào quyết định của cơ quan quản lý.

Rủi ro pháp lý được phân loại dựa trên các tiêu chí khác nhau. Căn cứ vào tác động của rủi ro (risk impact) đối với mục tiêu của doanh nghiệp, rủi ro pháp lý được chia thành rủi ro cao và rủi ro thấp. Dựa trên tần suất rủi ro (risk probility) xảy ra, người ta chia thành rủi ro có tần suất cao và rủi ro có tần suất thấp. Xét về nguồn gốc rủi ro, người ta phân loại rủi ro pháp lý thành rủi ro có nguồn gốc bên trong và rủi ro có nguồn gốc bên ngoài. Khi lấy nguyên nhân dẫn đến rủi ro làm tiêu chí phân loại, rủi ro pháp lý bao gồm: rủi ro có nguyên nhân khách quan (do sự kiện bất khả kháng, do thay đổi chính sách pháp luật, do thay đổi của thị trường,v.v...) và nguyên nhân chủ quan (yếu tố văn hóa, thói quen hành xử, thiếu kiến thức chuyên môn, v.v…)

Rủi ro pháp lý khác với các loại rủi ro khác ở phạm vi, mức độ thiệt hại và thời gian tồn tại của nó. Thứ nhất, rủi ro pháp lý thường có phạm vi rất rộng. Trong quá trình hoạt động của mình, doanh nghiệp tham gia vào rất nhiều mối quan hệ, do đó rủi ro có thể đến từ các chủ thể có quan hệ với doanh nghiệp. Ví dụ: rủi ro đến từ cơ quan quản lý nhà nước - chủ thể có quyền ban hành các quyết định hành chính và có sẵn bộ máy để cưỡng chế thực hiện quyết định này; từ các hành động pháp lý của đối tác - chủ thể có quyền hành động hoặc không hành động dựa trên cơ sở thỏa thuận giữa các bên; rủi ro đến từ các hành vi cố ý, vô ý hoặc bất cẩn của cán bộ quản lý và người lao động của doanh nghiệp. Thứ hai, mức độ thiệt hại do rủi ro pháp lý gây ra khó xác định bởi vì khi rủi ro pháp lý xảy ra, doanh nghiệp sẽ phải gánh chịu các chế tài pháp lý. Các chế tài này thường có nhiều loại và mức độ khác nhau. Bên cạnh đó, việc xác định chế tài nào được áp dụng lại do cơ quan có thẩm quyền (ví dụ như tòa án, trọng tài thương mại, cơ quan quản lý nhà nước, v.v…) quyết định. Do đó, mức độ thiệt hại do rủi ro pháp lý gây ra thường không thể xác định ngay và doanh nghiệp cũng khó có thể tự đánh giá được. Thứ ba, rủi ro pháp lý có thời gian tồn tại kéo dài vì các quy định pháp luật có các điều khoản về thời hiệu, thời hạn để các chủ thể có quyền hồi tố các hành vi pháp lý đã thực hiện trong quá khứ. Điều này có nghĩa là khi rủi ro pháp lý phát sinh, thời gian tồn tại của nó không chỉ được tính từ thời điểm xảy ra mà còn bao gồm cả khoảng thời gian từ trước đó do các điều khoản về hồi tố.

Vì rủi ro pháp lý có các tính chất nêu trên, doanh nghiệp cần phải nhận diện và đánh giá đầy đủ từng rủi ro pháp lý để kiểm soát và hướng đến triệt tiêu các nguyên nhân có thể khiến rủi ro trở thành sự cố, dẫn đến tình trạng doanh nghiệp có thể bị mất mát tài sản, mất quyền pháp lý, phá sản và thậm chí chủ doanh nghiệp có thể đối mặt với các chế tài hình sự.

1. Ứng xử với rủi ro pháp lý

Có bốn cách thường được các doanh nghiệp có hệ thống kiểm soát nội bộ sử dụng để ứng xử với rủi ro. Cụ thể là:

Thứ nhất, né tránh rủi ro (avoid):

Trong các rủi ro pháp lý mà doanh nghiệp dễ dàng kiểm soát, rủi ro về không tuân thủ pháp luật trong lĩnh vực mình hoạt động kinh doanh là dễ dàng nhất. Một doanh nghiệp từ khi thành lập đến khi kết thúc hoạt động, pháp luật yêu cầu doanh nghiệp phải tuân thủ môi trường pháp lý (legal environment) mà những nhà làm luật đã dành cho họ. Ví dụ như trong tổ chức, quản lý và điều hành, doanh nghiệp phải tuân thủ pháp luật về doanh nghiệp; trong thuê mướn người lao động, doanh nghiệp phải tuân thủ pháp luật về lao động; đối với nghĩa vụ về thuế, doanh nghiệp phải tuân thủ pháp luật về thuế; đối với các giao dịch, hợp đồng, doanh nghiệp phải tuân thủ pháp luật về hợp đồng; trong sử dụng tài nguyên doanh nghiệp phải tuân thủ pháp luật về đất đai, khoáng sản, điện lực, dầu khí, viễn thông, v.v…

Trong những văn bản luật pháp luật nêu trên, nhà làm luật đưa ra các quy định về những điều được làm, những điều không được làm hoặc cấm làm; những điều được làm đi cùng với các điều kiện, quyền lựa chọn, v.v… Để kiểm soát rủi ro pháp lý về việc tuân thủ pháp luật, doanh nghiệp cần tránh thực hiện những việc luật cấm; đối với trường hợp luật cho phép được làm với điều kiện, doanh nghiệp cần đánh giá doanh nghiệp mình đã đáp ứng đúng và đầy đủ các điều kiện trước khi làm, nếu không đáp ứng được điều kiện luật quy định thì không nên làm.

Tương tự như tuân thủ pháp luật, khi tham gia luật chơi riêng giữa mình và người khác, doanh nghiệp cũng phải tôn trọng những quy định đã được các bên thỏa thuận. Tránh thực hiện những điều mà các bên thỏa thuận không được làm. Không đơn phương thực hiện các hành động mà có nguy cơ xảy ra các tranh chấp bất lợi cho mình (potential legal risks).

Khi thực hiện cách ứng xử đối với pháp luật và đối với luật chơi riêng theo đúng tinh thần “cấm thì không làm”, “không đủ điều kiện không làm” và “không đơn phương thực hiện những việc không phù hợp” thì doanh nghiệp đã chọn cách ứng xử né tránh đối với rủi ro pháp lý.

Thứ hai, giảm thiểu rủi ro (mitigate/reduce risks)

Các văn bản luật tuy nhiều nhưng không phải lúc nào cũng điều chỉnh chi tiết cho từng vụ việc. Nếu doanh nghiệp mạo hiểm thực hiện các giao dịch theo quan điểm và cách thức nhìn nhận của mình thì doanh nghiệp sẽ có nguy cơ phải gánh chịu rủi ro pháp lý đối với các giao dịch này.

Để giảm thiểu rủi ro, cách phổ biến và thông thường vẫn được các chuyên gia pháp lý tư vấn cho khách hàng là gửi văn bản đề nghị cơ quan quản lý nhà nước hướng dẫn cho vụ việc của mình. Sau khi có được hướng dẫn chính thức bằng văn bản, doanh nghiệp có thể thực hiện giao dịch hoặc ý tưởng kinh doanh của mình.

Doanh nghiệp lựa chọn cách ứng xử nêu trên vì pháp luật được ban hành và giám sát thực thi bởi các cơ quan nhà nước. Vì vậy, dù ý kiến của các cơ quan nhà nước có thể không đồng nhất nhưng chí ít trong quan hệ với cơ quan nhà nước và đối tác, doanh nghiệp cũng đã thể hiện được sự khách quan trong cách ứng xử của mình. Điều này sẽ góp phần giảm thiểu rủi ro pháp lý cho doanh nghiệp.

Thứ ba, chuyển giao rủi ro (transfer risks)

Các doanh nghiệp có quy mô càng lớn thì khả năng kiểm soát rủi ro pháp lý càng khó bởi vì những doanh nghiệp này thường có nhiều ngành nghề kinh doanh, sử dụng nhiều lao động, được tổ chức thành nhiều phòng ban, bộ phận ở nhiều cấp độ. Vì vậy Giám đốc điều hành (CEO) không thể kiểm soát hết mọi hoạt động của doanh nghiệp kể cả trường hợp đã thực hiện hoạt động phân quyền.

Các doanh nghiệp lớn thường lựa chọn sử dụng dịch vụ pháp lý từ các công ty luật chuyên nghiệp vì các công ty này có đội ngũ luật sư với chuyên môn sâu và giàu kinh nghiệm đáp ứng được khối lượng công việc lớn trong một thời gian ngắn… Một nguyên nhân khác cũng phải kể đến là các doanh nghiệp lớn thường chọn dịch vụ pháp lý bên ngoài vì doanh nghiệp muốn chuyển giao rủi ro pháp lý cho đơn vị cung cấp dịch vụ pháp lý. Việc chuyển giao rủi ro pháp lý này được thực hiện phổ biến nhất đối với các tập đoàn, tổng công ty nhà nước và các tập đoàn, công ty đa quốc gia.

Đối với các tập đoàn, tổng công ty nhà nước với tôn chỉ hoạt động là bảo đảm không thất thoát nguồn vốn nhà nước đặt ra cho người đại diện chủ sở hữu vốn nhà nước một nghĩa vụ quan trọng. Việc không làm tròn nghĩa vụ này có thể khiến người đại diện chủ sở hữu vốn nhà nước bị mất chức, tiêu tan sinh mệnh chính trị và thậm chí là chịu trách nhiệm hình sự về sai phạm của mình. Do vậy, giải pháp mà các doanh nghiệp thuộc loại hình này thường sử dụng là chuyển giao rủi ro pháp lý cho doanh nghiệp cung cấp dịch vụ pháp lý như đã nêu trên.

Đối với các tập đoàn, công ty đa quốc gia, bộ máy quản lý điều hành tại các doanh nghiệp này thường là các cá nhân đến từ các nước khác nhau được chủ sở hữu thuê làm việc. Họ phải chịu trách nhiệm cá nhân về năng lực quản lý của mình. Đứng trước các rủi ro pháp lý tại một quốc gia sở tại, những người quản lý này thường lựa chọn giải pháp chuyển giao rủi ro sang cho các doanh nghiệp cung cấp dịch vụ pháp lý.

Việc chuyển giao rủi ro pháp lý sang tổ chức, cá nhân khác thường là giải pháp có hiệu quả cao đối với các quốc gia có ngành dịch vụ pháp lý phát triển thành các tập đoàn luật đa quốc gia hoặc các công ty luật lớn. Các công ty luật đa quốc gia, các công ty luật lớn thường có tài sản lớn và họ thường xuyên đóng bảo hiểm trách nhiệm nghề nghiệp cho các luật sư của mình để trong trường hợp nếu dịch vụ pháp lý cung cấp gặp rủi ro, các công ty bảo hiểm sẽ là đơn vị chịu trách nhiệm bồi thường thiệt hại cho khách hàng.

Thứ tư, chấp nhận rủi ro (accept risks)

Không phải trong mọi trường hợp doanh nghiệp đều có thể lựa chọn một trong ba cách ứng xử như trên do yêu cầu đạt mục tiêu kinh doanh và/hoặc vì chi phí và/hoặc vì không có lựa chọn nào là hoàn hảo để áp dụng cho mọi trường hợp. Để đảm bảo nhiệm vụ được chủ sở hữu doanh nghiệp giao, người quản lý doanh nghiệp đôi khi cũng phải quyết định chấp nhận rủi ro để kinh doanh. Cách ứng xử này người ta gọi là chấp nhận rủi ro. Việc chấp nhận rủi ro được dựa trên hai yếu tố để đánh giá rủi ro, tần suất xảy ra rủi ro (P-probably) và tác động (I-impact). Hàm số I x P= mức độ rủi ro. Doanh nghiệp sẽ dựa trên ngưỡng chấp nhận rủi ro (threshold) của mình để quyết định chấp nhận hay không chấp nhận rủi ro. Nếu tích số I x P > threshold, doanh nghiệp sẽ từ bỏ thực hiện và nếu I x P  < threshold, doanh nghiệp sẽ quyết định chấp nhận rủi ro để thực hiện.

Đối với cách ứng xử chấp nhận rủi ro, người ta cũng phân ra thành hai trường hợp: chấp nhận rủi ro chủ động (active) và chấp nhận rủi ro thụ động (passive). Chấp nhận rủi ro chủ động nghĩa là doanh nghiệp chủ động thực hiện các bước đánh giá rủi ro, đo lường mức độ rủi ro, phương án xử lý sự cố trước khi hành động. Chấp nhận rủi ro thụ động nghĩa là doanh nghiệp chỉ nhận biết được rủi ro nhưng không đánh giá mức độ, không xây dựng phương án xử lý sự cố khi rủi ro xảy ra.

1. Các cộng cụ kiểm soát rủi ro pháp lý

Thực hiện mục tiêu kiểm soát, bước đầu tiên doanh nghiệp cần nắm bắt được các sự kiện pháp lý đã, đang và sẽ diễn ra tại doanh nghiệp mình; bước thứ hai là xác định các nguyên nhân dẫn đến rủi ro pháp lý có thể xảy ra đối với các sự kiện đó; bước thứ ba là sử dụng các công cụ kiểm soát để triệt tiêu các nguyên nhân, mầm mồm của rủi ro pháp lý. Một nguyên tắc quan trọng thường được nhắc đến khi kiểm soát rủi ro cần phải ghi nhớ là “bệnh nào thuốc đó” hay “rủi ro nào thì sử dụng công cụ tương ứng”. Theo đề xuất của COSO, doanh nghiệp có thể áp dụng 24 công cụ để kiểm soát rủi ro nói chung.

Để bạn đọc dễ dàng tiếp cận các công cụ được sử dụng để kiểm soát rủi ro pháp lý, bài viết này trình bày theo phương pháp nghiên cứu vụ việc (case study). Doanh nghiệp A dự kiến thực hiện giao dịch M&A với doanh nghiệp B, trong đó A là bên mua, B là bên bị mua lại, Ban lãnh đạo của A đặt ra các mục tiêu cho giao dịch là: giao dịch này tuân thủ đầy đủ các quy định pháp luật Việt Nam và các quy định nội bộ của các bên; các thông tin, tài liệu của giao dịch được các bên bảo vệ và bảo mật tuyệt đối; tài liệu giao dịch được soạn thảo rõ ràng và bảo vệ được quyền lợi của A. Bên cạnh đó, A cũng đã dự liệu các rủi ro pháp lý có thể gặp phải làm ảnh hưởng đến các mục tiêu trên. Một chuyên gia về kiểm soát nội bộ đã phân tích và tư vấn cho A kiểm soát rủi ro như sau:

Thứ nhất, đối với các rủi ro về không tuân thủ quy định pháp luật và các quy định nội bộ của các bên, để kiểm soát rủi ro này, A cần xây dựng bảng các quy định pháp luật cần tuân thủ theo từng giai đoạn của giao dịch (compliance checklists). A cần lập nhóm công tác cho giao dịch này, để đảm bảo các cá nhân có chuyên môn về pháp luật, tài chính và nhân sự cùng nhau thực hiện giao dịch (segregate), việc chia tách nhiệm vụ không những giúp A có được một nhóm chuyên nghiệp mà còn giúp giao dịch này tránh được lạm quyền và gian lận. Đối với một giao dịch M&A, có nhiều cấp tài liệu khác nhau cần được đại diện ký kết, nhằm tránh rủi ro về thực hiện hành vi pháp lý không có ủy quyền, A cần phải xây dựng hệ thống phân quyền (authorization). Để đảm bảo tài liệu được bảo quản và bảo mật an toàn toàn, A cần triển khai một số công cụ khác như: công cụ quyền truy cập (access); công cụ lưu trữ ( retain); công cụ sao chép (copy); công cụ cách ly bao bọc (containment); công cụ ngụy trang, che giấu (void); công cụ mặc định (default); công cụ dán nhã (tag).

Thứ hai, đối với các rủi ro trong quá trình hoàn tất hồ sơ giao dịch, doanh nghiệp A cần triển khai các công cụ: sử dụng công cụ giới hạn, định mức (limit) để kiểm tra quyền quyết định giao dịch theo giá trị tải sản của bên A và bên B; sử dụng công cụ quy trình thủ tục (procedure) để kiểm tra các bước thực hiện các hành vi pháp lý trong giao dịch đã tuân thủ chưa; sử dụng công cụ tiêu chuẩn (standard) để kiểm soát rủi ro đối với các điều khoản mẫu; sử dụng công cụ ghi chép kế toán (accounting) để kiểm soát rủi ro về sai sót trong các số liệu trong giao dịch; sử dụng công cụ xác nhận (confirm) để kiểm soát các rủi ro liên quan đến điều kiện tiên quyết của giao dịch; sử dụng công cụ nhận diện (identify) để kiểm soát các rủi ro về sử dụng chữ ký, con dấu trong giao dịch. Ngoài ra, bên A có thể triển khai các công cụ khác như: công cụ giám sát (observe); công cụ kiểm tra mẫu (sample); công cụ rà soát (scan); công cụ cảnh bảo (prompt).

Thứ 3, đối với các rủi ro trong quá trình thực hiện các điều khoản giao dịch, doanh nghiệp A cần triển khai: sử dụng công cụ kịch bản (stimulate) để kiểm soát các rủi ro trong việc Bên B không thực hiện đầy đủ nghĩa vụ, hoặc trong trường vì lý do khách quan Bên B không thực hiện được nghĩa vụ của mình; sử dụng công cụ phản hồi (feedback) để kiểm soát rủi ro không được phản hồi kịp thời các thay đổi hoặc các sự kiến phát sinh nằm ngoài dự liệu của các bên; sử dụng công cụ thẩm tra ( verify) để kiểm soát các rủi ro về đánh giá sai, đánh giá không đầy đủ về vụ việc.

Để phát huy hiệu quả các công cụ kiểm soát nêu trên, các nhà quản lý thường áp dụng cách thức quản lý doanh nghiệp mình theo hai hệ thống tồn tại song song. Hệ thống thứ nhất là hệ thống các quy chế, quy trình, quy định nhằm thực hiện các mục tiêu sản xuất, kinh doanh của doanh nghiệp và hệ thống thứ hai là hệ thống kiểm soát nội bộ- với mục tiêu kiểm soát rủi ro và giám sát việc thực hiện hệ thống thứ nhất.

Thay lời kết, khi doanh nghiệp nhận thức đầy đủ về rủi ro pháp lý, có cách ứng xử phù hợp và vận dụng tốt các công cụ kiểm soát rủi ro, một điều tác giả tin chắc rằng doanh nghiệp sẽ kiểm soát được rủi ro pháp lý ngay “ từ trong trứng nước”.