Kế toán – tài chính: “Điểm mù” lớn nhất trong doanh nghiệp Việt Nam
Lỗ hổng trong quản trị nội bộ là nguyên nhân trực tiếp đẩy doanh nghiệp vào rủi ro hình sự. Khi chuyển đổi số khiến mọi dữ liệu trở nên trong suốt, lỗ hổng nội bộ trở thành điểm yếu dễ bị phát hiện nhất, và đồng thời là con đường nhanh nhất dẫn tới trách nhiệm hình sự.
Trong rất nhiều vụ việc mà các cơ quan chức năng xử lý thời gian qua, kế toán, tài chính luôn là mắt xích dễ phát sinh sai phạm nhất. Phần lớn doanh nghiệp nhỏ và vừa giao phó hoàn toàn việc kế toán cho một hoặc hai cá nhân
Quy trình hạch toán phụ thuộc vào kinh nghiệm của kế toán hơn là một bộ tiêu chuẩn kiểm soát rõ ràng. Khi áp lực doanh thu, áp lực chỉ tiêu hoặc nhu cầu “làm đẹp báo cáo” xuất hiện, kế toán rất dễ tự quyết các điều chỉnh không đúng quy định, dù không có chỉ đạo từ lãnh đạo. Điều nguy hiểm là trong môi trường số hóa, mọi sai lệch đều để lại dấu vết: Thời điểm lập hóa đơn, mã số thuế đối tác, dữ liệu thanh toán, hóa đơn điện tử bị chặn kiểm tra, dòng tiền đi qua tài khoản trung gian không minh bạch. Tất cả đều có thể được cơ quan thuế và cơ quan điều tra đối chiếu.
Không ít giám đốc khi bị mời làm việc tỏ ra bất ngờ: “Tôi không biết”, “Tôi không chỉ đạo”, “Kế toán làm sai mà tôi không hay”. Nhưng trong trách nhiệm hình sự của pháp nhân và người quản lý, sự thiếu kiểm tra thường bị hiểu là thiếu trách nhiệm, đặc biệt khi quy trình phân quyền không rõ ràng. Một số doanh nghiệp còn để kế toán ký thay giám đốc, sử dụng chữ ký số không kiểm soát, hoặc đồng ý thanh toán khi hồ sơ chưa đầy đủ, dẫn đến hành vi có thể bị xem xét theo hướng gian lận hoặc trốn thuế. Khi dữ liệu thuế và tài chính được liên thông toàn quốc, những sai lệch trước đây có thể “qua được” nay đều bị phát hiện nhanh chóng.
Hợp đồng, pháp chế: Lỗ hổng từ thói quen “làm nhanh cho kịp tiến độ”
Một trong những nguyên nhân phổ biến dẫn đến tranh chấp và xử lý hình sự là việc ký hợp đồng thiếu kiểm tra pháp lý. Nhiều doanh nghiệp vẫn duy trì tư duy “làm xong rồi bổ sung hồ sơ sau”. Các điều khoản về chủ thể hợp đồng, điều kiện thanh toán, cam kết về chất lượng, điều kiện nghiệm thu, quyền và nghĩa vụ khi xảy ra vi phạm, nhiều khi chưa được rà soát đúng mức. Trong không ít vụ án, doanh nghiệp rơi vào thế bị động vì hợp đồng ký với đối tác không có thật, sử dụng địa chỉ giả, hoặc năng lực tài chính không bảo đảm. Lỗ hổng ở bộ phận pháp chế khiến lãnh đạo ký vào những tài liệu tiềm ẩn rủi ro, vô tình tạo ra căn cứ buộc tội.
Thực tế cho thấy nhiều doanh nghiệp chỉ xem pháp chế như “người rà soát hợp đồng” mà không hiểu đây chính là bộ phận bảo vệ giám đốc trước pháp luật. Khi pháp chế không được tham gia từ đầu, hoặc bị gạt khỏi quy trình phê duyệt, nguy cơ sai sót tăng lên đáng kể. Cơ quan điều tra đã từng xử lý nhiều vụ việc mà hợp đồng đầu tư, mua bán hàng hóa, hợp đồng xây dựng hoặc hợp đồng tư vấn bị coi là giả tạo hoặc không đủ điều kiện pháp lý, khiến doanh nghiệp bị xem xét dấu hiệu lừa đảo, chiếm đoạt tài sản, vi phạm quy định về đấu thầu hoặc quy định về chứng từ kế toán. Một chữ ký ký nhanh theo niềm tin cá nhân đôi khi tạo ra hệ quả pháp lý lớn hơn doanh nghiệp từng hình dung.
Mua sắm, đấu thầu: Khu vực nhạy cảm nhất của rủi ro hình sự
Đấu thầu và mua sắm là lĩnh vực dễ phát sinh vi phạm nhất, đặc biệt với doanh nghiệp làm dự án công hoặc cung ứng dịch vụ, sản phẩm cho cơ quan nhà nước. Những hành vi tưởng như “thông lệ” như nâng giá thiết bị, chia nhỏ gói thầu để tránh đấu thầu, sử dụng hồ sơ năng lực không đúng thực tế, thỏa thuận ngầm với nhà thầu phụ, hoặc nhận hoa hồng môi giới, đều có thể cấu thành hành vi phạm tội theo Bộ luật Hình sự 2025. Trong nhiều vụ án, doanh nghiệp hoàn toàn không nghĩ rằng việc “bôi trơn”, “chi tiếp khách”, “hỗ trợ dự án” lại bị xem xét theo hướng đưa hối lộ hay vi phạm quy định đấu thầu. Nhưng môi trường pháp lý hiện nay siết chặt hơn rất nhiều, đặc biệt trong các dự án sử dụng vốn nhà nước, vốn vay ODA hoặc PPP.
Điều nguy hiểm là nhiều sai phạm không bắt nguồn từ ý đồ trục lợi mà từ áp lực tiến độ. Một số doanh nghiệp giải trình rằng họ làm theo yêu cầu của chủ đầu tư, hoặc được “hướng dẫn miệng” khi chuẩn bị hồ sơ. Tuy nhiên, pháp luật không chấp nhận lý do này nếu hồ sơ thiếu tính khách quan hoặc có dấu hiệu gian dối. Khi dữ liệu đấu thầu điện tử được công khai minh bạch, mọi thông tin về giá, năng lực, thời gian nộp hồ sơ, chứng thư số đều có thể đối chiếu. Lỗ hổng lớn nhất của doanh nghiệp vẫn là thiếu bộ phận kiểm soát rủi ro độc lập để đánh giá hồ sơ trước khi tham gia đấu thầu. Khi không có hệ thống phân quyền rõ ràng, doanh nghiệp dễ bị “điều khiển bởi thói quen” thay vì tuân thủ pháp luật.
Nhân sự, quản trị nội bộ: Nguyên nhân thầm lặng nhưng nguy hiểm nhất
Quản trị nhân sự là lĩnh vực thường bị xem nhẹ nhưng lại tác động trực tiếp đến an toàn pháp lý của doanh nghiệp. Nhiều doanh nghiệp không có quy trình tuyển dụng minh bạch, không xác minh thông tin nhân sự quan trọng như kế toán trưởng, trưởng bộ phận IT hoặc quản lý dự án. Khi xảy ra sai phạm, doanh nghiệp không có hồ sơ nhân sự để đối chiếu, dẫn đến khó khăn trong việc xác định trách nhiệm. Đã có trường hợp doanh nghiệp bị xử lý chỉ vì nhân viên sử dụng bằng cấp không hợp pháp hoặc tự ý ký thay lãnh đạo trong hồ sơ nội bộ.
Một lỗ hổng khác là thiếu quy chế phân quyền. Nhân viên có thể truy cập hệ thống kế toán, ký nháy chứng từ, sửa dữ liệu hoặc chuyển hồ sơ mà không có kiểm soát chéo. Khi sự cố xảy ra, doanh nghiệp khó chứng minh ai là người thực hiện, và rủi ro pháp lý lập tức tăng cao. Việc không tổ chức đào tạo định kỳ về pháp luật, an ninh mạng, quy trình nội bộ cũng khiến nhân viên dễ phạm sai sót do thiếu hiểu biết. Trong “số hóa”, một thao tác sai trên hệ thống có thể gây hậu quả lớn không kém một hành vi cố ý.
Công nghệ thông tin, dữ liệu, an ninh mạng: Lỗ hổng mới của thời đại số
Doanh nghiệp ngày càng phụ thuộc vào hệ thống mạng, phần mềm ERP (bộ phận chức năng), dữ liệu khách hàng và các nền tảng thanh toán. Tuy nhiên, rất nhiều doanh nghiệp đầu tư mạnh vào chuyển đổi số nhưng lại bỏ quên an ninh mạng.
Thiếu firewall (tường lửa), thiếu quản trị người dùng, không lưu nhật ký truy cập, sử dụng mật khẩu chung, để nhân viên IT kiểm soát quá mức hoặc thuê ngoài không kiểm tra, là những lỗ hổng cực kỳ nguy hiểm. Nếu hệ thống bị tấn công, mã độc xâm nhập hoặc dữ liệu bị rò rỉ, doanh nghiệp không chỉ thiệt hại tài chính mà còn bị xem xét trách nhiệm pháp lý nếu không thực hiện đầy đủ nghĩa vụ bảo vệ dữ liệu.
Thực tế cho thấy nhiều vụ án liên quan đến dữ liệu không xuất phát từ hacker mà từ chính nhân viên nội bộ. Một nhân viên bất mãn có thể sao chép toàn bộ dữ liệu khách hàng và bán cho đối thủ. Một kỹ thuật viên có thể truy cập tài khoản quản trị và xóa dữ liệu chứng từ. Một nhà thầu phụ có thể lấy thông tin tài chính mà doanh nghiệp không hề hay biết. Trong môi trường này, thiếu quy trình bảo mật đồng nghĩa với đặt doanh nghiệp trước nguy cơ bị xử lý hình sự.
Giải pháp hoàn thiện quản trị nội bộ để giảm rủi ro hình sự
Nhận diện lỗ hổng chỉ là bước đầu quan trọng hơn là doanh nghiệp phải có kế hoạch cụ thể để khắc phục. Trong bối cảnh chuyển đổi số, giải pháp không thể dừng ở việc “nhắc nhở cán bộ, nhân viên cẩn thận hơn”, mà phải là một chương trình cải tổ quản trị nội bộ, kết hợp giữa pháp luật, quy trình và công nghệ.
Trước hết, doanh nghiệp cần nâng tầm vai trò của kế toán, tài chính và pháp chế. Kế toán không chỉ là người “ghi sổ”, mà là bộ phận cảnh báo sớm rủi ro. Pháp chế không chỉ rà soát hợp đồng, mà là “lá chắn pháp lý” bảo vệ giám đốc và doanh nghiệp. Muốn vậy, lãnh đạo phải tham gia trực tiếp vào việc xây dựng quy chế tài chính, quy trình lập, duyệt, thanh toán chứng từ, quy trình ký kết hợp đồng, không giao khoán hoàn toàn cho một cá nhân. Mọi bước đều cần được văn bản hóa, có chữ ký chịu trách nhiệm rõ ràng, có kiểm soát chéo giữa các bộ phận. Các quyết định quan trọng liên quan đến dòng tiền, tài sản, đất đai, bảo lãnh, đấu thầu, phải được pháp chế tham gia ý kiến trước khi ký.
Thứ hai, doanh nghiệp cần thiết lập cơ chế phân quyền và kiểm soát chặt chẽ trong mua sắm, đấu thầu. Không để một cá nhân vừa lập nhu cầu, vừa lựa chọn nhà cung cấp, vừa thẩm định, vừa trình ký. Cần tách bạch khâu đề xuất, thẩm định kỹ thuật, thẩm định giá, phê duyệt và nghiệm thu. Các khoản chi dễ “nhạy cảm” như chi tiếp khách, chi hỗ trợ dự án, chi khuyến mại, phải có quy chế rõ, có giới hạn mức chi, có hóa đơn chứng từ hợp lệ, không để biến thành “vỏ bọc” cho hành vi đưa, nhận hối lộ. Đối với doanh nghiệp tham gia đấu thầu, cần có bộ phận độc lập thẩm tra hồ sơ dự thầu, đánh giá rủi ro pháp lý trước khi nộp, không để việc “chạy theo tiến độ” lấn át yêu cầu tuân thủ.
Thứ ba, về quản trị nhân sự, doanh nghiệp phải xây dựng quy chế tuyển dụng, sử dụng và đánh giá nhân sự gắn với trách nhiệm pháp lý. Đối với các vị trí nhạy cảm như kế toán trưởng, trưởng phòng tài chính, trưởng bộ phận mua sắm, phụ trách pháp chế, trưởng phòng IT, quản lý dự án, cần thẩm tra kỹ hồ sơ, kinh nghiệm và đạo đức nghề nghiệp. Phải có mô tả công việc rõ ràng, giới hạn quyền hạn bằng văn bản, không để nhân viên “mặc nhiên hiểu” rằng mình có thể ký thay, quyết thay. Đào tạo pháp luật định kỳ cho đội ngũ quản lý, tổ chức sinh hoạt chuyên đề về các vụ án điển hình cũng là cách giúp nhân viên hiểu ranh giới giữa sai sót nghiệp vụ và vi phạm hình sự, từ đó thận trọng hơn trong từng thao tác.
Thứ tư, trong lĩnh vực công nghệ thông tin và dữ liệu, doanh nghiệp cần coi an ninh mạng là một cấu phần bắt buộc của quản trị rủi ro, chứ không chỉ là việc riêng của bộ phận IT. Phải ban hành quy chế sử dụng hệ thống thông tin, phân quyền truy cập theo chức năng, bắt buộc đổi mật khẩu định kỳ, cấm chia sẻ tài khoản, quy định rõ việc sao chép dữ liệu ra thiết bị cá nhân. Hệ thống ERP, phần mềm kế toán, phần mềm quản lý khách hàng phải có nhật ký truy cập và nhật ký thao tác để truy vết khi cần thiết. Doanh nghiệp nên thuê chuyên gia độc lập kiểm tra an ninh mạng theo định kỳ, phát hiện lỗ hổng trước khi bị lợi dụng. Khi xảy ra sự cố, phải kích hoạt quy trình ứng phó, báo cáo kịp thời với cơ quan chức năng có thẩm quyền, không che giấu, không tự ý “xóa dấu vết”.
Thứ năm, doanh nghiệp cần xây dựng cơ chế cảnh báo sớm và kiểm toán nội bộ. Mọi biến động bất thường về chỉ tiêu tài chính, dòng tiền, hóa đơn, chi phí, tồn kho, khiếu nại của khách hàng, phản ánh của nhân viên, đều phải được xem là tín hiệu cần phân tích, không bỏ qua. Có thể thiết lập kênh phản ánh ẩn danh để nhân viên báo cáo sai phạm nội bộ, đi kèm cơ chế bảo vệ người tố cáo. Kiểm toán nội bộ hoặc kiểm toán pháp lý định kỳ sẽ giúp “soi” vào những góc khuất mà hoạt động thường ngày dễ bỏ sót. Đây là khoản đầu tư nhỏ so với chi phí phải bỏ ra để xử lý một vụ án hình sự liên quan đến doanh nghiệp.
Cuối cùng, nhưng mang tính nền tảng nhất là xây dựng văn hóa doanh nghiệp liêm chính. Khi lãnh đạo “nói không” với thỏa hiệp sai trái, không chấp nhận những khoản chi “không rõ tên gọi”, không ký vào hồ sơ mình chưa hiểu, không phớt lờ các cảnh báo của pháp chế, kế toán, IT, thì nhân viên sẽ tự điều chỉnh hành vi theo chuẩn mực. Văn hóa liêm chính không phải khẩu hiệu treo tường, mà là tập hợp những quyết định cụ thể trong từng tình huống. Doanh nghiệp càng sớm định hình văn hóa đó, rủi ro hình sự càng được đẩy lùi.
Nếu coi lỗ hổng nội bộ là “căn bệnh nền”, thì các giải pháp trên chính là liệu trình dài hạn. Không có biện pháp tức thời nào thay thế được quá trình xây dựng hệ thống. Nhưng chỉ cần doanh nghiệp bắt đầu bằng những việc rất cụ thể: Viết lại quy trình, phân quyền rõ ràng, trao thêm vai trò cho pháp chế, siết chặt bảo mật dữ liệu, tổ chức tập huấn pháp luật và chấp nhận kiểm tra độc lập, thì đã là bước tiến rất lớn trên con đường tự bảo vệ mình trước những rủi ro hình sự ngày càng phức tạp./.
