Một ngành mà mọi thứ phải để lại dấu vết

Có một điều phân biệt ngân hàng với gần như mọi loại tổ chức khác: trong ngân hàng, một hành động không để lại dấu vết gần như không tồn tại. Mỗi giao dịch có nhật ký, mỗi phê duyệt có người ký, mỗi ngoại lệ có lý do được ghi lại. Cả ngành vận hành trên một niềm tin nền tảng rằng về sau, người ta luôn có thể dựng lại chính xác điều gì đã xảy ra, ai làm, và vì sao.

Niềm tin ấy có một cái tên trong nghề: audit trail, dấu vết kiểm toán. Nó không phải một thủ tục hành chính phiền phức. Nó là thứ giữ cho một định chế tài chính đứng vững trước thanh tra, trước kiểm toán độc lập, trước cơ quan quản lý, và trước chính cổ đông của mình.

Bây giờ hãy đặt câu hỏi giản dị này: phòng họp Hội đồng quản trị, nơi những quyết định nặng ký nhất được đưa ra, có nằm trong dây chuyền dấu vết đó không. Nơi phê duyệt tín dụng cấp cao, nơi thông qua chính sách quản trị rủi ro, nơi nghe báo cáo kiểm toán nội bộ. Nếu chính căn phòng ra quyết định lại là một điểm mù không để lại dấu vết đáng tin, thì đó không phải chuyện thiết bị. Đó là một lỗ hổng nằm ngay giữa lòng hệ thống tuân thủ.

Lớp thứ nhất: dấu vết của chính cuộc họp

Ai phát biểu, vào lúc nào, về nội dung gì. Kết quả mỗi lần biểu quyết, với bao nhiêu thành viên hợp lệ tham gia. Đây là dấu vết quản trị có cấu trúc, khác với một bản ghi âm thuần kể lại từng lời. Nó ghi lại bộ khung trách nhiệm: ai, làm gì, khi nào, kết quả ra sao.

Với một phiên họp HĐQT, dấu vết này phải gắn được mỗi hành động với một con người xác định. Một hệ thống hội nghị chuyên sâu làm được điều đó vì nó quản lý danh tính và quyền ngay tại mỗi vị trí: ai có quyền phát biểu, ai có quyền biểu quyết, lá phiếu nào của ai. Khi cần bỏ phiếu kín cho một nội dung nhạy cảm, hệ thống vẫn giữ đúng tổng số phiếu hợp lệ trong khi che lựa chọn cá nhân. Minh bạch ở con số tổng, kín ở cá nhân, và cả hai đều có dấu vết để đối chiếu về sau.

Lớp thứ ba: dấu vết của chính hệ thống và người dựng ra nó

Đây là lớp hay bị quên nhất, và là lớp bài viết này muốn nhấn mạnh. Không chỉ cuộc họp cần dấu vết, không chỉ dữ liệu cần dấu vết, mà bản thân hệ thống kỹ thuật và quá trình tạo ra nó cũng cần dấu vết.

Lý do rất ngân hàng. Khi một đợt thanh tra hoặc kiểm toán nội bộ rà tới hạ tầng phòng họp HĐQT, câu hỏi không dừng ở hệ thống có chạy không. Câu hỏi là: hệ thống này được thiết kế theo tiêu chuẩn nào, ai khảo sát, ai nghiệm thu, cấu hình bảo mật được ai thiết lập và kiểm tra, lần bảo trì gần nhất là khi nào và ai thực hiện. Một hệ thống được lắp xong rồi để đó, không có hồ sơ kỹ thuật có cấu trúc, là một hệ thống mà khi thanh tra hỏi, ngân hàng không có câu trả lời bằng giấy tờ.

Hai câu hỏi rất ngân hàng mà ISO trả lời được

Câu hỏi audit trail tài liệu kỹ thuật. Khi kiểm toán nội bộ hoặc thanh tra yêu cầu chứng minh hạ tầng phòng họp HĐQT được dựng và vận hành đúng chuẩn, ngân hàng cần một bộ hồ sơ kỹ thuật có hệ thống để trình ra: thiết kế, cấu hình, biên bản nghiệm thu, nhật ký bảo trì. Một đối tác vận hành theo ISO 9001 liên tục là một đối tác có sẵn guồng tạo ra bộ hồ sơ đó, thay vì phải chắp vá lại khi bị hỏi.

Câu hỏi trách nhiệm cá nhân khi có sự cố. Giả sử phòng họp HĐQT mất tiếng đúng giữa một cuộc biểu quyết nghị quyết quan trọng. Câu hỏi đầu tiên của ngân hàng không phải thiết bị nào hỏng, mà là theo quy trình thì ai chịu trách nhiệm khâu nào, ai xử lý, trong bao lâu. Một quy trình ISO được áp dụng nghiêm túc không cho phép câu trả lời mơ hồ kiểu không ai chịu trách nhiệm. Mỗi bước có người đứng tên. Đó là điều một ngân hàng coi là tối thiểu, chứ không phải xa xỉ.

Vì sao đây là bài toán kiến trúc, và năm vai trò đứng sau

Không một thiết bị đơn lẻ nào tạo ra audit trail, tính toàn vẹn, và khả năng truy vết trách nhiệm. Những thứ đó là kết quả của cách toàn bộ hệ thống được thiết kế và vận hành xuyên suốt nhiều năm. Đó là lý do Bá Hùng tiếp cận phòng họp HĐQT ngân hàng như một bài toán kiến trúc giải pháp, không phải một đơn hàng thiết bị.

Năm vai trò của Bá Hùng, đọc qua lăng kính ngân hàng: tư vấn kiến trúc ngồi cùng ngân hàng từ giai đoạn thiết kế để cài các yêu cầu tuân thủ và bảo mật vào ngay bản vẽ; phân phối thiết bị từ đối tác G7, Châu Âu, Anh Quốc bảo đảm chuỗi linh kiện suốt vòng đời nhiều năm; tích hợp và hiệu chỉnh hiện trường để mọi vị trí nhận diện đúng, mọi bản ghi đồng bộ.

Bảo trì có cấu trúc giữ cho bộ hồ sơ kỹ thuật luôn cập nhật và có người đứng tên, sẵn sàng cho mọi kỳ thanh tra. Và ứng cứu nhanh với kịch bản dựng sẵn trả lời đúng câu hỏi ngân hàng sẽ hỏi khi sự cố xảy ra giữa phiên trọng yếu: ai xử lý, trong bao lâu. Nền dưới cả năm vai trò là chứng nhận ISO 9001 mười hai năm không gián đoạn, thứ bảo đảm rằng tất cả những điều trên không phải lời hứa, mà là một guồng máy đã chạy ổn định hơn một thập kỷ.