Bài học quản trị: Khi kẻ phá rối lại chính là nhân viên

Người ta thường nói nhân viên là nguồn lực lớn nhất của một doanh nghiệp. Điều đó đúng nhưng chưa đủ. Nhân viên cũng đồng thời là “của nợ” lớn nhất. Hiếm khi một tuần trôi qua mà không có công ty nào rơi vào tình huống “nhân viên trở mặt thành thù”.

Cuối tháng 7 vừa qua, Ashley Madison, một website hẹn hò, tuyên bố trang web đã bị tin tặc tấn công. Noel Biderman, Tổng Giám đốc Ashley Madison, cho rằng vụ tấn công này là “từ nội bộ”. Hồi đầu tháng 7 vừa qua, HSBC cũng đã sa thải một nhóm nhân viên khi phát hiện ra họ đã tự quay phim nhái cảnh chặt đầu theo kiểu Nhà nước Hồi giáo ISIS.

Loại kẻ thù “tay trong” thường thấy nhất là những người có hành vi lừa đảo. Economist Intelligence Unit, thuộc tờ The Economist, thường xuyên thực hiện khảo sát đối với các nhà điều hành cấp cao về vấn đề lừa đảo do người trong nội bộ thực hiện. Năm 2013, cuộc khảo sát chỉ ra rằng khoảng 70% doanh nghiệp gặp ít nhất 1 vụ lừa đảo, tăng từ con số 61% trong đợt khảo sát trước đó. Các vụ lừa đảo thường là nhỏ nhặt: một cuộc khảo sát các nhân viên người Anh cho YouGov vào năm 2010 cho thấy 25% nhân viên thừa nhận có thổi phồng số tiền trong phiếu yêu cầu thanh toán chi phí công tác.

Nhưng các trường hợp lừa đảo cũng có thể táo bạo hơn và gây hại hơn cho doanh nghiệp. Chẳng hạn như vụ một cựu nhân viên dựng lên công ty đối thủ sử dụng công nghệ bị đánh cắp và danh sách khách hàng mà họ “nẫng” được. Nguy hiểm hơn khi kẻ lừa đảo đó lại cố ý phá hoại tài sản của doanh nghiệp. Đáng lo là những kẻ cố ý phá hoại tài sản luôn bị thôi thúc bởi một niềm khao khát trả thù chẳng có điểm dừng, nghĩa là việc đối phó cũng khó khăn hơn.

David Robertson, Giám đốc Điều hành tại K2 Intelligence, một công ty chuyên về các vụ điều tra doanh nghiệp, kể lại chuyện về một công ty sản xuất Anh đang trải qua quá trình tái cấu trúc. Một nhân viên phòng công nghệ thông tin của doanh nghiệp này đã phát hiện ra tên anh ta lại nằm trong danh sách những người mà công ty muốn sa thải. Thế là anh ta dựng ngay một “cửa sau” để thâm nhập vào hệ thống IT của doanh nghiệp mình từ một máy tính ở nhà và bắt đầu quậy phá. Anh ta xóa bỏ các tập tin, công khai các email của Tổng Giám đốc và phát tán hình ảnh khiêu dâm.

Một số kẻ phá rối lại là những ngôi sao trong doanh nghiệp. Có không ít các vụ bê bối doanh nghiệp tồi tệ nhất trong những năm gần đây là “tác phẩm” của những nhân viên có quá nhiều tham vọng. Họ bóp méo, phá vỡ các luật lệ để làm hài lòng ông chủ của mình. Barings, một ngân hàng đầu tư đã sụp đổ của Anh, đã không tiếc ban thưởng cho Nick Leeson để rồi sau đó phát hiện ra anh này đã tạo ra được những kết quả vượt trội là nhờ liều lĩnh thực hiện các thương vụ rủi ro vượt quá quyền hạn hoặc không được công ty cho phép.

Những loại kẻ thù tay trong khác thì hoàn toàn ngược lại với trường hợp trên. Chẳng hạn như việc những nhân viên cấp thấp một cách vô ý hoặc cố ý mượn Internet để làm tổn hại tiếng tăm của doanh nghiệp. Hồi tháng 4.2009, hai nhân viên của Domino’s, một chuỗi cửa hàng thức ăn nhanh, đã đăng tải các đoạn video, quay cảnh họ đang “chọc vào các phần thức ăn mang đi giao cho khách hàng”. Hồi tháng 7.2012, một nhân viên của Burger King đã đăng tải các hình ảnh của chính anh ta trên mạng, trong đó anh ta đang đứng trong một thùng rau diếp, chân thì mang đôi giày rất bẩn cùng với dòng chú thích ảnh là “Đây là rau diếp các bạn ăn tại Burger King”.

Một trong những cách dễ nhất để người bên ngoài có thể gây thiệt hại cho doanh nghiệp là thiết lập mối quan hệ với một người trong nội bộ doanh nghiệp đó. Đơn giản là họ có thể hối lộ một nhân viên lau dọn vệ sinh để thay bàn phím trong phòng làm việc bằng một bàn phím tương tự nhưng có “điều chỉnh” chút ít trong đó, hoặc tráo một cổng USB bằng một chiếc khác có cài virus.

Nhưng các vụ việc thường là tinh vi hơn thế. Nhiều trong số các thảm họa doanh nghiệp lớn nhất trong những năm gần đây có liên quan đến “tay trong”. Các chuyên gia về an ninh nghi ngờ những tin tặc đánh cắp thông tin cá nhân của khoảng 40 triệu khách hàng từ chuỗi bán lẻ Mỹ Target vào năm 2013 có thể đã có sự tiếp tay của những người trong nội bộ công ty này (Target từ chối bình luận).

Vậy điều gì doanh nghiệp có thể làm để hạn chế mối đe dọa từ những “con sói đội lớp cừu” này? Cách đối phó còn tùy thuộc vào loại “sói” mà doanh nghiệp đang đối mặt, bởi những cái bẫy đặt ra để bắt những kẻ cố ý phá hoại có thể chẳng làm gì được đối với những kẻ lừa đảo. Và thậm chí những doanh nghiệp được quản lý tốt nhất cũng mệt mỏi trong trận chiến này. Điều đó cũng là dễ hiểu. Bởi lẽ, thông tin ngày càng khó mà kiểm soát hết được; một cổng USB có thể chứa dữ liệu tới hơn 500 triệu trang đánh máy; một thiết bị di động có thể bị cài phần mềm nghe lén; người sử dụng lại thường xuyên đăng nhập bằng thiết bị điện tử tại những khu vực đông người - những nơi mà chúng có thể bị theo dõi, quay phim hoặc bị tin tặc tấn công.

Mặc dù rất khó chống lại với tay trong này, nhưng không phải không có giải pháp đề phòng. Thứ nhất, doanh nghiệp cần chú ý đến những người có khả năng lớn nhất gây thiệt hại cho công ty như nhân viên kiểm soát tiền và kiểm soát thông tin doanh nghiệp. Các công ty càng phức tạp chừng nào thì càng khó để nhận diện quyền lực thực sự đang nằm ở đâu. Nhưng một điều có thể thấy rõ là doanh nghiệp càng phụ thuộc vào thông tin chừng nào thì các chuyên gia công nghệ thông tin (IT) càng có khả năng gây hại cho hoạt động kinh doanh của doanh nghiệp đó. Điều tối thiểu nhất doanh nghiệp có thể làm là giám sát bộ phận IT. Và nếu doanh nghiệp muốn sa thải ai trong bộ phận đó thì tốt nhất là làm ngay lập tức.

Thứ hai, doanh nghiệp cần gia tăng hàng rào phòng vệ bằng cách cài đặt phần mềm có thể nhận diện các hành vi bất thường hoặc quản lý email hoặc bằng cách tuyển dụng các chuyên viên kiểm tra sổ sách kế toán để theo dõi sát sao các tài khoản của doanh nghiệp.

Tuy nhiên, nếu một nhân viên đã có ý muốn gây hại thì họ thường sẽ đi trước ông chủ của họ một bước. Cách đơn giản là họ sẽ chuyển sang hình thức nhắn tin nếu nghĩ rằng email của mình đang bị theo dõi. Doanh nghiệp có lẽ phải làm thêm một việc là lắng nghe những câu chuyện ngồi lê đôi mách về công ty. Các đơn vị về an ninh doanh nghiệp đã có không ít lần thu được kết quả tốt nhất bằng việc sử dụng “những tay gián điệp” chuyên la cà nghe ngóng thông tin trong khu vực dành cho người hút thuốc lá hoặc ra ngoài tán gẫu sau giờ làm việc.

Tuy nhiên, đó chỉ là những biện pháp đối phó “cực chẳng đã”. Cách phòng chống tốt nhất là đối xử với nhân viên bằng cả tấm lòng. Đáng tiếc là nhiều công ty không làm được nguyên tắc thứ ba này. Họ có thể “thổi kèn đánh trống” rằng không có tài sản nào quý giá hơn nhân viên. Thế nhưng, rất nhiều nhân viên cho biết họ không cảm thấy doanh nghiệp hành xử đúng như những gì đã hô hào.

Theo một khảo sát gần đây do hãng tư vấn Accenture thực hiện, có tới 31% số nhân viên không hề thích ông chủ của họ; 32% đang tìm kiếm việc làm mới và 43% cho biết không được doanh nghiệp ghi nhận những nỗ lực của họ. Kết cục của việc này là chính những ông chủ doanh nghiệp lại đang tự tạo kẻ thù cho mình bằng cách hành xử không thỏa đáng với nhân viên và biến họ từ chỗ là nguồn lực quý nhất của công ty trở thành vật cản lớn nhất.