Vấn đề của nhiều giao dịch mua dịch vụ SaaS không nảy sinh ngay khi bạn ký hợp đồng. Nó chỉ xuất hiện vài tháng sau đó, khi nhà cung cấp ngừng phản hồi như đã hứa, thay đổi các điều khoản, gây khó khăn cho việc xuất dữ liệu hoặc đẩy trách nhiệm mà bạn tưởng là của họ sang cho bạn. Lúc đó, mức giá thấp ban đầu không còn ý nghĩa gì nữa. Những gì còn lại là sự gián đoạn hoạt động, rủi ro pháp lý và chi phí chấm dứt hợp đồng.
Những người điều hành doanh nghiệp vừa và nhỏ (SME) đều hiểu rõ điều này. Bản demo thương mại luôn hoàn hảo, nhưng hợp đồng thì không được như vậy. Và khi nhà cung cấp can thiệp vào dữ liệu, các quy trình quan trọng hoặc quy trình bán hàng, một quyết định sai lầm sẽ không chỉ ảnh hưởng đến bộ phận CNTT. Nó còn tác động đến các lĩnh vực quản trị, tuân thủ, chăm sóc khách hàng và duy trì hoạt động liên tục.
Tôi nói với tư cách là một doanh nhân đã từng chứng kiến những tranh chấp thực tế với các nhà cung cấp thiếu minh bạch về GDPR, hóa đơn châu Âu, dịch vụ hỗ trợ thực tế và việc đơn phương thay đổi các điều khoản. Bài học rất đơn giản: việc thẩm định nhà cung cấp (due diligence) không chỉ là một thủ tục hình thức trong quy trình mua sắm. Đó chính là cách để bạn đánh giá liệu một nhà cung cấp có thể trở thành một thế mạnh hay một rủi ro cơ cấu.
Tại đây, bạn sẽ tìm thấy một khuôn khổ thực tiễn để đánh giá một nhà cung cấp dịch vụ giống như cách bạn đánh giá một đối tác. Không chỉ về giá cả và tính năng, mà còn về hợp đồng, bảo mật, khả năng vận hành, tính di động và việc theo dõi liên tục.
Trang web bị sập vào đúng ngày tồi tệ nhất có thể. Các đơn hàng bị treo, đội ngũ kinh doanh phải liên lạc qua ba kênh khác nhau, bộ phận chăm sóc khách hàng không biết phải trả lời khách hàng thế nào. Bạn mở phiếu yêu cầu “ưu tiên” gửi cho nhà cung cấp SaaS của mình và chỉ nhận được một phản hồi tự động. Không có kỹ thuật viên, không có quy trình xử lý sự cố rõ ràng, cũng không có thời gian giải quyết theo thời gian thực.
Chính vào lúc đó, bạn mới nhận ra mình thực sự đã mua thứ gì.
Bạn không chỉ mua một dịch vụ. Bạn đã mua cả cách thức mà nhà cung cấp đó xử lý các sự cố, trách nhiệm pháp lý, dữ liệu, hợp đồng và việc chấm dứt hợp đồng. Nếu bạn chưa kiểm tra kỹ những khía cạnh này từ trước, bạn đã tích lũy một khoản nợ hoạt động. Điều này không thể thấy trong bản demo, cũng không được nêu trong bảng giá, nhưng tất cả sẽ ập đến cùng một lúc khi nhà cung cấp không còn đáp ứng được.
Khi một nhà cung cấp dịch vụ gặp sự cố vào thời điểm quan trọng, vấn đề không chỉ dừng lại ở khía cạnh kỹ thuật. Ngay trong ngày đó, vấn đề đã trở thành vấn đề thương mại, pháp lý và danh tiếng.
Nhiều doanh nhân coi việc thẩm định nhà cung cấp chỉ là một thủ tục hành chính. Họ kiểm tra giá cả, một vài tính năng, có thể là một chứng nhận trên trang chủ, rồi ký hợp đồng. Đó là một sai lầm phổ biến. Những câu hỏi then chốt lại nằm ở chỗ khác: ai chịu trách nhiệm về dữ liệu, dữ liệu được lưu trữ ở đâu, cách xuất dữ liệu ra sao, ai thực sự hỗ trợ bạn, và điều gì sẽ xảy ra nếu nhà cung cấp thay đổi chủ sở hữu hoặc điều chỉnh các điều khoản hợp đồng.
Điều bất tiện là những câu hỏi này làm chậm tiến độ đàm phán. Điều hữu ích là chúng giúp bạn tránh được những rắc rối kéo dài hàng tháng sau này.
Quy trình thẩm định nhà cung cấp (due diligence) nhằm giúp bạn hiểu rõ phần rủi ro nào mà bạn đang chấp nhận khi mua dịch vụ đó. Mục đích không phải là thu thập tài liệu chỉ để yên tâm khi ký kết hợp đồng. Mục đích là phải đánh giá trước xem nhà cung cấp đó sẽ thực sự gây ra chi phí bao nhiêu cho bạn nếu xảy ra trục trặc, nếu cơ cấu tổ chức của họ thay đổi, nếu dịch vụ hỗ trợ không đáp ứng được yêu cầu, hoặc nếu một ngày nào đó bạn phải chấm dứt hợp tác gấp.
Ai đã từng phải đối phó với một đợt di chuyển bắt buộc hoặc một sự cố được xử lý kém đều hiểu rõ điều này. Vấn đề hiếm khi chỉ giới hạn ở phía nhà cung cấp. Nó len lỏi vào các quy trình nội bộ, làm đình trệ hoạt động kinh doanh, chiếm dụng thời gian của đội ngũ kỹ thuật, gây ra những nghi vấn pháp lý và biến một khoản phí thuê dịch vụ tưởng chừng như hợp lý thành một khoản nợ hoạt động tiềm ẩn.
Chính vì vậy, một quá trình thẩm định nghiêm túc được thực hiện trên bốn khía cạnh cụ thể:
Nguyên tắc thực tiễn: nếu nhà cung cấp liên quan đến dữ liệu, thanh toán, dịch vụ khách hàng hoặc một quy trình quan trọng, việc thẩm định phải được xem xét như một biện pháp đảm bảo tính liên tục của hoạt động kinh doanh, chứ không phải là một thủ tục hành chính.
Trong bối cảnh của Ý, việc đánh giá thấp rủi ro lại gây ra tổn thất lớn hơn nữa, bởi chuỗi cung ứng chủ yếu bao gồm các doanh nghiệp vừa và nhỏ, thường phụ thuộc rất nhiều vào các bên thứ ba. Các doanh nghiệp vừa và nhỏ (SME) chiếm 99,9% tổng số doanh nghiệp đang hoạt động và tạo việc làm cho khoảng 76,5% lao động trong khu vực tư nhân, theo số liệu do Bộ Doanh nghiệp và Sản phẩm “Made in Italy” công bố. Trong một hệ thống như vậy, rủi ro của nhà cung cấp sẽ nhanh chóng lan sang khách hàng.
Ngoài ra còn có một sai lầm thường gặp. Nhiều doanh nghiệp đánh giá nhà cung cấp mà chưa làm rõ trước đó rằng họ thực sự đang mua gì: hạ tầng, nền tảng, phần mềm ứng dụng, hay sự kết hợp của cả ba yếu tố này. Nếu bạn muốn tiến hành phân tích này một cách chu đáo ngay từ đầu, tốt nhất nên bắt đầu từ việc làm rõ sự khác biệt giữa các dịch vụ đám mây.
Coi nhẹ việc thẩm định nhà cung cấp có nghĩa là coi đối tác kinh doanh như một khoản chi phí. Chính từ đây mà nảy sinh những vấn đề mà không ai đề cập đến trong bài thuyết trình: các quy trình nội bộ không phù hợp với nhà cung cấp, sự phụ thuộc về mặt kỹ thuật khó loại bỏ, những trách nhiệm mà bạn chỉ phát hiện ra sau khi xảy ra sự cố, và chi phí chấm dứt hợp đồng xuất hiện vào thời điểm bạn có ít dư địa để đàm phán nhất.
Một cuộc đánh giá được thực hiện kỹ lưỡng sẽ giúp giảm thiểu những bất ngờ. Một cuộc đánh giá được thực hiện cẩu thả chỉ khiến những bất ngờ đó tiếp tục xảy ra mà thôi.
Hầu hết các vấn đề nghiêm trọng không xuất phát từ lỗi kỹ thuật. Chúng xuất phát từ một điều khoản mà người ta đọc quá muộn. Hợp đồng sẽ cho bạn biết ai là người nắm quyền kiểm soát khi có sự cố xảy ra.
Khi đánh giá một nhà cung cấp dịch vụ, giá cả là yếu tố cuối cùng cần xem xét. Điều quan trọng nhất trước tiên là phạm vi pháp lý của mối quan hệ đó.
Bắt đầu từ các khu vực sau:
Nhiều doanh nhân coi hợp đồng như một văn bản nhằm bảo vệ quyền lợi của nhà cung cấp. Điều đó là đúng. Chính vì vậy, hợp đồng cần được xem như một bản đồ chỉ ra các động lực của họ.
Trong các cuộc họp kinh doanh, tốt nhất là nên nói thẳng thắn. Không cần phải dùng ngôn ngữ pháp lý. Cần phải nói với tư cách là một doanh nghiệp muốn tránh các chi phí ẩn.
Hãy thử đặt những câu hỏi như thế này:
Một hợp đồng tốt không phải là hợp đồng hứa hẹn mọi thứ. Đó là hợp đồng để lại ít khoảng trống mơ hồ khi mối quan hệ trở nên xấu đi.
Một dấu hiệu cảnh báo điển hình là nhà cung cấp trả lời tốt các câu hỏi về mặt thương mại nhưng lại trả lời kém khi được hỏi về việc ngừng hợp tác. Một dấu hiệu khác là bản Thỏa thuận Bảo vệ Dữ liệu (DPA) tiêu chuẩn tuy có tồn tại nhưng lại không thực sự làm rõ các vấn đề về trách nhiệm, việc chuyển giao dữ liệu và thời hạn. Nếu hiện nay bạn đang làm việc với dữ liệu, các hệ thống tự động hóa hoặc hệ thống ra quyết định, thì cũng nên tìm hiểu về Đạo luật Trí tuệ Nhân tạo của Liên minh Châu Âu (European AI Act) dành cho các doanh nghiệp vừa và nhỏ (SME), bởi vì đạo luật này đang thúc đẩy nhiều doanh nghiệp chính thức hóa một cách nghiêm ngặt hơn các quy trình quản trị, khả năng truy xuất nguồn gốc và vai trò của các nhà cung cấp.
Một tiêu chí thực tiễn cuối cùng. Nếu nhà cung cấp cảm thấy phiền lòng trước những câu hỏi của bạn về dữ liệu, trách nhiệm và khả năng chuyển đổi, điều đó đã phần nào cho thấy mối quan hệ giữa hai bên sẽ ra sao sau khi ký kết hợp đồng.
Một nhãn hiệu tuân thủ có thể hữu ích. Nhưng như vậy là chưa đủ. Chứng nhận chỉ cho thấy rằng có một hệ thống kiểm soát. Bản thân chứng nhận đó không thể cho bạn biết liệu nhà cung cấp đó có phù hợp với bối cảnh, dữ liệu và mức độ rủi ro hoạt động của bạn hay không.
Các khung quản lý nhà cung cấp khuyến nghị thu thập bảng câu hỏi đánh giá rủi ro, báo cáo tài chính, các chứng nhận như ISO 27001 và SOC 2, đồng thời phân loại nhà cung cấp theo mức độ quan trọng. Đối với các nhà cung cấp có rủi ro cao, cần tiến hành thêm các cuộc kiểm toán tại chỗ và đánh giá bề mặt tấn công bên ngoài, như Mitratech đã tóm tắt trong hướng dẫn về thẩm định nhà cung cấp.
Điểm này thay đổi cách đánh giá một nhà cung cấp. Câu hỏi không phải là “Họ có chứng nhận không?”. Câu hỏi là “Ngoài chứng nhận ra, họ còn cung cấp cho tôi những bằng chứng thực tiễn nào nữa?”.
Ví dụ, việc đặt câu hỏi như sau là hợp lý:
Lĩnh vựcCần hỏi gìTại sao điều này lại quan trọngDịch vụ lưu trữVùng lưu trữ dữ liệu và các nhà cung cấp hạ tầng phụTác động đến thẩm quyền pháp lý và tuân thủSao lưuChính sách, tần suất, kiểm tra khả năng khôi phụcSao lưu chưa được kiểm tra chỉ là một hy vọngQuyền truy cậpKiểm soát tài khoản đặc quyềnGiảm thiểu rủi ro nội bộ và lạm dụngPhản ứng sự cốQuy trình quản lý sự cố được ghi chép rõ ràngCho biết ai làm gì khi gặp áp lựcLỗ hổngBằng chứng đánh giá bề mặt tiếp xúcGiúp hiểu mức độ hiển thị và dễ bị tấn công của nhà cung cấp
Vấn đề thẩm quyền quản lý dữ liệu quan trọng hơn nhiều so với những gì nhiều người nghĩ. Nếu nhà cung cấp dịch vụ lưu trữ hoặc chuyển dữ liệu ra ngoài phạm vi mà bạn vốn cho là đương nhiên, thì các nghĩa vụ, đánh giá và thường cả cách thức bạn xử lý các sự cố cũng như các yêu cầu chính thức sẽ thay đổi.
Tiếp theo là phần ít hào nhoáng hơn nhưng lại thiết thực hơn: sao lưu và khôi phục sau thảm họa. Đừng chỉ hỏi xem các quy trình này có tồn tại hay không. Hãy hỏi xem chúng được kiểm tra như thế nào, được ghi chép ra sao và ai sẽ can thiệp trong trường hợp dữ liệu bị hỏng hoặc dịch vụ không khả dụng.
Song song với đó, hãy đánh giá uy tín của đối tác mà bạn đang giao dịch. Trong một số lĩnh vực có nhiều biến động, việc theo dõi các tín hiệu cảnh báo công khai là một biện pháp phòng ngừa tối thiểu. Một ví dụ hữu ích là danh sách đen các vụ lừa đảo tiền điện tử, minh họa rõ ràng lý do tại sao việc sàng lọc uy tín và xác minh bên ngoài không phải là một thói quen thừa thãi, mà là một biện pháp bảo vệ cơ bản khi nhà cung cấp hoạt động trong các lĩnh vực nhạy cảm hoặc thiếu minh bạch.
Nếu một nhà cung cấp chỉ cho bạn xem những tài liệu PDF được thiết kế bắt mắt mà không có bất kỳ bằng chứng nào về cách họ xử lý sự cố, sao lưu dữ liệu, quyền truy cập và các lỗ hổng bảo mật, thì bạn đang đánh giá chiến lược tiếp thị, chứ không phải an ninh mạng.
Chất lượng thực sự của một nhà cung cấp chỉ được thể hiện khi bạn đang trong tình huống khẩn cấp và thời gian eo hẹp. Không phải trong bản demo. Không phải trong bản đề xuất thương mại. Cũng không phải trên trang “doanh nghiệp”.
Bạn nên dùng thử dịch vụ trước khi trở thành khách hàng. Đây là bước mà hầu như không ai thực hiện.
Bạn có thể làm điều đó một cách đơn giản như sau:
Một nhà cung cấp dịch vụ đáng tin cậy sẽ không cảm thấy bị xúc phạm nếu bạn đặt những câu hỏi này. Họ coi đó là điều bình thường.
Dịch vụ hỗ trợ xuất sắc không phải là dịch vụ trả lời nhanh chóng khi mọi thứ vẫn hoạt động bình thường. Đó là dịch vụ sẵn sàng giải quyết những vấn đề phức tạp, biết cách chuyển cấp vấn đề lên cấp trên và cung cấp cho bạn bản ghi chép bằng văn bản về các quyết định đã đưa ra.
Đây chính là khía cạnh thường bị bỏ qua nhất trong quá trình thẩm định nhà cung cấp. Đó là hiện tượng “lock-in”.
Một quy trình thẩm định kỹ thuật hiệu quả phải bao gồm việc quét mã nguồn và các phụ thuộc để lập danh mục đầy đủ các phần mềm của bên thứ ba, các mối quan hệ giữa các phụ thuộc và giấy phép mã nguồn mở, cũng như việc kiểm tra kiến trúc, API và cơ sở dữ liệu nhằm đánh giá rủi ro về nợ kỹ thuật và tình trạng bị ràng buộc, như FOSSA đã giải thích trong hướng dẫn về thẩm định kỹ thuật.
Nói theo ngôn ngữ kinh doanh, bạn cần hiểu ba điều sau:
Nếu nhà cung cấp khiến việc tham gia trở nên dễ dàng nhưng việc rút lui lại khó khăn, thì đó không phải là mối quan hệ đối tác. Đó là sự ràng buộc.
Về khía cạnh tính liên tục, cũng cần làm rõ cách nhà cung cấp tiếp cận vấn đề khôi phục và mất dữ liệu. Nếu bạn muốn có một cơ sở để đánh giá các tình huống này, tài liệu của ELECTE về quản lý RTO và RPO sẽ là một tài liệu tham khảo hữu ích.
Một nguyên tắc đơn giản sẽ giúp ích rất nhiều: trước khi ký hợp đồng, hãy yêu cầu một quy trình chấm dứt hợp đồng bằng văn bản. Nếu không có quy trình này, chi phí chấm dứt hợp đồng gần như chắc chắn sẽ cao hơn bạn tưởng.
Vấn đề của các danh sách kiểm tra là chúng chỉ phản ánh tình hình của nhà cung cấp vào một ngày cụ thể. Trong khi đó, rủi ro lại thay đổi liên tục.
Một lỗ hổng thường gặp trong quá trình thẩm định nhà cung cấp chính là điều này: hầu hết mọi người đều giải thích nên hỏi nhà cung cấp những gì, nhưng rất ít người giải thích cách đánh giá lại mức độ rủi ro của họ theo thời gian. Tuy nhiên, bối cảnh hiện tại đòi hỏi điều đó. Báo cáo Clusit 2025 chỉ ra rằng vào năm 2024, đã có 357 vụ tấn công mạng nhắm vào các mục tiêu tại Ý, tăng so với con số 310 vụ vào năm 2023, trong đó 79% được đánh giá là mức độ nghiêm trọng cao hoặc cực kỳ nghiêm trọng. Hơn nữa, các vụ vi phạm liên quan đến bên thứ ba gây thiệt hại trung bình cao hơn hơn 370.000 đô la so với các vụ vi phạm nội bộ, theo báo cáo của SecurityScorecard trong danh sách kiểm tra dành cho các nhà cung cấp dịch vụ.
Điều này thay đổi logic kiểm soát. Chỉ phê duyệt nhà cung cấp ngay từ đầu là chưa đủ. Bạn cần xác định những nhà cung cấp nào cần được chú ý nhiều hơn và những dấu hiệu nào sẽ kích hoạt quá trình đánh giá lại.
Cách tiếp cận dựa trên rủi ro bắt đầu từ việc phân loại nội bộ. Không phải tất cả các nhà cung cấp đều giống nhau. Ít nhất cần xem xét các yếu tố sau:
Từ đó, bạn có thể thiết lập một hệ thống giám sát hiệu quả, kể cả thông qua các công cụ phân tích dữ liệu: bảng điều khiển về SLA, theo dõi các phiếu yêu cầu hỗ trợ cấp độ cao, cảnh báo về những thay đổi trong tài liệu, sự thay đổi trong danh sách nhà cung cấp phụ, các bất thường về hiệu suất hoặc các sự cố an ninh.
Một nhà cung cấp không chỉ trở nên rủi ro khi gặp phải sự cố. Nhà cung cấp đó trở nên rủi ro khi các dấu hiệu cảnh báo nhỏ dần tích tụ lại mà không ai nhận ra mối liên hệ giữa chúng.
Đối với một doanh nghiệp vừa và nhỏ, đây chính là thời điểm mà dữ liệu trở thành cơ sở cho việc quản trị thực tiễn. Không phải để cải thiện thủ tục hành chính, mà để phản ứng nhanh hơn.
Danh sách kiểm tra chỉ có một mục đích duy nhất: giúp bạn xác định liệu mình đang chọn một nhà cung cấp hỗ trợ cho hoạt động kinh doanh hay một nhà cung cấp sẽ để lại cho bạn gánh nặng nợ hoạt động, các tranh chấp pháp lý và chi phí rút lui đắt đỏ. Nếu tài liệu này không giúp bạn từ chối, thì đó không phải là một danh sách kiểm tra hữu ích.
Như vậy, chúng ta sẽ tránh được loại vấn đề chỉ nảy sinh sau khi ký kết.
Điều quan trọng ở đây là bằng chứng. Các chứng chỉ có thể hữu ích, nhưng không thể giải thích được cách nhà cung cấp hoạt động khi phải đối mặt với áp lực.
Nhiều sai sót xuất phát từ đây, chứ không phải từ hợp đồng.
Sai lầm phổ biến nhất là chỉ dừng lại ở giai đoạn lựa chọn. Rủi ro thực sự chỉ xuất hiện sau đó, khi chất lượng dịch vụ hỗ trợ suy giảm, các nhà cung cấp phụ thay đổi, hàng xuất khẩu hóa ra không thể sử dụng được, hoặc một sự thay đổi trong chính sách khiến bạn phải gánh vác những hoạt động mà bạn tưởng đã được bao gồm trong hợp đồng. Đó chính là lúc các chi phí gián tiếp bắt đầu xuất hiện.
Nếu bạn muốn tóm gọn tất cả thành một nguyên tắc thực tiễn, hãy áp dụng nguyên tắc này: hãy đánh giá nhà cung cấp dịch vụ giống như cách bạn đánh giá một đối tác kinh doanh. Họ phải đủ khả năng ứng phó với một sự cố, một vụ tranh chấp pháp lý và một quá trình chấm dứt hợp tác một cách trật tự. Nếu bạn không biết cách chấm dứt hợp tác, nghĩa là bạn chưa kiểm tra kỹ lưỡng đủ.
Nếu bạn muốn biến dữ liệu về nhà cung cấp, SLA, sự cố và hiệu suất thành một hệ thống giám sát liên tục, ELECTE – nền tảng phân tích dữ liệu dựa trên trí tuệ nhân tạo (AI) dành cho các doanh nghiệp vừa và nhỏ (SME) – sẽ giúp thu thập các tín hiệu phân tán và chuyển hóa chúng thành những thông tin chi tiết hữu ích, từ đó hỗ trợ việc ra quyết định nhanh chóng và có cơ sở hơn. Đây là một cách thức thiết thực để chuyển từ việc thẩm định định kỳ sang một hệ thống giám sát hoạt động chuyên nghiệp và hiệu quả hơn.
.svg)
.svg)
.svg)
