Các Diễn giải được phê duyệt (Sanctioned Interpretations) tháng 11/2025 đối với Quy tắc IATF, Ấn bản thứ 6 đã cung cấp thêm hướng dẫn về cách áp dụng các yêu cầu hiện hành.
Trong các cuộc đánh giá, tác động thực tế thể hiện ở cách các chuyên gia đánh giá diễn giải và áp dụng các kỳ vọng đã được làm rõ, ở những điểm thiếu sót về tài liệu và bằng chứng, và ở cách tư duy dựa trên rủi ro ngày càng định hướng trọng tâm và chiều sâu của hoạt động đánh giá.
Để hiểu rõ hơn ngoài nội dung văn bản của các bản cập nhật, chúng tôi đã trò chuyện với Jorge Correa là Giám đốc lĩnh vực ô tô tại DQS Inc. Trong vai trò này, ông hợp tác chặt chẽ với các tổ chức ô tô và các nhóm đánh giá, giúp ông có được cái nhìn thực tiễn về cách thức áp dụng các kỳ vọng hiện tại của IATF và những thách thức mà các tổ chức thường gặp phải.
Thay vì nhắc lại những thay đổi, Jorge đã chia sẻ những hiểu biết sâu sắc về những gì các chuyên gia đánh giá đang tập trung, những khía cạnh mà các tổ chức thường đánh giá thấp, cũng như những điểm mà khoảng trống trong triển khai thường xuất hiện. Các nội dung dưới đây phản ánh những quan sát của ông từ các cuộc đánh giá gần đây và quá trình làm việc với khách hàng.
Để có cái nhìn tổng quan chi tiết về Quy tắc Chứng nhận IATF, Ấn bản thứ 6 cũng như các thay đổi cấu trúc quan trọng đã có hiệu lực, bạn đọc có thể tham khảo bài blog đã được chúng tôi đăng tải trước đó: “Những thay đổi chính của Quy tắc Chứng nhận IATF, Ấn bản thứ 6”, cùng với các hướng dẫn chính thức được công bố bởi Hiệp hội Ô tô Quốc tế (IATF - The International Automotive Task Force)
Một trong những lĩnh vực được nhấn mạnh rõ ràng nhất trong các diễn giải được IATF phê chuẩn gần đây là lập kế hoạch ứng phó (contingency planning). Mặc dù yêu cầu này không mới, nhưng các kỳ vọng liên quan đến phạm vi, thử nghiệm và bằng chứng đã trở nên cụ thể hơn, và hiện đang được đánh giá nghiêm ngặt hơn trong các cuộc đánh giá.
Đặc biệt, các cập nhật gần đây và thực tiễn đánh giá ngày càng nhấn mạnh đến những kịch bản trước đây chỉ được ngầm hiểu nhưng chưa được nêu rõ, nổi bật nhất là đại dịch và các gián đoạn liên quan đến an ninh mạng.
Trong các cuộc đánh giá, điều đang được chú ý nhiều hơn không chỉ là việc các rủi ro này có được liệt kê trong kế hoạch ứng phó hay không, mà là liệu doanh nghiệp có thể chứng minh rằng các kế hoạch đó được kiểm tra và có khả năng triển khai thực tế hay không.
Các chuyên gia đánh giá ngày càng tìm kiếm bằng chứng cho thấy hoạt động thử nghiệm không chỉ dừng lại ở việc hoàn thành một bài tập, mà còn dẫn đến học hỏi và cải tiến.
“Doanh nghiệp cần có báo cáo hoặc bằng chứng khách quan tương đương, thể hiện họ đã thực hiện những loại thử nghiệm nào và từ kết quả đó đã thực hiện những hành động gì.”
Theo Ông Jorge Correa, một thách thức phổ biến là nhiều tổ chức thực hiện các hoạt động có giá trị nhưng lại không ghi nhận đầy đủ hoặc không liên kết chúng với quá trình ra quyết định dựa trên rủi ro.
“Đôi khi doanh nghiệp không ghi nhận hoặc không tài liệu hóa những gì doanh nghiệp đã làm.”
Đối với các doanh nghiệp đang chuẩn bị cho các cuộc đánh giá sắp tới, điều này có nghĩa là kế hoạch ứng phó cần được xem như một quá trình sống, phản ánh các rủi ro hiện tại, bao gồm các thử nghiệm thực tế và thể hiện rõ việc theo dõi, hành động sau thử nghiệm.
Một lĩnh vực khác đang nhận được nhiều sự chú ý hơn trong các cuộc đánh giá là an ninh mạng. Mặc dù chủ đề này đã được đề cập trong IATF từ trước, nhưng các diễn giải mới nhất nhấn mạnh rằng an ninh mạng không còn được xem là một vấn đề riêng biệt của bộ phận CNTT.
Thay vì, an ninh mạng ngày càng được đánh giá như một rủi ro vận hành và tính liên tục kinh doanh, đặc biệt trong các trường hợp liên quan đến thiết bị sản xuất, hệ thống sản xuất hoặc các công nghệ kết nối.
Như Jorge Correa chia sẻ: “Các cuộc tấn công mạng là một lĩnh vực luôn không ngừng thay đổi… vì vậy cần được xem xét thường xuyên hơn để đảm bảo mọi người luôn cập nhật."
Từ góc độ đánh giá, các tổ chức được kỳ vọng phải chứng minh sự nhận thức liên tục và việc rà soát định kỳ các rủi ro liên quan đến an ninh mạng. Các chuyên gia đánh giá đang tìm kiếm bằng chứng cho thấy các yếu tố an ninh mạng đã được tích hợp vào phân tích rủi ro tổng thể và kế hoạch ứng phó, đặc biệt trong những trường hợp gián đoạn có thể ảnh hưởng đến sự phù hợp của sản phẩm hoặc khả năng giao hàng.
Đối với doanh nghiệp, điều này một lần nữa khẳng định rằng an ninh mạng không còn được đánh giá chỉ thông qua các chính sách hay kiểm soát IT. Thay vào đó, nó ngày càng được nhìn nhận dưới góc độ tư duy dựa trên rủi ro, tác động vận hành và mức độ sẵn sàng ứng phó, với kỳ vọng rằng các hoạt động rà soát phải luôn cập nhật, phù hợp và gắn liền với các tình huống thực tế.
Trong các cuộc kiểm toán, một trong những thách thức phổ biến nhất mà các tổ chức phải đối mặt là khoảng cách giữa những gì đang được thực hiện và những gì có thể được chứng minh bằng bằng chứng khách quan.
Khi các kỳ vọng về tư duy dựa trên rủi ro và đánh giá hiệu lực ngày càng chặt chẽ, các chuyên gia đánh giá đang đặt trọng tâm lớn hơn vào hệ thống tài liệu - nơi cần thể hiện rõ những hành động đã được thực hiện, lý do thực hiện, và cách thức đánh giá hiệu quả của các hành động đó.
Theo Jorge Correa, đây là một lĩnh vực mà nhiều tổ chức vô tình tạo ra rủi ro trong đánh giá. Trên thực tế, doanh nghiệp có thể đang xử lý vấn đề, thực hiện các thử nghiệm hoặc điều chỉnh kiểm soát, nhưng nếu thiếu tài liệu nhất quán hoặc bằng chứng khách quan tương đương, thì những nỗ lực đó sẽ khó được xác nhận trong quá trình đánh giá.
“Khách hàng có thể nói rằng, ‘OK, chúng tôi đang làm việc này’, nhưng họ lại không thực sự có thông tin để chứng minh điều đó.”
Sự thiếu liên kết này thường trở nên rõ ràng hơn ở các lĩnh vực rủi ro cao, nơi các chuyên gia đánh giá kỳ vọng thấy mối liên hệ chặt chẽ giữa việc nhận diện rủi ro, hành động khắc phục và hoạt động theo dõi. Khi mối liên kết này không được thể hiện rõ, khả năng phát sinh điểm không phù hợp (non-conformities) sẽ cao hơn, ngay cả khi mục đích hoặc nỗ lực thực hiện là hợp lý.
Đối với các tổ chức đang chuẩn bị cho đánh giá, thông điệp rất rõ ràng: ý định tốt là chưa đủ. Điều quan trọng là khả năng chứng minh quá trình ra quyết định, hành động đã thực hiện và hiệu quả đạt được, theo cách phù hợp với tư duy dựa trên rủi ro và các yêu cầu về bằng chứng trong đánh giá.
Một điểm xuyên suốt trong các diễn giải IATF mới nhất là sự nhấn mạnh ngày càng lớn vào tư duy dựa trên rủi ro như một yếu tố thực tiễn quyết định trọng tâm và độ sâu của hoạt động đánh giá.
Các chuyên gia đánh giá được kỳ vọng sẽ ưu tiên thời gian và mức độ xem xét dựa trên những khu vực có rủi ro cao nhất và những nơi đã từng xảy ra vấn đề về hiệu suất.
Như Jorge Correa nhận xét, sự thay đổi này đang tạo ra sự khác biệt rõ rệt giữa các tổ chức chỉ đáp ứng các yêu cầu tối thiểu và những tổ chức chủ động quản lý rủi ro.
“Bạn sẽ thấy hai kiểu tổ chức: một số chỉ làm ở mức tối thiểu để tuân thủ, và một số khác thì làm vượt xa yêu cầu.”
Từ góc độ đánh giá, điều này đồng nghĩa với việc các quá trình có rủi ro cao hơn, hiệu suất yếu hơn hoặc có tác động lớn hơn đến sự phù hợp của sản phẩm và khả năng giao hàng sẽ nhận được nhiều sự chú ý hơn.
“IATF luôn muốn thấy rằng các tổ chức thực sự nhận thức rõ về những rủi ro của mình.”
Thay vì áp dụng cách tiếp cận đồng đều cho tất cả các quá trình, các tổ chức ngày càng được kỳ vọng phải chứng minh cách họ thiết lập mức độ ưu tiên, phân bổ nguồn lực và điều chỉnh kiểm soát dựa trên rủi ro và xu hướng hiệu suất.
“Hãy tập trung vào những rủi ro cao nhất. Hãy tập trung vào những khu vực có hiệu suất kém.”
Tư duy dựa trên rủi ro không còn là một nguyên tắc mang tính lý thuyết. Nó đã trở thành một lăng kính thực tiễn để lập kế hoạch, thực hiện và đánh giá các cuộc audit, đồng thời ngày càng tạo ra sự khác biệt rõ rệt giữa các hệ thống quản lý mạnh và yếu.
Các Diễn giải được phê duyệt mới nhất của IATF không làm thay đổi căn bản những gì các tổ chức cần thực hiện, nhưng lại làm thay đổi mức độ rõ ràng và tính nhất quán trong cách các kỳ vọng được áp dụng trong các cuộc đánh giá.
Trong mọi khía cạnh từ lập kế hoạch dự phòng, an ninh mạng, lập hồ sơ đến tư duy dựa trên rủi ro, thông điệp đều nhất quán: các tổ chức cần hiểu rõ rủi ro của mình, ưu tiên một cách hiệu quả và chứng minh hành động thực hiện bằng các bằng chứng khách quan.
Dành cho các tổ chức được chứng nhận IATF và đang cân nhắc chứng nhận, nền tảng của thành công bắt đầu từ việc xây dựng các quy trình và thủ tục kinh doanh phù hợp, đồng thời đảm bảo rằng các quy trình này được áp dụng hiệu quả để quản lý rủi ro thực tế và thúc đẩy cải tiến liên tục.
