Thực tế không ai nói cho bạn biết
Thoạt đầu, thuê freelancer có vẻ là lựa chọn thông minh: chi phí rẻ hơn agency 50-70%, linh hoạt, có thể tuyển chuyên gia theo từng giai đoạn. Nhưng sau 12-18 tháng, nhiều doanh nghiệp nhận ra chi phí ẩn (hidden costs) đã vượt qua con số tiết kiệm ban đầu.
Rủi ro 1: Key-person Risk — Hệ thống trong đầu một người
Kịch bản điển hình: Bạn thuê một freelancer build hệ thống quản lý đơn hàng trong 4 tháng. Họ hiểu rõ từng dòng code, từng quirk của database. Sau đó họ nhận offer từ công ty Singapore với lương gấp đôi. Từ ngày hôm đó, không ai trên thế giới này có thể maintain hệ thống của bạn trừ khi bỏ ra 2-3 tháng để đọc hiểu code từ đầu.
Thiệt hại thực tế: Chi phí "reverse-engineering" (đọc và hiểu code cũ) thường bằng 30-50% chi phí build mới.
Rủi ro 2: Code Quality — "Works on my machine"
Không có peer review, không có code review process, không có standard. Mỗi freelancer có convention riêng, viết code theo "thói quen" của họ. Sau 1 năm, khi bạn muốn thêm tính năng mới, developer mới phải mất 2-4 tuần chỉ để hiểu codebase trước khi có thể bắt đầu viết.
Technical debt tích lũy mỗi ngày, và điểm break thường đến sau 12-18 tháng khi hệ thống trở nên quá "mong manh" để sửa mà không phá vỡ thứ khác.
Rủi ro 3: Không có tài liệu — "Black Box System"
Khi freelancer nghỉ, bạn thường chỉ nhận được:
- Source code (có thể đủ, có thể thiếu)
- Không có ERD (database diagram)
- Không có API docs
- Không có README đủ để chạy lại từ đầu
- Không có file .env documentation
Hệ thống trở thành "black box" — chạy được nhưng không ai dám sửa vì sợ phá vỡ.
Rủi ro 4: Không có SLA — Bạn không biết gọi ai khi hệ thống sập
Lúc 2h sáng ngày Black Friday, hệ thống quản lý đơn hàng sập. Bạn gọi cho freelancer, họ không nhấc máy. Họ đang ngủ, hoặc đang bận dự án khác. Không có SLA, không có on-call duty, không có obligation pháp lý để họ phải hỗ trợ ngoài giờ.
Agency có đội kỹ thuật trực 24/7, SLA cam kết trong hợp đồng, và nếu vi phạm SLA có penalty clause.
Rủi ro 5: Bảo mật — Lỗ hổng không ai phát hiện
OWASP Top 10 là danh sách 10 lỗ hổng bảo mật phổ biến nhất — SQL Injection, XSS, Broken Authentication, Insecure Direct Object Reference... Freelancer không có Security Audit process, thường không test các attack vectors này. Hệ thống có thể bị tấn công trong nhiều tháng mà bạn không biết.
Chi phí xử lý data breach thường từ 50 triệu đến vài tỷ đồng, chưa kể thiệt hại uy tín.
Tổng kết: Khi nào thuê freelancer an toàn?
- Dự án nhỏ, rõ ràng, ít rủi ro (landing page, tool nội bộ đơn giản)
- Ngân sách dưới 50 triệu, không cần SLA
- Bạn hoặc đội ngũ kỹ thuật của bạn đủ năng lực review code
- Dữ liệu không nhạy cảm, không có yêu cầu bảo mật cao
- Không phụ thuộc vào hệ thống để vận hành kinh doanh core