1
15. Hành vi tuân thủ và hiệu quả an toàn thông tin kế toán: Một nghiên cứu thực nghiệm
tại Việt Nam
Accounting Information Security Behavior and Performance: An Empirical Study in
Vietnam
Phạm Trà Lam* - Nguyễn Văn Hải*
*Khoa Kế toán, Trường Kinh doanh - Đại học Kinh tế Thành phố Hồ Chí Minh
Tóm tắt
Trong bối cảnh nguy cơ an toàn thông tin ngày càng gia tăng và các chiến lược đảm bảo an
toàn thông tin, đặc biệt là thông tin kế toán ngày càng được quan tâm. Mang bản chất khoa
học và cả nghệ thuật, an toàn thông tin đòi hỏi sự tích hợp các biện pháp kiểm soát liên
quan đến yếu tố con người, những người vận hành và sử dụng thông tin được tạo ra từ hệ
thống thông tin. Do đó, các giải pháp phát triển và thúc đẩy hành vi tuân thủ an toàn thông
tin của nhân viên trong doanh nghiệp (DN) đóng một vai trò rất quan trọng. Tuy nhiên, các
nghiên cứu về vấn đề này chưa được thực hiện thấu đáo, đặc biệt tại một thị trường đang
trên đà hội nhập sâu rộng như Việt Nam. Do đó, nghiên cứu này được thực hiện, nhằm kiểm
tra các yếu tố ảnh hưởng đến hành vi an toàn thông tin kế toán (ANTTKT). Nghiên cứu cũng
khám phá tác động của hành vi ANTTKT đến hiệu quả của nó. Kết quả phân tích PLS dựa
trên dữ liệu thu thập từ 218 nhân viên kế toán cho thấy, thái độ tuân thủ và khả năng bị
trừng phạt có tác động đáng kể đến ý đinh tuân thủ an toàn thông tin của nhân viên kế toán.
Các khám phá cũng cho thấy, ý định có chi phối mạnh đến hành vi an toàn thông tin đến
lượt nó, hành vi an toàn thông tin của nhân viên kế toán được chứng minh là ảnh hưởng lớn
đến hiệu quả ANTTKT. Những hàm ý quản trị được phát triển trong nghiên cứu này có ý
nghĩa quan trọng cho các nhà quản trị DN nhằm nâng cao hiệu quả ANTTKT.
Từ khóa: an toàn thông tin kế toán, hành vi an toàn, hiệu quả an toàn, Việt Nam.
Abstract
Strategies to ensure information security, especially accounting information, are becoming
increasingly important in the context of increasing information security risks. Being both a
science and an art, information security requires the integration of control measures related
to human factors - those who operate and use information created from information systems.
Therefore, solutions to develop and promote employees’ information security behavior are
significant. However, studies on this issue have not been thoroughly conducted, especially in
a market that is on the path of deep integration like Vietnam. Therefore, this study examines
the determinants of accounting information security behavior. Our work also explores the
2
impact of accounting information security behavior on its performance. The PLS analysis
based on data collected from 218 accountants shows that attitudes and the possibility of
being punished significantly impact accountants' information security intentions. We also
found that intention has a strong influence on accounting information security behavior, in
turn, the information security behavior of accountants is proven to have a significant impact
on information security performance. The managerial implications developed in this study
are important for business administrators in improving accounting information security
performance.
Keywords: accounting information security, security behavior, security performance,
Vietnam.
JEL Classifications: M40, M42, M49.
1. Giới thiệu
Trong bối cảnh Cách mạng Công nghiệp 4.0, hiện nay các DN sử dụng công nghệ
thông tin và truyền thông (ICTs) để thu thập, lưu trữ và chia sẻ các thông tin cần thiết ngày
càng trở nên phổ biến. Các mối đe dọa như thông tin bị truy cập trái phép, làm gián đoạn,
sửa đổi, bị sai lệch hoặc phá huỷ bất hợp pháp ngày càng trở nên nghiêm trọng và khó
lường. Do đó, an toàn thông tin là cần thiết đối với sự phát triển của các DN. Theo báo cáo
của VSEC năm 2023, thế giới ước tính thiệt hại bởi các cuộc tấn công mạng khoảng 8.000 tỷ
USD (tương đương gần 21 tỷ USD/ngày), con số này dự kiến sẽ tăng lên 9.500 tỷ USD trong
năm 2024. Tại Việt Nam, năm 2023 có 13.900 cuộc tấn công mạng, trung bình mỗi tháng
xảy ra 1.160 vụ, thiệt hại hơn 390.000 tỷ đồng (tương đương 3,6% GPD) và tăng 9,5% so
với năm 2022. Các DN đang phải đối mặt với rất nhiều mối đe dọa đối với các hệ thống
thông tin, trong đó có hệ thống thông tin kế toán HTTTKT.
HTTTKT là một hệ thống con trong hệ thống thông tin của DN được thiết kế nhằm thu
thập, xử lý, lưu trữ và cung cấp thông tin hữu ích hỗ trợ việc ra quyết định của người sử
dụng thông tin (Romney và cộng sự, 2021). Với quy mô ngày càng mở rộng của HTTTKT,
hệ thống này quản lý cả những thông tin liên quan đến khách hàng và nhà cung cấp. Trong
khi đó, những thông tin này đang được lưu trữ trên không gian mạng và điện toán đám mây.
Do đó, đảm bảo ANTTKT là ưu tiên hàng đầu đối với hầu hết mọi DN (Eaton, 2019).
Tuân thủ an toàn thông tin là vấn đề hành vi của con người. Nhiều nhà nghiên cứu đã
cố gắng đưa ra giải pháp với sự trợ giúp của các lý thuyết tâm lý học (D’Arcy và cộng sự,
2011; Ifinedo, 2012). Các nghiên cứu về an toàn thông tin chủ yếu tập trung vào khía cạnh
các yếu tố tác động đến ý định và hành vi an toàn thông tin. Các yếu tố được khám phá như
mức độ nghiêm trọng của hình phạt (Johnston và Warkentin, 2010), hành vi không tuân thủ
3
an toàn thông tin của đồng nghiệp (Padayachee, 2012), thái độ tuân thủ an toàn thông tin
(Bulgurcu và cộng sự, 2010), phần thưởng (Chen và cộng sự, 2012), chương trình giáo dục,
huấn luyện và nâng cao nhận thức về an toàn thông tin (SETA) (Hu và cộng sự, 2021). Bên
cạnh đó, ý định hành vi an toàn thông tin được chứng minh là tác động đến hành vi an toàn
thông tin (Siponen và cộng sự, 2006, 2010b; Son, 2011). Tuy nhiên, các nghiên cứu về mối
quan hệ giữa hành vi tuân thủ và hiệu quả an toàn thông tin vẫn chưa được thực hiện nhiều.
Các nghiên cứu như Rhee và cộng sự (2009), Guo (2013) đã chứng minh tác động đáng kể
của hành vi đến hiệu quả an toàn thông tin trong các bối cảnh khác nhau.
Tại Việt Nam, nghiên cứu chủ đề an toàn thông tin, đặc biệt là ANTTKT còn rất hạn
chế. Nguyễn Quốc Trung (2023) đã khám phá ra rằng mức độ nghiêm trọng của răn đe, xu
hướng né tránh sự bất trắc và thái độ tuân thủ chính sách an toàn (chính sách an toàn)
HTTTKT có tác động cùng chiều đến ý định tuân thủ chính sách an toàn HTTTKT và ý định
tuân thủ chính sách an toàn HTTTKT có tác động cùng chiều với hành vi tuân thủ chính
sách an toàn HTTTKT tại Việt Nam. Nghiên cứu của Huỳnh Ngọc Ngân Nguyên (2023) đề
cập đến các yếu tố tác động đến hiệu quả ANTTKT của các DN Việt Nam gồm mức độ hỗ
trợ của nhà quản lý cấp cao, cấu trúc báo cáo về an toàn thông tin, chất lượng mối quan hệ
giữa kiểm toán nội bộ và an toàn thông tin, tần suất đánh giá của kiểm toán nội bộ về an toàn
thông tin, và kiến thức về công nghệ thông tin (CNTT) của kiểm toán nội bộ. Phát triển văn
hóa an toàn thông tin được xem là một biện pháp mang tính hiệu quả cao để đảm bảo an toàn
thông tin (Phạm Trà Lam, 2023).
Tổng quan các nghiên cứu cho thấy các nghiên cứu về hành vi tuân thủ an toàn thông
tin đã được thực hiện nhưng chưa phổ biến tại các quốc gia đang phát triển như Việt Nam.
Đặc biệt, các nghiên cứu về vấn đề ANTTKT vẫn chưa được khám phá sâu rộng. Do đó,
nghiên cứu này được thực hiện nhằm cung cấp các hiểu biết mới về yếu tố quan trọng tác
động đến hành vi tuân thủ an toàn thông tin và hiệu quả ANTTKT trong các DN Việt Nam.
2.Phát triển giả thuyết và mô hình nghiên cứu
2.1. Hành vi tuân thủ an toàn thông tin và hiệu quả an toàn thông tin
Thực hành an toàn thông tin có thể được định nghĩa là hành vi quản lý rủi ro an toàn
thông tin của cá nhân liên quan đến hai khía cạnh: áp dụng công nghệ an toàn và hành vi
quan tâm an toàn thông tin liên quan đến việc sử dụng máy tính và Internet. Cụ thể, áp dụng
công nghệ an toàn chính là việc sử dụng các phần mềm và tính năng an toàn như phần mềm
chống vi-rút, chống phần mềm gián điệp và chức ngăn chặn cửa sổ được bật lên. Hành vi
tuân thủ an toàn khi sử dụng máy tính và Internet, chẳng hạn như sử dụng mật khẩu mạnh và
tần suất tạo bản sao lưu. Cả hai khía cạnh của hành vi thực hành an toàn đều quan trọng để
quản lý rủi ro an toàn thông tin hiệu quả hơn (Rhee và cộng sự, 2009). Mục tiêu của chính
sách an toàn thông tin là cải thiện tính bảo mật thông tin của tổ chức và do đó, yếu tố đại
4
diện cho tính hiệu quả của chúng là mức độ thông tin được bảo mật. Hiệu quả an toàn thông
tin trong một tổ chức phụ thuộc vào những nhân viên thực hiện các hành vi bảo mật (Guo,
2013). Tất nhiên, thông tin vẫn có thể không được bảo mật nếu chính sách an toàn thông tin
không thể bao gồm tất cả các mối đe dọa mới. Khả năng thông tin không thể được bảo mật
thậm chí còn cao hơn khi một số nhân viên không tuân theo chính sách an toàn thông tin.
Tác hại đáng kể có thể gây ra bởi những hành vi bất cẩn của nhân viên ngay cả khi ý định
của họ không có ác ý (Guo và cộng sự, 2011). Từ đó, nghiên cứu đề xuất giả thuyết:
=> H1. Hành vi tuân thủ an toàn thông tin tác động tích cực đến hiệu quả an toàn
thông tin.
2.2. Ý định tuân thủ an toàn thông tin và hành vi tuân thủ an toàn thông tin
Một số lý thuyết tâm lý xã hội, bao gồm: Lý thuyết hành động hợp lý (TRA) (Fishbein
và Ajzen, 1975; Fishbein, 1980); Lý thuyết về hành vi có kế hoạch (Ajzen, 1985, 1991); Lý
thuyết thái độ - hành vi (Triandis, 1980) và Lý thuyết động cơ bảo vệ (PMT) (Rogers, 1983)
đều đồng nhất với đề xuất rằng, yếu tố dự báo ngay lập tức và quan trọng về hành vi của một
người là ý định của người đó để thực hiện nó
“Ý định hành vi là những hướng dẫn mà mọi người đưa ra cho mình để cư xử theo
những cách nhất định” (Trandis, 1980). Theo TRA, ý định là những yếu tố dự báo gần nhất
về hành vi và làm trung gian cho sự ảnh hưởng của các yếu tố dự đoán hành vi như thái độ,
chuẩn chủ quan và các biến số không liên quan (ví dụ: tính cách) đối với hành vi của một cá
nhân. Tương tự như vậy, PMT cho rằng, ý định hành vi làm trung gian cho mối quan hệ giữa
các yếu tố dự đoán giả định (đánh giá mối đe dọa và đánh giá đối phó) và hành vi. TPB cũng
khẳng định rằng, ý định là dự báo hành vi quan trọng nhất nhưng thừa nhận rằng mọi người
có thể không luôn có đủ quyền kiểm soát việc thực hiện hành vi để thực sự thực hiện ý định
của họ (Ajzen, 1985, 1991). Từ những lập luận trên, nghiên cứu đề xuất giả thuyết:
=> H2. Ý định tuân thủ an toàn thông tin tác động tích cực đến hành vi tuân thủ an
toàn thông tin.
2.3. Thái độ tuân thủ an toàn thông tin và ý định tuân thủ an toàn thông tin
Lý thuyết hành vi hoạch định (TPB) thừa nhận rằng, thái độ tích cực ảnh hưởng ý định
hành vi an toàn thông tin; ngược lại, thái độ tiêu cực sẽ làm giảm ý định hành vi an toàn
thông tin. Vì vậy, những nhân viên có niềm tin tích cực về chính sách an toàn thông tin của
tổ chức của họ sẽ có xu hướng thuận lợi để tuân thủ các quy tắc và hướng dẫn đó (Ng và
cộng sự, 2009; Sasse và cộng sự, 2004).
Mặt khác, những người thiếu thái độ thuận lợi như vậy sẽ không sẵn sàng tuân thủ với
những chính sách như vậy. Các nghiên cứu khác cho thấy, thái độ hướng tới việc tuân thủ
các hành vi an toàn thông tin được chấp nhận có ảnh hưởng tích cực ý định hành vi an toàn
5
thông tin (Anderson và cộng sự, 2010; Bulgurcu và cộng sự, 2010; Pahnila và cộng sự,
2007). Do đó, giả thuyết sau đây được đề xuất:
=> H3. Thái độ tuân thủ an toàn thông tin tác động tích cực đến ý định tuân thủ an
toàn thông tin.
2.4. Khả năng bị trừng phạt và ý định tuân thủ an toàn thông tin
Lý thuyết răn đe đề xuất rằng, khi một hình phạt chắc chắn xảy ra và mức độ trừng phạt
ngày càng tăng lên thì mức độ hành vi không thể chấp nhận được giảm đi. Về bản chất, hành
vi không mong muốn có thể bị ngăn chặn thông qua một số hành vi nhất định hoặc có sự đe
dọa trừng phạt nghiêm khắc (Williams & Hawkins, 1986; Akers, 1990).
Ehrlich (1996) đưa ra bằng chứng thực nghiệm hình phạt, có tác dụng răn đe đối với
người phạm tội. Trong bối cảnh hiện tại, một số nghiên cứu đã ghi nhận tác dụng ngăn chặn
các hoạt động tính toán bất hợp pháp trong các tổ chức. Straub (1990) lưu ý rằng, các biện
pháp ngăn chặn là chiến lược hữu ích hàng đầu để giảm lạm dụng máy tính. Mức độ nghiêm
trọng của hình phạt ảnh hưởng đáng kể đến thái độ vi phạm bản quyền trong tổ chức vi
phạm bản quyền phần mềm. Tương tự, việc không tuân thủ chính sách an toàn thông tin có
thể bị ngăn chặn bằng cách áp đặt các hình phạt. Nếu hành động của nhân viên khiến tổ chức
phải đối mặt với vi phạm an toàn, tổ chức đó có thể điều tra nguyên nhân vi phạm an toàn và
trừng phạt nhân viên bằng cách áp dụng hình phạt. Nếu cá nhân nhận thức được rằng, mức
độ nghiêm trọng của hình phạt đối với việc không tuân thủ cao, ý định thực hiện những hành
vi không mong muốn của họ có khả năng giảm (Peace và cộng sự, 2003). Dựa vào các cơ sở
trên, chúng tôi phát triển giả thuyết:
=> H4. Khả năng bị trừng phạt tác động tích cực đến ý định tuân thủ an toàn thông tin.
2.5. Khả năng được khen thưởng và ý định tuân thủ an toàn thông tin
Mặc dù việc khen thưởng các hành vi tuân thủ có thể chưa phổ biến trong thực tế,
nhưng các nghiên cứu gần đây đã thảo luận về vai trò có thể có của các động cơ trong việc
khuyến khích các hành vi mong muốn trong bối cảnh bảo mật thông tin (Boss và Kirsch
2007; Pahnila và cộng sự 2007). Hơn nữa, phần thưởng như một động cơ đã được phát hiện
là một cơ chế quan trọng để thay đổi hành vi trong nhiều bối cảnh khác nhau trong giáo dục,
hành vi tổ chức và tâm lý học. Trong hầu hết các nghiên cứu, thì phần thưởng được sử dụng
như một động lực để thay đổi hành vi (Eisenhardt,1988; Luft, 1994). Luft (1994) cho rằng,
các tình huống trong đó phần thưởng được sử dụng như một động lực để cá nhân vượt lên
trên mức lương hiện tại của họ để thực hiện công việc của họ (cố gắng giữ cho hệ thống máy
tính của họ an toàn) và dường như không có tác động mong muốn. Phần thưởng ảnh hưởng
đến thái độ của nhân viên đối với việc tuân thủ an toàn thông tin (Bulgurcu và cộng sự,
2010). Từ những lập luận trên, nghiên cứu đề xuất giả thuyết:
