1
15. Hành vi tuân thủ và hiệu quả an toàn thông tin kế toán: Một nghiên cứu thực nghiệm
tại Việt Nam
Accounting Information Security Behavior and Performance: An Empirical Study in
Vietnam
Phạm Trà Lam* - Nguyễn Văn Hải*
*Khoa Kế toán, Trường Kinh doanh - Đại học Kinh tế Thành phố Hồ Chí Minh
Tóm tắt
Trong bối cảnh nguy cơ an toàn thông tin ngày càng gia tăng các chiến lược đảm bảo an
toàn thông tin, đặc biệt là thông tin kế toán ngày càng được quan tâm. Mang bản chất khoa
học cả nghệ thuật, an toàn thông tin đòi hỏi sự tích hợp các biện pháp kiểm soát liên
quan đến yếu tố con người, những người vận hành sử dụng thông tin được tạo ra từ hệ
thống thông tin. Do đó, các giải pháp phát triển thúc đẩy hành vi tuân thủ an toàn thông
tin của nhân viên trong doanh nghiệp (DN) đóng một vai trò rất quan trọng. Tuy nhiên, các
nghiên cứu về vấn đề này chưa được thực hiện thấu đáo, đặc biệt tại một thị trường đang
trên đà hội nhập sâu rộng như Việt Nam. Do đó, nghiên cứu này được thực hiện, nhằm kiểm
tra các yếu tố ảnh hưởng đến hành vi an toàn thông tin kế toán (ANTTKT). Nghiên cứu cũng
khám phá tác động của hành vi ANTTKT đến hiệu quả của nó. Kết quả phân tích PLS dựa
trên dữ liệu thu thập từ 218 nhân viên kế toán cho thấy, thái độ tuân thủ khả năng bị
trừng phạt có tác động đáng kể đến ý đinh tuân thủ an toàn thông tin của nhân viên kế toán.
Các khám phá cũng cho thấy, ý định chi phối mạnh đến hành vi an toàn thông tin đến
lượt nó, hành vi an toàn thông tin của nhân viên kế toán được chứng minh là ảnh hưởng lớn
đến hiệu quả ANTTKT. Những hàm ý quản trị được phát triển trong nghiên cứu này ý
nghĩa quan trọng cho các nhà quản trị DN nhằm nâng cao hiệu quả ANTTKT.
Từ khóa: an toàn thông tin kế toán, hành vi an toàn, hiệu quả an toàn, Việt Nam.
Abstract
Strategies to ensure information security, especially accounting information, are becoming
increasingly important in the context of increasing information security risks. Being both a
science and an art, information security requires the integration of control measures related
to human factors - those who operate and use information created from information systems.
Therefore, solutions to develop and promote employees’ information security behavior are
significant. However, studies on this issue have not been thoroughly conducted, especially in
a market that is on the path of deep integration like Vietnam. Therefore, this study examines
the determinants of accounting information security behavior. Our work also explores the
2
impact of accounting information security behavior on its performance. The PLS analysis
based on data collected from 218 accountants shows that attitudes and the possibility of
being punished significantly impact accountants' information security intentions. We also
found that intention has a strong influence on accounting information security behavior, in
turn, the information security behavior of accountants is proven to have a significant impact
on information security performance. The managerial implications developed in this study
are important for business administrators in improving accounting information security
performance.
Keywords: accounting information security, security behavior, security performance,
Vietnam.
JEL Classifications: M40, M42, M49.
1. Giới thiệu
Trong bối cảnh Cách mạng Công nghiệp 4.0, hiện nay các DN sử dụng công nghệ
thông tin truyền thông (ICTs) để thu thập, lưu trữ chia sẻ các thông tin cần thiết ngày
càng trở nên phổ biến. Các mối đe dọa như thông tin bị truy cập trái phép, làm gián đoạn,
sửa đổi, bị sai lệch hoặc phá huỷ bất hợp pháp ngày càng trở nên nghiêm trọng khó
lường. Do đó, an toàn thông tin cần thiết đối với sự phát triển của các DN. Theo báo cáo
của VSEC năm 2023, thế giới ước tính thiệt hại bởi các cuộc tấn công mạng khoảng 8.000 tỷ
USD (tương đương gần 21 tỷ USD/ngày), con số này dự kiến sẽ tăng lên 9.500 tỷ USD trong
năm 2024. Tại Việt Nam, năm 2023 13.900 cuộc tấn công mạng, trung bình mỗi tháng
xảy ra 1.160 vụ, thiệt hại n 390.000 tđồng (tương đương 3,6% GPD) tăng 9,5% so
với năm 2022. Các DN đang phải đối mặt với rất nhiều mối đe dọa đối với các hệ thống
thông tin, trong đó có hệ thống thông tin kế toán HTTTKT.
HTTTKT một hệ thống con trong hệ thống thông tin của DN được thiết kế nhằm thu
thập, xử lý, u trữ cung cấp thông tin hữu ích hỗ trợ việc ra quyết định của người sử
dụng thông tin (Romney cộng sự, 2021). Với quy ngày càng mở rộng của HTTTKT,
hệ thống này quản cả những thông tin liên quan đến khách hàng nhà cung cấp. Trong
khi đó, những thông tin này đang được lưu trữ trên không gian mạng và điện toán đám mây.
Do đó, đảm bảo ANTTKT là ưu tiên hàng đầu đối với hầu hết mọi DN (Eaton, 2019).
Tuân thủ an toàn thông tin vấn đề hành vi của con người. Nhiều nhà nghiên cứu đã
cố gắng đưa ra giải pháp với sự trợ giúp của các thuyết tâm học (D’Arcy cộng sự,
2011; Ifinedo, 2012). Các nghiên cứu về an toàn thông tin chủ yếu tập trung vào khía cạnh
các yếu tố tác động đến ý định hành vi an toàn thông tin. Các yếu tố được khám phá như
mức độ nghiêm trọng của hình phạt (Johnston Warkentin, 2010), hành vi không tuân thủ
3
an toàn thông tin của đồng nghiệp (Padayachee, 2012), thái độ tuân thủ an toàn thông tin
(Bulgurcu cộng sự, 2010), phần thưởng (Chen cộng sự, 2012), chương trình giáo dục,
huấn luyện nâng cao nhận thức về an toàn thông tin (SETA) (Hu cộng sự, 2021). Bên
cạnh đó, ý định hành vi an toàn thông tin được chứng minh tác động đến hành vi an toàn
thông tin (Siponen cộng sự, 2006, 2010b; Son, 2011). Tuy nhiên, các nghiên cứu về mối
quan hệ giữa hành vi tuân thủ hiệu quả an toàn thông tin vẫn chưa được thực hiện nhiều.
Các nghiên cứu như Rhee cộng sự (2009), Guo (2013) đã chứng minh tác động đáng kể
của hành vi đến hiệu quả an toàn thông tin trong các bối cảnh khác nhau.
Tại Việt Nam, nghiên cứu chủ đề an toàn thông tin, đặc biệt ANTTKT còn rất hạn
chế. Nguyễn Quốc Trung (2023) đã khám phá ra rằng mức độ nghiêm trọng của răn đe, xu
hướng tránh sự bất trắc thái độ tuân thủ chính sách an toàn (chính sách an toàn)
HTTTKT có tác động cùng chiều đến ý định tuân thủ chính sách an toàn HTTTKT và ý định
tuân thủ chính sách an toàn HTTTKT tác động cùng chiều với hành vi tuân thủ chính
sách an toàn HTTTKT tại Việt Nam. Nghiên cứu của Huỳnh Ngọc Ngân Nguyên (2023) đề
cập đến các yếu t tác động đến hiệu quả ANTTKT của các DN Việt Nam gồm mức độ hỗ
trợ của nhà quản cấp cao, cấu trúc báo cáo về an toàn thông tin, chất lượng mối quan hệ
giữa kiểm toán nội bộ và an toàn thông tin, tần suất đánh giá của kiểm toán nội bộ về an toàn
thông tin, kiến thức về công nghệ thông tin (CNTT) của kiểm toán nội bộ. Phát triển văn
hóa an toàn thông tin được xem là một biện pháp mang tính hiệu quả cao để đảm bảo an toàn
thông tin (Phạm Trà Lam, 2023).
Tổng quan các nghiên cứu cho thấy các nghiên cứu về hành vi tuân thủ an toàn thông
tin đã được thực hiện nhưng chưa phổ biến tại các quốc gia đang phát triển như Việt Nam.
Đặc biệt, các nghiên cứu về vấn đề ANTTKT vẫn chưa được khám phá sâu rộng. Do đó,
nghiên cứu này được thực hiện nhằm cung cấp các hiểu biết mới về yếu tố quan trọng tác
động đến hành vi tuân thủ an toàn thông tin và hiệu quả ANTTKT trong các DN Việt Nam.
2.Phát triển giả thuyết và mô hình nghiên cứu
2.1. Hành vi tuân thủ an toàn thông tin và hiệu quả an toàn thông tin
Thực nh an toàn thông tin thể được định nghĩa hành vi quản rủi ro an toàn
thông tin của nhân liên quan đến hai khía cạnh: áp dụng công nghệ an toàn hành vi
quan tâm an toàn thông tin liên quan đến việc sử dụng máy tínhInternet. Cụ thể, áp dụng
công nghệ an toàn chính việc sử dụng các phần mềm tính năng an toàn như phần mềm
chống vi-rút, chống phần mềm gián điệp chức ngăn chặn cửa sổ được bật lên. Hành vi
tuân thủ an toàn khi sử dụng máy tính và Internet, chẳng hạn như sử dụng mật khẩu mạnh và
tần suất tạo bản sao lưu. Cả hai khía cạnh củanh vi thực hành an toàn đều quan trọng để
quản rủi ro an toàn thông tin hiệu quả hơn (Rhee cộng sự, 2009). Mục tiêu của chính
sách an toàn thông tin cải thiện tính bảo mật thông tin của tổ chức do đó, yếu tố đại
4
diện cho tính hiệu quả của chúng mức độ thông tin được bảo mật. Hiệu quả an toàn thông
tin trong một tổ chức phụ thuộc vào những nhân viên thực hiện các hành vi bảo mật (Guo,
2013). Tất nhiên, thông tin vẫn thể không được bảo mật nếu chính sách an toàn thông tin
không thể bao gồm tất cả các mối đe dọa mới. Khả năng thông tin không thể được bảo mật
thậm chí còn cao hơn khi một số nhân viên không tuân theo chính sách an toàn thông tin.
Tác hại đáng kể thể gây ra bởi những hành vi bất cẩn của nhân viên ngay cả khi ý định
của họ không có ác ý (Guo và cộng sự, 2011). Từ đó, nghiên cứu đề xuất giả thuyết:
=> H1. Hành vi tuân thủ an toàn thông tin tác động tích cực đến hiệu quả an toàn
thông tin.
2.2. Ý định tuân thủ an toàn thông tin và hành vi tuân thủ an toàn thông tin
Một số thuyết tâm hội, bao gồm: Lý thuyết hành động hợp (TRA) (Fishbein
Ajzen, 1975; Fishbein, 1980); thuyết về hành vi kế hoạch (Ajzen, 1985, 1991);
thuyết thái độ - hành vi (Triandis, 1980) thuyết động cơ bảo vệ (PMT) (Rogers, 1983)
đều đồng nhất với đề xuất rằng, yếu tố dự báo ngay lập tức và quan trọng về hành vi của một
người là ý định của người đó để thực hiện
“Ý định hành vi những hướng dẫn mọi người đưa ra cho mình để xử theo
những cách nhất định” (Trandis, 1980). Theo TRA, ý định những yếu tố dự báo gần nhất
về hành vi làm trung gian cho sự ảnh hưởng của các yếu tố dự đoán hành vi như thái độ,
chuẩn chủ quan và các biến số không liên quan (ví dụ: tính cách) đối với hành vi của một
nhân. Tương tự như vậy, PMT cho rằng, ý định hành vi làm trung gian cho mối quan hệ giữa
các yếu tố dự đoán giả định (đánh giá mối đe dọa và đánh giá đối phó) và hành vi. TPB cũng
khẳng định rằng, ý định dự báo hành vi quan trọng nhất nhưng thừa nhận rằng mọi người
có thể không luôn đủ quyền kiểm soát việc thực hiện hành vi để thực sự thực hiện ý định
của họ (Ajzen, 1985, 1991). Từ những lập luận trên, nghiên cứu đề xuất giả thuyết:
=> H2. Ý định tuân thủ an toàn thông tin tác động tích cực đến hành vi tuân thủ an
toàn thông tin.
2.3. Thái độ tuân thủ an toàn thông tin và ý định tuân thủ an toàn thông tin
thuyết hành vi hoạch định (TPB) thừa nhận rằng, thái độ tích cực ảnh hưởng ý định
hành vi an toàn thông tin; ngược lại, thái độ tiêu cực sẽ làm giảm ý định hành vi an toàn
thông tin. vậy, những nhân viên niềm tin tích cực về chính sách an toàn thông tin của
tổ chức của họ sẽ xu hướng thuận lợi để tuân thủ các quy tắc hướng dẫn đó (Ng
cộng sự, 2009; Sasse và cộng sự, 2004).
Mặt khác, những người thiếu thái độ thuận lợi như vậy sẽ không sẵn sàng tuân thủ với
những chính sách như vậy. Các nghiên cứu khác cho thấy, thái độ hướng tới việc tuân thủ
các hành vi an toàn thông tin được chấp nhận ảnhởng tích cực ý định hành vi an toàn
5
thông tin (Anderson cộng sự, 2010; Bulgurcu cộng sự, 2010; Pahnila cộng sự,
2007). Do đó, giả thuyết sau đây được đề xuất:
=> H3. Thái độ tuân thủ an toàn thông tin tác động tích cực đến ý định tuân thủ an
toàn thông tin.
2.4. Khả năng bị trừng phạt và ý định tuân thủ an toàn thông tin
Lý thuyết răn đe đề xuất rằng, khi một hình phạt chắc chắn xảy ra và mức độ trừng phạt
ngày càng tăng lên thì mức độ hành vi không thể chấp nhận được giảm đi. Về bản chất, hành
vi không mong muốn thể bị ngăn chặn thông qua một số hành vi nhất định hoặc sự đe
dọa trừng phạt nghiêm khắc (Williams & Hawkins, 1986; Akers, 1990).
Ehrlich (1996) đưa ra bằng chứng thực nghiệm hình phạt, tác dụng răn đe đối với
người phạm tội. Trong bối cảnh hiện tại, một số nghiên cứu đã ghi nhận tác dụng ngăn chặn
các hoạt động tính toán bất hợp pháp trong các tổ chức. Straub (1990) lưu ý rằng, các biện
pháp ngăn chặn là chiến lược hữu ích hàng đầu để giảm lạm dụng máy tính. Mức độ nghiêm
trọng của nh phạt ảnh hưởng đáng kể đến thái độ vi phạm bản quyền trong tổ chức vi
phạm bản quyền phần mềm. Tương tự, việc không tuân thủ chính sách an toàn thông tin
thể bị ngăn chặn bằng cách áp đặt các hình phạt. Nếu hành động của nhân viên khiến tổ chức
phải đối mặt với vi phạm an toàn, tổ chức đó có thể điều tra nguyên nhân vi phạm an toàn và
trừng phạt nhân viên bằng cách áp dụng hình phạt. Nếu nhân nhận thức được rằng, mức
độ nghiêm trọng của hình phạt đối với việc không tuân thủ cao, ý định thực hiện những hành
vi không mong muốn của họ có khả năng giảm (Peace và cộng sự, 2003). Dựa vào các cơ sở
trên, chúng tôi phát triển giả thuyết:
=> H4. Khả năng bị trừng phạt tác động tích cực đến ý định tuân thủ an toàn thông tin.
2.5. Khả năng được khen thưởng và ý định tuân thủ an toàn thông tin
Mặc việc khen thưởng các hành vi tuân thủ thể chưa phổ biến trong thực tế,
nhưng các nghiên cứu gần đây đã thảo luận về vai trò thể của các động trong việc
khuyến khích các hành vi mong muốn trong bối cảnh bảo mật thông tin (Boss Kirsch
2007; Pahnila cộng sự 2007). Hơn nữa, phần thưởng như một động đã được phát hiện
là một cơ chế quan trọng để thay đổi hành vi trong nhiều bối cảnh khác nhau trong giáo dục,
hành vi tổ chức tâm lý học. Trong hầu hết các nghiên cứu, thì phần thưởng được sử dụng
như một động lực để thay đổi hành vi (Eisenhardt,1988; Luft, 1994). Luft (1994) cho rằng,
các tình huống trong đó phần thưởng được sử dụng như một động lực để cá nhân vượt lên
trên mức lương hiện tại của họ để thực hiện công việc của họ (cố gắng giữ cho hệ thống máy
tính của họ an toàn) dường như không tác động mong muốn. Phần thưởng ảnh hưởng
đến thái độ của nhân viên đối với việc tuân thủ an toàn thông tin (Bulgurcu cộng sự,
2010). Từ những lập luận trên, nghiên cứu đề xuất giả thuyết: