Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam

Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam.

GIỚI THIỆU

Sự cần thiết của đề tài

Với bối cảnh cuộc cách mạng công nghiệp lần thứ 4 hiện nay, bên cạnh các thành tựu vượt bậc do tiến bộ công nghệ mang lại, cộng đồng doanh nghiệp thế giới cũng phải đối mặt không ít rủi ro mới phát sinh thêm từ công cuộc chuyển đổi số này Cụ thể, bức tranh chi tiêu cho các giải pháp an toàn thông tin và quản lý rủi ro hệ thống trên toàn cầu đã vượt mức 150 tỷ USD vào năm 2021, tăng 6,4% so với năm 2020. Tại Trung Đông và Bắc Phi, chi tiêu cho an ninh thông tin và quản lý rủi ro cũng đã tăng 10,7% vào năm 2020 (lên 1,7 tỷ USD) và tiếp tục đà tăng thêm 9% vào năm

2021 (AlGhamdi, Win, & Vlahu-Gjorgievska, 2022) Bất chấp các khoản chi tiêu rất lớn này, các doanh nghiệp trên toàn cầu vẫn không ngăn chặn được các vi phạm an toàn do nhân viên không tuân thủ chính sách của doanh nghiệp (Gwebu, Wang,

& Hu, 2020) Trong khi đó, tại Diễn đàn cấp cao chuyển đổi số Việt Nam-châu Á

2023, ngày 24/05/2023 vừa qua, Phó Thủ tướng Trần Hồng Hà đặc biệt nhấn mạnh yêu cầu bảo đảm an toàn, an ninh thông tin, dữ liệu cá nhân, tổ chức; an ninh quốc gia; tiêu chuẩn công nghệ, phần mềm trong chuyển đổi số Điều này đòi hỏi sự hợp tác giữa các doanh nghiệp và nhà khoa học (nguồn từ báo Điện tử Chính phủ nước Cộng hòa Xã hội Chủ nghĩa Việt Nam) Xét ở góc độ kế toán kiểm toán, điều này đã được Bộ Tài chính, các Hội Nghề nghiệp, và người làm khoa học nhận thức nghiêm túc cũng như có sự chuẩn bị dài hạn, chẳng hạn, tại hội thảo “Cách mạngCông nghệ 4.0 thời cơ và thách thức, với kế toán, kiểm toán” do Cục Quản lý –Giám sát kế toán và kiểm toán (Bộ Tài chính) phối hợp với Hiệp hội Kế toán Công chứng Anh quốc (ACCA) tổ chức vào tháng 07/2018, PGS.TS Đặng Văn Thanh -Chủ tịch Hội kế toán và kiểm toán Việt Nam (VAA) cho biết: ”Kế toán là một trong các lĩnh vực dẫn đầu về ứng dụng công nghệ thông tin”, bên cạnh các lợi thế cho phép tích hợp các dịch vụ đáp ứng nhu cầu đa dạng của xã hội, cách mạng công nghệ 4.0 cũng đặt ra nhiều vấn đề cho doanh nghiệp nói chung và kế toán nói riêng.Ông Phạm Sỹ Danh - Chủ tịch Hiệp hội kiểm toán viên hành nghề Việt Nam(VACPA) đánh giá thách thức lớn nhất mà ngành kế toán, kiểm toán đang gặp phải hiện nay là bảo mật, với sự phát triển của công nghệ số và xu hướng chuyển dần sang điện toán đám mây, những lỗ hổng an toàn có rủi ro tăng theo Đứng ở góc độ học thuật, Silic và Back (2014) đã tổng kết và nhận thấy chỉ có 5% nghiên cứu về mảng an toàn thông tin từ năm 1993 đến năm 2012 tập trung vào khía cạnh con người, trong khi đó Karlsson và cộng sự (2015) lưu ý rằng các nhà nghiên cứu tương đối ít chú ý đến mối tương quan giữa văn hóa địa phương của nhân viên và hành vi an toàn thông tin của họ (AlGhamdi và cộng sự, 2022) Khi đứng ở góc độ của mỗi cá nhân trong một tổ chức để tìm hiểu về thực trạng này cho thấy sự tồn tại của doanh nghiệp trong nền kinh tế số phụ thuộc trọng yếu vào hệ thống thông tin (HTTT) Mỗi hệ thống con (như hệ thống thông tin bán hàng, hệ thống thông tin nhân sự, hệ thống thông tin kế toán, …) trong HTTT của đơn vị đều có dữ liệu có giá trị và nguồn lực cần được quản lý và đảm bảo an toàn (Cavusoglu và cộng sự, 2004; Ifinedo, 2011) Mối đe dọa chính đối với an toàn HTTT không chỉ đến từ yếu tố công nghệ mà còn xuất phát bởi nhân tố con người không tuân thủ các chính sách và thủ tục an toàn HTTT của tổ chức (Pahnila và cộng sự, 2007a). Nhận thức được điều này, đã có sự quan tâm tăng lên đáng kể của các nhà nghiên cứu tập trung tìm ra các nhân tố có thể dự báo ý định hành vi tuân thủ chính sách an toàn hệ thống thông tin (CSAT HTTT) và hành vi vi phạm của người dùng cuối. Các nghiên cứu chủ yếu dựa trên lý thuyết ngăn chặn tổng quát (General Deterrence Theory – GDT), lý thuyết răn đe (Deterrence Theory – DT), lý thuyết động lực bảo vệ (Protection Motivation Theory – PMT), lý thuyết hành động hợp lý (Theory ofReasoned Action – TRA), lý thuyết hành vi dự định (Theory of Planned Behavior –TPB) Các bài báo đã công bố có thể được phân loại thành hai mảng chính: mảng tìm hiểu về các nhân tố dẫn đến hành vi vi phạm CSAT HTTT và mảng còn lại tập trung vào các nhân tố dẫn đến hành vi tuân thủ CSAT HTTT Tuy nhiên, phần lớn các nghiên cứu trên đều tập trung vào HTTT, hầu như vẫn còn khá ít nghiên cứu ở thế giới và Việt Nam đặt trong bối cảnh hệ thống thông tin kế toán (HTTTKT) Hơn nữa, các nghiên cứu hiện hành chỉ đang dừng lại ở hành vi tuân thủ CSAT HTTT,câu hỏi tiếp theo là việc tuân thủ hay vi phạm CSAT HTTT sau đó sẽ có tác động đến hệ thống của tổ chức ra sao? Đây là vấn đề nghiên cứu đầy tiềm năng chờ khai phá Hiện nay trên thế giới cũng như tại Việt Nam, theo tìm hiểu của tác giả, chưa có nhiều nghiên cứu làm rõ các nhân tố ảnh hưởng đến hành vi tuân thủ chính sách an toàn của HTTTKT Để làm rõ hơn sự cần thiết của đề tài, tác giả dựa vào tổng quan nghiên cứu nhằm giải thích cho ý định và hành vi tuân thủ CSAT HTTT, đề tài kết hợp các lý thuyết đã – đang được vận dụng phần lớn là PMT, DT, và TPB. Theo PMT, có 2 cơ chế động cơ xuất phát từ việc đánh giá về mối đe dọa và đánh giá để đối phó nhằm dự báo ý định của một cá nhân tham gia vào các hành động bảo vệ: Nhận thức đánh giá về mối đe dọa (threat appraisal): mô tả mức độ nguy hiểm gây ra bởi một cá nhân từ một sự kiện đe dọa (Rogers, 1983) bao gồm: cảm nhận đánh giá của cá nhân về xác suất xảy ra của các sự kiện đe dọa, và cảm nhận đánh giá về mức độ nghiệm trọng của hậu quả đến từ sự kiện đe dọa đó Nhận thức đánh giá về việc đối phó (coping appraisal) đề cập đến việc một cá nhân đánh giá khả năng đối phó và ngăn chặn thiệt hại tiềm tàng phát sinh từ sự kiện đe dọa (Woon, Tan, & Low, 2005) bao gồm hiệu quả bản thân, hiệu quả phản ứng, chi phí phản ứng; trong bối cảnh nghiên cứu hành vi tuân thủ CSAT HTTT: hiệu quả bản thân đề cập đến mức độ tự tin vào khả năng, kỹ năng và biện pháp cần thiết của chính bản thân cá nhân để bảo đảm an toàn cho HTTT của tổ chức; hiệu quả phản ứng đề cập đến niềm tin về lợi ích thu nhận được từ hành vi, cụ thể là mức độ tự tin vào khả năng, kỹ năng và biện pháp cần thiết của chính bản thân cá nhân để bảo đảm an toàn cho HTTT của tổ chức; chi phí phản ứng nhấn mạnh các chi phí cơ hội phát sinh từ việc áp dụng tuân thủ CSAT HTTT Sau khi tiến hành tổng quan nghiên cứu, trong bối cảnh có rất ít nghiên cứu về các nhân tố ảnh hưởng đến hành vi tuân thủ chính sách an toàn của HTTTKT trên cả thế giới lẫn Việt Nam, nghiên cứu thực nghiệm gần đây nhất về mảng này của nhóm Nguyen và cộng sự (2023) đã làm rõ các nhân tố nào thuộc PMT và TRA có tác động đến hành vi tuân thủ CSAT HTTTKT của nhân viên tại Việt Nam: nghiên cứu này cho thấy tại Việt Nam thái độ tuân thủ CSAT HTTTKT có tác động đến ý định tuân thủ và hành vi tuân thủ; ý định tuân thủ dự đoán được hành vi tuân thủ CSAT HTTTKT; tuy nhiên, nhận thức đánh giá về mối đe dọa không dư đoán được ý định, hành vi tuân thủ CSAT HTTTKT; chỉ một phần nhận thức đánh giá về việc đối phó có tác động đến hành vi tuân thủ CSAT HTTTKT; chuẩn chủ quan thuộc cấu trúc của TRA có ảnh hưởng đến hành vi tuân thủ CSAT HTTTKT nhưng không dự báo được ý định tuân thủ.

Do đó, tác giả cảm nhận có thể có mối quan hệ giữa khía cạnh văn hóa của nhân viên và hành vi an toàn thông tin của cá nhân đó; từ đây luận án mong muốn quan tâm, chú ý vai trò của khía cạnh văn hóa trong việc tuân thủ, xem xét vận dụng bổ sung lý thuyết TPB để làm rõ tâm lý né tránh sự bất trắc trong việc một cá nhân hình thành các hành vi tuân thủ của mình Đối với các cấu trúc của PMT, mục tiêu nghiên cứu của luận án bỏ qua nhận thức đánh giá về mối đe dọa, không xem xét hiệu quả bản thân và chi phí phản ứng (với lập luận mức độ tự tin vào khả năng, kỹ năng của chính bản thân và cảm nhận về chi phí cơ hội để có thể bảo đảm an toàn cho HTTT của doanh nghiệp của mỗi cá nhân là khá hạn chế tại Việt Nam), tập trung tìm hiểu nghiên cứu về hiệu quả phản ứng của nhận thức đánh giá về việc đối phó với kỳ vọng ở Việt Nam, khi một cá nhân sở hữu đủ kiến thức cần thiết về một cơ chế hiệu quả được đề xuất và có niềm tin về cơ chế đó có thể bảo vệ tổ chức khỏi mối đe dọa hoặc nguy hiểm, lúc này cá nhân đó nhiều khả năng sẽ tuân thủ, chấp nhận áp dụng các thủ tục, chính sách được ban hành tại doanh nghiệp đó Ngoài ra, với kết quả nhận thức đánh giá về mối đe dọa không dư đoán được ý định, hành vi tuân thủ CSAT HTTTKT của Nguyen và cộng sự (2023), tác giả muốn tìm hiểu bổ sung cơ chế răn đe, cụ thể luận án kết hợp lý thuyết răn đe (DT) với PMT và TPB với mong muốn tìm hiểu: thay vì nhấn mạnh vào động cơ tự tin, tự nhận thức cần tuân thủ của cá nhân, liệu rằng sự hiện diện của những hình phạt/chế tài nghiêm khắc cho việc vi phạm CSAT HTTTKT có điều chỉnh được thái độ, ý định và hành vi thực thi, tuân thủ theo CSAT HTTTKT mà doanh nghiệp ban hành hay là không.

Từ các lập luận trên đây cho thấy việc đảm bảo cho chính sách an toàn củaHTTTKT được thi hành là vấn đề cấp thiết ở cả góc độ khoa học lẫn góc độ ứng dụng cho các tổ chức Khi chính sách an toàn của HTTTKT bị vi phạm, các sự kiện tiềm tàng, các nguy cơ sẽ trở thành rủi ro đe dọa mục tiêu của tổ chức, đe dọa chất lượng hệ thống của tổ chức Một trong các nguyên nhân chính dẫn đến chính sách an toàn không hữu hiệu là nhân viên có xu hướng bỏ qua các biện pháp an toàn để nhanh chóng hoàn thành nhiệm vụ được phân công (Post & Kagan, 2007) Từ đây, tên đề tài “Việc tuân thủ chính sách an toàn hệ thống thông tin kế toán và chất lượng hệ thống thông tin kế toán trong doanh nghiệp Việt Nam” đã được tác giả lựa chọn cho luận án.

Mục tiêu nghiên cứu

Từ phần lập luận về sự cần thiết của đề tài phía trên, luận án xác định mục tiêu nghiên cứu như sau:

Mục tiêu tổng quát : Nghiên cứu này được thực hiện nhằm tìm hiểu về việc tuân thủ chính sách an toàn HTTTKT và chất lượng HTTTKT của người dùng HTTTKT trong doanh nghiệp Việt Nam

Mục tiêu nghiên cứu cụ thể : Mục tiêu nghiên cứu của luận án được cụ thể hóa thành các câu hỏi nghiên cứu sau đây:

 Mức độ nghiêm trọng của răn đe, hiệu quả phản ứng, xu hướng né tránh sự bất trắc có ảnh hưởng như thế nào đến thái độ và ý định tuân thủ CSAT HTTTKT?

 Thái độ tuân thủ CSAT HTTTKT có tác động như thế nào đến ý định và hành vi tuân thủ CSAT HTTTKT?

 Ý định tuân thủ CSAT HTTTKT có ảnh hưởng như thế nào đến hành vi tuân thủ CSAT HTTTKT?

 Hành vi tuân thủ CSAT HTTTKT có tác động như thế nào đến chất lượngHTTTKT?

Vấn đề nghiên cứu và phạm vi nghiên cứu

Luận án đặt ra vấn đề nghiên cứu là ảnh hưởng của mức độ nghiêm trọng của răn đe, hiệu quả phản ứng, xu hướng né tránh sự bất trắc đến thái độ và ý định tuân thủCSAT HTTTKT; ảnh hưởng của thái độ tuân thủ CSAT HTTTKT đến ý định và hành vi tuân thủ CSAT HTTTKT; ảnh hưởng của ý định tuân thủ CSAT HTTTKT đến hành vi tuân thủ CSAT HTTTKT; và ảnh hưởng của hành vi tuân thủ CSAT HTTTKT đến chất lượng HTTTKT.

Vấn đề nghiên cứu trên được đặt trong phạm vi bối cảnh ở Việt Nam, tiến hành khảo sát vào đầu năm 2022 với đơn vị phân tích là cá nhân (người dùng hệ thống thông tin kế toán) làm việc trong các doanh nghiệp tại Việt Nam.

Phương pháp nghiên cứu

Sau khi tổng kết lý thuyết, nghiên cứu và xây dựng mô hình nghiên cứu, tác giả tiến hành thu thập dữ liệu với đối tượng thu thập dữ liệu là các người dùng HTTTKT đang làm việc tại các doanh nghiệp – những người làm việc trong các chức năng kế toán và các chức năng khác có liên quan đến các thành phần đầu vào, xử lý, đầu ra, lưu trữ, kiểm soát của HTTTKT, sử dụng máy tính và Internet như một phần của thói quen làm việc hàng ngày để tham gia công tác kế toán và an toàn thông tin kế toán tại các doanh nghiệp Việt Nam

Luận án sử dụng phương pháp nghiên cứu định lượng, với nội dung tổng kết lý thuyết, tổng quan nghiên cứu làm cơ sở cho việc đề xuất mô hình đo lường và mô hình cấu trúc; thiết lập bảng câu hỏi, tổ chức thu thập dữ liệu với đơn vị phân tích ở cấp độ cá nhân; phân tích và kiểm định mô hình đo lường, mô hình cấu trúc, và thực hiện các kiểm định bổ sung; đưa ra kết luận và hàm ý Sau quá trình thu thập dữ liệu, các mối quan hệ được đặt ra ở mô hình nghiên cứu được tác giả tiến hành kiểm định (luận án sử dụng kỹ thuật PLS-SEM trong phân tích dữ liệu trên nền tảng của phần mềm SmartPLS phiên bản 3.0 để đánh giá mô hình đo lường và mô hình cấu trúc; bên cạnh đó, một số thủ tục kiểm định bổ sung được thực hiện trên phần mềmSPSS 24.0 để phân tích dữ liệu).

Đóng góp mới của luận án

Luận án đóng góp về lý thuyết và thực tiễn như sau: Ý nghĩa lý thuyết

Hiện tại ở thế giới và Việt Nam, hầu hết các công bố liên quan tuân thủ CSATHTTT chủ yếu tập trung vào hệ thống thông tin, luận án của tác giả bước đầu góp phần đặt dòng nghiên cứu này trong bối cảnh hệ thống thông tin kế toán (HTTTKT) Ngoài ra, theo tìm hiểu của tác giả, các công bố hiện hành cho thấy có khá ít các nghiên cứu về tuân thủ CSAT HTTT đã được thực hiện tại Việt Nam; các nghiên cứu trong nước đang bước đầu quan tâm chủ yếu tập trung vào mảng an toàn thông tin như ấn phẩm sách của Lê (2021), luận án nghiên cứu về luật bảo đảm bảo mật thông tin của ngân hàng Việt Nam của Nguyễn (2020); riêng mảng nghiên cứu về tuân thủ chính sách an toàn của toàn hệ thống thông tin tại Việt Nam cũng khá khan hiếm, gần đây nhất có công trình của nhóm tác giả Nguyen và cộng sự (2023) công bố về mảng chủ đề này.

Với mong muốn xem xét vai trò của văn hóa đối với hành vi tuân thủ CSAT HTTTKT dựa trên sự kết hợp giữa lý thuyết răn đe với lý thuyết hành vi dự định trong đó, khái niệm về xu hướng né tránh sự bất trắc (Kellaris và Jung, 2004) có quan điểm phù hợp với khái niệm khả năng kiểm soát hành vi được nhận thức (perceived behavioral control) của TPB, luận án này sẽ là một trong các nghiên cứu có đóng góp mới về kết quả nghiên cứu tác động trực tiếp của xu hướng né tránh sự bất trắc đến việc tuân thủ CSAT HTTTKT.

Bên cạnh đó, như đã phân tích, các nghiên cứu hiện hành chỉ đang dừng lại ở biến kết quả hành vi tuân thủ CSAT HTTT, nghiên cứu này của tác giả góp phần đi tiên phong trả lời câu hỏi tiếp theo là việc tuân thủ hay vi phạm CSAT HTTTKT sau đó sẽ có tác động đến chất lượng HTTTKT của tổ chức ra sao, đây là đóng góp tiềm năng vào ý nghĩa lý thuyết của luận án. Ý nghĩa thực tiễn

Việc mô hình nghiên cứu của luận án kết hợp vận dụng các khái niệm của nhiều lý thuyết như PMT, TPB, DT tác động đến chất lượng HTTTKT với kỳ vọng nếu kết quả nghiên cứu có đủ bằng chứng thực nghiệm thì bên cạnh ý nghĩa lý thuyết, luận án cũng sẽ là tài liệu có ý nghĩa thực tiễn quan trọng đối với các tổ chức quan tâm đến việc quản lý nhằm đảm bảo người dùng HTTTKT tuân thủ chính sách an toànHTTTKT, từ đó nâng cao chất lượng HTTTKT cho tổ chức Với các khái niệm thuộc các lý thuyết đã vận dụng vào mô hình nghiên cứu, các tổ chức có thể quan tâm nhiều hơn đến việc nâng cao hiệu quả phản ứng, vận dụng phù hợp xu hướng né tránh sự bất trắc của các kế toán viên nói riêng và người dùng HTTTKT nói chung tại Việt Nam, cũng như kết hợp các biện pháp trừng phạt vừa đủ tính răn đe cần thiết (mức độ nghiêm trọng của răn đe) để từ đó tạo cho người dùng HTTTKT có nhận thức và động lực đúng cho hành vi tuân thủ chính sách an toàn củaHTTTKT Các chương trình giáo dục và đào tạo cũng cần thiết kế đưa vào chương trình các môn học nâng cao thái độ nhận thức và ý định của học viên về vai trò và tầm quan trọng của hành vi tuân thủ chính sách an toàn HTTTKT trong thời đại công nghệ 4.0 hiện nay.

Cấu trúc của luận án

Tác giả trình bày luận án theo kết cấu 6 chương như sau:

Chương 1: Giới thiệu – Trình bày các nội dung về tính cấp thiết của luận án, mục tiêu nghiên cứu, vấn đề nghiên cứu, phạm vi nghiên cứu, phương pháp nghiên cứu, và đóng góp mới của luận án.

Chương 2: Tổng quan nghiên cứu – Tổng kết các nghiên cứu thực nghiệm, việc vận dụng các lý thuyết nền (LTN), và khoảng trống nghiên cứu của luận án.

Chương 3: Cơ sở lý thuyết và xây dựng mô hình nghiên cứu – Trình bày các khái niệm và các lý thuyết nền được sử dụng trong luận án

Chương 4: Phương pháp nghiên cứu – Trình bày quy trình nghiên cứu, thang đo các khái niệm nghiên cứu, cách thức thu thập dữ liệu, cũng như quy trình và kỹ thuật phân tích dữ liệu

Chương 5: Kết quả nghiên cứu và bàn luận – Trình bày về quá trình kiểm định mô hình đo lường, mô hình cấu trúc; và bàn luận kết quả nghiên cứu

Chương 6: Kết luận và hàm ý – Từ kết quả nghiên cứu của chương 5, tác giả trình bày kết luận, đồng thời chỉ ra hàm ý, hạn chế, định hướng nghiên cứu tương lai.

TỔNG QUAN NGHIÊN CỨU

Các nhân tố thuộc về cá nhân dự báo cho hành vi tuân thủ chính sách an toàn thông tin

Kết quả tổng hợp 26 bài báo công bố mới nhất từ năm 2010 đến nay cho thấy, trong các các nhân tố ảnh hưởng đến ý định và hành vi tuân thủ CSAT HTTT, các biến độc lập xuất phát từ tự bản thân nội tại của cá nhân tác động đến ý định và hành vi tuân thủ CSAT HTTT của cá nhân đó được tác giả nhận diện như sau:

Thứ nhất, hiệu quả bản thân (self-efficacy) (nhận thức đánh giá về việc đối phó – coping appraisal) là biến độc lập được chú ý nhiều nhất trong các nghiên cứu về hành vi tuân thủ CSAT HTTT (Aurigemma, 2013; Bélanger và cộng sự, 2017; Hooper và Blunt, 2020; Ifinedo, 2012, 2014; Liu và cộng sự, 2020; Safa và cộng sự, 2015; Siponen và cộng sự, 2010b; T Alanazi và cộng sự, 2020; Warkentin và cộng sự, 2016; Warkentin và cộng sự, 2015; Yoon và Kim, 2013) Tự tin vào năng lực bản thân nhấn mạnh khả năng hoặc phán đoán của một cá nhân về khả năng đối phó hoặc thực hiện hành vi được khuyến nghị của cá nhân đó (Bvàura, 1977) Trong bối cảnh nghiên cứu (BCNC) hành vi tuân thủ CSAT HTTT, hiệu quả bản thân đề cập đến mức độ tự tin vào khả năng, kỹ năng và biện pháp cần thiết của chính bản thân cá nhân để bảo đảm an toàn cho hệ thống thông tin của tổ chức Ifinedo (2012),Aurigemma (2013), Ifinedo (2014), Siponen và cộng sự (2010b), Hooper và Blunt(2020) tập trung vào việc khám phá tác động trực tiếp của sự tự tin vào năng lực bản thân đối với ý định hành vi tuân thủ CSAT HTTT kết quả Theo Warkentin và cộng sự (2015), hiệu quả bản thân vừa là tiền đề ảnh hưởng trực tiếp đến ý định tuân thủ vừa có tác động trung gian đến mối quan hệ giữa cảm nhận về mức độ nghiêm trọng (perceived severity) và ý định tuân thủ CSAT HTTT Tiếp tục hướng nghiên cứu này, Warkentin và cộng sự (2016) chỉ ra ý định tuân thủ CSAT HTTT tiếp tục có tác động trung gian đến mối quan hệ giữa hiệu quả bản thân và hành vi dựa trên tính toán kết quả (outcome continuance behavior), từ đó đưa ra kết luận sự tự tin (hiệu quả bản thân) có ảnh hưởng đáng kể đến hành vi bảo vệ của nhân viên. Trong mô hình nghiên cứu của T Alanazi và cộng sự (2020) cho thấy sự tự tin vào năng lực bản thân có tác động trung gian đến mối quan hệ giữa hành vi tuân thủ pháp luật và kết quả của hành vi tuân thủ bảo mật thông tin Kết quả của nghiên cứu này chỉ ra hiệu quả bản thân là nhân tố ảnh hưởng mạnh nhất đến hành vi tuân thủ an toàn thông tin Safa và cộng sự (2015) kết luận rằng sự tự tin vào năng lực bản thân ảnh hưởng tích cực đến hành vi có ý thức bảo mật thông tin trong lĩnh vực chăm sóc y tế của nhân viên và kiểm soát hành vi được nhận thức có tác động trung gian đến mối quan hệ giữa trải nghiệm an toàn thông tin với sự tham gia hành vi có ý thức bảo mật thông tin trong lĩnh vực chăm sóc sức khỏe của nhân viên y tế (hiệu quả bản thân được xem là khả năng kiểm soát hành vi được nhận thức của lý thuyết TPB) Bélanger và cộng sự (2017) chỉ ra rằng hiệu quả bản thân về bảo mật có tác động tích cực đến ý định sớm tuân thủ các thay đổi về chính sách an ninh Yoon và Kim (2013) công bố thái độ có tác động trung gian đến mối quan hệ giữa biến độc lập hiệu quả bản thân và ý định hành vi của nhân viên Trong khi đó, nghiên cứu gần đây nhất của Liu và cộng sự (2020) chỉ ra rằng hệu quả bản thân có tác động trung gian đến mối quan hệ giữa cam kết của tổ chức và hành vi tuân thủ.

Thứ hai, hiệu quả phản ứng (response efficacy) (nhận thức đánh giá về việc đối phó – coping appraisal) cũng là một trong những biến độc lập được quan tâm nhiều nhất trong các nghiên cứu về hành vi tuân thủ CSAT HTTT Hiệu quả phản ứng đề cập đến niềm tin về những lợi ích thu được từ các hành động được thực hiện bởi cá nhân (Rogers, 1983) Nói cách khác, trong BCNC hành vi tuân thủ CSAT HTTT, hiệu quả phản hồi đề cập đến niềm tin của một cá nhân vào hiệu quả của các biện pháp được đề xuất trong CSAT HTTT của donh nghiệp Kết quả đánh giá của luận án về biến hiệu quả phản ứng được chỉ ra trong bảng 2.7 sau đây:

Bảng 2.7 Hiệu quả phản ứng trong nghiên cứu tuân thủ CSAT HTTT

Nguồn: Tổng hợp của tác giả

Tác giả (Năm) Biến độc lập Biến trung gian Biến kết quả

(2010b) Hiệu quả phản ứng Ý định tuân thủ Hành vi tuân thủ

Ifinedo (2012) Hiệu quả phản ứng Ý định tuân thủ CSAT

HTTT Aurigemma (2013) Hiệu quả phản ứng Thái độ tuân thủ Hành vi tuân thủ

Yoon và Kim (2013) Hiệu quả phản ứng Thái độ Ý định tuân thủ bảo mật Warkentin và cộng sự

Cảm nhận về mức độ nghiêm trọng Hiệu quả phản ứng Ý định tuân thủ Hooper và Blunt

(2020) Hiệu quả phản ứng Ý định hành vi

Thứ ba, trong các công bố về hành vi tuân thủ CSAT HTTT, các nhà nghiên cứu cũng tập trung tìm hiểu ảnh hưởng của cảm nhận về mức độ nghiêm trọng (perceived severity) (nhận thức đánh giá về mối đe dọa – threat appraisal) Mức độ nghiêm trọng của mối đe dọa mô tả nhận thức của một cá nhân về tác động tiềm ẩn của các mối đe dọa đó Nói cách khác, cảm nhận về mức độ nghiêm trọng đề cập đến niềm tin của một cá nhân về mức độ nghiêm trọng của mối đe dọa (Witte, 1992) Ifinedo (2012), Warkentin và cộng sự (2015), Warkentin và cộng sự (2016) tập trung vào việc khám phá tác động trực tiếp của cảm nhận về mức độ nghiêm trọng đối với biến kết quả ý định hành vi tuân thủ CSAT HTTT Johnston và Warkentin (2010) đã kết luận rằng mức độ nghiêm trọng của mối đe dọa được nhận thức ảnh hưởng đến ý định hành vi thông qua biến trung gian là sự tự tin vào năng lực bản thân Bélanger và cộng sự (2017) cho rằng cảm nhận về mức độ nghiêm trọng có tác động tích cực đến thái độ đối với sự thay đổi bắt buộc của chính sách an toàn mới Cả Yoon và Kim (2013) và Aurigemma (2013) đều công bố cảm nhận về mức độ nghiêm trọng ảnh hưởng đến ý định hành vi bảo mật thông qua biến trung gian thái độ bảo mật

Các biến độc lập khác trong mảng nghiên cứu về ý định và hành vi tuân thủ CSATHTTT vẫn đang tiếp tục được khám phá trong nhiều nghiên cứu: cảm nhận về điểm yếu tiềm ẩn (perceived vulnerability) (nhận thức đánh giá về mối đe dọa – threat appraisal) (Aurigemma, 2013; Bélanger và cộng sự, 2017; Ifinedo, 2012; Yoon và Kim, 2013); nhận thức về tuân thủ CSAT HTTT (Bélanger và cộng sự, 2017; J Han và cộng sự, 2017; Johnston và Warkentin, 2010; Safa và cộng sự, 2015; T Alanazi và cộng sự, 2020; Warkentin và cộng sự, 2016; Warkentin và cộng sự, 2015); mức độ nghiêm trọng của răn đe (sanction severity/punishment severity) (Aurigemma, 2013; Warkentin và cộng sự, 2015); kinh nghiệm (Blythe và Coventry, 2018; Safa và cộng sự, 2015; Safa và cộng sự, 2016); sự chắc chắn của răn đe (detection certainty/sanction certainty) (Safa và cộng sự, 2019; Warkentin và cộng sự, 2015), cảm nhận về sự chắc chắn của răn đe (perceived deterrent certainty), cảm nhận về mức độ nghiêm trọng của răn đe (perceived deterrent severity), cảm nhận về tính chính đáng (perceived legitimacy), cảm nhận về sự tương thích giá trị (perceived value congruence) (Son, 2011); cảm nhận bên trong về quan hệ nhân quả (internal perceived locus of causality); cảm nhận bên ngoài về quan hệ nhân quả (external perceived locus of causality) (Kranz và Haeussinger, 2014); thái độ đối với việc tuân thủ CSAT HTTT (Ifinedo, 2012); vốn tâm lý (psychological capital) (Burns và cộng sự, 2017); trách nhiệm, sự sở hữu về tâm lý (Blythe và Coventry, 2018); tôn giáo/đạo đức, đặc điểm tính cách, đặc điểm nhân khẩu học (T Alanazi và cộng sự, 2020); cảm nhận sự tham gia của quản lý cấp cao (Hu và cộng sự, 2012); sự răn đe, niềm tin theo chuẩn mực chung (Siponen và cộng sự, 2010b); cảm nhận về khả năng kiểm soát, cảm nhận về lợi ích của việc tuân thủ, cảm nhận về chi phí từ việc không tuân thủ (Aurigemma, 2013); sự hài lòng trong công việc (Hovav và D’Arcy, 2012); cảm nhận về sự hỗ trợ của tổ chức (Hovav và D’Arcy, 2012; Sharma và Warkentin, 2019); khám phá (detection) (Hooper và Blunt, 2020) Với dòng công bố thuộc mảng an toàn HTTT, nhiều lý thuyết được áp dụng để nhận diện, giải thích tác động của các biến độc lập thuộc về nội tại tự nhận thức bên trong ở cấp độ cá nhân này đến ý định, hành vi tuân thủ CSAT HTTT (các LTN có liên quan luận án sẽ được trình bày trong chương 2).

Các nhân tố thuộc về môi trường bên ngoài dự báo cho hành vi tuân thủ chính sách an toàn thông tin

Bên cạnh các nhân tố xuất phát từ nội tại của từng cá nhân tác động đến việc tuân thủ các CSAT HTTT, các tiền tố tồn tại khách quan thuộc về môi trường bên ngoài cũng trở thành các biến độc lập ảnh hưởng đến ý định và hành vi tuân thủ CSAT HTTT của cá nhân đó Kết quả tổng kết 26 bài báo công bố mới nhất từ năm 2010 đến nay đã chỉ ra các nhân tố tố thuộc về môi trường bên ngoài dự báo cho thái độ, ý định, và hành vi tuân thủ CSAT HTTT như sau:

Thứ nhất, chuẩn chủ quan (subjective norms) là biến độc lập được quan tâm nhiều nhất trong các nghiên cứu về hành vi tuân thủ CSAT HTTT (Aurigemma, 2013; Hooper và Blunt, 2020; Ifinedo, 2012; Safa và cộng sự, 2016; T Alanazi và cộng sự, 2020; Yazdanmehr và Wang, 2016) Hooper và Blunt (2020) xem chuẩn chủ quan là một khái niệm mô tả nhận thức về quan điểm của người khác đối với việc thực hiện các hành vi bảo mật thông tin và bao gồm các chuẩn mực xã hội, phát hiện và trừng phạt) Chuẩn chủ quan dựa trên mô hình giá trị kỳ vọng về sự hình thành thái độ của Ajzen và Fishbein (1975): Ý định tham gia vào một hành vi cụ thể dựa trên chuẩn chủ quan và thái độ đối với hành vi đó Nếu một người mong đợi một kết quả tích cực và cảm thấy những người quan trọng khác sẽ khuyến khích hành vi đó, thì sẽ dẫn đến kết quả ý định tích cực ấy sẽ được hình thành để dẫn đến hành vi thực tế.Trong BCNC hành vi tuân thủ CSAT HTTT, các chuẩn chủ quan là các quy tắc,niềm tin và động lực về việc tuân thủ CSAT HTTT do môi trường tạo ra cho nhân viên thông qua tham khảo ý kiến hoặc quan sát từ hành vi của những người xung quanh họ Ifinedo (2012), Aurigemma (2013), Safa và cộng sự (2016), Hooper vàBlunt (2020) tập trung khám phá tác động trực tiếp của chuẩn chủ quan đối với ý định hành vi tuân thủ CSAT HTTT T Alanazi và cộng sự (2020) cho thấy các chuẩn chủ quan có tác động trung gian đến mối quan hệ giữa chi phí tuân thủ/không tuân thủ với hành vi tuân thủ an toàn thông tin Một trong những nghiên cứu gần đây nhất, Ali và cộng sự (2020) đã chỉ ra các chuẩn mực cá nhân có tác động trung gian đến mối quan hệ giữa năng lực làm việc với ý định tuân thủ chính sách an toàn.

Thứ hai, cam kết (commitment) cũng là một trong những biến độc lập được chú ý nhiều nhất trong các nghiên cứu về hành vi tuân thủ CSAT HTTT Bên cạnh đó, biến độc lập này còn được coi là nhân tố trung gian trong các mô hình nghiên cứu của nhiều tác giả Kết quả tổng hợp được chỉ ra trong bảng 2.8 sau:

Bảng 2.8 Cam kết trong nghiên cứu tuân thủ CSAT HTTT

Nguồn: Tổng hợp của tác giả

Tác giả (Năm) Biến độc lập Biến trung gian Biến kết quả

Aurigemma (2013) Cam kết an toàn của tổ chức Ý định hành vi Hành vi thực tế

Ifinedo (2014) Cam kết của tổ chức Thái độ đối với việc tuân thủ CSAT HTTT Ý định hành vi tuân thủ CSAT HTTT

Cam kết của ban lãnh đạo cấp cao về an toàn Văn hóa an toàn Ý định tuân thủ an toàn Safa và cộng sự

(2016) Cam kết của tổ chức Thái độ đối với tuân thủ Ý định hành vi tuân thủ

Cảm nhận về hỗ trợ từ tổ chức Cam kết của tổ chức Ý định tuân thủ chính sách an toàn Liu và cộng sự

(2020) Giám sát cấp dưới Cam kết của tổ chức Hành vi tuân thủ

Thủ tục và chính sách an toàn Cam kết của tổ chức Ý định tuân thủ chính sách an toàn

Các biến độc lập khác trong mảng nghiên cứu về ý định và hành vi tuân thủ CSAT HTTT này vẫn đang tiếp tục được các nhà khoa học nhận diện và nghiên cứu, chi tiết như sau: chương trình giáo dục, huấn luyện và nhận thức về an toàn (SETA – security education, training, và awareness program) (Ali và cộng sự, 2020; J Han và cộng sự, 2017); môi trường đạo đức có tính nguyên tắc (principle ethical climate) (Yazdanmehr và Wang, 2016); sự tham dự (involvement) (Ifinedo, 2014; Safa và cộng sự, 2015; Safa và cộng sự, 2016); chi phí phản ứng (response cost) (Hooper và Blunt, 2020; Ifinedo, 2012; Liu và cộng sự, 2020); sự gắn bó (attachment) (Ifinedo, 2014; Safa và cộng sự, 2016); chi phí tuân thủ (Aurigemma, 2013; T Alanazi và cộng sự, 2020); chính sách an toàn, hậu quả pháp lý/hình phạt pháp lý (T Alanazi và cộng sự, 2020); biện pháp xử lý mang tính thủ tục, biện pháp xử lý kỹ thuật (Hovav và D’Arcy, 2012); đánh giá độ nhạy cảm của thông tin tại nơi làm việc (WISA – workplace information sensitivity appraisal) (Blythe và Coventry, 2018); lợi ích phản ứng (Hooper và Blunt, 2020); thông tin liên lạc an ninh, giám sát máy tính(D'Arcy và Greene, 2014); chia sẻ tri thức, can thiệp, cộng tác (Safa và cộng sự,2016); phần thưởng (Siponen và cộng sự, 2010b); phân tích lợi ích-chi phí(Aurigemma, 2013); năng lực nơi làm việc (workplace capabilities) (Ali và cộng sự,2020).

Các nhân tố ảnh hưởng đến chất lượng hệ thống thông tin kế toán

Mảng nghiên cứu ở nước ngoài về các nhân tố tác động đến chất lượng HTTTKT bắt nguồn từ mối quan tâm của các tác giả về chất lượng hệ thống Theo mô hình hệ thống thông tin thành công của DeLone và McLean (1992), chất lượng hệ thống được đánh giá thông qua những đặc điểm kỹ thuật của hệ thống là độ chính xác, tính đáng tin cậy, dễ sử dụng, linh hoạt, Sau đó, Delone và McLean (2003) hoàn thiện định nghĩa này với công bố chất lượng hệ thống là tính chất mong muốn của một hệ thống thông tin bao gồm tính dễ sử dụng, thời gian phản hồi, khả năng thích ứng, tính chức năng, tính đáng tin cậy và tính bảo mật/an toàn Hệ thống thông tin kế toán là hệ thống con của hệ thống thông tin, với dữ liệu và thông tin kế toán chịu ảnh hưởng đặc thù của các nguyên tắc kế toán, chuẩn mực kế toán được thừa nhận; cũng như chịu tác động của yêu cầu từ nhà quản lý và tính chất tổ chức/doanh nghiệp; từ đó hệ thống thông tin kế toán (HTTTKT) có những đặc điểm riêng về nhận thức của người dùng đối với chất lượng thông tin, chất lượng hệ thống (Burchell, Clubb, Hopwood, Hughes, và Nahapiet, 1980; Hopwood, 1987) Do đó mảng nghiên cứu chất lượng HTTTKT có thể kế thừa mảng nghiên cứu tương ứng về khái niệm chất lượng hệ thống Cụ thể, Dehghanzade và cộng sự (2011) chỉ ra chất lượng hệ thống thông tin phụ thuộc và chịu ảnh hưởng rất lớn bởi thái độ, sự hiểu biết, xu hướng, tính cách, và sự hài lòng của người dùng hệ thống Ngoài ra, nghiên cứu của Carolina (2014) cho thấy có 3 nhân tố tác động đến chất lượng hệ thống thông tin kế toán (HTTTKT) là cam kết tổ chức, văn hóa tổ chức, và cơ cấu tổ chức Omar và cộng sự (2016) khi tìm hiểu về mối quan hệ giữa cơ cấu tổ chức,văn hóa tổ chức với chất lượng HTTTKT đã kết luận độ tin cậy của HTTTKT chịu tác động bởi các hành xử của các nhân viên, các nhân viên này làm việc trong môi trường văn hóa tổ chức với các quy tắc, giá trị và niềm tin để kiểm soát hành vi của những cá nhân trong doanh nghiệp Việc giáo dục, huấn luyện và đào tạo cho người dùng HTTTKT cũng có ảnh hưởng đến chất lượng của HTTTKT (Xu, 2003; Zhu và cộng sự, 1994); năng lực trình độ của mỗi nhân viên có tác động đáng kể đến chất lượng dữ liệu đầu vào trong HTTTKT, từ đó tác động đến chất lượng HTTTKT của tổ chức (Xu, 2003)

Bảng 2.9 Các nhân tố tác động đến chất lượng HTTTKT (nghiên cứu ở nước ngoài)

Nguồn: Tổng hợp của tác giả

Biến tác động đến chất lượng HTTTKT Bài nghiên cứu

Thái độ, sự hiểu biết, xu hướng, tính cách, và sự hài lòng của người dùng hệ thống

Cam kết tổ chức, văn hóa tổ chức, và cơ cấu tổ chức

Giáo dục, huấn luyện và đào tạo cho người dùng HTTTKT Xu (2003); Zhu và cộng sự (1994)

Kết quả nghiên cứu trong nước về các nhân tố tác động đến chất lượng HTTTKT cho thấy văn hóa tổ chức, cơ cấu tổ chức, … là các nhân tố được các nhà nghiên cứu chú ý và công bố tác động đến chất lượng HTTTKT nhiều nhất, cụ thể như sau:

Bảng 2.10 Các nhân tố tác động đến chất lượng HTTTKT (nghiên cứu tại Việt

Nguồn: Tổng hợp của tác giả

Biến tác động đến chất lượng HTTTKT Bài nghiên cứu

Văn hóa tổ chức Chín (2017); Ngọc (2018); Nguyệt

Cơ cấu tổ chức Chín (2017); Ngọc (2018); L H P Vy

Cam kết tổ chức Ngọc (2018); L H P Vy (2020); V T.

T Vy (2022) Huấn luyện và đào tạo người sử dụng

T Vy (2022) Chất lượng dịch vụ Chín (2017); Nhựt (2017); Quang (2021)

Chất lượng thông tin Nhựt (2017); Quang (2021)

Chất lượng hệ thống Nhựt (2017); Quang (2021)

Sự hỗ trợ của ban quản lý cấp cao Chín (2017); Nguyệt (2019)

Hiệu quả phần mềm cùng với các ứng dụng kế toán

Sự tham gia chuyên môn bên ngoài doanh nghiệp

Kỹ năng và sự hiểu biết của người sử dụng hệ thống

Lợi ích cá nhân Nhựt (2017)

Khoảng trống nghiên cứu

Đứng ở khía cạnh công nghệ, tất nhiên có nhiều giải pháp kỹ thuật để thiết lập chính sách an toàn, tuy nhiên, vấn đề phát sinh là các giải pháp này vẫn chưa đủ khả năng bảo vệ tất cả nguồn lực của HTTT (Herath và Rao, 2009b; Stanton và cộng sự, 2005) Bên cạnh các phương tiện kỹ thuật, các nhà nghiên cứu Stanton và cộng sự (2005), và Pahnila và cộng sự (2007a) đã lưu ý rằng, các tổ chức cần quan tâm đến các giải pháp phi kỹ thuật nhằm gia tăng hơn khả năng thành công trong nỗ lực bảo vệ tài sản IS quan trọng của mình.

Khi xét ở góc độ phi kỹ thuật, nhân viên của tổ chức là liên kết yếu nhất trong việc đảm bảo an toàn HTTT, đây là mối đe dọa nội bộ cho bất kỳ tổ chức nào (Stanton và cộng sự, 2005; Warkentin và Willison, 2009) Trong bối cảnh cần tập trung vào ý định hành vi tuân thủ của nhân viên, cách tiếp cận thông qua các lý thuyết thích hợp như TPB (Ajzen, 1991) và PMT (Rogers, 1983), … cần bắt đầu được tập trung nghiên cứu để nâng cao kiến thức về tuân thủ CSAT HTTTKT của nhân viên trong các tổ chức có ứng dụng công nghệ thông tin hiện nay Tổng quan nghiên cứu phía trên (các bảng từ 1.1 đến 1.10) cho thấy, phần lớn nghiên cứu trong mảng đề tài về tuân thủ CSAT HTTT thường áp dụng các lý thuyết như: lý thuyết ngăn chặn tổng quát (GDT), lý thuyết động cơ bảo vệ (PMT), lý thuyết răn đe (DT), lý thuyết hành động hợp lý (TRA), lý thuyết hành vi dự định (TPB); một số nghiên cứu bắt đầu xem xét vai trò của văn hóa đối với hành vi tuân thủ chính sách an toàn thông tin dựa trên lý thuyết răn đe (Hovav và D’Arcy, 2012) Trong dòng nghiên cứu này,Trang và Brendel (2019) đã bổ sung khái niệm xu hướng né tránh sự bất trắc

(Uncertainty Avoidance) vào mô hình nghiên cứu với lập luận rằng, đối với những cá nhân mà văn hóa của họ có xu hướng né tránh sự bất trắc ở mức độ cao hơn, các biện pháp trừng phạt của lý thuyết răn đe lúc này có vai trò như một cơ chế giúp ngăn chặn tốt hơn tình trạng các cá nhân không tuân thủ chính sách an toàn thông tin, vì các cá nhân này lo ngại rủi ro nhiều hơn so với các cá nhân có xu hướng né tránh sự bất trắc ở mức độ thấp hơn trong nền văn hóa của họ Tuy nhiên, Trang và Brendel (2019) chỉ xem xét xu hướng né tránh sự bất trắc tác động có vai trò điều tiết tác động của các biện pháp trừng phạt của DT đến hành vi tuân thủ chính sách an toàn thông tin, theo tìm hiểu của tác giả, trên thế giới và đặc biệt ở Việt Nam, có rất ít nghiên cứu tiếp tục tìm hiểu về tác động trực tiếp của xu hướng né tránh sự bất trắc đến việc tuân thủ CSAT HTTTKT Theo tác giả, nếu các cá nhân lo sợ sự không chắc chắn, họ thích duy trì thái độ, ý định và hành vi tuân thủ CSAT HTTTKT hơn là không tuân thủ những điều đó vì có khả năng bị phát hiện và đối mặt với một kết quả không chắc chắn Do vậy, với sự kết hợp giữa lý thuyết răn đe và lý thuyết hành vi dự định, trong đó, khái niệm về xu hướng né tránh sự bất trắc (Kellaris và Jung, 2004) có quan điểm phù hợp với khái niệm khả năng kiểm soát hành vi được cảm nhận (perceived behavioral control) của TPB, luận án của tác giả sẽ là một trong các nghiên cứu tiên phong đóng góp kết quả nghiên cứu về tác động trực tiếp của xu hướng né tránh sự bất trắc đến việc tuân thủ CSAT HTTTKT

Hơn nữa, với từ khóa tìm kiếm có liên quan đến “tuân thủ CSAT HTTT”, các công bố hiện hành cho thấy có khá ít các nghiên cứu về tuân thủ CSAT HTTT đã được thực hiện tại Việt Nam; các nghiên cứu trong nước đang bước đầu quan tâm chủ yếu tập trung vào mảng an toàn thông tin như ấn phẩm sách của Lê (2021), luận án nghiên cứu về luật bảo đảm bảo mật thông tin của ngân hàng Việt Nam của Nguyễn(2020); riêng mảng nghiên cứu về tuân thủ chính sách an toàn của toàn hệ thống thông tin tại Việt Nam lại càng khan hiếm, gần đây nhất có nghiên cứu của nhóm nghiên cứu Nguyen và cộng sự (2023) về mảng chủ đề này Như vậy, đối với các công trình đã công bố ở nước ngoài lẫn Việt Nam, tổng quan nghiên cứu phía trên(các bảng từ 1.1 đến 1.10) cho thấy hầu hết những công bố trên đều tập trung vào hệ thống thông tin, hầu như vẫn còn khá ít nghiên cứu đặt chủ đề này trong bối cảnh hệ thống thông tin kế toán (HTTTKT).

Ngoài ra, như đã phân tích và tổng quan nghiên cứu phía trên, các nghiên cứu hiện hành chỉ đang dừng lại ở hành vi tuân thủ CSAT HTTT Như vậy, bên cạnh kỳ vọng đóng góp kết quả nghiên cứu về tác động trực tiếp của xu hướng né tránh sự bất trắc đến việc tuân thủ CSAT HTTTKT, nghiên cứu này của tác giả mong muốn sẽ góp phần đi tiên phong trả lời câu hỏi tiếp theo là việc tuân thủ hay vi phạm CSAT HTTTKT sau đó sẽ có tác động đến chất lượng HTTTKT của tổ chức ra sao, đây là một vấn đề nghiên cứu mới đầy tiềm năng còn đang chờ được giới học thuật của thế giới và Việt Nam tiếp tục khai phá sâu trong hiện tại và tương lai.

Tóm lại, lĩnh vực tuân thủ CSAT HTTT có các khoảng trống nghiên cứu như sau:

 Thứ nhất, thiếu các nghiên cứu xem xét vai trò của văn hóa đối với hành vi tuân thủ CSAT HTTT, cụ thể là tìm hiểu về tác động trực tiếp của xu hướng né tránh sự bất trắc đến việc tuân thủ CSAT HTTTKT

 Thứ hai, thiếu các nghiên cứu các nghiên cứu về tuân thủ CSAT HTTTKT đã được thực hiện tại Việt Nam cũng như trên thế giới

 Thứ ba, thiếu các nghiên cứu trả lời câu hỏi hành vi tuân thủ hay vi phạm CSAT HTTTKT sau đó sẽ có tác động đến chất lượng HTTTKT của tổ chức ra sao

Chương 2 đã trình bày các nghiên cứu thực nghiệm có áp dụng LTN liên quan đến luận án; từ đó phân tích, tổng hợp các nghiên cứu về các nhân tố thuộc về cá nhân dự báo cho hành vi tuân thủ chính sách an toàn thông tin; các nghiên cứu về các nhân tố thuộc về môi trường bên ngoài dự báo cho hành vi tuân thủ chính sách an toàn thông tin; các nghiên cứu về các nhân tố ảnh hưởng đến chất lượng hệ thống thông tin; và nội dung khoảng trống nghiên cứu Những nội dung này của chương 2 là căn cứ khoa học để tiếp tục xây dựng các giả thuyết và mô hình nghiên cứu cho chương 3.

CƠ SỞ LÝ THUYẾT VÀ XÂY DỰNG MÔ HÌNH NGHIÊN CỨU

Các khái niệm nghiên cứu

3.1.1 Hành vi tuân thủ chính sách an toàn hệ thống thông tin kế toán

Nhu cầu an toàn máy tính và an toàn đối với thiết bị xuất hiện từ khi máy tính ra đời vào những năm 1960 Đến cuối thế kỷ 20, khi mạng máy tính trở nên phổ biến, nhu cầu kết nối các mạng với nhau cũng tăng theo đã tạo ra Internet Ban đầu, việc triển khai Internet chỉ đặt vấn đề an toàn được xem xét ở một mức độ ưu tiên thấp Khi yêu cầu đối với máy tính nối mạng chiếm ưu thế, khả năng an toàn vật lý của máy tính vật lý bị mất đi và thông tin lưu trữ trở nên dễ bị đe dọa hơn trước các mối đe dọa bảo mật, đặc biệt cuối những năm 1990 và những năm 2000, nhiều công ty lớn bắt đầu chú ý tích hợp công khai các nội dung bảo mật trong tổ chức Internet đưa hàng triệu mạng máy tính không an toàn và hàng tỷ hệ thống máy tính vào giao tiếp liên tục với nhau Tính an toàn của thông tin được lưu trữ của mỗi máy tính phụ thuộc vào mức độ bảo mật của mọi máy tính trong mạng máy tính đó Do đó, các sản phẩm chống vi-rút đã trở nên phổ biến và khái niệm an toàn thông tin bắt đầu hình thành như một quy luật độc lập

Trong những năm gần đây, nhận thức về tầm quan trọng của nhu cầu nâng cao an toàn thông tin đối với quốc phòng lẫn kinh tế ngày càng gia tăng Ủy ban Hệ thống

An ninh Quốc gia Hoa Kỳ (Committee on National Security Systems) định nghĩa an toàn thông tin là bảo vệ thông tin và các yếu tố quan trọng của nó, bao gồm các hệ thống và phần cứng dùng để sử dụng, lưu trữ và truyền tải thông tin Như vậy, khái niệm an toàn hệ thống thông tin có thể tiếp tục được phát triển từ khái niệm an toàn thông tin bởi lẽ HTTT là một yếu tố quan trọng cần được bảo vệ do có khả năng kết xuất ra thông tin Cụ thể, khái niệm an toàn HTTT được hiểu là việc bảo vệ hệ thống thông tin chống lại việc truy cập hoặc sửa đổi trái phép thông tin, dù là trong quá trình lưu trữ, xử lý hay truyền tải và chống lại việc từ chối dịch vụ đối với người dùng được ủy quyền, bao gồm các biện pháp cần thiết để phát hiện, ghi lại và phản ứng với các mối đe dọa đó (Nguồn: NSA/CSS Manual Number 3-16 (COMSEC))

Chính sách an toàn là một bộ tiêu chí được con người trong một tổ chức phối hợp thiết lập để cung cấp dịch vụ an toàn/bảo mật cho tổ chức đó (Nguồn: NIST SP 800-

53 Rev 4 – NIST là một tiêu chuẩn an toàn thông tin cung cấp danh mục các biện pháp kiểm soát an toàn và quyền riêng tư cho tất cả các HTTT liên bang của Hoa

Kỳ ngoại trừ những hệ thống liên quan đến an ninh quốc gia) Theo Lopes (2017), khái niệm CSAT HTTT là một tài liệu cần trình bày được các khuyến nghị, quy tắc, trách nhiệm và thực hành an toàn mà tổ chức phải áp dụng để đạt được mô hình bảo vệ HTTT mong muốn Việc xây dựng, soạn thảo chính sách an toàn này là một nhiệm vụ phức tạp đòi hỏi các cá nhân triển khai CSAT cần tuân thủ một loạt tính năng và thành phần có liên quan đến an toàn Bất kể số lượng tài liệu có sẵn về vấn đề này như thế nào thì việc xây dựng CSAT luôn là một nhiệm vụ khó khăn đối với các cá nhân được ủy quyền soạn thảo và ban hành chính sách này

Hệ thống thông tin kế toán là hệ thống con của hệ thống thông tin, với dữ liệu và thông tin kế toán chịu ảnh hưởng đặc thù của các nguyên tắc kế toán, chuẩn mực kế toán được thừa nhận; cũng như chịu tác động của yêu cầu từ nhà quản lý và tính chất tổ chức/doanh nghiệp; từ đó hệ thống thông tin kế toán (HTTTKT) có những đặc điểm riêng về nhận thức của người dùng đối với chất lượng thông tin, chất lượng hệ thống (Burchell, Clubb, Hopwood, Hughes, và Nahapiet, 1980; Hopwood, 1987) Do đó mảng nghiên cứu HTTTKT có thể kế thừa mảng nghiên cứu tương ứng về hệ thống thông tin.

Từ đó, vận dụng trong BCNC của luận án, khái niệm an toàn HTTTKT đề cập đến việc bảo vệ HTTTKT chống lại việc truy cập hoặc sửa đổi trái phép thông tin tài chính, dù là trong quá trình lưu trữ, xử lý hay truyền tải và chống lại việc từ chối dịch vụ đối với người dùng được ủy quyền, bao gồm các biện pháp cần thiết để phát hiện, ghi lại và phản ứng với các mối đe dọa đó Khái niệm CSAT HTTTKT là một tài liệu các cá nhân được ủy quyền soạn thảo cần trình bày được các khuyến nghị, quy tắc, trách nhiệm và thực hành an toàn mà tổ chức phải áp dụng để đạt được mô hình bảo vệ HTTTKT mong muốn Việc xây dựng, soạn thảo chính sách an toàn này là một nhiệm vụ phức tạp đòi hỏi các cá nhân triển khai CSAT hướng đến thúc đẩy sự tuân thủ chính sách cho các người dùng HTTTKT, với nỗ lực tài liệu của chính sách an toàn phải chi tiết, rõ ràng với hướng dẫn từng bước, có thể được bổ sung bằng các phương tiện trực quan, đảm bảo rằng người dùng HTTTKT biết chính xác những gì được mong đợi ở họ đối với hành vi tuân thủ, từ đó mỗi cá nhân có khả năng góp phần bảo vệ HTTTKT của tổ chức.

Trong mảng nghiên cứu về hành vi nói chung và về chính sách an toàn hệ thống thông tin (CSAT HTTT) nói riêng, các LTN chiếm ưu thế và được vận dụng thường xuyên nhất là Lý thuyết răn đe (DT), Mô hình chấp nhận công nghệ (TAM), Lý thuyết hành động hợp lý (TRA), Lý thuyết hành vi dự định (TPB), Lý thuyết ngăn chặn tổng quát (GDT) và Lý thuyết động cơ bảo vệ (PMT) (Lebek và cộng sự, 2014) Tùy thuộc vào BCNC tương ứng, cần lưu ý rằng mỗi LTN có thể được áp dụng độc lập hoặc kết hợp với các lý thuyết khác để khám phá các biến độc lập tác động đến biến kết quả hành vi, trong bối cảnh CSAT HTTT chính là hành vi tuân thủ CSAT HTTT.

Theo định nghĩa của Son (2011), hành vi tuân thủ CSAT HTTT là hành động tuân thủ các yêu cầu về trách nhiệm và nghĩa vụ của nhân viên, quản lý an ninh tổ chức, hiểu rõ các biện pháp xử phạt và đối phó với hành vi không tuân thủ Bên cạnh đó, theo Siponen và cộng sự (2010b), hành vi tuân thủ CSAT HTTT cũng được thể hiện bằng cách đo lường cách thức các cá nhân khuyến khích và hỗ trợ những người khác trong tổ chức tuân thủ CSAT HTTT Điều thú vị là các nhà nghiên cứu có xu hướng sử dụng kết hợp các lý thuyết để giải thích tác động của các biến độc lập đến hành vi tuân thủ CSAT HTTT của cá nhân, chẳng hạn như PMT, TRA và GDT (Pahnila và cộng sự, 2007a); PMT và lý thuyết nhận thức xã hội (Workman và cộng sự, 2008); PMT và GDT (Herath và Rao, 2009b); PMT và TPB (Ifinedo, 2012);

PMT và GDT (Warkentin và cộng sự, 2015) Cần lưu ý thêm, như đã lập luận từ chương trên, hệ thống thông tin kế toán là hệ thống con của hệ thống thông tin, với dữ liệu và thông tin kế toán chịu ảnh hưởng đặc thù của các nguyên tắc kế toán, chuẩn mực kế toán được thừa nhận; cũng như chịu tác động của yêu cầu từ nhà quản lý và tính chất tổ chức/doanh nghiệp (Burchell và cộng sự, 1980; Hopwood, 1987); cho nên dòng nghiên cứu về tuân thủ CSAT HTTTKT có thể kế thừa mảng nghiên cứu về tuân thủ CSAT HTTT.

Luận án này muốn sử dụng kết hợp các lý thuyết PMT (Rogers, 1975), DT (Blumstein, 1978) và TRA (Fishbein và Ajzen, 1977) nhằm mục đích giải thích và thiết lập cơ chế ảnh hưởng của các nhân tố đến hành vi tuân thủ CSAT HTTT kế toán; do đó, luận án tiếp cận khái niệm hành vi tuân thủ CSAT HTTTKT theo định nghĩa của Son (2011), nghĩa là, khi đặt ở BCNC này, hành vi tuân thủ CSAT HTTTKT là hành động tuân thủ các quy định đối với trách nhiệm và nghĩa vụ của kế toán viên và các người dùng khác có tham gia vận hành HTTTKT, tuân thủ các yêu cầu về quản lý an ninh tổ chức, cũng như hiểu rõ các biện pháp xử phạt và đối phó với hành vi không tuân thủ CSAT HTTTKT.

3.1.2 Ý định tuân thủ chính sách an toàn hệ thống thông tin kế toán

Theo mô hình được phát triển bởi Ajzen và Fishbein (1975), hành vi của một người được xác định bởi ý định hành vi của cá nhân đó để thực hiện nó Ý định này được xác định bởi thái độ và các chuẩn chủ quan của họ đối với hành vi Ý định tham gia vào một hành vi cụ thể dựa trên thái độ đối với hành vi cũng như các chuẩn chủ quan Nếu một người mong đợi một kết quả tích cực và cảm thấy rằng những người quan trọng khác sẽ khuyến khích hành vi đó, thì ý định tích cực có khả năng dẫn đến hành vi

Theo Fishbein và Ajzen (1980): “Ý định được giả định để nắm bắt các nhân tố động lực ảnh hưởng đến một hành vi; chúng là những dấu hiệu cho thấy mọi người sẵn sàng cố gắng đến mức nào, về mức độ nỗ lực mà họ sẵn sàng cố gắng để thực hiện hành vi Tiếp tục dòng nghiên cứu của mình, Ajzen (1985) đã chỉ ra rằng một số nhân tố có thể ảnh hưởng đến mối quan hệ giữa ý định và hành vi Ý định là tiền đề ngay lập tức của hành vi, được coi là dưới sự kiểm soát của ý chí Nói cách khác, TRA cho rằng hành vi cá nhân được điều khiển bởi ý định hành vi trong đó ý định hành vi là một chức năng của thái độ cá nhân đối với hành vi và các chuẩn chủ quan xung quanh việc thực hiện hành vi Từ đó, khái niệm ý định tuân thủ CSAT HTTT được nhiều nhà nghiên cứu quan tâm trong BCNC đối với CSAT HTTT Theo Herath và Rao (2009b) cho rằng ý định tuân thủ các chính sách an toàn dựa trên thái độ đối với các chính sách an toàn, các chuẩn mực được nhận thức về chính sách an toàn, và hiệu quả của việc thực hiện các hành động tuân thủ chính sách an toàn đó. Đặt vào BCNC về tuân thủ chính sách an toàn hệ thống thông tin kế toán (CSAT HTTTKT), ý định tuân thủ CSAT HTTTKT là một chức năng của thái độ cá nhân đối với hành vi tuân thủ CSAT HTTTKT và các chuẩn chủ quan xung quanh việc thực hiện hành vi tuân thủ CSAT HTTTKT đó, cũng như đối với tính hiệu quả của việc thực hiện các hành động tuân thủ CSAT HTTTKT này Đây cũng là khái niệm được lựa chọn tiếp cận theo BCNC của luận án.

3.1.3 Thái độ tuân thủ chính sách an toàn hệ thống thông tin kế toán

Theo lý thuyết TRA, Ajzen (1985) cho rằng hành vi cá nhân được điều khiển bởi ý định hành vi trong đó ý định hành vi là một chức năng của thái độ cá nhân đối với hành vi và các chuẩn chủ quan xung quanh việc thực hiện hành vi Thái độ đối với hành vi được định nghĩa là cảm xúc tích cực hoặc tiêu cực của cá nhân về việc thực hiện một hành vi Nó được xác định thông qua đánh giá về niềm tin của một người khác về các kết quả phát sinh từ một hành vi và đánh giá về tính mong muốn của những kết quả này Thái độ tổng thể có thể được đánh giá bằng tổng của các kết quả cá nhân x đánh giá mong muốn cho tất cả các kết quả kỳ vọng của hành vi Niềm tin này được xác định bởi xác suất chủ quan mà một người thực hiện một hành vi cụ thể sẽ tạo ra kết quả cụ thể tương ứng Nói cách khác, các cá nhân có niềm tin và giá trị tích cực về CSAT HTTT (thái độ tuân thủ CSAT HTTT) của tổ chức sẽ có khuynh hướng tuân thủ các quy tắc, yêu cầu và hướng dẫn của chính sách bảo mật đó (Bulgurcu và cộng sự, 2010a; Herath và Rao, 2009b) Trái lại, những cá nhân thiếu thái độ tích cực sẽ không sẵn sàng tuân thủ chính sách (Myyry và cộng sự, 2009; Pahnila và cộng sự, 2007a)

Tổng quan lý thuyết nền

3.2.1 Lý thuyết động cơ bảo vệ

Lý thuyết động cơ bảo vệ (PMT) được phát triển từ những năm 70 của thế kỷ XX với các nghiên cứu của một số tác giả tiên phong như Leventhal (1971), Bvàura (1977), Rogers (1975), Maddux và Rogers (1983), Rogers (1983), Witte (1991) Cụ thể, PMT có nguồn gốc từ mảng nghiên cứu về chủ đề khơi dậy nỗi sợ hãi (fear appeal), được sử dụng trong nỗ lực thay đổi thái độ và hành vi thuộc nhiều lĩnh vực khác nhau như liên quan đến sức khỏe trong lĩnh vực tâm lý và sức khỏe xã hội (hút thuốc lá, vệ sinh răng miệng, bệnh lao, …) Mặc dù PMT được xem có nguồn gốc từ tác giả Roger, tuy nhiên để hiểu rõ dòng nghiên cứu này cần tra cứu lại nghiên cứu khởi điểm của Leventhal (1971) với mục tiêu phân biệt giữa đánh giá nhận thức và đánh giá cảm xúc của khơi dậy nỗi sợ hãi bằng mô hình xử lý song song:

Thái độ đối với nguy hiểm và hành động

Thành phần của tình huống nguy hiểm

Thái độ đối với nguy hiểm và hành động

Hình 3.1 Các tính năng cơ bản của Mô hình song song (Leventhal, 1971)

Phần bên trái cho thấy ba loại phản ứng cơ bản - hành động, thái độ và cảm xúc - phụ thuộc vào tình huống Sợ hãi không phải là một liên kết cần thiết giữa nguy hiểm và hành động Phần bên phải minh họa sự phức tạp của tình huống nguy hiểm và các khía cạnh khác nhau của nó có thể ảnh hưởng đến hành động, thái độ và cảm xúc với giả định có thể có một số nhân tố kích thích ảnh hưởng đến các yếu tố này.

Xây dựng trên mô hình xử lý song song trên của Leventhal, Lý thuyết động cơ bảo vệ sơ khai của Rogers (1975) tập trung vào việc giải thích các quy trình liên quan đến việc đối phó với một mối đe dọa Ông lập luận rằng có ba thành phần chính của khơi dậy sợ hãi được quy cho cách mà một cá nhân sẽ phản ứng Cụ thể, trong mô tả theo công thức ban đầu của Lý thuyết động cơ bảo vệ, một giao tiếp khơi dậy nỗi sợ hãi bắt đầu các quá trình đánh giá nhận thức (cognitive appraisal processes) liên quan đến ba tiền tố đầu tiên được phác thảo như sau (1) tính độc hại hoặc mức độ nghiêm trọng của sự kiện bị đe dọa, (2) xác suất xảy ra sự kiện và (3) hiệu quả của phản ứng đối phó được khuyến nghị Các quá trình nhận thức này làm trung gian cho các tác động thuyết phục của khơi dậy nỗi sợ hãi, dẫn đến ảnh hưởng tới động cơ bảo vệ, từ đó kích hoạt, duy trì và chỉ đạo hoạt động để bảo vệ bản thân khỏi nguy hiểm

Xác suất xảy ra sự kiện

Hiệu quả của phản ứng đối phó được khuyến nghị Đánh giá mức độ nghiêm trọng

Niềm tin trong hiệu quả ứng phó Động lực bảo vệ Ý định ban hành phản ứng đối phó

Thành tố của khơi dậy nỗi sợ hãi Quá trình truyền Thay đổi thái độ dẫn nhận thức

Hình 3.2 Lược đồ Lý thuyết động cơ bảo vệ (Rogers, 1975)

Năm 1977, Bvàura đã công bố lý thuyết hiệu quả bản thân, tạo tiền đề thúc đẩy Roger cải tiến mô hình PMT Lý thuyết hiệu quả bản thân phát biểu rằng tất cả các quá trình thay đổi tâm lý hoạt động thông qua sự thay đổi của các kỳ vọng cá nhân về quyền làm chủ hoặc hiệu quả cá nhân (Bvàura, 1977) Lý thuyết này trình bày một kỳ vọng liên quan đến việc làm chủ hoặc đối phó hiệu quả có thể được xem là hai kỳ vọng độc lập: kỳ vọng kết quả, niềm tin rằng một hành vi nhất định sẽ hoặc sẽ không dẫn đến một kết quả nhất định; và một kỳ vọng về tính hiệu quả, khi một cá nhân có niềm tin rằng mình có hoặc không có khả năng thực hiện hành vi cần thiết Công trình của Bvàura và các cộng sự của ông đã xác định rằng những thay đổi trong hành vi và thay đổi về mức độ hiệu quả của bản thân có mối tương quan tích cực Điều này hàm ý rằng những thay đổi trong kỳ vọng hiệu quả bản thân làm trung gian truyền dẫn cho những thay đổi hành vi (Maddux và Rogers, 1983).

Bên cạnh đó, Beck và Lund (1981) cung cấp bằng chứng tương quan cho tầm quan trọng của hiệu quả bản thân trong việc dự đoán sự tuân thủ với một hành vi liên quan đến sức khỏe được đề nghị trong mô hình khơi dậy nỗi sợ hãi Từ đó Maddux, Rogers và cộng sự lập luận rằng nếu các kỳ vọng gây ra bằng thực nghiệm có thể tạo ra những thay đổi trong ý định hành vi thì tình huống nghiên cứu mạnh hơn có thể được thực hiện để duy trì sự kỳ vọng đó và các sự kiện nhận thức khác làm trung gian thay đổi hành vi (Maddux và cộng sự, 1982).

Từ lý thuyết hiệu quả bản thân của Bvàura và các nghiên cứu về hiệu quả bản thân đã trình bày ở trên, một bản cập nhật cho Lý thuyết động cơ bảo vệ năm 1975 được chính Maddux và Rogers (1983) tiến hành, phiên bản PMT mới này trình bày một tuyên bố rộng hơn về các tiền tố khởi xướng quá trình đối phó, giải thích đầy đủ hơn về các phương thức đối phó và bổ sung quá trình truyền dẫn nhận thức Chi tiết hơn, lý thuyết sửa đổi cố gắng đưa ra một mô hình toàn diện hơn bằng cách kết hợp lý thuyết hiệu quả bản thân (Bvàura, 1977) và đưa tiền tố hiệu quả bản thân như một quá trình truyền dẫn nhận thức thứ tư Việc bổ sung tiền tố hiệu quả bản thân đã đánh dấu sự thay đổi của PMT từ lý thuyết thay đổi hành vi dựa trên nỗi sợ hãi sang lý thuyết động lực (Maddux và Rogers, 1983)

Nguồn thông tin Quá trình truyền dẫn nhận thức Kết quả

Yếu tố thông điệp thuyết phục

Xác suất xảy ra sự kiện Cảm nhận độ nhạy cảm Thái độ

Cảm nhận mức độ nghiêm trọng Động lực Ý định

Hiệu quả phản ứng Cảm nhận hiệu quả phản ứng bảo vệ Hành vi Hiệu quả bản thân Cảm nhận hiệu quả bản thân

Hình 3.3 PMT do Maddux và Rogers (1983) cập nhật và được Witte (1991) tổng kết

Từ mô hình do Witte (1991) tổng hợp trên cho thấy, nghiên cứu Maddux và Rogers (1983) đã cố gắng sửa đổi các kỳ vọng hiệu quả bản thân thông qua những thay đổi trong ý định hành vi Ngoài việc đề xuất một thành phần thứ tư, khái niệm hiệu quả bản thân cung cấp các phương tiện để đánh giá lại PMT theo các thuật ngữ phổ quát hơn Sử dụng thuật ngữ của Bvàura, cả xác suất xảy ra và hiệu quả phản ứng đối phó (probability of occurrence và coping response efficacy) đều có thể được xem là kỳ vọng kết quả: sự kiên trì trong hành vi hiện tại sẽ dẫn đến một sự kiện không mong muốn và sau đó là việc thực hiện hành vi thay thế được đề xuất sẽ tránh được hậu quả nguy hiểm Do đó, các thành phần cơ bản của động cơ bảo vệ có thể được áp dụng cho các nỗ lực thay đổi thái độ Mục đích chính của nghiên cứu (Maddux và Rogers, 1983) là để kiểm tra sự hữu dụng của PMT với kỳ vọng hiệu quả bản thân như là một thành phần thứ tư bổ sung cho mô hình 1975 Các tác động chính xảy ra đối với xác suất xảy ra sự kiện, hiệu quả của phản ứng, mức độ nghiêm trọng của kết quả và kỳ vọng hiệu quả bản thân đối với các ý định áp dụng hành vi phòng ngừa bảo vệ sức khỏe được khuyến nghị (trong tình huống thí nghiệm này cụ thể là ý định hành vi từ bỏ hoặc giảm hút thuốc lá), với mức độ của mỗi thành phần tiền tố càng cao sẽ tạo ra ý định hành vi càng lớn và ngược lại Nói cách khác, Rogers lập luận khi tất cả các thành phần này ở mức độ từ trung bình đến cao sẽ dẫn đến một động cơ bảo vệ cá nhân cũng sẽ ở mức độ trung bình đến cao tương ứng, từ đó làm tăng khả năng thay đổi thái độ và ý định hành vi của một cá nhân.

Chưa dừng lại ở đó, sau khi hợp tác với cộng sự Maddux, trong cùng năm 1983, bản thân Rogers tiếp tục cải tiến PMT (hình 3.4), Rogers (1983) đã mở rộng mô hình thành một mô hình khác biệt giữa đánh giá mối đe dọa không lành mạnh và quy trình thẩm định đối phó thích ứng

Hình 3.4 PMT do Rogers (1983) cập nhật

Kể từ đó, PMT được công nhận là một trong những lý thuyết mạnh nhất để giải thích, dự đoán ý định của một cá nhân tham gia vào các hành động bảo vệ (C L. Vàerson và Agarwal, 2010) trong đó, động cơ bảo vệ xuất phát từ việc đánh giá về mối đe dọa và đánh giá để đối phó

Nhận thức đánh giá về mối đe dọa (Threat appraisal): PMT mô tả mức độ nguy hiểm gây ra bởi một cá nhân từ một sự kiện đe dọa (Rogers, 1983) (Woon và cộng sự, 2005) Cụ thể trong BCNC này, mối đe dọa đến từ việc không tuân thủ CSAT HTTT, bao gồm: cảm nhận đánh giá của cá nhân về xác suất xảy ra của các sự kiện đe dọa; và cảm nhận đánh giá về mức độ nghiệm trọng của hậu quả đến từ sự kiện đe dọa đó

Nhận thức đánh giá về việc đối phó (Coping appraisal) của PMT đề cập đến việc một cá nhân đánh giá khả năng đối phó và ngăn chặn tổn thất hoặc thiệt hại tiềm tàng phát sinh từ sự kiện đe dọa (Woon và cộng sự, 2005), bao gồm: o Hiệu quả bản thân (Self-efficacy): nhân tố này nhấn mạnh khả năng hoặc phán đoán của cá nhân về khả năng của họ để đối phó hoặc thi hành hành vi được khuyến nghị Đối với BCNC này, sự tự tin vào năng lực bản thân đề cập đến các kỹ năng và biện pháp cần thiết để bảo vệ thông tin của HTTT trong một tổ chức o Hiệu quả phản ứng (Response efficacy): nhân tố này liên quan đến niềm tin về lợi ích thu nhận được từ hành động mà cá nhân thực hiện (Rogers, 1983) Đối với BCNC này, sự tự tin vào năng lực phản ứng đề cập đến việc tuân thủ CSAT HTTT như một cơ chế hiệu quả để phát hiện mối đe dọa đối với tài sản HTTT của tổ chức o Chi phí phản ứng (Response cost): nhân tố này nhấn mạnh các chi phí cơ hội dựa theo lần lượt các tiêu chí tiêu chí về tiền tệ, thời gian, nỗ lực chi tiêu trong việc áp dụng hành vi được khuyến nghị Đối với BCNC này là chi phí cơ hội phát sinh từ việc áp dụng tuân thủ CSAT HTTT.

Tóm lại, trong suốt quá trình phát triển các lý thuyết khơi dậy nỗi sợ hãi, các nhà nghiên cứu đã ngày càng nhận thức được tầm quan trọng vai trò của các quá trình truyền dẫn nhận thức (cognitive mediational processes) trong việc gia tăng sức thuyết phục cho mô hình Các công thức ban đầu, chẳng hạn như mô hình giảm- thúc đẩy (drive-reduction model) (Janis, 1967), cho rằng việc kích thích trạng thái cảm xúc sợ hãi là cần thiết cho hiệu quả truyền thông khơi dậy nỗi sợ hãi Leventhal (1971) đã đề xuất một mô hình phản ứng song song (parallel response model) nhấn mạnh tầm quan trọng của việc phân biệt phản ứng cảm xúc (emotional responses) với phản ứng nhận thức (cognitive responses) (kiểm soát sợ hãi so với kiểm soát nguy hiểm) Lý thuyết động cơ bảo vệ của Rogers (1975) đã cố gắng thực hiện bước hợp lý tiếp theo để xây dựng các quá trình truyền dẫn (trung gian) nhận thức quan trọng và liên kết chúng với các tiền tố kích ứng giao tiếp (antecedent communication stimuli)

Theo Witte (1991), khơi dậy nỗi sợ hãi có hai phần Phần đầu tiên chứa các tuyên bố được thiết kế để tăng nhận thức về mối đe dọa bằng cách nói rõ mức độ nghiêm trọng của mối đe dọa (nghĩa là mức độ tổn hại liên quan đến mối đe dọa) và xác suất của mối đe dọa có thể xảy ra Phần thứ hai cố gắng nâng cao hiệu quả nhận thức liên quan đến phản ứng được đề xuất bởi (1) cung cấp các bước rõ ràng và khả thi để ngăn chặn mối đe dọa và (2) nêu bật giá trị của phản ứng được đề xuất trong việc ngăn chặn mối đe dọa Khơi dậy nỗi sợ hãi được xây dựng đúng cách không chỉ phục vụ để tạo ra nhận thức có mối đe dọa tồn tại mà còn phục vụ để truyền đạt độ nhạy cảm và mức nghiêm trọng của mối đe dọa (Witte, 1991) Từ thông điệp này, một cá nhân có thể hình thành cảm nhận về mức độ nghiêm trọng và mức độ nhạy cảm của mối đe dọa Nói cách khác, khi một cá nhân có ý thức về mối đe dọa, cá nhân đó sẽ thiết lập niềm tin về mức độ nghiêm trọng của mối đe dọa và xác suất gặp phải mối đe dọa đó.

3.2.2 Lý thuyết hành động hợp lý và lý thuyết hành vi dự định

TRA có nguồn gốc từ lĩnh vực tâm lý học xã hội Mô hình này được phát triển bởi Ajzen và Fishbein (1975) xác định mối liên hệ giữa niềm tin, thái độ, chuẩn mực, ý định và hành vi của các cá nhân Theo mô hình này, một hành vi của một người được xác định bởi ý định hành vi của cá nhân đó để thực hiện nó Ý định này được xác định bởi thái độ và các chuẩn chủ quan của họ đối với hành vi Ajzen và Fishbein (1975) định nghĩa các chuẩn chủ quan là nhận thức của cá nhân chịu tác động từ ý nghĩ nên hay không nên thực hiện một hành vi nào đấy của những người quan trọng xung quanh đối với cá nhân đó.

Lý thuyết này có thể được tóm tắt bằng phương trình sau: Ý định hành vi = Thái độ + Chuẩn chủ quan (Law, 2010)

Chuẩn chủ quan (Chuẩn mực của chủ thể)

Thái độ hướng đến hành vi Ý định hành vi

Hình 3.5 TRA (Ajzen & Fishbein, 1975) do Law (2010) tổng hợp

Lý thuyết TRA (Fishbein và Ajzen, 1980) đưa ra một lời giải thích về hành vi dựa trên ý định (động lực) để tham gia vào hành vi đó; ý định càng mạnh thì khả năng tham gia vào hành vi càng lớn Theo Fishbein và Ajzen (1980): “Ý định được giả định để nắm bắt các nhân tố động lực ảnh hưởng đến một hành vi; chúng là những dấu hiệu cho thấy mọi người sẵn sàng cố gắng đến mức nào, về mức độ nỗ lực mà họ sẵn sàng cố gắng để thực hiện hành vi” Chuẩn chủ quan là sự hình thành thái độ dựa trên mô hình giá trị kỳ vọng của Ajzen và Fishbein (1975) Lúc này, niềm tin về một hành vi cụ thể góp phần vào sự phát triển của một thái độ tổng thể đối với việc thực hiện hành động cụ thể đó Theo lý thuyết này, các chuẩn chủ quan cũng ảnh hưởng trực tiếp đến ý định

Phát triển giả thuyết và thiết kế mô hình nghiên cứu

3.3.1.1 Ảnh hưởng của mức độ nghiêm trọng của răn đe đến thái độ và ý định tuân thủ CSAT HTTTKT

Trong nghiên cứu từ lý thuyết răn đe của Blumstein (1978), các biện pháp trừng phạt được thể hiện bởi hai cấu trúc: Sự chắc chắn của răn đe và mức độ nghiêm trọng của răn đe (Blumstein và cộng sự 1978): Khi nguy cơ bị trừng phạt cao (sự chắc chắn của răn đe) và hình phạt cho hành vi vi phạm là nghiêm trọng (mức độ nghiêm trọng của răn đe), lý thuyết răn đe dự đoán rằng, lúc này những kẻ phạm tội tiềm năng sẽ bị ức chế khi thực hiện các hành vi chống đối xã hội Dubin (1978) trong mô hình tác động an toàn đã trình bày mối quan hệ lý thuyết giữa răn đe và lạm dụng máy tính Mô hình này cho thấy răn đe (phổ biến thông tin về mức độ xử phạt, chính sách sử dụng hệ thống, nỗ lực bảo mật HTTT) có tác động đến hành vi lạm dụng máy tính Lý thuyết ngăn chặn tổng quát (GDT) đề xuất rằng mối đe dọa trừng phạt có thể điều chỉnh hành vi của nhân viên khi hình phạt tiềm tàng được cân nhắc với lợi ích tiềm năng của một hành vi cụ thể GDT có ba thành phần được đề xuất có ảnh hưởng đến ý định hành vi bất hợp pháp; xử phạt, phát hiện và thực thi (Ugrin và Pearson, 2013) Nghiên cứu của Peace và cộng sự (2003) cũng chỉ ra rằng mức độ nghiêm trọng của hình phạt ảnh hưởng đáng kể đến thái độ vi phạm bản quyền phần mềm tổ chức Điều này cho thấy việc không tuân thủ các chính sách an toàn có thể được ngăn chặn bằng cách áp dụng hình phạt Nói cách khác, mức độ nghiêm trọng của răn đe có tác động đến việc đánh giá về niềm tin của một cá nhân về các kết quả không mong muốn phát sinh từ hành vi không tuân thủ CSAT HTTT và đánh giá về tính mong muốn của những kết quả này, nghĩa là tác động đến thái độ tuân thủ CSAT HTTT Đồng thời, Son (2011) cho rằng nhân viên sẽ phát triển nhận thức của họ về sự chắc chắn của răn đe và mức độ nghiêm trọng của răn đe do cả kinh nghiệm cá nhân và quan sát về hình phạt cũng như né tránh trừng phạt bởi các hành động không tuân thủ CSAT HTTT Warkentin và cộng sự (2015) cũng chỉ ra rằng mức độ nghiêm khắc của chế tài có ảnh hưởng trực tiếp đến ý định tuân thủ CSAT HTTT Bên cạnh đó, Aurigemma (2013) kết luận rằng thái độ đối với việc tuân thủ có tác động trung gian đến mối quan hệ giữa mức độ nghiêm trọng của hình phạt và ý định hành vi Hơn nữa, Safa và cộng sự (2019) cho thấy mức độ xử phạt ảnh hưởng tích cực đến thái độ của nhân viên đối với việc ngăn chặn hành vi phạm pháp trong lĩnh vực an toàn thông tin Cần lưu ý thêm, đối với BCNC trong tuân thủ CSAT HTTTKT, các thông tin kế toán được kết xuất từ hệ thống thông tin kế toán (HTTTKT) giúp hỗ trợ quản trị các nguồn lực và điều hành các hoạt động hằng ngày của doanh nghiệp (Hall, 2010); HTTTKT có nguồn lực là con người và các thiết bị hỗ trợ với mục tiêu chuyển đổi dữ liệu tài chính thành thông tin kế toán hỗ trợ nhà quản lý ra quyết định (Bodnar, 2014); và chất lượng HTTTKT có thể được đo lường qua quy trình kết xuất thông tin đầu ra dựa vào chất lượng dữ liệu đầu vào, chất lượng xử lý dữ liệu, và chất lượng đầu ra (Sacer và cộng sự, 2006); cho nên, mảng nghiên cứu về chính sách an toàn thông tin (ISP) có thể được vận dụng cho mảng chính sách an toàn hệ thống thông tin (CSAT HTTT) Như vậy, các lập luận phía trên cho thấy mức độ nghiêm trọng của răn đe cũng có ảnh hưởng đến thái độ và ý định tuân thủ CSAT HTTT của tổ chức Từ kết quả các nghiên cứu thực nghiệm vận dụng các lý thuyết GDT, DT trình bày ở trên kết hợp cùng BCNC tuân thủ CSAT HTTTKT của luận án, các giả thuyết nghiên cứu sau đây được đề xuất:

H 1a : Mức độ nghiêm trọng của răn đe có tác động cùng chiều đến thái độ tuân thủ CSAT HTTTKT

H 1b : Mức độ nghiêm trọng của răn đe có tác động cùng chiều đến ý định tuân thủ CSAT HTTTKT

3.3.1.2 Ảnh hưởng của hiệu quả phản ứng đến thái độ và ý định tuân thủ CSAT

Hiệu quả phản ứng xuất phát từ cấu trúc nhận thức đánh giá về việc đối phó (Coping appraisal) của lý thuyết động lực bảo vệ (PMT) Dựa trên PMT, theo Woon và cộng sự (2005), nhận thức đánh giá về việc đối phó đề cập đến khả năng của một cá nhân trong việc quản lý và ngăn ngừa mất mát hoặc thiệt hại tiềm ẩn phát sinh từ một sự kiện đe dọa Cụ thể, hiệu quả phản ứng liên quan đến niềm tin về lợi ích thu được từ các hành động mà cá nhân đó thực hiện (Rogers, 1983) Nghĩa là, khi một cá nhân sở hữu đủ kiến thức cần thiết về một cơ chế hiệu quả được đề xuất nhằm bảo vệ tổ chức khỏi mối đe dọa hoặc nguy hiểm, cá nhân đó nhiều khả năng sẽ tuân thủ, chấp nhận áp dụng hành vi thích nghi (Y Lee và Larsen, 2009; Rogers, 1983;Woon và cộng sự, 2005) Ngược lại, nếu cá nhân có ít niềm tin hơn về tính hiệu quả của một biện pháp, cá nhân này có thể không sẵn sàng chấp nhận, tuân thủ nó(Rippetoe & Rogers, 1987) Trong phạm vi của luận án, hiệu quả phản ứng là niềm tin của cá nhân về việc tuân thủ CSAT HTTTKT sẽ giảm thiểu mối đe dọa về an toàn một cách hiệu quả Theo đó, các cá nhân tin rằng khi CSAT HTTT trong tổ chức của họ có các hướng dẫn, cơ chế đối phó để ngăn chặn hiệu quả các mối đe dọa và nguy hiểm, các cá nhân này có nhiều khả năng sẽ phát triển thái độ, ý định áp dụng chính sách này (Herath và Rao, 2009b) Herath và Rao (2009b) cũng lưu ý rằng PMT giải thích ảnh hưởng của các nhân tố động lực – bao gồm hiệu quả phản ứng và hiệu quả bản thân – đến hành vi tuân thủ của các cá nhân trong các bối cảnh khác nhau, từ đó càng cho thấy tầm quan trọng của việc cải thiện động lực của nhân viên và xem xét ảnh hưởng của các nhân tố này đến hành vi tuân thủ Ngoài ra, dựa trên PMT, Johnston và Warkentin (2010) chỉ ra rằng hiệu quả phản ứng cũng có tác động tích cực đến ý định hành vi của nhân viên khi sử dụng các công cụ phần mềm chống phần mềm gián điệp Tương tự, theo Pahnila và cộng sự (2007a), nhận thức đánh giá về việc đối phó ảnh hưởng tích cực đến thái độ, ý định tuân thủ CSAT HTTT Trong mô hình nghiên cứu thực nghiệm, Ifinedo (2012) cũng khẳng định rằng hiệu quả bản thân, hiệu quả phản ứng và thái độ tuân thủ cũng ảnh hưởng tích cực đến ý định tuân thủ hành vi chính sách an toàn thông tin của nhân viên Trên cơ sở đó, các giả thuyết nghiên cứu sau đây được đề xuất:

H 2a : Hiệu quả phản ứng có tác động cùng chiều đến thái độ tuân thủ CSAT HTTTKT

H 2b : Hiệu quả phản ứng có tác động cùng chiều đến ý định tuân thủ CSAT HTTTKT

3.3.1.3 Ảnh hưởng của xu hướng né tránh sự bất trắc đến thái độ và ý định tuân thủ CSAT HTTTKT

Kiểm soát hành vi được nhận thức (perceived behavioral control) đóng một phần quan trọng trong lý thuyết hành vi dự định (TPB) và là điểm bổ sung khác biệt giữa

2 lý thuyết TRA và TPB Các nghiên cứu có hệ thống của Bvàura (1977) đã chỉ ra rằng hành vi của cá nhân bị ảnh hưởng mạnh mẽ bởi sự tự tin của họ về khả năng thực hiện nó (nghĩa là, bằng cách kiểm soát hành vi được nhận thức) Niềm tin về năng lực bản thân có thể ảnh hưởng đến sự lựa chọn các hoạt động, chuẩn bị cho một hoạt động, nỗ lực trong quá trình thực hiện, cũng như cách suy nghĩ và phản ứng cảm xúc (Bvàura, 1991) Từ đó cho thấy lý thuyết TPB đặt cấu trúc niềm tin của bản thân hoặc kiểm soát hành vi được nhận thức trong khuôn khổ bao quát hơn về mối quan hệ giữa niềm tin, thái độ, ý định và hành vi; cụ thể hơn, trong lý thuyết

TPB mở rộng từ lý thuyết TRA, Ajzen (1991) công bố cấu trúc kiểm soát hành vi được nhận thức/niềm tin của bản thân có tác động đến ý định hành vi của cá nhân (1).

Bàn về xu hướng né tránh sự bất trắc, tìm ra cách giải quyết/đối mặt với sự không chắc chắn này là điều tất yếu của bất kỳ thể chế/con người thuộc bất kỳ quốc gia nào Xu hướng né tránh sự bất trắc là một trong những khía cạnh của văn hóa quốc gia, được định nghĩa là “mức độ mà các thành viên của một nền văn hóa cảm thấy bị đe dọa bởi những tình huống mơ hồ/không chắc chắn hoặc chưa biết/chưa xác định” (Hofstede và cộng sự, 2010) Thay vì tìm cách giải quyết rủi ro, xu hướng né tránh sự không chắc chắn có khuynh hướng muốn làm giảm sự mơ hồ/sự không rõ ràng Vì vậy, con người trong nền văn hóa có xu hướng né tránh sự không chắc chắn dù ở mức độ cao hay thấp thì đều sẽ cố gắng thông qua cơ cấu tổ chức, thể chế và các mối quan hệ của họ để gia tăng niềm tin của bản thân cá nhân, làm cho các sự kiện mơ hồ có thể kiểm soát, có thể diễn giải, và có thể dự đoán được (2).

Từ (1), (2), và khái niệm xu hướng né tránh sự bất trắc trong BCNC tuân thủ CSAT HTTTKT đã trình bày ở mục 3.2.6 phía trên, vận dụng theo lý thuyết TPB, xu hướng né tránh sự bất trắc có thể được xem là một yếu tố thuộc về thành phần của cấu trúc kiểm soát hành vi được nhận thức/niềm tin của bản thân, điều này có nghĩa là xu hướng né tránh sự bất trắc có tác động đến ý định tuân thủ CSAT HTTTKT. Bên cạnh đó, mặc dù định nghĩa của Kellaris và Jung (2004) về xu hướng né tránh sự bất trắc ở cấp độ cá nhân là mức độ mà một cá nhân cố gắng tránh sự không chắc chắn trong phạm vi có thể; tuy nhiên, điều nghịch lý phát sinh ở đây là: các cá nhân ở những quốc gia có tâm lý né tránh sự không chắc chắn ở mức độ thấp thì mặc dù các quy tắc ít được chú trọng hơn nhưng chúng thường lại được tuân thủ tốt hơn Từ đó cho thấy rằng các cá nhân ở các nền văn hóa có xu hướng né tránh sự bất trắc khác nhau sẽ có nhận thức, thái độ và hành vi không giống nhau đối với sự cần thiết phải có các quy tắc để tuân theo các chính sách/quy định được ban hành Trên cơ sở các lập luận này, các giả thuyết nghiên cứu dưới đây được đề xuất nhằm kiểm tra tác động của xu hướng né tránh sự bất trắc đến thái độ và ý định tuân thủ CSAT HTTTKT:

H 3a : Xu hướng né tránh sự bất trắc có tác động cùng chiều đến thái độ tuân thủ CSAT HTTTKT

H 3b : Xu hướng né tránh sự bất trắc có tác động cùng chiều đến ý định tuân thủ CSAT HTTTKT

3.3.1.4 Ảnh hưởng của thái độ tuân thủ CSAT HTTTKT đến ý định và hành vi tuân thủ CSAT HTTTKT

Mối quan hệ giữa thái độ và ý định hành vi đã được kiểm định rộng rãi trong lý thuyết HTTT (Venkatesh và cộng sự, 2003) TPB của Ajzen (1991) cho thấy thái độ của cá nhân tác động đến ý định hành vi Cụ thể, thái độ tích cực sẽ làm gia tăng ý định hành vi tuân thủ CSAT HTTT của một cá nhân và ngược lại Do đó, các cá nhân có niềm tin và giá trị tích cực về CSAT HTTT của tổ chức sẽ có khuynh hướng tuân thủ các quy tắc, yêu cầu và hướng dẫn của chính sách bảo mật đó (Bulgurcu và cộng sự, 2010a; Herath và Rao, 2009b) Trái lại, những cá nhân thiếu thái độ tích cực sẽ không sẵn sàng tuân thủ chính sách (Myyry và cộng sự, 2009; Pahnila và cộng sự, 2007a) Trong mảng hành vi tuân thủ CSAT HTTT, nhiều kết quả nghiên cứu sử dụng lý thuyết TRA cho thấy thái độ có tác động tích cực đến ý định tuân thủ của cá nhân (Bulgurcu và cộng sự, 2010a; Ifinedo, 2012, 2014; Pahnila, Siponen, & Mahmood, 2007b; Safa và cộng sự, 2015; Safa và cộng sự, 2016) Trong luận án này, thái độ tuân thủ CSAT HTTTKT đề cập đến tầm quan trọng, lợi ích và sự hữu ích của việc áp dụng công nghệ và thực hành an toàn/bảo mật vào HTTTKT của tổ chức (kế thừa khái niệm thái độ tuân thủ CSAT HTTT của (Herath và Rao, 2009b)) Các nghiên cứu thực nghiệm về cơ chế tác động của thái độ tuân thủ CSAT HTTT đạt được kết quả như sau: Ifinedo (2012) khẳng định thái độ tuân thủ ảnh hưởng tích cực đến ý định hành vi tuân thủ chính sách an toàn thông tin của nhân viên; Aurigemma (2013) kết luận thái độ, kiểm soát hành vi được nhận thức, cam kết tổ chức và chuẩn chủ quan ảnh hưởng trọng yếu đến ý định hành vi Tiếp tục xu hướng dòng nghiên cứu này, Bélanger và cộng sự (2017) công bố thái độ và ý định là những nhân tố dự báo đáng kể về hành vi tuân thủ đối với chính sách an toàn thông tin Trên cơ sở các nghiên cứu thực nghiệm vận dụng các lý thuyết TPB, TRA trình bày ở trên vận dụng trong BCNC tuân thủ CSAT HTTTKT của luận án, các giả thuyết nghiên cứu sau đây được đề xuất:

H 4a : Thái độ tuân thủ CSAT HTTTKT có tác động cùng chiều đến ý định tuân thủ CSAT HTTTKT

H 4b : Thái độ tuân thủ CSAT HTTTKT có tác động cùng chiều đến hành vi tuân thủ CSAT HTTTKT

3.3.1.5 Ảnh hưởng của ý định tuân thủ CSAT HTTTKT đến hành vi tuân thủ

Theo mô hình của lý thuyết TRA, một hành vi của một người được xác định bởi ý định hành vi của cá nhân đó để thực hiện nó Ý định này được xác định bởi thái độ và các chuẩn chủ quan của họ đối với hành vi Ajzen và Fishbein (1975) định nghĩa các chuẩn chủ quan là nhận thức của cá nhân chịu tác động từ ý nghĩ nên hay không nên thực hiện một hành vi nào đấy của những người tham chiếu quan trọng xung quanh đối với cá nhân đó Tiếp tục dòng nghiên cứu của mình, Ajzen (1985) đã chỉ ra rằng một số nhân tố có thể ảnh hưởng đến mối quan hệ giữa ý định và hành vi Ý định là tiền đề ngay lập tức của hành vi, được coi là dưới sự kiểm soát của ý chí. Nói cách khác, TRA cho rằng hành vi cá nhân được điều khiển bởi ý định hành vi trong đó ý định hành vi là một chức năng của thái độ cá nhân đối với hành vi và các chuẩn chủ quan xung quanh việc thực hiện hành vi Như vậy, các lý thuyết nghiên cứu trước đây đã chỉ ra rằng ý định tuân thủ CSAT HTTT ảnh hưởng đến hành vi tuân thủ CSAT HTTT Mối quan hệ giữa ý định và hành vi đã được kiểm định rộng rãi trong lý thuyết PMT, GDT, TPB Cụ thể, Siponen và cộng sự (2006) đã nghiên cứu tác động của các khái niệm thuộc PMT đến ý định và hành vi tuân thủ CSAT HTTT Son (2011) đã nghiên cứu tác động của các khái niệm thuộc GDT đến ý định và hành vi tuân thủ chính sách an toàn thông tin Siponen và cộng sự (2010b) đã nghiên cứu tác động của các khái niệm thuộc GDT, TRA, PMT đến ý định và hành vi tuân thủ chính sách an toàn thông tin Bélanger và cộng sự (2017) đã nghiên cứu tác động của các khái niệm thuộc TPB đến ý định và hành vi tuân thủ chính sách an toàn thông tin Tất cả các nghiên cứu thực nghiệm có vận dụng LTN này đều kết luận ý định tuân thủ CSAT HTTT có tác động đến hành vi tuân thủ CSAT HTTT, từ đó giả thuyết nghiên cứu dưới đây được đề xuất:

H 5 : Ý định tuân thủ CSAT HTTTKT có tác động cùng chiều đến hành vi tuân thủ CSAT HTTTKT

3.3.1.6 Ảnh hưởng của hành vi tuân thủ CSAT HTTTKT đến chất lượng

Kế thừa mô hình hệ thống thông tin thành công (Information System Success Model – ISSM) của DeLone và McLean (1992) và tổng hợp các nghiên cứu khác, Petter và cộng sự (2013) đã xây dựng mô hình các yếu tố tác động đến sự thành công của hệ thống thông tin bao gồm 5 nhóm: tính chất tác vụ, tính chất người dùng, tính chất dự án, tính chất tổ chức và tính chất xã hội Khi nghiên cứu về mối quan hệ giữa tính chất người dùng với các thành phần của ISSM, G Lee và Xia (2011) công bố tính chất người dùng, chẳng hạn như kinh nghiệm công nghệ thông tin có tác động đến chất lượng hệ thống Đồng quan điểm, Dezdar (2012) chỉ ra kết quả nghiên cứu cho thấy thành phần tính chất người dùng có tác động mạnh đến sự thành công của hệ thống thông tin Theo mô hình chấp nhận và sử dụng công nghệ (UTAUT), với đơn vị phân tích là cá nhân, tính chất người dùng bao gồm các thành phần thuộc về kiến thức, thái độ, niềm tin, kinh nghiệm sẽ tác động đến chất lượng hệ thống thông tin cũng như ý định sử dụng hệ thống (Venkatesh và cộng sự, 2003) Như vậy, khi người dùng hệ thống sử dụng một hệ thống thông tin với kiến thức, thái độ, niềm tin, kinh nghiệm cá nhân được định hướng rõ ràng sẽ giúp họ cảm nhận được chất lượng thông tin, chất lượng hệ thống, chất lượng dịch vụ Ở BCNC về tuân thủCSAT HTTTKT tiếp cận ở góc độ sử dụng HTTTKT này, Al-Dalabih (2018) đã có công bố đáng chú ý là an toàn HTTTKT có tác động đến chất lượng dữ liệu tài chính Trong khi đó, HTTTKT có nguồn lực là con người và các thiết bị hỗ trợ với mục tiêu chuyển đổi dữ liệu tài chính thành thông tin kế toán hỗ trợ nhà quản lý ra quyết định (Bodnar, 2014) Các thông tin kế toán được kết xuất từ HTTTKT này giúp hỗ trợ quản trị các nguồn lực và điều hành các hoạt động hằng ngày của doanh nghiệp (Hall, 2010) Thông tin kế toán có chất lượng được tạo ra bởi chất lượng của HTTTKT Chất lượng HTTTKT lại phụ thuộc vào chất lượng của dữ liệu tài chính đầu vào, chất lượng dữ liệu tài chính đầu vào thấp sẽ dẫn đến kết quả đầu ra kém (Xu, 2003); nghĩa là chất lượng HTTTKT có thể được đo lường qua quy trình kết xuất tạo ra thông tin đầu ra dựa vào chất lượng dữ liệu tài chính đầu vào, chất lượng xử lý dữ liệu, và chất lượng đầu ra (Sacer và cộng sự, 2006) Điều này cho thấy khi người dùng hệ thống thông tin kế toán sử dụng HTTTKT với kiến thức, thái độ, niềm tin, kinh nghiệm cá nhân được định hướng tuân thủ CSAT HTTTKT rõ ràng sẽ giúp họ gia tăng được không chỉ chất lượng dữ liệu tài chính đầu vào mà còn hỗ trợ họ cảm nhận được sự cải thiện chất lượng của toàn bộ HTTTKT này Tóm lại, với các lập luận trên, mô hình sự thành công của hệ thống thông tin được đề xuất bởi DeLone và McLean (1992, 2016) có thể được điều chỉnh để lập luận rằng hành vi tuân thủ ảnh hưởng đến chất lượng hệ thống Cụ thể, các hệ thống được người dùng HTTTKT sử dụng tuân thủ theo chính sách an toàn sẽ ít gặp phải tình trạng lỗi/gián đoạn/nguy cơ từ vi phạm chính sách hơn, từ đó có thể làm gia tăng chất lượng hệ thống Điều này nghĩa là, khi đặt vào BCNC về tuân thủ CSAT HTTTKT, mô hình ISSM có khả năng hỗ trợ cho mối quan hệ tác động của hành vi tuân thủ CSAT HTTTKT đến chất lượng HTTTKT (3)

Kết quả nghiên cứu về các nhân tố tác động đến hành vi tuân thủ CSAT HTTTKT đã trình bày ở phần tổng quan chương 1 cho thấy cam kết của tổ chức là nhân tố thuộc về môi trường bên ngoài dự báo cho hành vi tuân thủ CSAT HTTT (Bảng 2.8 Cam kết trong nghiên cứu tuân thủ CSAT HTTT) (4a)

Trong khi đó, chất lượng HTTTKT trong nội dung tổng quan chương 1 chỉ ra rằng,bên cạnh các biến độc lập như văn hóa tổ chức và cơ cấu tổ chức, cam kết của tổ chức cũng nằm trong số các nhân tố được các nhà nghiên cứu trong/ngoài nước chú ý và công bố tác động đến chất lượng HTTTKT nhiều nhất (4b) o Theo Fery (2018), khái niệm cam kết của tổ chức hướng về hành vi, cường độ, động lực và thái độ tồn tại bên trong một cá nhân; được xác định bao gồm ba yếu tố: nhận thức mục tiêu tổ chức, có sự tham gia vào các nhiệm vụ của tổ chức, và lòng trung thành với tổ chức Cụ thể, Fery (2018) đo lường cam kết của tổ chức là thái độ đối với sự nhận dạng, sự tham gia và gắn bó của một nhân viên đối với công ty; trong đó, lòng trung thành được định nghĩa là một mong muốn mạnh mẽ của nhân viên để luôn duy trì tư cách thành viên của tổ chức; sự tham gia là sự sẵn lòng làm việc của nhân viên vì lợi ích của tổ chức; sự nhận dạng là niềm tin và sự chấp nhận mạnh mẽ của nhân viên với mục đích và giá trị của tổ chức Như vậy, có thể lập luận rằng hành vi, cường độ, động lực và thái độ tồn tại bên trong một cá nhân có thể tác động đến chất lượng HTTTKT (4c) o Văn hóa tổ chức (bao gồm các giá trị về các nguyên tắc cần tuân thủ khi truy cập dữ liệu và thông tin được ban hành, sự công nhận về giá trị sáng tạo, giá trị về sự hợp tác, sự hoàn thành công việc một các nhanh chóng, có chú ý đến kết quả công việc) dự báo được chất lượng HTTTKT (A Susanto, 2017) Cho nên, việc ban hành các nguyên tắc truy cập dữ liệu và thông tin kế toán của HTTTKT cũng như nhân viên tuân thủ các nguyên tắc này có thể có ảnh hưởng đến chất lượng HTTTKT (5) o Bên cạnh đó, Azhar Susanto (2016) cũng công bố cơ cấu tổ chức (bao gồm phân công lao động, bộ phận hóa, phạm vi quyền hạn, sự tiêu chuẩn hóa) có ảnh hưởng đến chất lượng HTTTKT Khái niệm cơ cấu tổ chức tập trung vào yếu tố tiêu chuẩn hóa và tập trung hóa của tổ chức (Katsikea và cộng sự,2011), trong đó, tiêu chuẩn hóa nghĩa là thông qua việc chuẩn hóa các công việc hàng ngày bằng cách chính sách/quy định mà tổ chức đặt ra (nhân viên được hướng dẫn các nguyên tắc, hướng dẫn và quy trình làm việc rõ ràng, thực hiện công việc của mình theo các quy định đặt ra đó, và chịu sự giám sát chặt chẽ việc tuân thủ các quy định này), còn tập trung hóa thể hiện ở việc phân chia quyền hạn, trách nhiệm và mức độ tham gia vào quá trình ra quyết định của nhân viên trong tổ chức (tập trung hóa càng cao thì mức độ phân quyền càng thấp) (Chen và Huang, 2007; Huang và cộng sự, 2010; Katsikea và cộng sự, 2011) Từ đó có thể suy luận rằng, việc nhân viên khi vận hành HTTTKT được hướng dẫn rõ ràng về các chính sách/quy định/nguyên tắc mà tổ chức đặt ra và chịu sự giám sát/phân quyền để đảm bảo tính tuân thủ các chính sách đó có thể tác động đến chất lượng HTTTKT, nói cách khác, hành vi tuân thủ CSAT HTTTKT có thể ảnh hưởng đến chất lượng HTTTKT (6)

Rõ ràng, tác động của hành vi tuân thủ CSAT HTTT đến chất lượng hệ thống thông tin thực sự có thể được hỗ trợ bởi nhiều khung lý thuyết khác nhau Với ý tưởng của luận án là việc tuân thủ các chính sách an toàn giúp đảm bảo hệ thống thông tin hoạt động tối ưu, duy trì khả năng phục hồi trước các mối đe dọa và duy trì tính toàn vẹn, bảo mật/an ninh và độ tin cậy của dữ liệu (tất cả đều là các chỉ số về chất lượng hệ thống), bên cạnh lập luận mô hình ISSM của DeLone và McLean (1992) có khả năng dẫn đến hành vi tuân thủ CSAT HTTTKT có tác động tới chất lượng HTTTKT đã được trình bày phía trên, luận án tiếp tục lập luận khả năng hỗ trợ cho mối quan hệ này từ các LTN khác như GDT, PMT, TRA, TPB như sau: o Theo lý thuyết GDT (Gibbs, 1975; Williams và Hawkins, 1986), DT (Blumstein, 1978): khi từng cá nhân nhận thức được khả năng xảy ra hậu quả tiêu cực do hành vi không tuân thủ, cá nhân đó sẽ ít có khả năng vi phạm các chính sách an toàn hơn Mức độ tuân thủ cao rõ ràng sẽ đảm bảo cho sự ổn định, an toàn và chất lượng của hệ thống. o Theo lý thuyết PMT (Bvàura, 1977; Leventhal, 1971; Maddux và Rogers, 1983; Rogers, 1975, 1983; Witte, 1991): ban đầu được xây dựng để giải thích hành vi liên quan mảng sức khỏe, PMT có thể được áp dụng cho mảng an toàn hệ thống thông tin thông qua lập luận rằng nếu từng cá nhân nhận thấy mối đe dọa thực sự (và tin vào tính hiệu quả phản ứng được đề xuất cũng như khả năng thực hiện phản ứng đó của bản thân), cá nhân đó sẽ có động lực để tuân thủ các biện pháp an toàn hệ thống thông tin Hành vi tuân thủ như vậy sẽ đảm bảo chất lượng của hệ thống thông tin bằng cách giảm thiểu sự cố bảo mật/an ninh cho hệ thống thông tin đó o Theo lý thuyết TRA (Ajzen, 1985; Ajzen và Fishbein, 1975; Fishbein và Ajzen, 1980) và lý thuyết TPB (Ajzen, 1991): Cả TRA và TPB đều có thể được sử dụng để hiểu rằng ý định hành vi (như ý định tuân thủ các CSAT HTTT) có thể tác động đến hành vi thực tế như thế nào Những ý định và hành vi này có thể ảnh hưởng trực tiếp hoặc gián tiếp đến chất lượng hệ thống.

Như vậy, tác động của hành vi tuân thủ chính sách CSAT HTTTKT đến chất lượng HTTTKT thực sự có thể được hỗ trợ bởi nhiều khung lý thuyết khác nhau như GDT, DT, PMT, TRA, TPB (từng ý thuyết nền này đã được trình bày chi tiết ở mục 2.3 tổng quan LTN) (7)

Tóm lại, từ các lập luận (3), (4a), (4b), (4c), (5), (6), (7) ở trên, với mong muốn kiểm tra ảnh hưởng của hành vi tuân thủ CSAT HTTTKT đến chất lượng HTTTKT, giả thuyết nghiên cứu được đề xuất như sau:

H 6 : Hành vi tuân thủ CSAT HTTTKT có tác động cùng chiều đến chất lượng HTTTKT

Phần trình bày về nội dung phát triển giả thuyết phía trên cho thấy có tất cả 10 giả thuyết nghiên cứu như sau:

H 1a : Mức độ nghiêm trọng của răn đe có tác động cùng chiều đến thái độ tuân thủ CSAT HTTTKT

H 1b : Mức độ nghiêm trọng của răn đe có tác động cùng chiều đến ý định tuân thủ CSAT HTTTKT

H 2a : Hiệu quả phản ứng có tác động cùng chiều đến thái độ tuân thủ CSAT HTTTKT

H 2b : Hiệu quả phản ứng có tác động cùng chiều đến ý định tuân thủ CSAT HTTTKT

H 3a : Xu hướng né tránh sự bất trắc có tác động cùng chiều đến thái độ tuân thủ CSAT HTTTKT

H 3b : Xu hướng né tránh sự bất trắc có tác động cùng chiều đến ý định tuân thủ CSAT HTTTKT

H 4a : Thái độ tuân thủ CSAT HTTTKT có tác động cùng chiều đến ý định tuân thủ CSAT HTTTKT

H 4b : Thái độ tuân thủ CSAT HTTTKT có tác động cùng chiều đến hành vi tuân thủ CSAT HTTTKT

H 5 : Ý định tuân thủ CSAT HTTTKT có tác động cùng chiều đến hành vi tuân thủ CSAT HTTTKT

H 6 : Hành vi tuân thủ CSAT HTTTKT có tác động cùng chiều đến chất lượng HTTTKT

3.3.2 Thiết kế mô hình nghiên cứu

PHƯƠNG PHÁP NGHIÊN CỨU

Quy trình nghiên cứu

Nghiên cứu này xem xét ảnh hưởng của thái độ, ý định, và hành vi tuân thủ CSAT HTTTKT của các người dùng HTTTKT đến chất lượng HTTTKT trong doanh nghiệp Việt Nam Đơn vị phân tích của luận án là cá nhân Theo đó, người dùng HTTTKT tại các doanh nghiệp ở Việt Nam được lựa chọn để thu thập dữ liệu phục vụ cho việc kiểm định mô hình cấu trúc Nghiên cứu này được thực hiện với mục đích là kiểm định các giả thuyết khoa học được suy diễn ra từ lý thuyết với dữ liệu trong bối cảnh tại Việt Nam Theo đó, quy trình nghiên cứu của luận án sẽ bao gồm hai giai đoạn được thể hiện trong sơ đồ ở hình 4.1 dưới đây.

Tổng quan nghiên cứu và lý thuyết

Xây dựng mô hình cấu trúc

Xây dựng mô hình đo lường Đề xuất thang đo

Bản thảo câu hỏi khảo sát Thử nghiệm thí điểm và điều chỉnh

Bảng câu hỏi chính thức

Hiện tượng chênh lệch do không phản hồi Tính vững chắc của dữ liệu

Các kiểm định tiền phân tích PLS-SEM Độ tin cậy Giá trị hội tụ Giá trị phân biệt Đánh giá mô hình đo lường PLS-SEM Đánh giá mô hình cấu trúc

Các kiểm định bổ sung Kiểm tra vai trò của biến trung gian

Hình 4.1 Quy trình nghiên cứu

Nguồn: Tác giả xây dựng

Giai đoạn 1: Quy trình nghiên cứu được bắt đầu bằng việc tìm kiếm, tổng hợp, phân loại các tài liệu liên quan đến chủ đề nghiên cứu Dựa vào ý tưởng nghiên cứu,tác giả tiến hành tìm kiếm các tài liệu liên quan trên những tạp chí khoa học uy tín quốc tế qua các cơ sở dữ liệu điện tử, chẳng hạn Google Scholar, ScienceDirect, Emerald, Google, Các từ khóa tác giả sử dụng để tìm kiếm như: Information Systems Security Policy, Accounting Information System, Information Systems Security Policy Compliance Behavioral Intention, Security-Related Behaviors, Actual Behaviour, Accounting Information System Quality, …

Các tài liệu sau khi tìm kiếm sẽ được phục vụ cho việc trình bày tổng quan lý thuyết; trình bày tổng quan nghiên cứu thực nghiệm nhằm tạo cơ sở cho việc xác định khe hỏng nghiên cứu và đề xuất hướng nghiên cứu cho luận án Trên cở sở kết quả tổng kết lý thuyết và tổng quan nghiên cứu, thang đo cho các khái niệm nghiên cứu và mô hình đo lường sẽ được xây dựng nhằm thể hiện mối quan hệ giữa biến tiềm ẩn và biến quan sát Đồng thời, mô hình cấu trúc cũng được đề xuất thể hiện mối quan hệ giữa các khái niệm nghiên cứu.

Dựa trên thang đo đề xuất, tác giả tiến hành xây dụng bản thảo câu hỏi khảo sát và gửi đến một nhóm chuyên gia (danh sách cụ thể tham chiếu phụ lục 1) Công việc này nhằm mục đích thu thập phản hồi từ các chuyên gia về bộ câu hỏi khảo sát, để bảo đảm rằng các thuật ngữ và nội dung của thang đo phù hợp với BCNC và câu hỏi thể hiện đúng mục tiêu khảo sát Các chuyên gia đã tập trung đưa ra những góp ý về việc chỉnh sửa dịch thuật để làm rõ ý nghĩa, đề nghị thay thế một số thuật ngữ, và chỉ ra những điểm trong bộ câu hỏi có thể gây nhầm lẫn hoặc khó hiểu Trước khi triển khai bảng câu hỏi chính thức, tác giả đã tiến hành một phiên thử nghiệm cùng với một nhóm người dùng HTTTKT (danh sách tham chiếu phụ lục 2) Mục đích của việc này là đánh giá thời gian cần thiết để hoàn thành và đảm bảo các câu hỏi dễ hiểu sau khi được chỉnh sửa Kết quả là mỗi người tham gia mất khoảng 10-

15 phút để trả lời toàn bộ và không gặp khó khăn về nội dung câu hỏi

Giai đoạn 2: Bảng câu hỏi chính thức đã hoàn thành vào cuối giai đoạn 1 sẽ được sử dụng để thu thập dữ liệu phục vụ cho việc phân tích và kiểm định mô hình.Trước hết, một số kiểm định tiền phân tích PLS-SEM sẽ được thực hiện như: đánh giá hiện tượng chệch do không phản hồi, kiểm tra tính vững chắc của dữ liệu, hay đánh giá tác động phi tuyến Kế đến, tác giả sẽ thực hiện đánh giá mô hình đo lường để đảm bảo rằng thang đo có độ tin cậy, giá trị hội tụ và giá trị phân biệt trước khi tiến hành kiểm định mô hình cấu trúc Sau cùng, mô hình cấu trúc sẽ được đánh giá cùng với một số kiểm định bổ sung như: đánh giá sức mạnh giải thích của mô hình,đánh giá khả năng dự báo của mô hình, đánh giá tác động quy mô, kiểm tra hiện tượng đa cộng tuyến; và kiểm tra vai trò của biến trung gian Kết quả có được từ quá trình xử lý dữ liệu sẽ làm cơ sở đưa ra kết luận và hàm ý.

Quy trình và kỹ thuật phân tích dữ liệu

Nghiên cứu của luận án sử dụng kỹ thuật phân tích PLS-SEM với sự hỗ trợ của phần mềm SmartPLS để phân tích dữ liệu khảo sát Quy trình và kỹ thuật phân tích dữ liệu cụ thể được trình bày trong hình 4.2 dưới đây Trước hết, các kiểm định tiền phân tích PLS-SEM sẽ được thực hiện, bao gồm: o Đánh giá hiện tượng chệch do không phản hồi (Nonresponse Bias Test) bằng cách sử dụng kiểm định t-test trên phần mềm SPSS 24.0 o Kiểm tra tính vững chắc của dữ liệu (Robustness Test), bao gồm: (1) kiểm tra hiện tượng biến thiên do phương pháp (Common Method Variance) dựa vào kiểm định đơn nhân tố của Harman (Harman’s single-factor Test) và chỉ số VIF (Variance Inflation Factor) theo đề xuất của Kock (2015); và (2) kiểm tra độ chắc chắn của ước tính thông qua phân tích FIMIX-PLS. o Đánh giá tác động phi tuyến (Nonlinear Effects) bằng kỹ thuật tạo biến bổ sung để kiểm tra các hiệu ứng bậc hai (Quadratic Effect).

Tiếp đến, mô hình đo lường sẽ được đánh giá về độ tin cậy của thang đo thông qua việc sử dụng các tiêu chí như hệ số tải (loadings), Cronbach’Alpha, rho_A, độ tin cậy tổng hợp (CR); đánh giá giá trị hội tụ với tiêu chí AVE; và đánh giá giá trị phân biệt với tiêu chí HTMT, Fornell-Larcker, và hệ số tải chéo (Cross loadings) Sau khi đánh giá và đảm bảo độ tin cậy và giá trị thang đo, mô hình cấu trúc sẽ được đánh giá nhằm kiểm định các giả thuyết nghiên cứu và các đánh giá về mô hình đường dẫn Kế đến, tác giả thực hiện một số kiểm định bổ sung như: đánh giá sức mạnh giải thích của mô hình thông qua hệ số xác định R 2 , đánh giá khả năng dự báo của mô hình đường dẫn được đánh giá thông qua giá trị Q 2 , và đánh giá tác động quy mô dựa vào hệ số f 2 Cuối cùng, tác giả thực hiện kiểm tra vai trò của biến trung gian ý định tuân thủ CSAT HTTTKT. Đánh giá độ tin cậy của thang đo

(Loaings, Cronbach's Alpha, rho_A, CR) Đánh giá giá trị hội tụ của thang đo

(Loadings, AVE) Đánh giá giá trị phân biệt của thang đo

(HTMT, Fornell-Larcker, Cross loadings)

Kiểm định tiền phân tích PLS

Test, Nonlinear Effects ) Đánh giá mô hình cấu trúc

Các kiểm định bổ sung

Kiểm tra vai trò của biến trung gian

Hình 4.2 Quy trình phân tích dữ liệu

Nguồn: Minh họa của tác giả

Khái niệm nghiên cứu và thang đo

Nghiên cứu của luận án xem xét những nhân tố ảnh hưởng đến việc tuân thủ CSATHTTTKT và ảnh hưởng của nó đến chất lượng HTTTKT trong doanh nghiệp Việt

Nam Theo mô hình nghiên cứu đề xuất được trình bày trong chương 3, có tất cả bảy khái niệm nghiên cứu cần được đo lường, bao gồm: (1) mức độ nghiêm trọng của răn đe, (2) hiệu quả phản ứng, (3) xu hướng né tránh sự bất trắc, (4) thái độ tuân thủ CSAT HTTTKT, (5) ý định tuân thủ CSAT HTTTKT, (6) hành vi tuân thủ CSAT HTTTKT, và (7) chất lượng HTTTKT Để bảm bảo độ tin cậy của các kết quả nghiên cứu, thang đo của các biến tiềm ẩn trong mô hình đều được kế thừa từ các nghiên cứu trước, theo đề xuất của D Straub, Limayem, và Karahanna-Evaristo (1995) Những thang đo này đã được phát triển, kiểm định và ứng dụng rộng rãi trong các nghiên cứu có liên quan Thông tin chi tiết về thang đo của các biến tiềm ẩn được trình bày trong những nội dung dưới đây.

4.3.1 Mức độ nghiêm trọng của răn đe

Thang đo khái niệm này được kế thừa từ nghiên cứu của Herath và Rao (2009b). Theo đó, mức độ nghiêm trọng của răn đe là một khái niệm đơn hướng dạng kết quả được đo lường bởi một tập gồm 3 biến quan sát được sử dụng để thu thập dữ liệu về nhận thức của đối tượng được khảo sát về mức độ nghiêm trọng của các biện pháp trừng phạt khi không tuân thủ CSAT HTTTKT Thang đo cụ thể được trình bày trong bảng 4.1 Thang đo này cũng được sử dụng trong nhiều nghiên cứu có liên quan (ví dụ như: Kuo và cộng sự, 2017; Merhi và Ahluwalia, 2019; Park và cộng sự, 2017).

Hiệu quả phản ứng là mức độ mà một cá nhân tin rằng các biện pháp phản ứng được áp dụng/đề xuất sẽ có hiệu lực và có thể giúp họ ngăn chặn các mối đe dọa tiềm ẩn không mong muốn (Rogers và Prentice-Dunn, 1997; Witte, 1994) Nói cách khác,hiệu quả phản ứng gắn liền với lợi ích nhận được của việc thực hiện hành động(Wu, 2020) Trong BCNC này, hiệu quả phản ứng đề cập đến việc tuân thủ CSATHTTTKT như một cơ chế hiệu quả để phát hiện mối đe dọa đối với tài sảnHTTTKT của tổ chức Thang đo khái niệm này được kế thừa từ nghiên cứu củaVance và cộng sự (2012) Theo đó, một tập gồm 3 biến quan sát được sử dụng để đo lường niềm tin của đối tượng được khảo sát về tính hiệu quả của các biện pháp được đề xuất trong CSAT HTTTKT Thang đo cụ thể được trình bày trong bảng 4.1 Thang đo khái niệm dạng kết quả này cũng được sử dụng trong nhiều nghiên cứu có liên quan (xem M S Kim và cộng sự, 2021; Marikyan và cộng sự, 2022; Putri và Hovav, 2014).

4.3.3 Xu hướng né tránh sự bất trắc

Né tránh sự không chắc chắn là mức độ một cá nhân tránh né những tình huống hoặc môi trường không chắc chắn hoặc không có cấu trúc (Hofstede, 2001) Xu hướng né tránh sự bất trắc là một khái niệm đơn hướng dạng kết quả, được đo lường bởi tập gồm 7 biến quan sát kế thừa từ công trình của Kellaris và Jung (2004) và được áp dụng rộng rãi trong nhiều nghiên cứu có liên quan (ví dụ như: D Kim và Kim, 2021; Ruiz và García, 2019; Seo và cộng sự, 2018; Seo và cộng sự, 2012). Trong nghiên cứu của luận án, thang đo này được sử dụng để thu thập dữ liệu về mức độ nỗ lực muốn né tránh các tình huống không rõ ràng của các đối tượng được khảo sát.

4.3.4 Thái độ tuân thủ chính sách an toàn hệ thống thông tin kế toán

Thái độ tuân thủ CSAT HTTTKT là khái niệm dùng để chỉ mức độ nhận thức rằng việc thực hiện hành vi tuân thủ được đánh giá là tích cực (Bulgurcu và cộng sự, 2010b) Nghiên cứu của luận án kế thừa thang đo từ nghiên cứu của Herath và Rao (2009b) Theo đó, thái độ tuân thủ CSAT HTTTKT là một khái niệm đơn hướng dạng kết quả, được đo lường bởi tập gồm 3 biến quan sát (thang đo cụ thể được trình bày trong bảng 4.1) Thang đo này được được kế thừa và sử dụng trong nhiều nghiên cứu khác nhau như AlGhamdi và cộng sự (2022); Amankwa và cộng sự (2018); Ifinedo (2012) để đo lường niềm tin, cảm xúc tích cực/tiêu cực của đối tượng được khảo sát về việc thực hiện hành vi tuân thủ CSAT HTTTKT.

4.3.5 Ý định tuân thủ chính sách an toàn hệ thống thông tin kế toán Ý định tuân thủ CSAT HTTTKT là ý định của nhân viên trong việc bảo vệ tài nguyên thông tin và công nghệ của tổ chức khỏi các vi phạm an ninh tiềm ẩn

(Bulgurcu và cộng sự, 2010b) Thang đo khái niệm này được kế thừa từ nghiên cứu của Herath và Rao (2009b) Theo đó, ý định tuân thủ CSAT HTTTKT là khái niệm bậc nhất có thang đo đơn hướng dạng kết quả với 3 biến chỉ báo giúp biểu thị mức độ đồng ý của người trả lời với các tuyên bố liên quan đến khả năng tuân thủ các chính sách an toàn thông tin của tổ chức của họ (thang đo cụ thể được trình bày trong bảng 4.1) Ý định được đo lường bằng ý định rõ ràng về hành vi trong tương lai, sự sẵn lòng thực hiện hành vi và kỳ vọng về hành vi Thang đo này cũng được sử dụng trong nhiều nghiên cứu có liên quan (xem Ifinedo, 2012; Jeon và cộng sự, 2021) để đo lường mức độ các nhân viên sẵn sàng cố gắng, dự định nỗ lực để thực hiện hành vi tuân thủ CSAT HTTTKT.

4.3.6 Hành vi tuân thủ chính sách an toàn hệ thống thông tin kế toán

Hành vi tuân thủ đề cập đến tất cả các hành vi có chủ ý tuân theo các quy tắc và hướng dẫn được quy định trong CSAT HTTT (Trang và Brendel, 2019) Nói cách khác, hành vi tuân thủ là mức độ nhân viên tuân thủ CSAT HTTT của một tổ chức. Đây là một khía cạnh quan trọng của an toàn hệ thống thông tin vì nó đảm bảo rằng nhân viên biết về các chính sách an toàn và tuân theo chúng để bảo vệ thông tin nhạy cảm khỏi bị truy cập, sửa đổi hoặc phá hủy trái phép (Trang và Brendel, 2019) Nghiên cứu của luận án kế thừa thang đo từ nghiên cứu của Son (2011) để đo lường hành vi tuân theo quy tắc trong việc bảo vệ HTTTKT của tổ chức khỏi các sự cố an toàn tiềm ẩn Theo đó, hành vi tuân thủ là khái niệm bậc nhất có thang đo đơn hướng với 5 biến chỉ báo Thang đo cụ thể được mô tả ở bảng 4.1.

4.3.7 Chất lượng hệ thống thông tin kế toán

Có hai nhóm quan điểm khác nhau khi giải thích và đo lường khái niệm chất lượngHTTTKT Nhóm góc nhìn thứ nhất tiếp cận đo lường chất lượng HTTTKT thông qua chất lượng của các thành phần của nó như con người, phần mềm, phần cứng, (Rapina, 2014) Nhóm quan điểm thứ hai tiếp cận đo lường chất lượng HTTTKT thông qua những đặc tính được mong đợi của một hệ thống thông tin liên quan đến khả năng sử dụng và những đặc tính về hiệu suất hoạt động của HTTTKT (Fardinal, 2013; Stair và Reynolds, 2010).

Chất lượng HTTTKT là khái niệm được sử dụng để thể hiện khả năng của hệ thống trong quá trình xử lý dữ liệu và cung cấp thông tin kế toán Trong các nghiên cứu hàn lâm về hệ thống thông tin (ví dụ: Delone và McLean, 2003; Petter và McLean, 2009) chất lượng hệ thống thông tin thường được thể hiện qua những đặc tính như: tính dễ sử dụng, tính đáng tin cậy, tính tích hợp, tính linh hoạt, và tính đầy đủ (tính năng) Trên cơ sở đó, nghiên cứu của luận án tiếp cận đo lường chất lượng HTTTKT dựa trên những đặc tính được mong đợi về khả năng sử dụng và những đặc tính về hiệu suất hoạt động của hệ thống Cụ thể, nghiên cứu sử dụng thang đo chất lượng hệ thống thông tin của Hsu và cộng sự (2015) Thang cũng được sử dụng rộng rãi trong nhiều nghiên cứu liên quan (Lutfi và cộng sự, 2022) Theo đó, chất lượng HTTTKT là một khái niệm bậc 2 với hai thành phần bậc 1 gồm: chất lượng liên quan đến hệ thống, và chất lượng liên quan đến tác vụ Trong đó, chất lượng liên quan đến hệ thống được đo lường bởi tập gồm 4 biến quan sát, chất lượng liên quan đến tác vụ được đo lường bởi tập gồm 5 biến quan sát Tổng cộng có 9 biến quan sát thể hiện những đặc tính hữu ích được mong đợi của một HTTTKT như: dễ sử dụng, đáp ứng yêu cầu của người dùng, dễ học hỏi, sự chính xác của hệ thống, sự linh hoạt, đầy đủ các tính năng cần thiết, sử dụng những công nghệ mới, khả năng tùy biến, và sự tích hợp Thang đo cụ thể được trình bày trong bảng 4.1.

Bảng 4.1 dưới đây tổng hợp thang đo của tất cả khái niệm nghiên cứu được sử dụng trong luận án, các thang đo được chuyển ngữ và mã hóa nhằm tạo cơ sở cho việc thiết kế bảng câu hỏi khảo sát Để giúp đối tượng được khảo sát hiểu rõ hơn nội dung câu hỏi, thang đo các khái niệm đã được Việt hóa và diễn đạt lại, nhưng vẫn giữ nguyên ý chính của câu hỏi Để tránh trường hợp hiểu sai ý và trả lời sai câu hỏi, một số câu hỏi nghịch được chuyển đổi thành câu hỏi thuận, vì lý do các đối tượng được khảo sát ở Việt Nam có thể chưa quen với câu hỏi nghịch.

Bảng 4.1 Tổng hợp thang đo cho các khái niệm nghiên cứu

Mức độ nghiêm trọng của răn đe

Một tổ chức sẽ kỷ luật nhân viên nếu họ vi phạm chính sách an toàn hệ thống thông tin kế toán (CSAT HTTTKT).

Tổ chức của tôi có thể sa thải những nhân viên liên tục vi phạm CSAT HTTTKT.

Nếu tôi bị phát hiện vi phạm CSAT HTTTKT của tổ chức, tôi sẽ bị phạt nặng.

Các vi phạm an toàn HTTTKT sẽ giảm khi các CSAT HTTTKT trong tổ chức của tôi được tuân thủ.

Các vi phạm an toàn HTTTKT sẽ ít xảy ra nếu tôi tuân thủ các CSAT HTTTKT.

Việc tuân thủ cẩn thận các CSAT HTTTKT giúp tổ chức tránh các vấn đề phát sinh về an toàn HTTTKT.

Xu hướng né tránh sự bất trắc

Tôi thích tình huống rõ ràng hơn là tình huống không rõ ràng.

Tôi thích những hướng dẫn cụ thể hơn là các hướng dẫn chung chung.

Tôi cảm thấy lo lắng khi tôi không thể hy vọng về những kết quả đạt được.

Tôi sẽ không trải nghiệm những điều mà tôi không thể trông đợi.

Tôi không thích tình huống mơ hồ AU5 Tôi không sử dụng những thứ mà tôi không thấy thuyết phục.

Tôi có xu hướng lo lắng khi ở trong một tình huống không quen thuộc với tôi.

Việc áp dụng các công nghệ, các khuôn mẫu an ninh đã được ban hành và chấp nhận là quan trọng.

Việc áp dụng các công nghệ, các khuôn mẫu an ninh đã được ban hành và chấp nhận mang lại lợi ích.

Việc áp dụng các công nghệ, các khuôn mẫu an ninh đã được ban hành và chấp nhận là hữu ích.

AC3 Ý định tuân thủ Tôi có khả năng sẽ tuân thủ CSAT HTTTKT của IC1

Có thể tôi sẽ tuân thủ CSAT HTTTKT của tổ chức IC2

Tôi chắc chắn sẽ tuân thủ CSAT HTTTKT của tổ chức

Tôi tuân thủ CSAT HTTTKT về truy cập và sử dụng các tài sản thông tin trong tổ chức của tôi BC1 Tôi tuân thủ CSAT HTTTKT về cách thức liên lạc bằng email

Tôi tuân thủ CSAT HTTTKT về sử dụng internet và tài nguyên mạng trong nội bộ của tổ chức BC3 Tôi tuân thủ CSAT HTTTKT về bảo vệ chống vi- rút

Tôi tuân thủ CSAT HTTTKT về ngăn chặn truy cập trái phép vào hệ thống máy tính

Chất lượng liên quan đến hệ thống

HTTTKT tôi đang dùng dễ sử dụng SQ1

HTTTKT tôi đang dùng dễ học hỏi SQ2

HTTTKT tôi đang dùng xử lý dữ liệu chính xác SQ3

HTTTKT sử dụng ở mức tối thiểu các ô nhập liệu và màn hình thao tác để tôi hoàn thành một nhiệm vụ

Chất lượng liên quan đến tác vụ

HTTTKT tôi đang dùng đáp ứng yêu cầu công việc của tôi SQ5

HTTTKT tôi đang dùng có các đặc điểm và chức năng cần thiết cho công việc của tôi

Giao diện người dùng của phần mềm ứng dụng trên HTTTKT có thể dễ dàng thích nghi với cách tiếp cận cá nhân của tôi

Dữ liệu trong HTTTKT mà tôi sử dụng được tích hợp đầy đủ và nhất quán SQ8

HTTTKT của tổ chức tôi có thể dễ dàng điều chỉnh và cải tiến theo yêu cầu của tôi SQ9

Thu thập dữ liệu

4.4.1 Xác định kích thước mẫu

Theo Thọ (2011) cỡ mẫu thu thập sẽ khác nhau tùy vào phương pháp phân tích dữ liệu được sử dụng trong nghiên cứu định lượng Thực tế cho thấy vẫn còn nhiều quan điểm khác nhau liên quan đến việc xác định cỡ mẫu Theo J.F Hair và cộng sự

(2010) cỡ mẫu tối thiểu phải từ 100 đến 150 nếu sử dụng phương pháp Maximum Likelihood trong ước lượng Quan điểm của Raykov và Widaman (1995) cho rằng khi sử dụng mô hình SEM, cần sử dụng cỡ mẫu lớn để đảm bảo ước lượng độ tin cậy cần thiết của mô hình Trong khi đó, cỡ mẫu từ 100 đến 200 thường là điểm khởi đầu tốt để thực hiện việc phân tích mô hình đường dẫn, theo quan điểm của Hoyle (1995) Quan điểm của Joe F Hair và cộng sự (2012) cho rằng, số lượng các thông số ước lượng là cơ sở để xác định cỡ mẫu Nói cách khác, cỡ mẫu và các thông số ước lượng có mối tương quan với nhau Theo Joseph F Hair và cộng sự (2019) thuật toán PLS-SEM thực hiện tính toán các mối quan hệ hồi quy từng phần trong các mô hình đo lường và mô hình cấu trúc bằng cách sử dụng riêng biệt các hồi quy bình phương nhỏ nhất thông thường Do vậy, cỡ mẫu nhỏ là khả thi khi áp dụng kỹ thuật phân tích PLS-SEM cho mô hình nghiên cứu có nhiều biến tiềm ẩn và nhiều biến quan sát (Fornell và Bookstein, 1982; Joseph F Hair và cộng sự, 2019) Nhiều kết quả nghiên cứu đã chứng minh kỹ thuật phân tích PLS-SEM vẫn đảm bảo độ tin cậy của kết quả nghiên cứu trong trường hợp cỡ mẫu nhỏ (xem Chin và Newsted, 1999; Hui và Wold, 1982; Reinartz và cộng sự, 2009)

Nghiên cứu của luận án sử dụng kỹ thuật phân tích PLS-SEM trong phân tích dữ liệu, với mô hình nghiên cứu bao gồm nhiều biến tiềm ẩn và một lượng lớn các biến chỉ báo Từ căn cứ này, tác giả áp dụng cách tiếp cận xác định cỡ mẫu theo đề xuất của Joseph F Hair và cộng sự (2017) Cụ thể, theo nguyên tắc “10 lần”, cỡ mẫu tối thiểu có thể được xác định bằng 10 lần số lượng đường dẫn nhiều nhất cùng hướng về một biến tiềm ẩn cụ thể Theo đó, cỡ mẫu tối thiểu của luận án được xác định là 40.

Tuy nhiên, để nâng cao độ tin cậy của nghiên cứu, cỡ mẫu thu thập cần phải lớn hơn so với cỡ mẫu tối thiểu Do vậy, số lượng mẫu dự kiến cần thu thập cho luận án là từ 100 đến 300 quan sát.

4.4.2 Tổ chức thu thập dữ liệu

Luận án này khám phá thái độ, ý định, và hành vi của người dùng HTTTKT liên quan đến việc tuân thủ CSAT HTTTKT Do vậy, đối tượng thu thập dữ liệu của nghiên cứu là người dùng HTTTKT tại các doanh nghiệp ở Việt Nam Phương pháp chọn mẫu thuận tiện phi xác suất, kết hợp chọn phương pháp phát triển mầm nhằm thực hiện chọn mẫu Theo đó, tác giả tiến hành thu thập thông tin về các đối tượng khảo sát tiềm năng thông qua các nguồn như: thông qua bạn bè, đồng nghiệp, website của các doanh nghiệp, tìm kiếm thông qua công cụ Google, và vốn văn hóa của tác giả Mục đích của việc này là nhằm thiết lập danh mục địa chỉ thư điện tử các đối tượng khảo sát tiềm năng để phục vụ cho việc thu thập dữ liệu Đối với nghiên cứu định lượng, luận án sử dụng phương pháp khảo sát để thực hiện thu thập dữ liệu – đây là phương pháp được các công trình thuộc lĩnh vực kinh doanh áp dụng nhiều nhất (Thọ, 2011) Cụ thể, tác giả sử dụng công cụ Google Forms để tạo và gửi bảng câu hỏi khảo sát đến các đối tượng khảo sát tiềm năng thông qua danh sách địa chỉ email đã được thiết lập trước đó Bảng câu hỏi khảo sát, được xây dựng trên cơ sở thang đo của các khái niệm nghiên cứu đã được tổng hợp trong bảng 1, được gửi đến hơn 500 địa chỉ thư điện tử của các đối tượng khảo sát tiềm năng Thời gian thu thập dữ liệu của luận án từ tháng 01/2022 đến tháng 07/2022.

Chương 4 đã trình bày chi tiết về phương pháp nghiên cứu được vận dụng, cụ thể trong luận án có bảy khái niệm cần đo lường, từ hai giai đoạn chính của quy trình nghiên cứu tác giả đã hoàn thành bảng câu hỏi chính thức để thu thập dữ liệu bằng phương pháp khảo sát thông qua Google Forms, từ đó phục vụ cho việc phân tích và kiểm định mô hình với sự hỗ trợ của phần mềm SmartPLS phiên bản 3.0 (Hair và cộng sự, 2017) Kết quả có được từ quá trình xử lý dữ liệu sẽ được trình bày và bàn luận ở chương sau.

KẾT QUẢ NGHIÊN CỨU VÀ BÀN LUẬN

Kết quả thống kê mô tả

Dữ liệu được thu thập từ tháng 01/2022 đến tháng 07/2022 từ các đối tượng khảo sát của nghiên cứu này là người dùng HTTTKT đang làm việc tại các doanh nghiệp – những người làm việc trong các chức năng kế toán và các chức năng khác có liên quan đến các thành phần đầu vào, xử lý, đầu ra, lưu trữ, kiểm soát của HTTTKT, sử dụng máy tính và Internet như một phần của thói quen làm việc hàng ngày để tham gia công tác kế toán và an toàn thông tin kế toán tại các doanh nghiệp Việt Nam. Bảng câu hỏi khảo sát được thiết kế dưới dạng câu hỏi đóng đo lường bằng thang đo cấp quãng, cụ thể là thang đo Likert 7 điểm (phụ lục 3) Các nội dung trong bảng khảo sát được thiết kế dựa vào thang đo các khái niệm nghiên cứu trong các lý thuyết về đo lường

Nhằm gia tăng tỷ lệ phản hồi cho nghiên cứu, tác giả tiến hành khảo sát trực tuyến với khoảng 500 bảng khảo sát đã được gửi đến các cá nhân đang công tác tại các doanh nghiệp Việt Nam thuộc nhóm đối tượng khảo sát Tác giả nhận được phản hồi 301 bảng trả lời (tỷ lệ phản hồi là 60,02 %) Sau khi loại bỏ một số bảng trả lời không đầy đủ, kích thước mẫu chính thức của nghiên cứu này là 267 phản hồi từ các cá nhân của các doanh nghiệp Các thống kê về nhân chủng học của đối tượng trả lời khảo sát tại các doanh nghiệp được mô tả trong bảng 5.1 Các thống kê mô tả về doanh nghiệp tham gia nghiên cứu được trình bày tại bảng 5.2.

Bảng 5.1 Đặc điểm nhân chủng học của người tham gia nghiên cứu

Công việc Số lượng Tỷ lệ (%) Giới tính Số lượng Tỷ lệ (%)

Kế toán trưởng và kế toán viên

Giám đốc tài chính 5 1,9 Tổng cộng 267 100,0

Kiểm soát nội bộ 3 1,1 Tuổi

Kiểm toán nội bộ 180 67,4 < 25 tuổi 39 14,6

Khác 45 16,9 Từ 35 tuổi đến 44 tuổi 49 18,4

Trình độ cao nhất Tổng cộng 267 100,0

Cử nhân đại học 133 49,8 Quản lý cấp cao 8 3,0

Thạc sỹ 9 3,4 Quản lý cấp trung 51 19,1

Mẫu nghiên cứu chính thức có tỷ lệ người làm việc ở tuổi trung niên từ 25 tuổi đến

34 tuổi chiếm đa số với tỷ lệ là 62,9% Phần lớn trong số họ là người đang đảm nhiệm công tác kiểm toán nội bộ (tỷ lệ 67,4%) và đa số là nhân viên (chiếm tỷ lệ

77,9%) Trình độ đai học và trên đại học chiếm số đông trong mẫu nghiên cứu với tỷ lệ 53,2% Trong mẫu nghiên cứu, nam giới chiếm tỷ lệ nhiều hơn nữ giới với chênh lệch là 70% Các đặc điểm nhân chủng học này cho thấy các đối tượng tham gia khảo sát có đủ các kiến thức và kinh nghiệm làm việc trong doanh nghiệp và thực hiện các nhiệm vụ liên quan đến hệ thống thông tin kế toán (HTTTKT) và kiểm soát, an toàn thông tin kế toán Do đó, các đối tượng này có thể cung cấp các thông tin trung thực từ thế giới thực liên quan đến chủ đề nghiên cứu về chất lượng

Bảng 5.2 Thống kê mô tả doanh nghiệp nơi đối tượng được khảo sát làm việc

Loại hình sỡ hữu của doanh nghiệp

Quy mô doanh nghiệp (tổng tài sản; Đơn vị tính: tỷ đồng)

Quốc doanh (nhà nước) 29 10,9 Từ 11 đến 50 48 18,0

Liên doanh với đối tác quốc tế 6 2,2 Từ 101 đến 200 19 7,1

Liên doanh với đối tác trong nước 6 2,2 Từ 201 đến 500 15 5,6

Ngành nghề hoạt động Tổng cộng 267

Ngân hàng, bảo hiểm, quỹ đầu tư 19 7,1 Quy mô doanh nghiệp

(tổng số lượng nhân viên)

Hóa chất và dược phẩm 5 1,9 Dưới 50 113 42,3

Sữa, thực phẩm và các sản phẩm từ thịt 9 3,4 Từ 51 đến 200 80 30,0 Điện và điện tử 10 3,7 Từ 201 đến 500 25 9,4

Y tế và chăm sóc sức khỏe 13 4,9 Từ 501 đến 1,000 17 6,4

Công nghệ thông tin 6 2,2 Từ 1,001 đến 5,000 20 7,5

Bán lẻ/ bán buôn/ phân phối 46 17,2 Trên 10,000 9 3,4

Vận chuyển, chuyển phát nhanh, hậu cần (logistics) 13 4,9

Các thống kê mô tả về doanh nghiệp nơi đối tượng được khảo sát đang làm việc cho thấy có sự đang dạng loại hình sở hữu của doanh nghiệp, tuy nhiên, chiếm tỷ lệ hơn một nữa trong mẫu nghiên cứu là các doanh nghiệp tư nhân Đặc điểm mẫu này phản ánh đúng thực tế các loại hình doanh nghiệp đang hoạt động tại Việt Nam.Trong mẫu nghiên cứu, các doanh nghiệp đang hoạt động đa dạng trên các lĩnh vực khác nhau như ngân hàng, bảo hiểm, quỹ đầu tư, hóa chất và dược phẩm, sữa, thực phẩm và các sản phẩm từ thịt, điện và điện tử, y tế và chăm sóc sức khỏe, công nghệ thông tin, chế tạo, sản xuất (manufacturing), bán lẻ, bán buôn và phân phối, viễn thông, vận chuyển, chuyển phát nhanh, hậu cần (logistics) và xây dựng Do một số doanh nghiệp hoạt động trong nhiều lĩnh vực khác nhau, nghiên cứu yêu cầu người tham gia khảo sát chỉ lựa chọn một lĩnh vực hoạt động quan trọng nhất của doanh nghiệp Để đánh giá quy mô của các doanh nghiệp, nghiên cứu sử dụng tiêu chí tổng tài sản và số lượng lao động Theo tổng tài sản thì số lượng doanh nghiệp có tổng giá trị tài sản dưới 10 tỷ đồng và trên 1,000 tỷ đồng chiếm số đông với tỷ lệ lần lượt là 28,1% và 21,3% Theo tiêu chí tổng số lượng nhân viên thì các doanh nghiệp có dưới 50 nhân viên chiếm tỷ lệ 42,3%, tiếp theo là nhóm doanh nghiệp có số lượng lao động từ 51 đến 200 (tỷ lệ là 30%) Các số liệu này cho thấy mẫu nghiên cứu có sự đang dạng các quy mô doanh nghiệp, lĩnh vực hoạt động và loại hình sở hữu, hứa hẹn cung cấp các thông tin đáng tin cậy cho nghiên cứu.

Bảng 5.3 trình bày số liệu thống kê mô tả của các cấu trúc Nhìn chung các cấu trúc gồm hiệu quả phản ứng, thái độ hướng đến việc tuân thủ chính sách an toàn hệ thống thông tin kế toán (CSAT HTTTKT), ý định tuân thủ CSAT HTTTKT, và hành vi tuân thủ CSAT HTTTKT có điểm trung bình trên 6,00 Các cấu trúc còn lại bao gồm mức độ nghiêm trọng của răn đe, xu hướng né tránh sự bất trắc và chất lượng HTTTKT có trung bình giao động từ 5,56 đến 5,89 Độ lệch chuẩn của các tất cả các cấu trúc giao động trong ngưỡng từ 1,04 đến 1,46 cho thấy không có sự chênh lệch quá lớn trong câu trả lời của người tham gia khảo sát xung quanh điểm trung bình của nó Các kết quả là phù hợp để phân tích trong các giai đoạn tiếp theo.

Bảng 5.3 Thống kê mô tả các cấu trúc trong mô hình nghiên cứu

Số lượng biến Tối thiểu Tối đa Trung bình Độ lệch chuẩn

Mức độ nghiêm trọng của răn đe (Punishment severity) 3 1 7 5,64 1,46

Hiệu quả phản ứng (Response Efficacy) 3 1 7 6,14 1,20

Xu hướng né tránh sự bất trắc (Uncertainty

Thái độ tuân thủ CSAT HTTTKT (Attitude toward Compliance with CSAT HTTTKT) 3 1 7 6,05 1,14 Ý định tuân thủ CSAT HTTTKT (CSAT

Hành vi tuân thủ CSAT HTTTKT (CSAT

Chất lượng HTTTKT (HTTTKT Quality) 9 1 7 5,56 1,38

Các kiểm định tiền phân tích PLS

5.2.1 Đánh giá hiện tượng chệch do không phản hồi (Nonresponse Bias Test)

Do nghiên cứu này thu thập dữ liệu kéo dài trong 07 tháng, những người trả lời khảo sát được chia thành hai nhóm: phản hồi sớm và phản hồi muộn Nhằm đảm bảo không tồn tại hiện tương chệch do không phản hồi, nghiên cứu đã sử dụng kiểm định t-test trên phần mềm SPSS 24.0 để kiểm tra Kết quả phân tích cho thấy không có sự khác biệt có ý nghĩa thống kê trong trung bình tổng thể giữa nhóm trả lời sớm và trả lời muộn (Armstrong và Overton, 1977) Do đó, hiện tượng chệch do không phản hồi không tồn tại trong bộ dữ liệu của nghiên cứu.

5.2.2 Kiểm tra tính vững chắc của dữ liệu (Robustness Test)

Kiểm soát hiện tượng biến thiên do phương pháp (Common Method Variance – CMV) có thể xảy ra trong nghiên cứu này do kỹ thuật khảo sát được thực hiện qua kiểm định đơn nhân tố của Harman (Harman’s single-factor Test) Phân tích EFA đơn nhân tố cho thấy một nhân tố chỉ chiếm 36,603% tổng phương sai, điều này chứng minh CMV không phải là một vấn đề nghiêm trọng (Podsakoff và Organ, 1986) (phụ lục 4).

Bên cạnh đó, nghiên cứu cũng sử dụng chỉ số VIF (Variance Inflation Factor) theo đề xuất của Kock (2015) để kiểm tra hiện tượng CMV Tất cả các chỉ số VIF trình bày tại bảng 11 đều thấp hơn ngưỡng chấp nhận được là 3,3, do đó, hiện tượng CMV không tồn tại (Kock, 2015).

Kỹ thuật kiểm tra độ chắc chắn của ước tính được sử dụng trong nghiên cứu này là phân tích FIMIX-PLS nhằm kiểm tra tính không đồng nhất chưa được quan sát của dữ liệu (Hair và cộng sự, 2017) Kết quả phân tích FIMIX-PLS trên phần mềmSmartPLS dừng lại ở giải pháp phân mẫu thành hai nhóm vì kích thước của giải pháp phân mẫu thành ba nhóm là rất nhỏ (5,5%), thấp hơn ngưỡng của một nhóm hợp lý là 25% Tất cả các tiêu chí bao gồm AIC, AIC3, AIC4, BIC và CAIC đều cao nhất ở giải pháp phân mẫu thành một nhóm so với giải pháp phân mẫu thành hai và ba nhóm (bảng 5.4) Như vậy, tính không đồng nhất chưa được quan sát của dữ liệu là không tồn tại trong nghiên cứu này.

Bảng 5.4 Kết quả kiểm tra tính không đồng nhất chưa được quan sát của dữ liệu

Nguồn: Kết quả tính toán của tác giả trên phần mềm SmartPLS

Phân mẫu 1 Phân mẫu 2 Phân mẫu 3 AIC (Akaike's Information Criterion) 2424.844 1693.6 1572.964

AIC3 (Modified AIC with Factor 3) 2441.844 1728.6 1625.964

AIC4 (Modified AIC with Factor 4) 2458.844 1763.6 1678.964

MDL5 (Minimum Description Length with

Ghi chú: AIC (Akaike's Information Criterion): Tiêu chí thông tin Akaike; AIC3 (Modified

AIC with Factor 3): AIC điều chỉnh với nhân tố thứ 3; AIC4 (Modified AIC with Factor thứ 4): AIC điều chỉnh với nhân tố 4; BIC (Bayesian Information Criteria): Tiêu chí thông tin Bayesian; CAIC (Consistent AIC): AIC nhất quán.

5.2.3 Đánh giá tác động phi tuyến (Nonlinear Effects)

Các kết quả phân tích tác động phi tuyến trên SmartPLS bằng kỹ thuật tạo biến bổ sung để kiểm tra các hiệu ứng bậc hai (Quadratic Effect) được thực hiện nhằm kiểm tra các tác động phi tuyến có tồn tại trong dữ liệu của nghiên cứu hay không theo đề xuất của Hair và cộng sự (2017) Mô hình cấu trúc của nghiên cứu được bổ sung các biến QUAD cho tất cả các cấu trúc ngoại sinh trong mô hình tác động đến biến nội sinh, do đó, nghiên cứu này đã tạo ra 3 cấu trúc QUAD cho biến nội sinh AC, 4 cấu trúc QUAD cho biến nội sinh IC, 2 cấu trúc QUAD cho biến nội sinh BC và 1 cấu trúc QUAD cho biến nội sinh SQ.

Kết quả phân tích được trình bày tại bảng 5.5 cho thấy các hiệu ứng phi tuyến không tồn tại trong dữ liệu này vì tác động bậc hai của các biến ngoại sinh trong mô hình là không đáng kể tức là các giá trị p value đều lớn hơn 0,05 (Hair và cộng sự, 2017).

Bảng 5.5 Kết quả kiểm tra tác động phi tuyến

Nguồn: Kết quả tính toán của tác giả trên phần mềm SmartPLS

Đánh giá mô hình đo lường

Theo Hair và cộng sự (2016), do mô hình đo lường là mô hình biểu diễn mối quan hệ giữa biến đo lường (biến chỉ báo) với biến tiềm ẩn (khái niệm trừu tượng) mà chúng đo lường vì vậy dựa vào thang đo các khái niệm nghiên cứu được giới thiệu tại chuyên đề phương pháp nghiên cứu, nghiên cứu hình thành mô hình đo lường như minh họa tại phụ lục 5 Mô hình đo lường là dạng mô hình kết quả (reflective) bởi tất cả các biến đo lường đều có thang đo dạng kết quả.

Nghiên cứu này sử dụng kỹ thuật phân tích dữ liệu là PLS trên phần mềm SmartPLS thông qua giai đoạn gồm kiểm tra mô hình đo lường và kiểm tra mô hình cấu trúc (Hair và cộng sự, 2016) Tác giả đã đánh giá độ tin cậy và giá trị của các cấu trúc trong mô hình đo lường bằng cách kiểm tra độ tin cậy nhất quán nội bộ, giá trị hội tụ và giá trị phân biệt.

5.3.1 Đánh giá độ tin cậy nhất quán nội bộ Đầu tiên, dựa vào các hệ số tải (out loadings), nghiên cứu loại bỏ các biến gồmSQ9, UA3, UA4, UA6 và UA7 vì chúng có hệ số tải nhỏ hơn 0,7 (Hair và cộng sự,2016) Sau khi loại các biến quan này, các hệ số tải của tất cả các biến quan sát đều lớn hơn 0,7 thỏa mãn các yêu cầu để phân tích ở giai đoạn tiếp theo Phụ lục 6 trình bày các hệ số tải được kết xuất là phần mềm SmartPLS.

Bảng 5.6 trình bày hai tiêu chí đánh giá cho tính nhất quán nội tại của thang đo bao gồm độ tin cậy tổng hợp (CR), Cronbach’s alpha (CA) và rho_A Theo Hair Jr và cộng sự (2021), tất cả các cấu trúc đều có hệ số Cronbach’s alpha và rho_A trên mức 0,60 Độ tin cậy tổng hợp (CR) của tất cả các cấu trúc cũng cao hơn 0,70, ngụ ý tính nhất quán nội bộ cao (Fornell & Larcker, 1981) của các cấu trúc trong mô hình đo lường.

Bảng 5.6 Kết quả kiểm tra độ tin cậy nhất quán nội bộ và giá trị hội tụ

Nguồn: Kết quả tính toán của tác giả trên phần mềm SmartPLS

Cấu trúc Hệ số tải Cronbach' s Alpha rho_A Độ tin cậy tổng hợp (CR)

Phương sai trích trung bình (AVE)

Giá trị hội tụ được xác thực thông qua thống kê t có ý nghĩa thống kê với mỗi hệ số tải nhân tố (Hair và cộng sự, 2016) Trong nghiên cứu này, hệ số tải của mỗi biến quan sát có ý nghĩa ở mức p