Các Nghiên Cứu Về Rủi Ro Cntt Và An Toàn Thông Tin Liên Quan Đến Môi Trường Kế Toán

Dữ liệu thu thập được sử dụng là dữ liệu thứ cấp ở bước NC định tính và dữ liệu sơ cấp ở bước NC định lượng.

Phần mềm dùng trong NC là SPSS phiên bản 20.0 và AMOS 20 và 24.

10.3.1. Ý nghĩa của nghiên cứu

Kỳ vọng của NC này là nếu đạt được các mục tiêu NC sẽ đem lại những đóng góp tích cực về cả hai mặt khoa học và thực tiễn. Cụ thể:

 Ý nghĩa khoa học

Đề taì đãkhaḿ

phácać

khaí niệm và lý thuyết chưa được NC và kiểm định

Có thể bạn quan tâm!

• Ảnh hưởng của rủi ro công nghệ thông tin đến chất lượng thông tin kế toán trong các doanh nghiệp tại Việt Nam 1738937919 - 1
• Ảnh hưởng của rủi ro công nghệ thông tin đến chất lượng thông tin kế toán trong các doanh nghiệp tại Việt Nam 1738937919 - 2
• Các Nghiên Cứu Liên Quan Đến Hệ Lượng Hệ Thống Thông Tin Kế Toán
• Khoảng Trống Nghiên Cứu Và Định Hướng Nghiên Cứu Của Luận Án
• Ảnh hưởng của rủi ro công nghệ thông tin đến chất lượng thông tin kế toán trong các doanh nghiệp tại Việt Nam 1738937919 - 6

Xem toàn bộ 405 trang tài liệu này.

về CLTTKT trong các DN ở Việt Nam. Cụ thể, NC đã kiểm định các lý thuyết đề cập đến mối quan hệ giữa CLTTKT với các rủi ro CNTT như rủi ro phần cứng, rủi ro phần mềm, rủi ro dữ liệu, rủi ro ứng dụng tiến bộ CNTT, rủi ro nguồn lực con người, rủi ro cam kết quản lý và rủi ro văn hoá tổ chức. Qua đó, bổ sung vào các lý thuyết liên quan đã thực hiện trên thế giới.

Đề tài bổ sung thêm vào bằng chứng cho thấy các thang đo các nhân tố, thang đo CLHTTTKT và CLTTKT được sử dụng trong các NC trước tiếp tục được sử dụng trong luận án là phù hợp.

Dưới góc nhìn rủi ro CNTT, đề tài đã đưa thêm bằng chứng cho thấy có sự xuất hiện của nhân tố mới là nhân tố rủi ro phần mềm và dữ liệu đã được hình thành từ việc hội tụ của hai nhân tố rủi ro phần mềm và rủi ro dữ liệu, khác với mô hình NC lúc đầu sau khi triển khai NC định lượng.

 Ý nghĩa thực tiễn

Kết quả NC định hướng cho lãnh đạo DN đưa ra hoạch định chính sách quản

trị, kiểm soát rủi ro CNTT sao cho hữu hiệu và hiệu quả CLHTTTKT và CLTTKT trong DN.

11.3.1. Kết cấu của luận án

Kết cấu luận án gồm các phần và các chương sau:

để tăng cường

­ Phần mở

đầu:

nội dung phần mở

đầu đề

cập đến

ảnh hưởng rủi ro

CNTT lên CLHTTTKT và CLTTKT trong thời gian vừa qua trên thế giới và ở

Việt Nam, từ đó lý giải cho việc cần thiết phải thực hiện mục tiêu NC của

đề tài. Ngoài ra, phần mở

đầu còn đề

cập đến đối tượng NC, đối tượng

khảo sát, phạm vi NC và PPNC của đề tài.

­ Chương 1 ­ Tổng quan nghiên cứu: trình bày tổng quan những NC trước đây liên quan đến chủ đề NC để từ đó chỉ ra khoảng trống và định hướng NC của luận án.

­ Chương 2 – Cơ sở lý thuyết và xây dựng giả thuyết, mô hình nghiên cứu: Chương này cung cấp các khái niệm và lý thuyết nền, hình thành cơ sở để xác định các khái niệm NC đưa vào mô hình, xây dựng mô hình NC và các giả thuyết NC.

­ Chương 3 – Phương pháp nghiên cứu: Chương 3 trình bày nội dung quy trình NC, các PPNC định tính và định lượng nhằm thu thập, xử lý, phân tích dữ liệu, và xây dựng thang đo cho các khái niệm NC của luận án.

­ Chương 4 – Kết quả nghiên cứu và bàn luận: Các kết quả NC được trình bày tuần tự từ NC định tính cho đến NC định lượng sơ bộ và NC định lượng chính thức. Thêm vào đó là các kỹ thuật phân tích thống kê được dùng cho đánh giá thang đo, kiểm định giả thuyết và mô hình NC. Cuối cùng là nội dung bàn luận về kết quả NC.

­ Chương 5 – Kết luận và hàm ý quản lý: Chương cuối tổng kết các kết quả đạt được của NC, đồng thời đưa ra các hàm ý về quản lý. Bên cạnh đó,

chương này còn đề tương lai.

cập đến hạn chế

trong NC và hướng NC tiếp tục ở

­ Phần cuối cùng của luận án: trình bày các công trình khoa học đã công bố, các phụ lục và tài liệu tham khảo.

CHƯƠNG 1 – TỔNG QUAN NGHIÊN CỨU

Nội dung của chương đề cập đến tổng quan những NC trước đây có liên quan với chủ đề NC của luận án. Các NC này được trình bày theo trình tự 4 dòng NC:

(1) Các NC về rủi ro CNTT và an toàn thông tin liên quan đến môi trường kế toán; (2) Các NC liên quan đến HTTTKT và CLHTTTKT; (3) Các NC liên quan đến CLTTKT; và (4) Các NC về mối quan hệ giữa rủi ro CNTT với CLHTTTKT và CLTTKT. Từ việc tổng kết các NC trước sẽ giúp đưa ra được những luận giải cần thiết cho chủ đề NC, cung cấp cơ sở lý thuyết, PPNC và kế thừa các kết quả NC tạo tiền đề cho việc chỉ ra khoảng trống NC; định hướng và phát triển cho NC của luận án.

1.1. Tổng quan về các nghiên cứu trước

1.1.1. Các nghiên cứu về rủi ro CNTT và an toàn thông tin liên quan đến môi trường kế toán

Từ khi Internet, hệ thống ERP, các hệ thống hỗ trợ ra quyết định ra đời ở thập niên 1990 của thế kỷ 20 thì cũng là lúc bắt đầu xuất hiện các NC về rủi ro CNTT ảnh hưởng đến HTTT nói chung và HTTTKT nói riêng.

An toàn thông tin trong môi trường máy tính đã trở thành mối quan tâm cho DN kinh doanh và các tổ chức phi lợi nhuận. Rủi ro đối với an toàn thông tin đang thay đổi đáng kể vì công nghệ phát triển liên tục (Davis, 1997).

Cạnh tranh toàn cầu gia tăng và những thay đổi liên tục trong công nghệ xử lý thông tin đặt ra những thách thức mới cho cả kiểm toán viên và nhà quản lý, những ai có nhiệm vụ thiết lập, thực hiện, và giám sát các giải pháp KSNB trong tổ chức. Do tốc độ thay đổi nhanh chóng, nhiều tổ chức gặp khó khăn trong việc đồng thời có được các kỹ năng kỹ thuật hiện tại trong việc vận hành hệ thống mới và hiểu được ảnh hưởng từ công nghệ mới trong xử lý thông tin cho các

chính sách và thủ

tục KSNB. CNTT mang lại những cơ

hội rõ rệt cho xử lý

những vấn đề trong kinh doanh mang tính chiến thuật và chiến lược, nhưng nó cũng mở ra cánh cửa cho các mối đe dọa mới đối với KSNB và gây nguy hiểm cho uy tín của HTTTKT (Korvin và cs, 2004).

Trong đánh giá về an toàn TTKT (Davis, 1997) và đánh giá rủi ro từ các đe doạ đối với KSNB trong HTTTKT trên môi trường máy tính (Korvin và cs, 2004) đã chỉ ra 5 rủi ro đe doạ đối với an toàn thông tin gồm có: (1) Rủi ro dữ liệu và con người (phá huỷ dữ liệu không chủ ý của nhân viên, ghi nhận sai dữ liệu bởi nhân viên, tiếp cận dữ liệu không được phép bởi nhân viên và người bên ngoài);

(2) Rủi ro phần mềm (vi rút máy tính, lỗi phần mềm); (3) Rủi ro phần cứng (kiểm soát không đầy đủ đối với các thiết bị lưu trữ, lỗi phần cứng); (4) Rủi ro

về môi trường (hoả

hoạn, lũ lụt, mất điện) và (5) Rủi ro

ứng dụng tiến bộ

CNTT (tiến bộ CNTT thì đi nhanh hơn kiểm soát trên thực tiễn). Với thực tế này kế toán viên phải làm quen với rủi ro an toàn thông tin để bảo vệ các ứng dụng và việc sử dụng máy tính. Bên cạnh đó thì kế toán viên cũng sẽ là người đưa ra

tư vấn đối với khách hàng và những người khác trong tổ chức của mình về

những rủi ro đã chỉ ra.

Sự phát triển nhanh chóng của CNTT, sự sẵn có của phần mềm kế toán thân thiện với người dùng và sự cạnh tranh gia tăng đã buộc các công ty phải thích ứng với HTTTKT trên nền máy tính để duy trì tính cạnh tranh trong khi các mối

đe dọa đối với HTTTKT là không thể tránh khỏi trong môi trường đầy năng

động. Trong trường hợp này, các biện pháp kiểm soát an ninh HTTTKT trên nền máy tính như chính sách an ninh, kiểm soát an toàn phần cứng, kiểm soát an toàn phần mềm, kiểm soát an toàn dữ liệu, phân chia trách nhiệm, kiểm soát an toàn đầu ra, kiểm soát an toàn xử lý trong các ứng dụng là rất cấp bách cho các tổ chức. Điều này giúp cho các kế toán viên, kiểm toán viên, nhà quản lý và người dùng CNTT hiểu rõ hơn và bảo vệ được HTTTKT của họ để đạt được những thành công (Rajeshwaran N và Gunawardana K. D, 2008).

Hệ thống kế toán dựa trên nền máy tính phụ thuộc hệ thống phần cứng và hệ thống phần mềm. Con người là hạt nhân của hệ thống kế toán trên máy tính. Tính an toàn của hệ thống kế toán dựa trên nền máy tính là rất quan trọng. Tuy nhiên, nếu hệ thống phần cứng bị lỗi, hệ thống phần mềm bị lỗi, mất điện đột ngột, bộ nhớ bị hư hỏng, vi rút máy tính và tấn công mạng, sự thiếu chất lượng về trình độ của chính người điều hành hệ thống kế toán trên máy tính sẽ dẫn đến sự sụp đổ của hệ thống, thậm chí làm mất dữ liệu kế toán (Wang và He, 2011). Muhrtala và Ogundeji (2013) bổ sung thêm nhân viên và người bên ngoài tạo thành mối đe dọa chính đối với tài sản thông tin được dùng trong kế toán trên máy tính khi không được kiểm soát một cách hiệu quả.

Yang và Jiang (2014) nhấn mạnh, để tránh mọi rủi ro về HTTTKT trên môi

trường mạng máy tính thì hệ

thống KSNB được xây dựng hiệu quả

cho

HTTTKT trên nền máy tính là hết sức quan trọng. Do tính chất phân tán, mở của hệ thống Internet và các đặc điểm khác, KSNB HTTTKT trên nền máy tính trong môi trường mạng đã đặt ra những vấn đề và thách thức mới cho tính an toàn và bảo mật. Rủi ro HTTTKT dựa trên Internet có các khía cạnh chính sau: (1) Rủi ro vật lý. Không có hệ thống máy tính nào tồn tại khi gặp lỗi hệ điều hành, phần cứng, phần mềm, mạng bị lỗi hoặc mất dữ liệu. Rủi ro vật lý bao gồm: phần cứng hệ thống mạng máy tính tùy chọn không phù hợp, dẫn đến chức năng mạng bị chặn; môi trường mạng, nguồn điện và các tác động trực tiếp không mong muốn khác đến độ tin cậy của mạng; hệ điều hành mạng và cài đặt phần mềm kế toán, bảo trì kém; hệ thống quản lý mạng không hoàn hảo; (2) Rủi ro về tính bảo mật và tính toàn vẹn của TTKT bị phá hủy. Đó là rủi ro truy cập trái phép vào dữ liệu kế toán bởi nhân sự nội bộ, hay giả mạo, rò rỉ và hư hỏng. An ninh mạng vẫn là rủi ro lớn nhất đến từ bên trong tổ chức. Do đó, KSNB vẫn là nền tảng của kiểm soát HTTTKT dựa trên Internet. Nhờ tính đặc biệt của cấu trúc Internet/ mạng nội bộ, KSNB của nó vượt xa phạm vi của các hệ thống máy tính thông thường, từ các nhân sự kế toán mở rộng đến toàn bộ nhân viên của DN; và

(3) Rủi ro vận hành hệ thống. HTTTKT trên máy tính trong môi trường mạng chạy dưới các cổng kiểm soát của hệ thống mở có nguy cơ rủi ro, hệ thống có thể bị hỏng bất cứ lúc nào và chạy không ổn định, chẳng hạn như các yếu tố nhân tạo đã dẫn đến việc chiếm dụng bất hợp pháp tài nguyên mạng, cắt hoặc chặn lưu lượng mạng, gây tê liệt mạng do vi rút máy tính và các thảm họa do con người gây ra, hệ thống bị tắc nghẽn, ảnh hưởng đến hoạt động bình thường của HTTTKT trên máy tính. Môi trường mạng mở làm tăng nguy cơ bóp méo TTKT. Tác động của công nghệ mạng trong phần mềm tài chính dành cho HTTTKT trên máy tính sẽ mang tính cách mạng. Nhưng môi trường mạng có tính chất mở, làm cho KSNB HTTTKT nảy sinh nhiều vấn đề mới. Trên môi trường mạng, có thể đã có một lượng lớn TTKT được truyền qua mạng bị tấn công, phá hủy tính xác thực và tính toàn vẹn.

Fang và Shu (2016) bổ sung thêm rủi ro của dữ liệu kế toán điện tử trong môi trường mạng đến từ 3 khía cạnh: (1) Rủi ro vật lý. Đó là các vấn đề an toàn của thiết bị vật lý và môi trường trong các giai đoạn tạo, lưu trữ, xử lý, truyền và sử dụng dữ liệu kế toán điện tử. Các yếu tố môi trường, chẳng hạn như nhiệt độ, độ ẩm, điện từ, …; các yếu tố tự nhiên như lũ lụt, hỏa hoạn, động đất, ... và các hành vi cá nhân, chẳng hạn như trộm cắp, phá hoại, ... đưa đến các nguy hại đối với an toàn vật lý; (2) Rủi ro hệ điều hành các thiết bị lưu trữ, xử lý và truyền dữ liệu điện tử còn rất nhiều lỗ hổng do hạn chế của công nghệ nên dễ bị vi rút, tin

tặc tấn công; và (3) Rủi ro trong quá trình xử

lý của các

ứng dụng. Trong

HTTTKT truyền thống, tính trung thực, tính toàn vẹn và xác định trách nhiệm tài chính của TTKT được đảm bảo bằng ghi chép kế toán trên giấy, chữ ký/con dấu trên sổ kế toán, hệ thống kiểm toán và hệ thống KSNB. Trong môi trường mạng, việc sửa đổi, can thiệp bất hợp pháp, mua lại, di chuyển, giả mạo, xóa và che giấu có thể được thực hiện mà không có bất kỳ dấu vết nào, do đó nguy cơ bóp méo TTKT tăng lên.

Đồng quan điểm với Yang và Jiang (2014), Zhuang (2014) chỉ ra rằng với sự

lớn mạnh của công nghệ

CSDL hiện đại, công nghệ

mạng, công nghệ đa

phương tiện và các CNTT hiện đại khác, HTTTKT đã trải qua một loạt thay đổi và việc xử lý rủi ro về dữ liệu hay TTKT càng trở nên khó khăn hơn.

Abu­Musa (2006) đưa ra quan điểm cho rằng sự thay đổi nhanh chóng của

CNTT, sự phổ biến của các hệ thống thân thiện với người dùng và mong muốn của các tổ chức là triển khai được các hệ thống và phần mềm máy tính được cập

nhật đã làm cho máy tính dễ sử dụng hơn nhiều và cho phép hoàn thành các

nhiệm vụ kế toán với vận tốc nhanh hơn và chính xác hơn. Mặt khác, công nghệ tiên tiến cũng đã tạo ra những rủi ro đáng kể đối với sự an toàn và toàn vẹn của HTTTKT trên máy tính. Trong nhiều trường hợp, công nghệ đã được phát triển nhanh hơn so với sự tiến bộ của kiểm soát trong thực tiễn và không được kết hợp với sự phát triển tương đồng về kiến thức, kỹ năng, nhận thức và tuân thủ của nhân viên. Hàng ngày, có thể tìm thấy các báo cáo kế toán và tài chính bị lỗi dữ liệu có liên quan đến máy tính, thông tin tài chính không chính xác, KSNB bị vi phạm, trộm cắp, hỏa hoạn và phá hoại. Các tổ chức nên nhận thức được các mối đe dọa tiềm ẩn cho sự an toàn HTTTKT của họ và thực thi các giải pháp kiểm soát để ngăn chặn, phát hiện và sửa chữa các vi phạm.

Ở lĩnh vực ngân hàng tại Jordan, Talal H. Hayale và cs (2008) nhận xét rằng

các mối đe doạ

đối với HTTTKT trên máy tính chủ

yếu đến từ

nhân viên và

không có chủ ý. Trong khi Hanini (2012), phát hiện tiếp sự xuất hiện của các rủi ro có liên hệ với vi rút, KSNB, tai hoạ thiên nhiên và tai hoạ do con người gây ra cũng là các mối đe doạ. Thay cho lời kết, Bawaneh (2018) gợi ý để bảo vệ tài nguyên thông tin, các ngân hàng nên thực thi các giải pháp kiểm soát hoặc thiết lập cơ chế phòng vệ để bảo vệ tất cả các cấu phần của HTTT, bao gồm dữ liệu, phần mềm, phần cứng và mạng máy tính. Ngoài ra, các bằng chứng tương tự về rủi ro đối với HTTTKT trên nền máy tính trong lĩnh vực ngân hàng cũng

được trình bày trong kết quả NC của Bansah (2018) tại Ghana và Hossin, A.M và Ayedh (2016) tại Libya.

Các thành phần gồm có dữ liệu, con người, phần cứng, phần mềm, và ứng dụng tiến bộ CNTT sẽ phải kết hợp nhịp nhàng, đồng bộ, làm việc cùng nhau để HTTTKT có thể hoạt động hữu hiệu và hiệu quả. Chỉ cần một trong các thành phần này bị lỗi sẽ làm cho HTTTKT gặp nhiều trở ngại, chất lượng công việc của nhân sự kế toán suy giảm và các mục tiêu của DN có thể bị phá vỡ. Chính vì thế việc nhận dạng các rủi ro CNTT ảnh hưởng đến HTTTKT là rất cần thiết để giảm thiểu những tác động không tốt đối với hệ thống.

Từ các kết quả NC trên cho thấy các rủi ro CNTT có thể gom thành 5 nhóm:

(1) Rủi ro con người (hành vi bất cẩn hay cố ý gây hại cho HTTTKT), (2) Rủi ro

phần mềm (lỗi phần mềm

ứng dụng, phần mềm hệ

thống, phần mềm điều

khiển, phần mềm độc hại; vi rút máy tính), (3) Rủi ro phần cứng (lỗi phần cứng máy tính; lỗi các thiết bị hỗ trợ điều khiển, xử lý và truyền tin), (4) Rủi ro liên quan đến ứng dụng tiến bộ CNTT (không tương thích, đồng bộ giữa các công nghệ mới hoặc giữa công nghệ cũ và mới; không theo kịp tiến bộ của CNTT; sự tinh vi, phức tạp của CNTT mới) và (5) Rủi ro dữ liệu (sự đe doạ đến độ chính xác, an toàn và bảo mật dữ liệu). Thêm vào đó, kết quả các NC này cũng đã chỉ ra các rủi ro CNTT phần lớn nằm ở bên trong tổ chức, phần còn lại là tác động từ bên ngoài.

Thành công của các NC trên cho thấy đâu là các rủi ro CNTT ảnh hưởng tới HTTTKT nhưng đa số các NC này chỉ mới thực hiện ở bước NC khám phá định tính là chủ yếu. Mặt khác, các NC này cũng chưa đo lường mức độ ảnh hưởng của các rủi ro CNTT đến HTTTKT và đầu ra của nó là CLTTKT. Do đó, mong muốn NC của luận án là làm rõ mức độ ảnh hưởng này.

Tổng kết nghiên cứu về rủi ro CNTT và an toàn thông tin liên quan đến môi trường kế toán (Phụ lục 1).