Mô Hình Httt Thành Công D&m (Cập Nhật 2016)

Hình 2.1 – Mô hình HTTT thành công D&M (cập nhật 2016)

(Nguồn: Trích từ Information Systems Success Measurement, 2016 của DeLone và McLean)

Với bằng chứng trên cho thấy mô hình D&M có cơ sở lý thuyết đáng tin cậy, có mối quan hệ với lĩnh vực CNTT và HTTT. Các đặc tính đo lường chất lượng HTTT trong mô hình D&M có nhiều điểm tương đồng và bao quát hầu hết quan điểm của các nhà NC khác về CLHTTTKT. Vì vậy, trong công trình này, mô hình HTTT thành công DeLone và McLean được lấy làm cơ sở để đo lường CLHTTTKT, trên cơ sở kế thừa các thuộc tính của thành phần “chất lượng hệ thống”.

2.1.11. Chất lượng thông tin kế toán

Theo FASB (1980), các đặc tính chính yếu giúp phân biệt thông tin “có chất lượng” với thông tin “kém chất lượng” đó là có liên quan và tin cậy. Trong đó, giá trị dự đoán, giá trị xác nhận và tính kịp thời mô tả cho thuộc tính có liên quan. Độ tin cậy bao gồm việc trình bày thông tin có thể kiểm chứng, đầy đủ, trung thực và khách quan. Khả năng so sánh, gồm tính nhất quán, tương tác với tính có liên quan và độ tin cậy, và được cho là có đóng góp vào mục tiêu hữu ích của việc ra quyết định.

Mặt khác, theo khuôn khổ chuẩn mực BCTC quốc tế, thông tin tài chính sẽ hữu ích nếu nó có liên quan và thể hiện chính xác những gì nó đại diện. Cùng lúc đó, có hai phiên bản liên quan đến khuôn khổ các thuộc tính chất lượng của Hội đồng chuẩn mực kế toán quốc tế (IASB), IASC gốc (1989) và IASB sửa đổi (2010). IASB nhấn mạnh tính hữu ích của thông tin tài chính có thể so sánh được, có thể xác minh, kịp thời và dễ hiểu. Tính liên quan và trình bày hợp lý là những đặc điểm cơ bản của thông tin tài chính hữu ích.

Năm 2010, theo quan điểm hòa hợp giữa IASB và FASB đã thống nhất khuôn mẫu các tiêu chuẩn về CLTTKT bao gồm: Có liên quan (relevance) bao gồm: Giá trị dự đoán (Predictive value) và Giá trị xác nhận (Confirmatory value);trình bày trung thực (faithful representation) bao gồm: Đầy đủ (Complete), Khách quan (Neutral) và Không sai sót (Free from error); Có thể kiểm chứng (verifiability), Có thể so sánh (comparability), Dễ hiểu (understandability) và Kịp thời (timeliness).

Có thể bạn quan tâm!

Xem toàn bộ 321 trang tài liệu này.

IASB và FASB (2010) chỉ ra mục đích của BCTC là cung cấp cho các nhà đầu tư, người cho vay và chủ nợ hiện tại và tiềm năng thông tin tài chính hữu ích về đơn vị báo cáo để họ có thể đưa ra quyết định có hỗ trợ các nguồn lực cho đơn vị hay không. Tính liên quan và trình bày trung thực là đặc tính nền tảng. Bốn đặc tính: có thể kiểm chứng, có thể so sánh, kịp thời và dễ hiểu là các đặc tính tăng cường bổ sung.

Đến năm 2018, IASB bổ sung thêm vào khuôn mẫu các tiêu chuẩn về CLTTKT thuộc tính Trọng yếu (Materiality) để nhấn mạnh và giải thích thêm cho thuộc tính Có liên quan. Thông tin là trọng yếu nếu việc bỏ sót hoặc trình bày sai thông tin có thể gây ảnh hưởng cho người dùng BCTC khi đưa ra các quyết định của họ. Nói cách khác, tính trọng yếu là khía cạnh liên quan của một đơn vị cụ thể dựa trên bản chất hoặc mức độ, hoặc cả hai, của các khoản mục mà thông tin có liên quan trong ngữ cảnh BCTC do một đơn vị cung cấp. Do đó, hội đồng quản trị không thể chỉ định ra một ngưỡng định lượng thống nhất cho tính trọng yếu hoặc xác định trước những gì có thể là trọng yếu trong một tình huống cụ thể.

Theo một số NC trước, chẳng hạn, thông tin có chất lượng cao là thông tin phải đạt độ chính xác, đáng tin cậy, hợp thời, đầy đủ và được phân phối theo định dạng

thích hợp (Stair và Reynold, 2010). Trong khi đó, theo Laudon và Laudon (2012), thông tin chất lượng cao bao gồm các thành phần: chính xác, toàn vẹn, nhất quán, đầy đủ, hợp lệ, kịp thời và khả năng tiếp cận. Đồng thời, Hall (2011) cho rằng thông tin chất lượng cao có đặc điểm của: sự liên quan, kịp thời, chính xác, đầy đủ và tổng quát hoá. O’Brien và Marakas (2011) đã nhóm chất lượng thông tin theo 3 mảng, cụ thể là: (1) Mảng thời gian: tính kịp thời, sự lưu hành, tần suất và thời kỳ; (2) Mảng nội dung: độ chính xác, sự liên quan, tính đầy đủ, tính đồng nhất, phạm vi và hiệu suất và (3) Mảng hình thức: sự rõ ràng, chi tiết, thứ tự, trình bày và phương tiện truyền thông.

Ngoài ra, một số nhà NC như Fardinal (2013) quan niệm rằng CLTTKT được xác định bởi 3 thuộc tính: (1) Tính liên quan (Relevancy), (2) Tính chính xác (Accuracy) và (3) Có khả năng kiểm tra (Verifiability); Mkonya và cs (2018) thì xác định (1) Chính xác (accuracy), (2) Liên quan (relevance), (3) Nhất quán (consistency), (4) Đầy đủ (completeness), (5) Khách quan (neutrality), (6) Có thể hiểu được (understandability) và (7) Kịp thời (timeliness) là thuộc tính chất lượng của TTKT; trong khi Ramdany (2015) thì chỉ ra TTKT chất lượng cần có (1) Tính liên quan (relevant), (2) Độ tin cậy (reliable), (3) Đầy đủ (complete), (4) Kịp thời (timely), (5) Có thể hiểu được (understandable), (6) Có thể kiểm tra (verifiable) và (7) Có thể tiếp cận dễ dàng (easy to access).

Mặc dù có một số quan điểm khác nhau giữa các nhà NC về đặc điểm chất lượng thông tin, nhưng nhìn chung những quan điểm này tương tự với quan điểm hòa hợp và thống nhất về khuôn mẫu các tiêu chuẩn CLTTKT của hai cơ quan chuyên môn là IASB và FASB (2010). Vận dụng vào trong luận án này, các tiêu chuẩn về CLTTKT của IASB và FASB (2010) được lựa chọn làm cơ sở lý thuyết cho việc đo lường về CLTTKT bởi tầm ảnh hưởng lớn và sâu rộng của nó trên phạm vi toàn cầu, cũng như mức độ tham chiếu và trích dẫn cao.

2.2. Quản lý rủi ro HTTTKT trong môi trường máy tính

2.2.1. Mục tiêu của HTTTKT trong môi trường máy tính

Theo Considine và cs (2012), bất kỳ hệ thống dựa trên nền máy tính nào cũng phải nhằm mục tiêu đảm bảo các giao dịch được ủy quyền thích hợp, được ghi lại và thực hiện toàn bộ một cách kịp thời.

Ủy quyền thích hợp. Mục tiêu của việc ủy quyền thích hợp là để bảo đảm rằng các giao dịch được thực hiện bởi những người có thẩm quyền thích hợp và bất kỳ sửa chữa nào đối với dữ liệu trong hệ thống đều được những người thích hợp thực hiện.

Ghi nhận hợp lệ. Việc ghi chép các giao dịch một cách hợp lệ về cơ bản là độ chính xác. Độ chính xác liên quan đến việc đảm bảo rằng tất cả dữ liệu nhập vào hệ thống đều ở định dạng chính xác và đúng kiểu và dữ liệu thu thập được phản ánh chính xác thực tế của giao dịch hoặc sự kiện. Đối với mỗi giao dịch hoặc sự kiện được ủy quyền, tổ chức sẽ quan tâm đến việc đảm bảo rằng các sự kiện này được ghi lại một cách chính xác.

Đầy đủ. Tính đầy đủ có thể đề cập đến cả đầu vào cho hệ thống và các giao dịch do hệ thống xử lý. Tính đầy đủ của đầu vào nhằm mục tiêu đảm bảo tất cả các sự kiện giao dịch và tất cả dữ liệu cần thiết liên quan đến các sự kiện đó đều được thu thập vào trong hệ thống.

Kịp thời. Mục tiêu của tính kịp thời hướng tới việc đảm bảo rằng dữ liệu được thu thập, xử lý, lưu trữ và truy cập theo cách hiệu quả nhất về mặt thời gian nhằm mang đến cho người dùng hệ thống các thông tin thực sự hữu ích. Tính kịp thời đối với HTTT không nhất thiết có nghĩa là tất cả các giao dịch phải được xử lý ngay lập tức, mà là chúng phải được xử lý cho thích hợp theo nhu cầu của tổ chức.

2.2.2. Quản lý rủi ro

Các tổ chức hoạt động trong một môi trường năng động. Một kế hoạch quản trị rủi ro được hoạch định và thực hiện tốt sẽ giảm thiểu rủi ro của tổ chức trong môi trường luôn thay đổi. Để quản lý rủi ro, các tổ chức phải xác định được nó.

Rủi ro là sự kết hợp của các lỗ hổng có thể bị khai thác bởi các mối đe dọa cùng với tác động tiềm tàng đối với tài sản. Trong đảm bảo thông tin, rủi ro tồn tại khi kết

quả của mối quan hệ trước đó là tích cực. Quản lý rủi ro đề cập đến việc áp dụng một phương pháp bao gồm các chính sách, thủ tục và thông lệ được sử dụng để xác định các sự kiện rủi ro này. Mục tiêu là xác định, phân tích, xử lý, đánh giá và tiếp tục cải tiến cách thức tổ chức quản lý hồ sơ rủi ro của mình. Tóm lại, quản lý rủi ro là một phương tiện để xác định, quản lý và kiểm soát rủi ro.

Các tổ chức nên hiểu rằng xác định và quản lý rủi ro là quá trình chủ động chứ không phải quá trình phản ứng. Việc thiếu hiểu biết hoặc quản trị rủi ro kém đưa đến mất mát giá trị tài sản, sự giàu có và danh tiếng của các bên liên quan và các hậu quả không mong muốn khác. Quản lý rủi ro không phải là tránh rủi ro hoàn toàn. Đó là nhận thức hậu quả của rủi ro theo cách có hệ thống và chủ ý, tránh những rủi ro không cần thiết và quản lý cẩn thận những rủi ro bằng cách chấp nhận rủi ro còn sót lại.

Quản lý rủi ro tốt mang lại nhiều lợi ích. Quản lý rủi ro chủ động gợi lên cảm giác sẵn sàng chống lại những bất ngờ hoặc sự cố không mong muốn. Chuẩn bị sẵn sàng thúc đẩy sự tự tin và khuyến khích hành vi tích cực trong văn hóa tổ chức. Nếu đánh giá rủi ro được thực hiện tốt sẽ nhận dạng được các hiểm hoạ và lỗ hổng thực sự đối với tài sản của tổ chức. Nếu một chiến lược dựa trên đánh giá này, nó sẽ tốt hơn và thường là đáng tin cậy hơn. Do đó, các nguồn lực hạn chế có thể được tập trung hiệu quả hơn để quản trị các rủi ro được ưu tiên (Schou và Hernandez, 2015).

2.2.3. Nhận diện rủi ro

Công nghệ đã thâm nhập vào môi trường kinh doanh nhiều hơn bao giờ hết so với trước đây; trở nên thành thạo với CNTT không còn là lựa chọn cho riêng một doanh nhân nào, đáng chú ý là các kế toán viên. Tội phạm hiểu được điểm yếu của công nghệ và cách thiết lập, nên kế toán viên phải đi trước một bước để duy trì chất lượng của hệ thống kế toán.

Ngoài việc lo lắng về tính an toàn của hệ thống CNTT của tổ chức, kế toán viên phải hiểu cách đánh giá HTTTKT của tổ chức. Nếu hệ thống của tổ chức có một điểm yếu trọng yếu và kế toán viên không thể phát hiện ra nó, thì tổ chức dễ bị ảnh hưởng bởi bất kỳ điều gì và mọi thứ sai sót có thể xuất hiện. Điều này sẽ làm cho bất kỳ

công việc của kế toán viên nào cũng gặp trở ngại, bất kể người đó tham gia vào phần hành nào.

Các tổ chức nhỏ hay lớn, đều phụ thuộc rất nhiều vào HTTT để có được thông tin kịp thời cho các quyết định kinh doanh quan trọng. Khi sự phụ thuộc vào HTTT ngày càng tăng, thì những rủi ro mà tổ chức phải đối mặt cũng tăng theo. Vì vậy, bất kỳ ai khi ra quyết định cũng nên hiểu những rủi ro đó và cách chúng có thể tác động đến tổ chức (Hurt, 2010).

Tài sản là bất cứ thứ gì có giá trị đối với tổ chức. Một tài sản thông tin, nếu bị xâm phạm, có thể gây ra tổn thất nếu nó bị tiết lộ, bị thay đổi hoặc không sẵn sàng. Một tài sản thông tin có thể là hữu hình hoặc vô hình, chẳng hạn như phần cứng, phần mềm, dữ liệu, dịch vụ và con người.

Các tài sản thông tin đều có các lỗ hổng nhất định và chúng liên tục tiếp xúc với các mối đe dọa mới. Sự kết hợp của các lỗ hổng và các mối đe dọa góp phần tạo nên rủi ro. Để giảm thiểu và kiểm soát hiệu quả rủi ro, các tổ chức cần nhận thức được những thiếu sót trong HTTT của mình và cần chuẩn bị để giải quyết chúng trong trường hợp những thiếu sót đó phát triển thành đe dọa cho các hoạt động. Việc hiểu rõ các đối tượng này và mối tương tác của chúng là rất quan trọng để bảo đảm các biện pháp kiểm soát có hiệu quả về chi phí và phù hợp.

Các mối đe dọa bắt nguồn từ công nghệ, con người và điều kiện môi trường. Chẳng hạn như lỗi của con người khi nhập thông tin, hệ thống được cấu hình sai, phần mềm độc hại và các thảm họa thiên nhiên như lũ lụt và động đất. Khi các mối đe dọa này tồn tại và các lỗ hổng liên quan thiếu sự kiểm soát, thông tin có thể bị mất, không khả dụng hoặc bị hỏng, do đó ảnh hưởng đến việc đảm bảo thông tin. Các mối đe dọa có thể được chia thành bốn loại: bất khả kháng, hành vi cố ý, lỗi do con người và lỗi kỹ thuật. Mọi người rất dễ mắc lỗi khi sử dụng máy tính, đặc biệt là sau nhiều giờ làm việc. Các lỗi đánh máy có thể xảy ra khi nhập dữ liệu và nếu những lỗi này không được kiểm tra, xác nhận và sửa chữa thì chúng sẽ ảnh hưởng đến tính chính xác và tính toàn vẹn của thông tin. Ngay cả những chương trình tiên tiến nhất cũng có thể không phát hiện được tất cả các lỗi đầu vào hoặc các sơ suất. Một chương trình

nâng cao nhận thức thấu đáo cho tất cả nhân viên rất có lợi trong việc giảm thiểu hoặc loại bỏ lỗi và sự lơ là của nhân viên.

Một nguồn lỗi khác là hệ thống được định cấu hình sai và không thể vá lỗi phần mềm kịp thời. Trong khi đối với lỗi kỹ thuật, một hệ thống được định cấu hình sai có thể khiến các dịch vụ dễ bị tấn công. Các dịch vụ này đã chín muồi để tin tặc khai thác.

Thật không may, các mối quan tâm về bảo mật thường bị bỏ qua trong quá trình phát triển sản phẩm do phải cam kết đúng thời hạn. Ngoài ra, giai đoạn thiết kế đôi khi bỏ qua việc xem xét các biện pháp xác nhận và xác thực dữ liệu đầy đủ trước khi đưa vào sản xuất thực tế. Tất nhiên, luôn có những lỗi lập trình, đã phát triển thành đe dọa với tổ chức và trong một số trường hợp là gây thiệt hại cho tổ chức. Một lỗi thường thấy là lỗi tràn bộ đệm, là một lỗi lập trình do xác thực dữ liệu không đúng cách (Schou và Hernandez, 2015).

Nhiều người đã lập luận rằng mỗi công ty đều có văn hóa DN riêng và chính văn hóa DN này thúc đẩy hoặc cản trở hành vi đạo đức. Văn hóa DN gắn liền với niềm tin, thông lệ và thái độ chung của nhân viên. Quy tắc ứng xử tốt đến đâu không quan trọng bằng việc nếu có những vấn đề nghiêm trọng trong văn hóa DN (Bodnar và Hopwood, 2013).

Hành động của nhân viên và mức độ rủi ro của họ khi làm việc trực tuyến sẽ ảnh hưởng đến thành công hay thất bại trong triển khai an toàn HTTT. Một trong những khía cạnh bị bỏ qua nhiều nhất của an toàn HTTT trong các tổ chức là yếu tố con người. Thành công của một tổ chức trong an toàn HTTT, ở một mức độ lớn, có thể được cải thiện bằng cách tập trung vào hành vi của nhân viên.

Để giảm thiểu rủi ro về các lỗi an toàn, các tổ chức nên tập trung nhiều hơn vào hành vi của nhân viên. Việc trau dồi văn hóa nhận thức cho sự an toàn của thông tin sẽ giảm thiểu rủi ro cho tài sản này. Tuy nhiên, mặc dù là một vấn đề tiềm ẩn, nhưng nhân viên có năng lực vẫn là một lợi thế lớn trong việc giảm thiểu rủi ro đối với tài sản thông tin. Chìa khóa để tăng cường cho sự an toàn của thông tin là bắt buộc nhân viên tuân thủ các quy tắc và quy định an toàn. Những nhân viên được đào tạo đúng

cách có tiềm năng trở thành mắt xích mạnh nhất trong cơ sở hạ tầng của tổ chức. Các tổ chức nên cung cấp cho nhân viên nhận thức và các chương trình đào tạo nhằm bảo đảm rằng họ được trang bị phù hợp để tuân thủ các quy định chính sách liên quan đến an toàn của thông tin. Việc bảo vệ thông tin phải là bản chất thứ hai đối với nhân viên và là một phần tự nhiên trong các hoạt động hàng ngày của họ. Điều này đảm bảo rằng an toàn thông tin được tích hợp vào văn hóa DN. Hành vi an toàn của nhân viên nên được hun đúc vì họ bị ảnh hưởng bởi văn hóa tổ chức (Nel và Drevin, 2019 trích dẫn từ Thomson và cs, 2006; Da Veiga và Eloff, 2010; Bulgurcu và cs, 2010).

Người ta thấy rằng HTTT cải thiện được hiệu quả của công việc thông qua giao tiếp hiệu quả và tự động hóa công việc. Các tổ chức cần kiểm soát và ngăn ngừa khả năng rủi ro cho HTTT để phát huy thế mạnh cạnh tranh và hiệu quả hoạt động bền vững. Do đó, ban điều hành của tổ chức có trách nhiệm hướng dẫn, chỉ đạo và kiểm soát công tác quản trị rủi ro HTTT để đạt được lợi thế về hiệu quả.

Sự phát triển của CNTT đã giúp các tổ chức kinh doanh thực hiện quản lý rủi ro HTTT như một phương pháp bảo vệ DN cũng như thông tin bí mật của tổ chức. Ngày nay, CNTT đã giúp các đơn vị thực hiện được mục tiêu của hệ thống xử lý thông tin tự động. Thông tin được xem như tài sản vô hình và có giá trị liên quan đến việc thu thập kiến thức, bí mật thương mại, năng lực tổ chức và lợi thế đổi mới, do đó, chúng cần được bảo vệ trước bất kỳ hình thức đe dọa hoặc rủi ro nào liên quan đến HTTT.

Việc triển khai quản trị hiệu quả rủi ro HTTT mang lại ý nghĩa hết sức quan trọng để bảo vệ tài sản HTTT. Các tổ chức cần tập trung vào mọi khía cạnh quản lý rủi ro chứ không nên chỉ chú trọng vào các tài sản tài chính. Lãnh đạo cấp cao phải thể hiện cam kết và trách nhiệm cuối cùng đối với việc hoàn thành việc triển khai quản lý rủi ro HTTT. Quản lý cấp cao nên xem quản lý rủi ro HTTT như một phần của chức năng quản lý và đảm bảo rằng mọi nguồn lực cần thiết luôn sẵn sàng cung cấp các khả năng đạt được mục tiêu quản lý rủi ro HTTT. Ngoài ra, lãnh đạo cấp cao nên đánh giá quản lý rủi ro HTTT để biết được sự thất bại hay thành công của chương trình.

Hơn nữa, để kết hợp kết quả đánh giá rủi ro vào việc ra quyết định của tổ chức, lãnh đạo cấp cao phải thể hiện sự hỗ trợ và cam kết đối với các chương trình thực

Xem tất cả 321 trang.

Ngày đăng: 11/03/2023