hiện quản lý rủi ro HTTT nhằm giảm thiểu rủi ro liên hệ đến nó. Cả tổ chức vì lợi nhuận và phi lợi nhuận cần phải thúc đẩy hoạt động tài chính hiệu quả và an toàn bằng cách luôn chủ động trong việc quản lý các rủi ro khác nhau liên quan đến HTTT (Sanusi và Johl, 2021 trích dẫn từ Al-Wohaibi, Masoud, và Edwards, 2004; Roland, 2008; Westner và Strahringer, 2010).
Như vậy, nhận diện rủi ro đối với HTTTKT là một vấn đề sống còn của tổ chức, các rủi ro tiềm tàng hay các rủi ro kiểm soát như rủi ro phần cứng, rủi ro phần mềm, rủi ro dữ liệu, rủi ro nguồn lực con người, rủi ro văn hoá tổ chức, rủi ro cam kết quản lý và rủi ro ứng dụng tiến bộ CNTT khi được nhận diện sẽ giúp các tổ chức có thể thiết lập được các biện pháp ứng phó phù hợp nhằm đảm bảo cho HTTTKT trong môi trường ứng dụng CNTT được an toàn và hoạt động hiệu quả.
2.2.4. Đánh giá rủi ro
Trong đánh giá rủi ro, các nguồn gốc của rủi ro được xét lại, sau đó là ước tính về khả năng xảy ra. Tổ chức nên xác định giá trị tài sản, xác suất các mối đe dọa có thể khai thác các lỗ hổng và các tác động. Điều này cho phép tổ chức tính toán ước tính tốt nhất về mức độ rủi ro. Để tính toán rủi ro, các kỹ thuật toán học cũng có thể được vận dụng. Một nguyên tắc chung đơn giản là rủi ro là kết quả của tác động và khả năng xảy ra.
Rủi ro được ước tính bằng cách phân tích tác động tiềm ẩn, cũng như khả năng các mối đe dọa có thể khai thác các lỗ hổng khi sử dụng các biện pháp kiểm soát hiện tại. Mục tiêu của việc này là thu được một đánh giá khả năng tổng thể, đưa ra ước tính về tính dễ bị tổn thương đang được khai thác trong môi trường bị đe dọa. Ngược lại, kết quả xác định các tác động bất lợi phát sinh từ việc thành công của mối đe dọa đối với lỗ hổng.
Bước cuối cùng trong đánh giá về rủi ro là chỉ ra các cơ chế kiểm soát rủi ro hiện có, tiếp theo là đánh giá điểm yếu và điểm mạnh về hệ thống. Chỉ khi nào xác định được những giải pháp kiểm soát hiện có, các tổ chức mới xác định được hậu quả và khả năng xảy ra rủi ro. Các giá trị về khả năng xảy ra có thể dựa trên dữ liệu lịch sử hoặc phân tích thống kê để xác định (Schou và Hernandez, 2015).
Có thể thấy rằng, đánh giá rủi ro giúp tổ chức dự đoán khả năng xảy ra rủi ro, tần suất xảy ra và mức độ rủi ro có thể ảnh hưởng đến tổ chức trong việc đạt được các mục tiêu hay mức độ thiệt hại mà rủi ro có thể gây ra, qua đó giúp tổ chức xác định được đâu là các rủi ro quan trọng cần phải đối phó.
2.2.5. Phòng ngừa rủi ro
Có thể bạn quan tâm!
-
Cơ Sở Lý Thuyết Và Xây Dựng Giả Thuyết, Mô Hình Nghiên Cứu -
Chất Lượng Hệ Thống Thông Tin Kế Toán -
Mô Hình Httt Thành Công D&m (Cập Nhật 2016) -
Ảnh hưởng của rủi ro công nghệ thông tin đến chất lượng thông tin kế toán trong các doanh nghiệp tại Việt Nam - 10 -
Quy Trình Nghiên Cứu (Nguồn: Xây Dựng Từ Tác Giả) -
Quy Trình Nc Định Lượng (Nguồn: Xây Dựng Từ Tác Giả)
Xem toàn bộ 321 trang tài liệu này.
Dựa vào đánh giá về rủi ro và kết quả của việc phân tích lỗ hổng, các phương án hoặc giải pháp kiểm soát phù hợp và hợp lý để giải quyết rủi ro sẽ được xác định, chọn lựa và cụ thể hoá thành văn bản trong kế hoạch xử lý rủi ro.
Để giảm thiểu rủi ro đến mức chấp nhận được, các phương án và giải pháp kiểm soát sẽ do cấp quản lý quyết định. Người đưa ra kế hoạch phòng ngừa sẽ chịu trách nhiệm về việc triển khai kế hoạch. Một số lựa chọn xử lý rủi ro được đưa ra như sau:
Tránh rủi ro: Không tiến hành hoạt động có khả năng gây ra rủi ro.
Giảm thiểu khả năng xảy ra: Thực hiện các chương trình đánh giá và tuân thủ, đánh giá chính thức, kiểm tra và kiểm soát quá trình cũng như duy trì phòng ngừa.
Giảm hậu quả: Giảm hậu quả bằng cách lập kế hoạch dự phòng, lập kế hoạch liên tục trong kinh doanh, hoặc giảm sự phụ thuộc lẫn nhau của các hoạt động.
Chuyển giao rủi ro: Sử dụng bảo hiểm, quan hệ đối tác và liên doanh.
Chấp nhận rủi ro: Một số rủi ro không thể được loại bỏ hoặc giảm thiểu. Ban quản lý cần quyết định mức rủi ro nào có thể được chấp nhận cho rủi ro còn sót lại.
Khi giải quyết rủi ro, quản lý cấp cao phải cảnh giác với việc bỏ qua rủi ro. Bỏ qua rủi ro chỉ đơn giản là lựa chọn từ chối thực tế của rủi ro và các tác động tiềm ẩn có thể xảy ra sau đó.
Các nhà quản lý cấp cao phải thận trọng khi hiểu và chấp nhận rủi ro. Họ cũng phải sẵn sàng chấp nhận thực tế rằng các hệ thống an toàn trước đây giờ có thể dễ bị tấn công chỉ trong vài phần nghìn giây. Cách tiếp cận tồi tệ nhất mà một nhà quản lý cấp cao có thể áp dụng là bỏ qua rủi ro. Trường hợp này mặc định chấp nhận rủi ro mà không cần hiểu đầy đủ các lựa chọn giảm thiểu hoặc tác động đến tổ chức (Schou và Hernandez, 2015).
2.3. Các lý thuyết nền có liên quan đến nghiên cứu
2.3.1. Lý thuyết cấu trúc
Lý thuyết cấu trúc (Structuration Theory) là một lý thuyết xã hội về việc tạo ra các hệ thống xã hội dựa vào phân tích các tác nhân và phân tích cấu trúc. Lý thuyết này được đưa ra và phát triển bởi Giddens dựa trên thuyết nhị nguyên luận tác nhân/ cấu trúc cổ điển được khái niệm hoá lại như là một sự đối ngẫu – tính hai mặt của cấu trúc (Wanyama, I., và Zheng, Q., 2010 trích dẫn theo Giddens 1979, 1984). Cấu trúc bao gồm các chuẩn mực, quy tắc và nguồn lực mà con người sử dụng trong các tương tác hàng ngày của mình. Hành vi và cấu trúc được đan quyện vào nhau; con người trải qua quá trình xã hội hóa và trở nên phụ thuộc vào các cấu trúc xã hội hiện có, nhưng đồng thời cấu trúc xã hội cũng bị thay đổi bởi các hoạt động của họ. Nói khác đi, điều đó có nghĩa là các cấu trúc xã hội là phương tiện hoạt động của con người cũng như kết quả của các hoạt động đó. Cấu trúc xã hội không chỉ hạn chế hành vi mà còn tạo ra khả năng cho hành vi của con người. Giddens (1984) mô tả cấu trúc như là quá trình xã hội về sự tương tác qua lại của tác nhân và đặc điểm cấu trúc của tổ chức.
Lý thuyết cấu trúc ban đầu được áp dụng trong khoa học xã hội nhưng dần dần được nhiều tác giả ứng dụng vào lĩnh vực CNTT trong mối quan hệ đến văn hóa của tổ chức. Với tính phổ biến của công nghệ trong các hoạt động thường ngày của các tổ chức, đặc biệt là vai trò của CNTT trong các tổ chức hiện đại, đã có một số nỗ lực nhằm mở rộng những ý tưởng của Giddens bằng cách đưa ra định hướng CNTT rõ ràng trong phân tích xã hội (Wanyama, I., và Zheng, Q., 2010 trích dẫn từ Walsham 1993, 2002).
Lý thuyết cấu trúc đưa ra cách nhìn nhận vai trò và ảnh hưởng của văn hóa tổ chức trong việc phát triển và vận hành HTTT. Do đó, chìa khóa tiếp cận khái niệm của lý thuyết cấu trúc cung cấp sự liên kết giữa các hành động của con người trong HTTT tài chính, trong trường hợp này, các hành động của các cán bộ tham gia quản lý tài chính và cấu trúc xã hội, cơ cấu tổ chức quản lý tài chính công trong đó HTTT tài chính được đặt vào vị trí đặc biệt. Con người hành động trong các cấu trúc mà họ
thay đổi thông qua hành động của mình, điều này mang lại cho họ khả năng thay đổi môi trường (Wanyama, I., và Zheng, Q., 2010 trích dẫn từ Bratteteig và Gregory, 1999).
Dựa trên mối quan hệ ảnh hưởng của văn hoá tổ chức đến việc phát triển và vận hành HTTT được đề cập trong lý thuyết cấu trúc, cũng đã chỉ ra văn hoá tổ chức cũng có mối quan hệ và ảnh hưởng đến HTTTKT (thành phần con của HTTT), từ đó cũng có liên đới với CLHTTTKT.
2.3.2. Lý thuyết ngẫu nhiên
Reinking (2012) trong bài viết về Lý thuyết ngẫu nhiên (Contingency Theory) trong NC HTTT dẫn ra rằng: “NC lý thuyết ngẫu nhiên bắt đầu từ những năm 1950 và 1960, bắt nguồn từ lý thuyết tổ chức. Các nhà NC tổ chức ban đầu chủ yếu quan tâm đến việc xác định một phong cách quản lý và hình thức tổ chức duy nhất sẽ mang lại sự phù hợp nhất và hiệu quả nhất trong mọi tình huống và môi trường. Về cơ bản, lý thuyết tổ chức đã sử dụng cách tiếp cận “một kích thước phù hợp cho tất cả”. Tuy nhiên, NC thực nghiệm trong lĩnh vực này không hỗ trợ lý thuyết này. Wetherbe và Whitehead (1977) đã tóm tắt NC ngẫu nhiên ban đầu một cách ngắn gọn vì nhu cầu về sự phù hợp giữa phong cách quản lý cùng với cấu trúc của chúng và hoàn cảnh mà tổ chức phải sản xuất hàng hóa và / hoặc dịch vụ. Nếu sự phù hợp giữa tổ chức, môi trường và thiết kế tổ chức nội bộ là phù hợp, thì sự phù hợp đó sẽ dẫn đến tăng sự hữu hiệu, hiệu quả và sự hài lòng (Kast và Rosenzweig, 1979). NC có ý nghĩa này đã được hoàn thành trong nỗ lực mô hình hóa nhiều mối quan hệ được tìm thấy giữa ba biến số chính: môi trường, công nghệ và đặc điểm lãnh đạo. Môi trường được định nghĩa là các yếu tố và thực thể bên ngoài đối với một tổ chức hoặc đơn vị cấp dưới của một tổ chức, bao gồm khách hàng, đối thủ cạnh tranh hoặc quy định của chính phủ (Wetherbe và Whitehead, 1977). Công nghệ được định nghĩa là con người và phương pháp sản xuất mà một tổ chức sử dụng để sản xuất hàng hóa và / hoặc dịch vụ của họ. Các biến này đã được NC liên quan đến hiệu quả tổ chức. Khả năng lãnh đạo hiệu quả và xác định các đặc điểm tính cách dẫn đến hiệu quả của họ là một dòng NC đang diễn ra trong khoảng thời gian đầu. Fiedler bắt đầu tiến hành NC trong lĩnh
vực này vào đầu những năm 1950 và đã viết một bài báo phát triển một mô hình tổng quát về mối tương quan giữa các thuộc tính của người đứng đầu và hiệu suất nhóm của họ trong một môi trường tổ chức. Về cơ bản, Fiedler nhận thấy rằng hiệu quả của nhóm phụ thuộc vào mối quan hệ giữa phong cách lãnh đạo và mức độ mà tình hình nhóm cho phép nhà lãnh đạo gây ảnh hưởng đến nhóm (Fiedler, 1967).
Quan điểm ngẫu nhiên trong CNTT và HTTT dựa trên nguyên tắc rằng không có HTTT duy nhất nào có thể được áp dụng chung cho tất cả các công ty trong mọi tình huống (Otley, 1980). Lý thuyết ngẫu nhiên đã được sử dụng trong NC HTTT để giải thích các đặc điểm của cá nhân và tổ chức có liên quan đến nhau như thế nào để tạo ra các hệ thống hiệu quả. Cách tiếp cận ngẫu nhiên dựa trên hai phát hiện trọng tâm từ một số NC thực nghiệm quy mô lớn. Phát hiện đầu tiên là không có cách nào tốt nhất cho một công ty để tổ chức hoặc quản lý. Tổ chức của một công ty được định nghĩa là cấu trúc (tập trung hoặc phi tập trung) và hệ thống phân cấp của công ty. Thứ hai, mỗi phương pháp tổ chức hoặc quản lý cụ thể đều không hiệu quả như nhau (Galbraith, 1973). Theo đó, lý thuyết ngẫu nhiên không chỉ dựa trên một cách, mà là một số cách tốt nhất để xây dựng một HTTT hiệu quả; và những cách tốt nhất này phụ thuộc vào một số đặc điểm chung của cá nhân và tổ chức”.
Trong một dẫn chứng khác của Mkonya và cs (2018) cũng cho thấy, để giải thích các nhân tố ngẫu nhiên tác động đến sự vận hành HTTTKT cho các dự án tổ chức phi chính phủ ở Tanzania đã cho thấy lý thuyết ngẫu nhiên cũng đã được áp dụng. NC HTTT áp dụng lý thuyết ngẫu nhiên để giải thích các biến ngẫu nhiên có liên quan đến việc vận hành một HTTT hiệu quả (Reinking, 2012). Lý thuyết cũng đã được phát triển trong các NC HTTTKT và HTTT quản lý. Các biến ngẫu nhiên được sử dụng trong phát triển hệ thống và thực hiện hệ thống. Người ta cũng nhận thấy rằng lý thuyết ngẫu nhiên trong việc thực hiện HTTTKT được liên kết chặt chẽ với thuộc tính cụ thể của các biến tổ chức và cá nhân (Ginzberg, 1980). Các biến này kết nối với nhau để tạo ra hệ thống thành công. Các nhà NC khác nhau đã xác định các đặc điểm tổ chức là cơ cấu tổ chức, hỗ trợ / cam kết của quản lý (Chenhall và Morris, 1986; Mahmood và Swanberg, 2001; Daoud và Triki, 2013) và các đặc điểm cá nhân
như trình độ học vấn, năng lực người dùng, kiến thức người dùng, đào tạo, trình độ chuyên môn và trình độ kỹ năng (Mahmood và Swanberg, 2001; Daoud và Triki, 2013).
Lý thuyết ngẫu nhiên cho thấy, HTTTKT lệ thuộc vào đặc điểm của một tổ chức thể hiện qua môi trường, công nghệ, cơ cấu tổ chức, cá nhân và đặc điểm lãnh đạo. Vận dụng vào NC này, các nhân tố cam kết của quản lý, văn hoá tổ chức, nguồn lực con người và các nhân tố CNTT (phần cứng, phần mềm, dữ liệu và ứng dụng tiến bộ CNTT) được xem là có quan hệ và tác động đến CLHTTTKT.
2.4. Các giả thuyết nghiên cứu và mô hình nghiên cứu
Dựa vào cơ sở lý thuyết đã trình bày ở trên bao gồm công bố của các NC trước, các khái niệm và các lý thuyết nền có liên quan để luận giải cho việc hình thành nên các khái niệm NC, tác giả luận án đã phác thảo ra các giả thuyết NC và mô hình NC dự kiến như sau:
2.4.1. Các giả thuyết nghiên cứu
Mối quan hệ giữa rủi ro phần cứng và CLHTTTKT
Thành phần HTTTKT bao gồm con người, các thủ tục và các hướng dẫn, dữ liệu, phần mềm, hạ tầng CNTT, KSNB và các biện pháp an ninh (Romney và Steinbart, 2018). HTTTKT chỉ có thể vận hành và đạt được mục tiêu của nó khi có sự phối hợp hành động của tất cả các thành phần bên trong một cách nhịp nhàng.
Rủi ro về an toàn của hầu hết các thành phần phần cứng của một HTTT đến từ thiết kế, chủ yếu cho thấy liên quan an toàn vật lý. Trong trường hợp hỏa hoạn, động đất, thảm họa hoặc đĩa cứng hỏng hóc, mất dữ liệu là không thể đảo ngược. Một khi dữ liệu không khôi phục được, nó sẽ đem đến thua lỗ không thể đo được cho DN. Do đó, trong việc mua phần cứng và quản lý phần cứng thì những rủi ro này phải được giảm thiểu hoặc loại bỏ (Liu, 2012). Một ý kiến tương đồng khác của Stair và Reynolds (2010) cũng đề cập đến việc quyết định chọn lựa phần cứng, cần chú ý là phần cứng phải hỗ trợ các mục tiêu của HTTT và các mục tiêu của tổ chức.
Tác động tiêu cực từ môi trường như độ ẩm, khói, bụi, va đập, lửa. lũ lụt, nguồn điện và nguồn nước (Wang và He, 2011; Rajeshwaran N và Gunawardana K. D,
2008) hay yếu kém trong kiểm soát vật chất, kiểm soát tiếp cận phần cứng (Loch và cs, 1992; Rajeshwaran N và Gunawardana K. D, 2008) là những nguyên nhân ảnh hưởng đến vận hành HTTTKT tại DN. Những hậu quả gây ra từ đó sẽ làm cho công việc kế toán trên máy tính có thể gặp phải nhầm lẫn lớn.
Theo Phan Đức Dũng và Phạm Anh Tuấn (2015), còn dẫn chứng thêm những vấn đề gặp phải trong quá trình vận hành HTTTKT liên hệ với việc sử dụng phần cứng máy tính như hiệu suất sử dụng, tính tương thích và chế độ bảo trì.
Từ quan điểm các kết quả tương tự đã thực hiện ở những NC trước (Loch và cs, 1992; Rajeshwaran N và Gunawardana K. D, 2008; Wang và He, 2011; Phan Đức Dũng và Phạm Anh Tuấn, 2015) và hàm ý lý thuyết ngẫu nhiên (Galbraith, 1973; Wetherbe và Whitehead, 1977; Otley, 1980; Ginzberg, 1980; Chenhall và Morris, 1986; Mahmood và Swanberg, 2001; Daoud và Triki, 2013) đã đưa đến giả thuyết:
H1: Rủi ro phần cứng có ảnh hưởng đến CLHTTTKT.
Mối quan hệ giữa rủi ro phần mềm và CLHTTTKT
Phần mềm là thuật ngữ chung dùng để chỉ các loại chương trình được dùng để vận hành và thao tác với máy tính và các thiết bị ngoại vi. Một cách phổ biến để mô tả phần cứng và phần mềm là phần mềm có thể được coi là phần biến đổi của máy tính và phần cứng là phần bất biến (O’Brien và Marakas, 2011). Cũng như phần cứng, phần mềm là thành phần không thể thiếu của HTTTKT.
Rủi ro phần mềm cũng đến từ lỗi thiết kế và các lý do còn lại đến từ việc triển khai dự án phần mềm. Sơ suất của thiết kế phần mềm có thể tạo lỗ hổng bảo mật. Thiết kế phần mềm không thực hiện thiết kế mô-đun theo cấp độ yêu cầu an toàn của HTTT thì không thể dẫn đến cấp độ an toàn như mức mong muốn, đặc biệt là khi tự lập trình phần mềm ứng dụng, lập trình viên đã bí mật để lại “cánh cửa nguy hiểm” và sau đó các chức năng trái phép sẽ có điều kiện thực thi (Liu, 2012).
Việc lựa chọn phần mềm không có khả năng đáp ứng (Wongsim, 2013) hay việc sử dụng phần mềm không có bản quyền, không rõ nguồn gốc sẽ là đe doạ đối với kiểm soát an toàn HTTTKT trên nền máy tính (Rajeshwaran N và Gunawardana K. D, 2008). Zhang và cs (2002); Phan Đức Dũng và Phạm Anh Tuấn (2015) dẫn thêm
dịch vụ hỗ trợ không tốt từ nhà cung cấp/ đội ngũ tư vấn phần mềm, thiếu tài liệu hướng dẫn hoặc không đầy đủ và tính không linh hoạt của phần mềm sẽ là những nguyên nhân gây ra sự thành bại trong vận hành ERP, cũng như ảnh hưởng đến hiệu quả HTTTKT. Ngoài ra, phần mềm độc hại trong hệ thống máy tính, lỗ hổng về kiểm soát thông tin và dữ liệu trên phần mềm cũng được cho là mối hiểm hoạ cho sự an toàn của HTTT (Laudon và Laudon, 2018).
Dựa vào quan điểm những NC có điểm tương đồng đã thực hiện trước đây (Zhang và cs, 2002; Rajeshwaran N và Gunawardana K. D, 2008; Wongsim, 2013; Phan Đức Dũng và Phạm Anh Tuấn, 2015 và Laudon và Laudon, 2018) và hàm ý lý thuyết ngẫu nhiên (Galbraith, 1973; Wetherbe và Whitehead, 1977; Otley, 1980; Ginzberg, 1980; Chenhall và Morris, 1986; Mahmood và Swanberg, 2001; Daoud và Triki, 2013), giả thuyết sau được đưa ra:
H2: Rủi ro phần mềm có ảnh hưởng đến CLHTTTKT.
Mối quan hệ giữa rủi ro dữ liệu và CLHTTTKT
Dữ liệu là những dữ kiện được thu thập, ghi lại, lưu trữ và xử lý bởi một HTTT (Romney và Steinbart, 2018). Trong bối cảnh HTTTKT, số lượng và độ phức tạp của dữ liệu ngày một tăng đã dẫn đến sự chú ý ngày càng tăng về các rủi ro và kiểm soát liên quan đến cả các công nghệ mới xuất hiện lẫn các phương pháp quản trị (Quinn và Strauss, 2018).
Trong thời đại thông tin và tri thức ngày nay, dữ liệu và thông tin của tổ chức và cá nhân thường có sẵn ở dạng kỹ thuật số. Trong nhiều trường hợp, chúng có sẵn trên môi trường mạng. Vì vậy, chúng dễ bị đánh cắp, sử dụng sai mục đích, lạm dụng, sửa đổi, tiết lộ không đúng cách, lừa đảo và còn nhiều đe doạ khác nữa. Vì thế, quan trọng là rủi ro này cần được giảm thiểu trong bất kỳ tổ chức nào (Ahlan, R., A. và Arshad, Y., 2012).
Các mối đe dọa an toàn dữ liệu bắt nguồn từ cả trong lẫn ngoài. Hành động đến từ người gây hại bên trong bao gồm đánh cắp dữ liệu vì lợi ích hoặc nhân viên bất mãn cố tình xóa dữ liệu. Trong khi, nhân viên không gây hại có thể do đào tạo kém hoặc thiếu thận trọng trong hành động của mình, vô tình gây ra sự rò rỉ dữ liệu hoặc