組織控制與信息安全制度遵守：面子傾向的調節效應

陳 昊，李文立，陳立榮

大連理工大學 管理與經濟學部，遼寧 大連 116023

組織控制與信息安全制度遵守：面子傾向的調節效應

陳 昊，李文立，陳立榮

大連理工大學 管理與經濟學部，遼寧 大連 116023

員工對于重要數據和計算機設備等信息資產的濫用和誤用成為組織信息安全的潛在威脅，越來越多的企業意識到單純依靠安全技術解決方案難以有效控制這些風險，如何通過有效的機制設計來規范和引導員工的信息安全行為顯得尤為重要。

從行為學視角，引入面子傾向探討中國組織員工的信息安全管理問題。面子是中國人相對穩定的人格特質，相當一部分人對面子得失十分看重，正是這種特殊的面子規范構成了企業中面子管理的重要內容。已有研究將面子看作是一種行為約束機制，然而在信息安全行為管理中，面子是否以及如何起作用尚未被探討。

整合威懾理論、獎勵機制和面子需求理論，在組織控制機制框架下構建研究模型，揭示基于獎勵激勵和組織威懾的正式控制機制和基于面子需求的非正式控制機制在引導員工遵守信息安全制度中的關鍵性作用。研究模型圍繞員工遵守信息安全制度的意愿，重點解釋獎懲機制的有效性、掙面子和護面子兩種面子傾向對遵守意愿的作用以及基于獎懲的正式控制機制與基于面子需求的非正式控制機制之間的交互作用。

采用網絡問卷調研法，依托專業的數據調研公司，將問卷鏈接隨機推送給在實行了信息安全制度的企業中工作的正式員工。經過3周的數據收集和篩選，最終獲取409份有效樣本，基于PLS的結構方程和Smart PLS工具對研究模型進行假設驗證。

研究結果表明，感知到的獎勵和感知到的懲罰對員工的信息安全制度遵守行為決策起控制作用，且獎勵激勵的作用效果要優于組織威懾；面子傾向引導員工遵守信息安全制度，掙面子傾向和護面子傾向對正式控制機制與行為意愿間關系起負向調節作用。研究結果對中國情景下的信息安全行為管理提供了理論支撐和實踐指導。

掙面子傾向；護面子傾向；信息安全行為管理；組織控制；獎懲機制

1 引言

近年來，信息安全事件的頻發使企業逐漸意識到信息安全管理的必要性。然而，企業過分依賴安全技術，忽視了員工對信息資產的濫用和誤用給信息安全帶來的隱患。組織員工的內部威脅已經成為信息安全事件的首要誘因[1]，企業通過規定員工在信息安全中的義務和職責[2]以及信息安全意識的培養和安全知識與技能的灌輸[3]等舉措規范員工的信息安全行為。但是員工在使用信息資產的過程中總會有意或無意地忽視信息安全制度的規定[4]，從而導致信息安全事件愈演愈烈，信息安全制度的貫徹實施需要構建和完善相應的控制體系。

組織威懾和獎勵機制是組織控制體系的組成部分[5]。組織威懾通過懲罰增加違規成本，從而負向強化員工遵守信息安全制度。然而學術界對組織威懾的作用存有爭議[6]，組織威懾與信息安全行為之間的關聯有待進一步驗證[7-9]。獎勵機制是激勵員工遵守信息安全制度的重要舉措，然而實證研究尚未發現兩者之間的關聯證據。此外，信息安全行為研究主要在西方社會情景下展開，不同文化情景下的研究結論往往不同[10]。儒家文化情景下的員工思維模式和行為方式有其獨特性。面子是儒家文化在個體層面的重要表征，且基于面子的管理范式逐步為企業所探討和應用[11-12]，面子機制對員工信息安全決策的影響作用尚未被探討和驗證。

當前中國信息安全研究主要從技術層面和法律層面開展[13]，缺少基于管理學和行為學視角的實證支持[14]。本研究整合威懾理論、獎勵機制和面子需求理論，在組織控制機制框架下構建研究模型，并嘗試揭示面子傾向在獎懲機制與信息安全行為決策關系中的調節作用，研究結論可為差別化管理中國員工的信息安全行為提供理論支撐和實際借鑒。

2 理論基礎和相關研究評述

2.1 威懾理論

犯罪學領域的威懾理論認為個體是否從事犯罪活動取決于對利弊得失的權衡，如果個體認為從事某行為被懲罰的可能性較高，由此產生的后果的嚴重性程度較高，且受到懲罰的響應及時，那么該行為會被判定為風險性行為。一旦從事該行為所產生的風險超過了其帶來的得益，人們會放棄實施該行為[15]，因為沒有人希望被懲罰[6]。

組織威懾是組織控制機制的重要組成部分[5,16]，它通過懲罰手段警示員工的錯誤行為，從而負向強化員工遵守信息安全制度。而已有研究發現組織威懾并不總能有效地發揮作用[6]，SIPONEN et al.[17]認為威懾對那些使用中和技術的員工失效，因為他們擅長以一些借口(如否認責任、否認受害者等)來合理化自己的行為，為違規行為開脫以逃避懲罰；HU et al.[18]認為威懾僅僅是一種成本，如果違規帶來的得益大于其成本，員工往往會參與到違規行為中，從而導致威懾機制形同虛設。因此，越來越多的研究開始探討如何最大限度地發揮組織威懾對信息安全行為的引導作用。LIANG et al.[16]發現采取預防定向策略的員工更傾向于實施IT遵守行為以避免懲罰；LI et al.[19]和D′ARCY et al.[6]發現道德水平是組織威懾發揮作用的關鍵性調節變量。

2.2 獎勵激勵

控制理論認為通過獎勵激勵可以引導員工實施組織期望的行為[5]。一般認為，當員工履行了角色內行為或達到組織期望時，應該獲得相應的獎勵[20]，包括獎金、加薪、升職等[15]。獎勵激勵的關鍵性作用在于加強政策的約束和控制力[21]，如果信息安全制度的制定沒有完善的獎勵機制引導員工遵守，那么員工會認為該政策缺乏實施的必要性。BULGURCU et al.[22]的研究證實獎勵增加員工的收益認知，對遵守信息安全制度態度的養成起正向促進作用。

獎勵機制對員工遵守信息安全制度的激勵作用已被實驗研究所證實[5]，然而在實證研究中尚沒有揭示兩者之間的關系。已有研究認為獎勵實施的前提是員工在一定時期內持續遵守信息安全制度，相比而言，員工往往會因偶爾一次的違規而受到處罰，從而使獎勵化為泡影，因此，獎勵的效果沒有威懾產生的作用強烈[16]。此外，遵守行為往往體現在一些瑣碎的具體工作中，如工作期間經常鎖定計算機工作臺和防止共享密碼等，而這些工作很難通過有效的方式進行一一核查，事實上企業往往也只是通過定期抽查監控的方式進行管理，這也就意味著很難為獎勵的實施提供一定的參考標準。盡管如此，部分企業依然重視獎勵激勵的積極性引導作用，如簡伯特公司(Genpact)通過E-mail表揚信的方式對抽檢合格的員工進行鼓勵，同時依據每月累計的抽檢達標成績折算成積分用以兌換實物獎勵等。此外，LIANG et al.[16]發現采取促進定向策略的員工更看重實施IT遵守行為所帶來的利益，意味著獎勵激勵作用效果的發揮與組織威懾類似，同樣受到一定條件的制約。本研究將探討獎勵機制在信息安全行為決策中的作用以及其發揮作用的條件。

2.3 面子與面子需求理論

在中國，面子(face)是與精神信念有關的概念，如常說的“人要臉樹要皮”“死要面子活受罪”等俗語從一個側面揭示了國人對面子的追求。胡先晉[23]最早對東西方文化情景下“面子”的概念進行區分，認為中國文化情景下的面子有兩個組成部分，即臉和面。臉與個人的道德特質有關，被看作是一種強化道德準繩的社會懲罰機制或自我懲罰機制，而面則代表了通過成功或賣弄所達成的個人對威望和聲譽的渴求。華人學者普遍認為中國人的面子包含社會性面子和道德性面子兩個相輔相成的部分[24]。社會性面子反映了人們在社會關系中的他律性規范，與羞恥的概念相類似，如SIPONEN et al.[17]在探討員工的信息安全違規行為時引入了羞恥的概念；道德性面子與個人的道德特質和贏得他人尊重相關，與罪這個概念聯系密切，體現了在社會交往中的自我控制力。華人學者一般認為面子是一種人格特質因素，而在西方情景下面子被看作是一種情景因素。GOFFMAN[25]首先將西方情景下的面子看作是一種積極的社會價值，即面子是借由他人認可所產生的一種社會印象。顯然，西方情景下的面子旨在尋求社會性面子，而在中國情景下面子這一概念的內涵更廣。

根據陳之昭[26]的觀點，本研究提出一個機制模型，探討面子在組織信息安全行為管理中的作用及其與組織正式控制機制的關系，見圖1。該金字塔模型由制度(正式控制機制)和面子(非正式控制機制)兩部分組成。在底層，強制性的信息安全制度是組織信息安全目標實現的基礎。組織通過制定信息安全制度強制性地對員工的信息安全行為進行控制和管理，員工必須在政策允許的范圍內合理使用信息資產。組織對遵守制度的員工實施獎勵，反之，對違規行為進行處罰。在上層，面子對員工的約束力表現為道德和社會兩個層面。通常，違反信息安全制度被認為是不符合道德標準的行為。一旦員工違規，道德的約束力會使其產生內疚感，這種道德性消極情緒實際上是員工自律的表現。為了消除違背自身道德所產生的不良感知，員工會自覺地遵守信息安全制度。同樣，面子(臉)對于那些注重社會聲譽的員工同樣具有約束力，他們往往認為違反信息安全制度是讓人感到羞恥的，會被同事、領導等重要他人所恥笑或輕視。為了保持或提升自身在組織中的聲譽或個人形象，他們通常不會違反信息安全制度，以防止丟臉的風險。此時，面子通過他律的形式對員工的信息安全行為進行規勸和引導。總而言之，面子作為一種非正式控制機制通過自我約束的自律形式(道德性面子)和社會規范的他律形式(社會性面子)以及由此產生的罪惡感和羞恥感來規勸違規行為和引導遵守行為。面子實質上可歸結為一種行為激勵，它可以激發、引導并維持社會期望的行為[27]，越是看重面子(特別是他人給的面子)的人，其行為越會受到大眾監督，這也就意味著面子的約束力越強。

面子需求是中國人相對穩定的個人特質[26]。當面子受到威脅時，掙取有面子的需求、避免丟面子的需求以及留面子的保護性需求成為一種強大的社會動機，激勵人們實施恰當的行為。正是基于這種心理需求促使面子機制發揮作用，由此產生的自我壓力和社會勸誡往往比強制性的制度和政策更為有效[28]。本研究把面子需求定義為員工的一種認知性動機，有助于維持和獲得面子以及避免在與信息安全相關的行為互動中丟面子。CHOU[29]提出了護面子傾向和掙面子傾向兩種面子需求傾向。護面子傾向是一種消極的面子需求傾向，一般認為具有護面子傾向的人往往會對消極評價比較敏感，他們不喜歡過多的在社會大眾面前自我曝光，傾向于保守和自我保護，以竭力避免丟面子。與此相反，具有掙面子傾向的人往往是積極的，他們傾向于通過自我營銷等措施增加個人名譽并渴望獲得社會認可。這兩種面子傾向對人們的認知選擇和情感反應產生不同效果的影響作用[29]。中國情景下的信息安全行為研究應該考慮文化因素，面子作為一種儒家文化特質對員工的信息安全行為決策有潛在的影響，但尚未有信息安全行為學研究對其進行探討，本研究將探討面子在信息安全行為決策研究中的作用路徑。

3 研究模型和假設

信息安全制度遵守行為是指在信息安全制度準許的范圍內實施的一系列與信息系統和信息資源使用相關的行為，旨在促進信息資產操作的安全、規范和高效。基于組織控制框架，整合威懾理論、獎勵機制和面子需求理論，構建本研究的模型，見圖2。根據該模型，員工遵守組織的信息安全制度的行為意愿受組織正式控制機制(獎勵激勵和組織威懾)以及非正式控制機制(面子需求)的共同作用，且非正式控制機制的面子需求對組織控制機制作用的發揮起調節作用。根據已有研究，本研究設置年齡、性別、學歷、工作經驗、就職部門、行業、計算機使用頻率等統計學變量作為控制變量。

圖1 面子與信息安全行為管理Figure 1 Face and Information Security Behavioral Management

圖2 研究模型Figure 2 Research Model

組織威懾和獎勵激勵是兩種典型的促進遵守行為的組織控制方法，作為組織正式控制機制的組成部分，這兩項措施準確把握了員工趨利避害的行為動機，從而通過正、負強化對員工的信息安全行為進行干預，達成員工對信息安全制度的內化和遵守。

懲罰增加生理和心理的成本，會對員工產生消極影響，如收回權限、扣薪或延遲晉升等。作為一種正式的強制性組織控制機制，懲罰可以有效地對員工未來的行為進行控制和管理，以避免可能帶來的消極后果[5,30]。理性選擇理論認為人們總是愿意從事低成本的活動，因而員工往往會選擇糾正自己的偏差行為，并努力與組織期望達成一致，即遵守信息安全制度。此外，期望理論表明，一旦人們認為可能的消極后果超出了預期，他們會采取行動避免這種結果的發生。因此，公平合理的懲罰機制會增加員工的成本認知，從而對違規行為形成威懾力，督促員工遵守信息安全制度的相關規定。因此，本研究提出假設。

H1感知到的懲罰對員工的信息安全制度遵守行為意愿有正向影響。

本研究中的獎勵是指由組織給予的激勵，如獎金、口頭或書面表揚等，以表彰員工為組織信息安全付出的努力。領導者的獎勵行為有利于形成員工的承諾、提升任務績效和產生更多的組織公民行為[31]；同時，獎勵的公平性也將提升員工士氣，增強他們采取符合組織期望的行為的意愿[32]。根據理性選擇理論，人們總是喜歡從事高收益的活動，獎勵激勵必然會帶來更多的個人利益。此外，期望理論認為，當獎勵有足夠吸引力或想要得到獎勵時，人們會參與到這些組織推薦的行為之中。因此，公平合理的獎勵激勵會增加員工的得益認知，從而督促員工實施遵守信息安全制度的行為。因此，本研究提出假設。

H2感知到的獎勵對員工的信息安全制度遵守行為意愿有正向影響。

面子影響個人行為，特別是在組織中，面子被認為是一種非正式的行為控制機制[22,26]。一般而言，丟面子會導致羞愧或窘迫，進而誘發一系列消極情緒，如焦慮、害怕、生氣、沮喪、壓抑等[33-34]；而掙面子則會激發積極情緒，如高興、開心等。因此，為了避免丟面子，或出于維持面子或掙面子的需要，人們往往會采取一些預防措施(如撕破臉、限制行為或回避等)或補償措施(如解釋和溝通、修正和補償等)[25,34]。

遵守信息安全制度的行為符合組織期望和利益。持續性的遵守信息安全制度的行為為組織所提倡和鼓勵，員工渴望達成組織期望，并借此塑造積極的自我形象[35]，這會讓具有掙面子傾向的員工感覺到有面子。相比之下，違反信息安全制度的行為在一定程度上被組織所詬病并避免，從事違規行為將會面臨丟面子的風險，如遭受來自同事或上司的奚落甚至輕視。為了避免丟面子的風險，具有護面子傾向的員工可能會轉向實施遵守制度的行為策略。因此，員工的面子需求對信息安全制度的遵守行為有直接影響，故本研究提出假設。

H3護面子傾向對員工信息安全制度遵守行為意愿有正向影響；

H4掙面子傾向對員工信息安全制度遵守行為意愿有正向影響。

HOLLINGER[36]認為員工在組織中表現出的行為是組織規范的內化和外部社會壓力交互作用的結果。本研究中規范的內化過程通過懲罰違規行為和獎勵遵守行為來實現，外部壓力則產生于員工感知到的面子規范對于實施信息安全決策所產生的壓力，即員工遵守信息安全制度的行為是正式控制機制與非正式控制機制交互作用的結果。

在本研究情景下，面子是一個相對積極的概念，不包含虛榮、攀比、炫耀等消極層面的含義。如圖1所示，個體對于面子的追求實質上是對個人道德信念和外部社會壓力的良性感知，這種基于道德的自律性和基于社會壓力的他律性的外在表現體現為個體面子的得失，從而產生對自身行為進行約束的動力。

具有較高護面子傾向的個體對負面評價非常敏感，通常行動上偏向保守和謹慎，避免做出違背社會規范的出格舉動[29]。對于具有較高程度的護面子傾向的員工來講，違反信息安全制度的行為對個人形象和聲譽產生負面影響，對職業生涯和人際關系造成嚴重的潛在危害，這種來自個人規范和道德信念的壓力會督促員工自覺地遠離違規行為，繼而實施組織認可的遵守行為。反之，低護面子傾向的人缺少必要的自律和社會壓力知覺，他們的行為往往需要借助威懾的力量進行規勸。懲罰措施明確了哪些行為是被嚴令禁止的，而違反這些行為將增加行為成本，由此預防在未來發生違規行為的可能性。LI et al.[19]和D′ARCY et al.[6]發現個人規范和道德信念負向調節威懾與積極安全行為意愿的關系，表明威懾僅僅對缺乏個人規范或道德信念約束的人發揮作用。因此，本研究提出假設。

H5護面子傾向負向調節感知到的懲罰與信息安全制度遵守行為意愿之間的關系。

具有掙面子傾向的人渴望獲得面子[37]，面子得失關系到個人的形象和聲譽。特別是在中國的集體主義氛圍下，良好的個人形象會獲得更多的潛在優勢，如得到晉升優勢和獲得領導的青睞等。因此，具有較高掙面子傾向的員工其行為模式與個人道德水平和社會聲望相一致。他們對積極評價較為敏感，往往為自己設置較高的行為標準，并通過努力工作爭取獲得他人的認可和尊重[29]。然而，低掙面子傾向的人對道德和規范的壓力感知程度較低，需要通過外部激勵喚起其實施安全行為的動機。獎勵激勵加強了政策的約束和控制力[21]，特別是對于具有較低掙面子傾向的員工來說，適當的獎勵激勵有助于他們明確當前信息安全在組織環境下的重要性，對于建立和鞏固員工的信息安全責任和義務有重要作用。因此，本研究提出假設。

H6掙面子傾向負向調節感知到的獎勵與信息安全制度遵守行為意愿之間的關系。

4 研究方法

4.1 變量測量

測量量表中所有題項均來自已有研究，并針對本研究的特定情景進行適當的修訂。護面子傾向和掙面子傾向的題項來源于CHOU[29]編制的面子傾向測量量表(protective and acquisitive face orientations scale,PAS)，該量表用以描述在掙面子和護面子兩種動機下個人的普遍性傾向。本研究對該量表題項進行篩選，首先，借鑒前人的研究方法，僅選取與當前研究情景相關度最高的題項[38-39]。其次，借鑒EISENBERGER et al.[40]和NEVES et al.[41]的研究方法，僅選取因子載荷較高的題項。結合前兩項篩選原則，構成本研究的測量量表。使用Likert 5級量表進行刻度，表征受訪者對描述語句的贊同程度，1為強烈反對，5為完全同意。面子傾向測量量表在針對香港地區的樣本研究中顯示出良好的信度和效度[29,42]。

基于BOSS et al.[20]和SIPONEN et al.[43]的研究對感知到的獎勵進行測量，用來表征員工實施信息安全行為時獲得獎勵的可能性。根據CHEN et al.[5]的研究對感知到的懲罰進行測量。遵守信息安全制度行為意愿的操作化定義為當員工對使用信息設備或訪問數據資料時遵循組織規范或實施組織期望的信息安全行為的看法，基于BULGURCU et al.[22]的研究對該變量進行測量。同樣采用Likert 5級量表進行刻度，表征受訪者對描述語句的可能性判斷，1為完全不可能，5為一定。上述量表內容在已有研究中均顯示出良好的信度和效度。

4.2 試測

量表初步開發完成后，通過專家小組討論，對相關量表的題項表述和內容進行調整。隨后對量表進行試測，試測人員是來自實施了信息系統安全制度的IT公司和銀行的正式員工。題項的因子載荷一般要求在0.500以上，為了保證收斂效度良好，根據試測檢驗結果剔除因子載荷小于0.600的題項。此外，根據被試反饋對問卷進行調整和完善，最大程度的保證量表的內容效度。

4.3 數據收集

采用問卷調研法進行數據收集。問卷調研依托專業的調研網站，開始于2015年4月，歷時3周完成。問卷填寫前，要求受訪者回憶當前工作單位中信息安全制度的實施情況以及計算機等信息系統設施在日常工作中的應用情況。如果該受訪者所在工作單位沒有實施信息安全制度，或計算機等信息系統設施的使用頻率和應用范圍過低，則終止問卷填寫。問卷的發放針對實施信息安全制度的組織，隨機向其正式員工推送電子問卷，臨時合同人員和離退休人員不包含在此次受訪者的范圍之內，對于合乎要求的參與者給予一定的現金獎勵。此外，調研網站對問卷的收集過程進行必要的控制，如限制每個IP和每臺電腦不能重復提交問卷；不允許提交非完整填寫的問卷等。

PLS-SEM對樣本量并沒有嚴苛的限制，甚至在小樣本下同樣可以表現出良好的模型擬合效果[44]。經過數據收集，回收樣本433份。研究人員對回收的樣本數據進行篩選，剔除前后矛盾、明顯的惡意回答等數據樣本24份，最終得到有效問卷共計409份。回收樣本分布特征見表1。

5 數據分析和結果討論

選用PLS偏最小二乘法和Smart PLS 2.0工具進行數據分析。為了排除共同方法變異的影響，采用單因素檢驗法進行驗證。檢驗發現未旋轉時單個因子最大的累積變異數貢獻率低于50%，不存在共同方法變異的問題。

5.1 測量模型檢驗

對量表的信度和效度進行檢驗，測量量表內容和各題項結果詳見表2和表3。由表2可知，所有構念的組合信度(CR)在0.700以上，表明量表信度良好。平均變量萃取量AVE均大于0.500，且根據表3相關矩陣檢驗結果，所有題項在各自構念下的載荷值明顯高于其他構念下的載荷值，AVE平方根值大于所有的相關系數，表明量表的區分效度良好。基于以上分析結果，量表信度和效度符合基本要求。

5.2 假設檢驗結果

采用偏最小二乘法進行全模型假設檢驗的結果見圖3，模型的累計解釋總體方差變異為44.200%。未發現控制變量對模型結果變量的作用效果，即在p<0.050的置信區間下路徑系數不顯著。加入控制變量后，模型的累計解釋總體方差變異為46.400%。

假設檢驗結果顯示，感知到的懲罰對信息安全制度遵守行為意愿具有顯著的正向影響，β=0.135,p<0.001，H1得到驗證。該研究結果與CHEN et al.[5]的研究結果相同，表明通過組織威懾手段對信息安全行為進行管理是東西方文化情景下的普遍性對策。感知到的獎勵對信息安全制度遵守行為意愿具有顯著的正向影響，β=0.344,p<0.001，H2得到驗證。此外，通過路徑系數比較發現，感知到的獎勵的作用效果明顯高于感知到的懲罰。表明中國情景下，通過采取獎勵激勵手段比組織威懾更能激發員工實施信息安全行為的熱情。

表1 樣本描述性統計Table 1 Descriptive Statistics of Sample

假設檢驗結果顯示，護面子傾向對信息安全制度遵守行為意愿具有顯著的正向影響，β=0.133,p<0.050；掙面子傾向對信息安全制度遵守行為意愿具有顯著的正向影響，β=0.156,p<0.050。H3和H4得到驗證，表明組織可以通過面子規范引導員工的信息安全行為。集體主義情景下的個體往往不是一個獨立的實體，而總是將自身與其他人聯系起來。多數情況下，個體的行動并不僅僅受制于個人意志，同時也必須滿足他人的期望和制約。遵守信息安全制度是符合組織期望的行為，員工通過遵守信息安全制度獲得組織的認可，從而在滿足感或者成就感中獲得面子。對于掙面子導向較高的人來講，恪守禮儀[34](如遵守信息安全制度)在維護既有面子之余還能增加面子，出于獲得面子的需求，員工選擇遵守信息安全制度。此外，中國人的面子觀念是以社會取向為主的，個人的行為標準依賴于團體或他人評價[34]。在這種他人指向性的面子互動中，人們傾向于極力避免來自他人或團體的不贊同[28]。護面子導向較高的人對這種不贊同的反應較為敏感，往往認為這種不贊同是對面子的極大威脅。由此，實施事先避免丟面子的行為[34]，如遵守信息安全制度的預防性措施，有助于員工降低丟面子的風險。

假設檢驗結果表明，護面子傾向在感知到的懲罰與信息安全制度遵守行為意愿間的關系中起負向調節作用，β=-0.099,p<0.050。通過F檢驗計算出H5調節效應的值為0.075(∈(0.020,0.150])，表明護面子傾向對正式控制機制(威懾)與信息安全制度遵守行為意愿關系具有弱調節效應。圖4描繪了護面子傾向高(均值加標準差)和低(均值減標準差)兩種情況下的調節效果。比較兩條線的走勢，護面子傾向越高的員工，感知到的懲罰對信息安全制度遵守行為意愿的激勵作用越弱，H5得到驗證。研究結果表明，處罰措施對于那些具有較低的護面子傾向的員工更具威懾效果。假設檢驗結果同樣表明，掙面子傾向在感知到的獎勵與信息安全制度遵守行為意愿間的關系中起負向調節作用，β=-0.128,p<0.050。通過F檢驗計算出H6調節效應的值為0.055(∈(0.020,0.150])，表明掙面子傾向對正式控制機制(獎勵)與信息安全制度遵守行為意愿關系具有弱調節效應。圖5描繪了掙面子傾向高(均值加標準差)和低(均值減標準差)兩種情況下的調節效果。

注：*為p<0.050，***為p<0.001。

圖3假設檢驗結果
Figure3ResultsofHypothesisTest

圖4 護面子傾向的調節作用Figure 4 Moderating Effectof Protective Face Orientation

圖5 掙面子傾向的調節作用Figure 5 Moderating Effectof Acquisitive Face Orientation

比較兩條線的走勢，掙面子傾向程度越高的員工，感知到的獎勵對信息安全制度遵守行為意愿的激勵作用越弱，H6得到驗證。研究發現通過獎勵措施激勵具有較高掙面子傾向的員工遵守信息安全制度的實際效果要比激勵具有較低掙面子導向的員工弱。

面子傾向對獎懲機制與信息安全制度遵守行為意愿之間關系起負向調節作用，該結論表明，盡管基于獎懲的組織正式控制機制和基于面子需求的非正式控制機制均對員工的信息安全行為產生引導作用，但是發揮作用的前提不同。根據面子需求程度的差異，可以將員工分為好面子的員工和不好面子的員工。對于好面子的員工而言，他們看中自身的聲譽和個人形象，或者對丟面子有著天然的顧慮，而這種對于面子得失的需求動機激發了他們的自我管理或外部壓力體驗，從而實施積極的信息安全行為。而對于不好面子的員工而言，他們對于面子的得失缺乏敏感，單純依靠面子管理無法取得應有的效果，還需要借助獎懲機制激發他們對于個人得利和行動成本的認知，從而引導其遵守信息安全制度。根據圖4所示，懲罰機制對于好面子的員工的威懾效果并不明顯，這種丟面子的顧慮是驅動其實施遵守行為的重要動機；而對于不好面子的員工而言，通過施加威懾力，其信息安全制度遵守行為意愿得到明顯的提升。根據圖5所示，獎勵對于兩種類型的員工均產生不同程度的激勵作用，但是相比較而言，激勵對于不好面子的員工的行為引導效果更佳，而對于好面子的員工而言，自身對面子的追求同樣是其遵守信息安全制度的重要驅動力。

6 結論

行為學視角下的信息安全管理對組織的信息資源配置和員工行為控制具有重要意義。基于組織控制機制框架，整合以獎勵激勵和組織威懾構成的正式控制機制以及以面子需求為內容的非正式控制機制構建研究模型，探討增強信息安全行為管理有效性的關鍵路徑。研究結果表明，通過實行有效的獎懲機制，可以達到通過組織強制力規范員工實施信息安全行為的目的；以面子需求為內容的非正式控制機制對員工的信息安全行為起引導作用，面子需求是驅動員工遵守信息安全制度的重要動機。研究發現，面子需求對獎懲機制的調節作用，即護面子傾向負向調節感知到的懲罰與信息安全制度遵守行為意愿之間的關系，掙面子傾向負向調節感知到的獎勵與信息安全制度遵守行為意愿之間的關系。研究揭示了信息安全行為管理中實施正式控制機制的重要性和非正式控制的必要性，通過引入面子需求完善當前組織信息安全管理的機制設計，以達到對員工行為的約束和引導。

本研究的創新性和學術意義在于：①揭示基于懲罰的正式控制機制對員工遵守信息安全制度的行為意愿有強制性威懾作用。懲罰能夠喚起員工對行為成本的感知和計算，出于成本規避的考慮，促使員工改正自身的違規行為并避免未來違規的發生。組織威懾實質是通過負向刺激的方式督促員工實施恰當的信息安全行為。②證實基于獎勵的正式控制機制對員工遵守信息安全制度的行為意愿同樣具有正向推動作用，且其作用效果明顯優于威懾。盡管已有研究多數認為獎勵激勵在組織的具體實施過程中會面臨諸多困難，但是本研究結果證實，通過口頭激勵和實物獎勵的方式能夠促進員工對于實施信息安全行為的得利認知，這種正向激勵的方式對實施信息安全行為有良好的推動作用。③面子需求在信息安全行為管理中起積極作用。面子需求作為文化變量被首次引入到信息安全行為管理中，揭示了員工無論是出于掙面子的動機還是護面子的動機，均會為了自身的面子顧慮而遵守信息安全制度。研究表明，這種基于面子需求的非正式控制機制同樣可以引導信息安全行為。④揭示了面子需求對正式控制機制的調節路徑，發現了基于面子需求的非正式控制機制和基于獎懲的正式控制機制發揮作用的前提條件，獎懲機制的作用力度與員工的面子傾向負相關。盡管獎懲機制對員工的信息安全行為有正向的引導作用，但獎懲措施對面子傾向程度較低的員工更為有效。

研究結論對信息安全行為管理具有重要參考價值和實踐意義。①完善組織正式控制機制。對員工信息安全行為的管理不能一味地通過懲罰手段，適時的獎勵舉措更能激發員工的安全行為。因此，組織應重視獎勵手段的積極作用，設置公平合理的獎勵考核機制，通過累計積分換購等形式激勵員工，以實現信息安全目標。此外，在完善物質激勵措施的同時，嘗試通過榮譽激勵的形式補充現有的獎勵方式，如通過樹立標兵典型增強員工對于信息安全行為的關注和重視。②重視面子需求的激勵作用。對面子的研究有助于組織實現員工的差異化管理，針對不同面子傾向的員工分別采取不同的獎懲刺激，實現對其信息安全行為的控制和引導。同時，對于好面子的員工可通過“給面子”或“留面子”的工具性行為激發他們的自我行為約束。③信息安全管理不能僅僅局限于盲目的引入安全技術，更應該重視對員工行為的引導和規范，通過對獎勵激勵、組織威懾和面子需求的綜合運用，對員工實行差別化管理，引導員工從思想上養成信息安全意識，從行為上自覺維護信息安全，最終實現安全目標。

研究尚存在不夠完善和需要拓展之處。①考慮到研究情景，本研究根據前人的經驗，對面子傾向量表進行篩選，有選擇的保留了因子載荷較高的題項。盡管如此，數據處理過程中仍然有部分題項因因子載荷過低被剔除，未來研究應開發更加符合中國大陸組織文化情景的面子研究量表。②信息安全行為管理需要更多中國情景下的探討，無論是基于中國樣本的驗證性研究，還是引入文化要素的探索性研究，都應該積極嘗試，以構建符合中國當前組織實際的信息安全管理模式。

[1]PADAYACHEE K.Taxonomy of compliant information security behavior.Computers&Security,2012,31(5):673-680.

[2]WHITMAN M E.Enemy at the gate:threats to information security.CommunicationsoftheACM,2003,46(8):91-95.

[3]D′ARCY J,HOVAV A,GALLETTA D.User awareness of security countermeasures and its impact on information systems misuse:a deterrence approach.InformationSystemsResearch,2009,20(1):79-98.

[4]WORKMAN M,BOMMER W H,STRAUB D.Security lapses and the omission of information security measures:a threat control model and empirical test.ComputersinHumanBehavior,2008,24(6):2799-2816.

[5]CHEN Y,RAMAMURTHY K,WEN K W.Organizations′ information security policy compliance:stick or carrot approach?.JournalofManagementInformationSystems,2012,29(3):157-188.

[6]D′ARCY J,HERATH T.A review and analysis of deterrence theory in the IS security literature:making sense of the disparate findings.EuropeanJournalofInformationSystems,2011,20(6):643-658.

[7]CHENG L,LI W,ZHAI Q,et al.Understanding personal use of the internet at work:an interated model of neutralization techniques and general deterrence theory.ComputersinHumanBehaivor,2014,38:220-228.

[8]JOHNSTON A C,WARKENTIN M,SIPONEN M.An enhanced fear appeal rhetorical framework:leveraging threats to the human asset through sanctioning rhetoric.MISQuarterly,2015,39(1):113-134.

[9] XUE Y,LIANG H,WU L.Punishment,justice,and compliance in mandatory IT settings.InformationSystemsResearch,2011,22(2):400-414.

[10] HOVAV A,D′ARCY J.Applying an extended model of deterrence across cultures:an investigation of information systems misuse in the U.S.and South Korea.Information&Management,2012,49(2):99-110.

[11] 陳炳,高猛.“面子”文化與管理之道:中國式管理的文化生態學視角.管理學報,2010,7(6):797-803.

CHEN Bing,GAO Meng.Golden rules of management in Chinese face culture based on cultural ecosystem theory.ChineseJournalofManagement,2010,7(6):797-803.(in Chinese)

[12] 王慶娟,張金成.工作場所的儒家傳統價值觀:理論、測量與效度檢驗.南開管理評論,2012,15(4):66-79,110.

WANG Qingjuan,ZHANG Jincheng.Confucian traditional values at workplace:theory,measurement and validation.NankaiBusinessReview,2012,15(4):66-79,110.(in Chinese)

[13] 惠志斌.國內信息安全研究發展脈絡初探:基于1980-2010年CNKI核心期刊的文獻計量與內容分析.圖書情報工作,2012,56(6):14-19.

HUI Zhibin.Development of domestic information security researches:based on the literature methological analysis and content analysis in the core journals of CNKI(1980-2010).LibraryandInformationService,2012,56(6):14-19.(in Chinese)

[14] 林潤輝,謝宗曉,劉琦.信息安全管理研究回顧、脈絡梳理及未來展望.信息系統學報,2015,15:76-88.

LIN Runhui,XIE Zongxiao,LIU Qi.Information security management research review,carding and future prospects.ChinaJournalofInformationSystems,2015,15:76-88.(in Chinese)

[15] BARLOW J B,WARKENTIN M,ORMOND D,et al.Don′t make excuses!Discouraging neutralization to reduce IT policy violation.Computers&Security,2013,39(B):145-159.

[16] LIANG H,XUE Y,WU L.Ensuring employees′ IT compliance:carrot or stick?.InformationSystemsResearch,2013,24(2):279-294.

[17] SIPONEN M,VANCE A.Neutralization:new insights into the problem of employee systems security policy violations.MISQuarterly,2010,34(3):487-502.

[18] HU Q,XU Z,DINEV T,et al.Does deterrence work in reducing information security policy abuse by employees?.CommunicationsoftheACM,2011,54(6):54-60.

[19] LI H,ZHANG J,SARATHY R.Understanding compliance with internet use policy from the perspective of rational choice theory.DecisionSupportSystems,2010,48(4):635-645.

[20] BOSS S R,KIRSCH L J,ANGERMEIER I,et al.If someone is watching,I′ll do what I′m asked:mandatoriness,control,and information security.EuropeanJournalofInformationSystems,2009,18(2):151-164.

[21] FREDERICKSON J R,WALLER W.Carrot or stick?Contract frame and use of decision-influencing information in a principal-agent setting.JournalofAccountingResearch,2005,43(5):709-733.

[22] BULGURCU B,CAVUSOGLU H,BENBASAT I.Information security policy compliance:an empirical study of rationality-based beliefs and information security awareness.MISQuarterly,2010,34(3):523-548.

[23] 胡先晉.中國人的臉面觀∥翟學偉.中國社會心理學評論(第二輯).北京:社會科學文獻出版社,2006:1-17.

Hsien Chin HU.The Chinese concepts of “face”∥ZHAI Xuewei.ChineseSocialOrientationBasedonSocialInterationPerspective(theSecondSeries).Beijing:Social Science Academic Press,2006:1-17.(in Chinese)

[24] 金耀基.“面”、“恥”與中國人行為之分析∥翟學偉.中國社會心理學評論(第二輯).北京:社會科學文獻出版社,2006:48-64.

KING Ambrose Yeo-chi.Social interactions among the Chinese:on the issue of face∥ZHAI Xuewei.ChineseSocialOrientationBasedonSocialInterationPerspective(theSecondSeries).Beijing:Social Science Academic Press,2006:48-64.(in Chinese)

[25] GOFFMAN E.On face-work:an analysis of ritual elements in social interaction.PsychiatryInterpersonal&BiologicalPrecesses,1955,18(3):213-231.

[26] 陳之昭.面子心理的理論分析與實際研究∥翟學偉.中國社會心理學評論(第二輯).北京:社會科學文獻出版社,2006:107-160.

CHEN Zhizhao.Theoretical analysis and empircal study of the face issue∥ZHAI Xuewei.ChineseSocialOrientationBasedonSocialInterationPerspective(theSecondSeries).Beijing:Social Science Academic Press,2006:107-160.(in Chinese)

[27] 趙卓嘉.面子作用于知識型員工任務沖突選擇的內在機理:基于期望理論的實證研究.財經論叢,2013(4):101-106.

ZHAO Zhuojia.Impact of face on knowledge workers′ task conflict handling choices:an empirical research based on the expectancy theory.CollectedEssaysonFinanceandEconomics,2013(4):101-106.(in Chinese)

[28] 趙卓嘉.面子理論研究評述.重慶大學學報:社會科學版,2012,18(5):128-137.

ZHAO Zhuojia.A literature review of mianzi.JournalofChongqingUniversity:SocialScienceEdition,2012,18(5):128-137.(in Chinese)

[29] CHOU M L.Protectiveandacquisitivefaceorientations:apersonbysituationapproachtofacedynamicsinsocialinteraction.Hong Kong:The University of Hong Kong,1996:93-110.

[30] ARVEY R D,IVANCEVICH J M.Punishment in organizations:a review,propositions,and research suggestions.AcademyofManagementReview,1980,5(1):123-132.

[31] PODSAKOFF P M,BOMMER W H,PODSAKOFF N P,et al.Relationships between leader reward and punishment behavior and subordinate attitudes,perceptions,and behaviors:a meta-analytic review of existing and new research.OrganizationalBehaviorandHumanDecisionProcesses,2006,99(2):113-142.

[32] JACKSON E M,ROSSI M E,HOOVER E R,et al.Relationships of leader reward behavior with employee behavior:fairness and morale as key mediators.Leadership&OrganizationDevelopmentJournal,2012,33(7):646-661.

[33] REDDING S G,NG M.The role of “face” in the organizational perceptions of Chinese managers.InternationalStudiesofManagement&Organization,1983,3(3):92-123.

[34] 朱瑞玲.中國人的社會互動:論面子的運作.中國社會學刊,1987,11:23-53.

CHU Rueyling.Social interactions among the Chinese:on the issue of face.ChineseJournalofSociology,1987,11:23-53.(in Chinese)

[35] KIM J Y,NAM S H.The concept and dynamics of face:implications for organizational behavior in Asia.OrganizationScience,1998,9(4):522-534.

[36] HOLLINGER R C.Acts against the workplace:social bonding and employee deviance.DeviantBehavior,1986,7(1):53-75.

[37] LAU Y,FU KEUNG WONG D.Are concern for face and willingness to seek help correlated to early postnatal depressive symptoms among Hong Kong Chinese women?A cross-sectional questionnaire survey.InternationalJournalofNursingStudies,2008,45(1):51-64.

[38] D′ARCY J,HERATH T,SHOSS M K.Understanding employee responses to stressful information security requirements:a coping perspective.JournalofManagementInformationSystems,2014,31(2):285-318.

[39] DETERT J R,TREVIO L K,SWEITZER V L.Moral disengagement in ethical decision making:a study of antecedents and outcomes.JournalofAppliedPsychology,2008,93(2):374-391.

[40] EISENBERGER R,STINGLHAMBER F,VANDENBERGHE C,et al.Perceived supervisor support:contributions to perceived organizational support and employee retention.JournalofAppliedPsychology,2002,87(3):565-573.

[41] NEVES P,EISENBERGER R.Perceived organizational support and risk taking.JournalofManagerialPsychology,2014,29(2):187-205.

[42] WANG H.Helpseekingtendencyinsituationofthreattoself-esteemandface-losing.Hong Kong:The University of Hong Kong,2002:189-193.

[43] SIPONEN M,ADAM MAHMOOD M,PAHNILA S.Employees′ adherence to information security policies:an exploratory field study.Information&Management,2014,51(2):217-224.

[44] REINARTZ W,HAENLEIN M,HENSELER J.An empirical comparison of the efficacy of covariance-based and variance-based SEM.InternationalJournalofResearchinMarketing,2009,26(4):332-344.

OrganizationControlandInformationSecurityPolicyCompliance:TheModeratingEffectofFaceOrientation

CHEN Hao，LI Wenli，CHEN Lirong

Faculty of Management and Economics, Dalian University of Technology, Dalian 116023, China

Intentional insiders′ misuse and abuse of information systems resources(i.e. confidential data, computer equipment) represent significant potential threats to organizational information security. Increasingly, corporations realize that technology-based solutions alone cannot reduce these information security risks. Thus it has become important to understand how to discipline and guide employees in their information security behaviors through effective managerial mechanism design.

From the behavioral perspective, this study introduces face orientation factors to the literature of Chinese employee′s information security behavior decision-making. Face(or Mianzi) is one type of relatively stable personality for Chinese people, and a significant number of people have face-saving related considerations. For example, they instinctively fear of face-losing and pleased to have face-gaining. It is this special rule relating to face that drives entrepreneurs to develop face management practices. Prior studies believed that face can be deemed as behavior-restraining mechanism, however, whether and how this mechanism work on information security management have not yet discussed.

Drawing upon deterrence theory, reward and face orientation theory, we develop a research model following the organizational control framework, to investigate the key roles of perceived reward and perceived punishment in affecting employee′s compliance with information security policies through formal or informal control mechanism. This research model deals with three important questions in employee′s ISPs compliance intention: ①The effectiveness of the reward and punishment mechanism; ②The effect of two kinds of face orientation on compliance intention; and ③The interaction effect between formal(reward and punishment) and informal mechanisms(face orientations).

Data were collected through a web-based survey. We delegated the processes of survey issuance and data collection to a professional data research firm. The data research firm randomly pushed the survey link to the employees who are regulated by their companies′ ISPs. After a three-week data collection period and necessary screening, 409 valid surveys were completed and used for further data analysis. The research model and hypotheses were tested using PLS-based structural equation modeling with Smart PLS 2.0.

The results show that both perceived reward and perceived punishment are strong determinants of ISPs compliance intention, whereas perceived reward shows a stronger effect than perceived punishment. We also find that face orientation affects employee′s ISPs compliance intention positively. Besides, this study uncovers that protective face orientation and acquisitive face orientation negatively moderate the relationship between formal control mechanism and ISPs compliance intention. These findings extend our understanding of information security management in Chinese context and provides academical and practical implications.

acquisitive face orientation；protective face orientation；information security behavioral management；organization control；punishment and reward

Date:December 19th, 2015

DateMay 5th, 2016

FundedProjectSupported by the National Natural Science Foundation of China(71272092,71431002)

Biography:CHEN Hao is a Ph.D candidate in the Faculty of Management and Economics at Dalian University of Technology. His research interests cover the information security management and behaviors. His representative paper titled “Understanding organization employee′s information security omission behavior: an integrated model of social norm and deterrence” was published in the 18thPacific Asia Conference on Information Systems(PACIS 2014). E-mail：ch9569@mail.dlut.edu.cn LI Wenli, doctor in engineering, is a professor in the Faculty of Management and Economics at Dalian University of Technology. His research interests include information security management, reputation and trust management in e-commerce. He is the principal investigator of the project titled “Research on participant′s reputation and trust in social commerce: mechanisms and trading decision” , funded by the National Natural Science Foundations of China(71431002). E-mail：wlli@dlut.edu.cn CHEN Lirong is a Ph.D candidate in the Faculty of Management and Economics at Dalian University of Technology. Her research interests cover e-commerce and information management, consumer behavior decision making. E-mail：lrchen10@126.com

C931.6

A

10.3969/j.issn.1672-0334.2016.03.001

1672-0334(2016)03-0001-12

2015-12-19修返日期2016-05-05

國家自然科學基金(71272092,71431002)

陳昊，大連理工大學管理與經濟學部博士研究生，研究方向為信息安全管理與行為等，代表性學術成果為“Understanding organization employee′s information security omission behavior: an integrated model of social norm and deterrence”，發表在PACIS 2014，E-mail：ch9569@mail.dlut.edu.cn 李文立，工學博士，大連理工大學管理與經濟學部教授，研究方向為信息安全管理、電子商務信譽和信任管理等，主持國家自然科學基金重點項目“社會化商務中參與者的信譽和信任機理及交易決策研究”(71431002)，E-mail：wlli@dlut.edu.cn 陳立榮，大連理工大學管理與經濟學部博士研究生，研究方向為電子商務與信息管理、用戶行為決策等，E-mail：lrchen10@126.com