基于前景理論的內部審計與企業(yè)信息安全博弈分析

譚夢茹

（南京審計大學政府審計學院 江蘇南京 211815）

一、引言與文獻概述

信息技術是人類社會發(fā)展歷程中的一次大變革，近年來云計算、“互聯網+”技術的出現和成熟加速了企業(yè)信息化的進程，但是在享受其帶來的優(yōu)勢的同時，企業(yè)加強信息安全風險的防范也至關重要。

信息指的是物質特有的屬性，常被理解為情報和數據。信息是企業(yè)重要的無形資產甚至是命脈，既涉及到企業(yè)自身的機密和知識產權等無形資產，也涉及到企業(yè)所服務的客戶的信息安全，客戶信息的安全是企業(yè)良好聲譽的基礎。但是，近年來信息安全事件頻發(fā)。2012年2月，國內主流電商淘寶、當當網等網站用戶信息泄露；7月，京東商城等多家電商也出現類似問題。在各家網站紛紛爆出問題的第二年，Adobe也未能幸免，3800萬用戶信息和大量源代碼泄露；2018年，勒索病毒的爆發(fā)侵害了很多企業(yè)用戶的信息安全，尤其是政府、高校、醫(yī)院等公共服務機構。

企業(yè)信息安全管理和建設是企業(yè)董事會和管理層長期博弈、共同影響的結果。只有企業(yè)董事會足夠重視信息安全，管理層有效落實董事會決策，才能為企業(yè)發(fā)展創(chuàng)造良好的信息安全基礎。劉曉松等（2013）認為，企業(yè)不同職級的人員會對信息安全事件產生不同的影響，高層管理者對信息安全的重視程度會影響企業(yè)信息安全的文化和員工的信息安全意識，中層管理者的態(tài)度和行為會影響企業(yè)信息安全管理的執(zhí)行效果。

內部審計是改變博弈結果的有效措施。由歐洲六國內部審計師協(xié)會聯合發(fā)布的《風險聚焦——2018內部審計熱點問題》將數據安全保護的挑戰(zhàn)列在了2018年內部審計熱點問題的首位；王兵等（2013）認為內部審計未來發(fā)展的方向是拓展信息安全審計；Semer（2012）認為審計人員應在審計時密切關注數據、網絡、用戶行為等安全意識程序和管理程序中的六大領域。

斯皮內洛（1999）認為企業(yè)信息安全漏洞主要源于技術上的欠缺和不適當的公司政策或不當的數據傳播的操作這兩類因素，而內部審計恰好能夠針對這兩類因素發(fā)揮積極的促進或抑制作用。一方面，內部審計能夠通過信息安全審計的方式發(fā)現系統(tǒng)漏洞、降低系統(tǒng)被無權限訪問、數據平臺被外部入侵的潛在風險，以保障硬件、軟件和數據存儲的安全性。馮淑萍（2016）認為隨著信息技術的發(fā)展和信息系統(tǒng)的普及，我國的信息系統(tǒng)審計將迅速發(fā)展；王希忠等（2010）認為內部審計有助于企業(yè)安全管理、信息系統(tǒng)等級保護、安全風險控制，是不可或缺的手段。另一方面，內部審計能夠對企業(yè)管理層和員工產生警示作用，促使他們更好地履行維護信息安全的職責。時現（2003）認為內部審計會產生“威脅價值”，內部審計的存在使得企業(yè)管理者和員工維持良好的內部控制，優(yōu)化工作行為，從而影響企業(yè)的治理來發(fā)揮內部審計的增值作用；郭磊（2011）認為強化內部審計是防范人為因素與分析內部威脅的重要安全機制。據此，本文運用演化博弈的方法，基于前景理論對于內部審計和企業(yè)信息安全之間的關系進行探討。

本文可能的貢獻在于：將博弈論分析方法運用到內部審計的研究領域，分析內部審計對于企業(yè)管理層履行信息安全管理職責行為的影響，對已有研究進行了補充，有助于深化內部審計對公司治理的積極作用的認識。此外，本研究也具有一定的現實意義。在信息安全意義日益凸顯的當下，企業(yè)的信息安全管理迫在眉睫，本文的研究結論表明內部審計會使管理層更重視規(guī)避風險，更好地履行企業(yè)信息安全維護和信息泄露風險防范的職責。內部審計可以通過加大對管理層不重視信息安全的處罰力度和提高內審工作質量、加強對管理層的監(jiān)督這兩種途徑，影響管理層治理信息安全問題的行為。由此，企業(yè)應該充分發(fā)揮其對管理層企業(yè)信息安全保護職責履行情況的監(jiān)督作用，更好地促進信息安全管理體系的健全完善和企業(yè)戰(zhàn)略的實現。

二、企業(yè)董事會和管理層對于信息安全管理的博弈分析

（一）演化博弈模型假設

為了便于分析企業(yè)董事會和管理層信息安全管理和建設的博弈過程，作出以下假設：

假設一：假設博弈的主體只有企業(yè)董事會和管理層，這兩方都是追求自身利益最大化的有限理性人，且存在信息不對稱的情況。企業(yè)董事會的策略選擇空間為SB=（重視，不重視），記為（T1，T2）。“重視”是指董事會重視企業(yè)信息安全，加強對企業(yè)管理層的監(jiān)督；“不重視”是指董事會忽視這方面建設，不將其納入管理層業(yè)績考評范疇。同樣，企業(yè)管理層的策略選擇空間為SM=（作為，不作為），記為（A1，A2）?！白鳛椤笔侵腹芾韺臃e極采取信息安全管理措施，如加強企業(yè)信息系統(tǒng)網絡安全的建設、加強信息安全內部控制等；“不作為”是指管理層為了節(jié)約成本，采取消極措施甚至合謀泄露企業(yè)內部信息。

假設二：董事會選擇“重視”（T1）策略的概率為x(0≤x≤1)，管理層選擇“作為”（A1）策略的概率為y(0≤y≤1)。如果雙方采取策略組合{T1，A1}，企業(yè)信息安全管理狀況最好，出現企業(yè)信息泄露的風險最低；反之，如果雙方采取策略組合{T2，A2}，企業(yè)信息安全管理狀況最差，很可能出現信息泄露的問題；其他兩種策略組合{T2，A1}、{T1，A2}下，企業(yè)信息安全狀況介于上述兩者之間，博弈雙方承擔的風險成本也介于上述兩者之間，成本折扣系數分別為K1、K2(0

假設三：如果信息安全狀況很差，出現信息泄露并造成企業(yè)損失的情況，企業(yè)董事會和管理層都會承擔責任和蒙受損失，且雙方承擔的后果成線性相關，相關系數為λ。企業(yè)管理層承擔的責任為L，則董事會承擔的責任為λL，此外企業(yè)管理層受到董事會的懲罰記為P。

（二）演化博弈模型構建和演化穩(wěn)定策略分析

基于以上假設，構建有限理性條件下企業(yè)董事會和管理層在信息安全問題上的博弈支付矩陣，相關參數和解釋詳見表1、表2所示。

表1 企業(yè)董事會與管理層交互的支付矩陣

表2 參數解釋

企業(yè)董事會選擇“重視信息安全”的期望收益為UT1=y(-CT)+(1-y)(P-CT-λk2L)；董事會選擇“不重視信息安全”的期望收益為UT2=y(-λk1L)+(1-y)(-λL);董事會的平均期望收益為。經過一段時間的博弈，博弈雙方會為實現利益最大化而調整策略，如果采取某一策略的個體適應度比總體的平均適應度高，隨著時間的推移這個策略就會增長。因此，可得到董事會選擇“重視信息安全”的復制動態(tài)方程為。將UT1和UT2代入得：

整理得：

同理，企業(yè)管理層選擇“加強企業(yè)信息安全管理”的期望收益為UA1=x(-CA)+(1-x)(-CA- k1L)；管理層選擇“不加強企業(yè)信息安全管理”的期望收益為UA2=x(-P-k2L)+(1-x)(-L);管理層的平均期望收益為U—A=yUA1+(1-y)UA2。因此，可得到管理層選擇“加強企業(yè)信息安全管理”的復制動態(tài)方程為。將UA1和UA2代入得：

整理得：

分別令F(x)=0，F(y)=0，可解得博弈均衡點。根據孫慶文等（2003）的研究結論，當滿足條件，即且時，該復制系統(tǒng)有4個平衡點。其中，E1(0,0)為不穩(wěn)定的結點，E2（1,0）、E3(0,1)為鞍點，E4（1,1）為穩(wěn)定的結點。此時，對應企業(yè)信息安全理想狀態(tài)的策略組合{T1，A1}（企業(yè)董事會重視企業(yè)信息安全且管理層加強企業(yè)信息安全管理）為演化穩(wěn)定策略（ESS）。

（三）演化博弈結果分析

根據上述分析，如果想達到理想結果，雙方都采用{T1，A1}的策略組合，即策略組合{T1，A1}（企業(yè)董事會重視企業(yè)信息安全且管理層加強企業(yè)信息安全管理）為演化穩(wěn)定策略（ESS），就要滿足且的條件。具體而言，這需要滿足CT<λk1L且CA

但在現實生活中，由于信息是不對稱、不完全的，且博弈參與方的決策容易受到外界暫時性因素的影響，博弈雙方很難具備完全理性，這也是演化博弈理論產生的原因和基礎。對于企業(yè)管理層而言，加強企業(yè)信息安全管理需要耗費大量的成本，如定期檢查企業(yè)信息系統(tǒng)安全風險的成本、維護企業(yè)信息系統(tǒng)安全的人力成本；但是泄露企業(yè)信息，無論是泄露企業(yè)重大機密還是出賣消費者和客戶的數據，都可能會帶來巨大收益，而企業(yè)信息安全管理工作不到位的弊端可能在短期內無法直接顯現。因此，在直觀收益和潛在風險的權衡下，企業(yè)管理層可能會冒著損失P的風險選擇不采取積極的措施，而不是去承擔確定的成本CA。對于企業(yè)董事會來說，“重視企業(yè)信息安全”意味著要花精力關注和耗成本監(jiān)督管理層的相關行為，這會付出確定的成本CT，而且過度的強調和不適當的懲罰可能會影響管理層和員工工作的積極性，因此董事會也會傾向于選擇T_2策略，不去承擔確定的成本CT。由此，上述問題會影響博弈雙方向E4（1,1）收斂，使得董事會和管理層都不重視信息安全的現象成為常態(tài)。

囿于上述困境，本文在前景理論的基礎上構建模型，討論內部審計對管理層履行信息安全管理職責的影響，探究其是否是破解這種囚徒困境的有利嘗試。

三、基于前景理論的內部審計對企業(yè)管理層信息安全管理行為的影響分析

（一）理論基礎

Kahneman等（1979）提出，在有限理性下，博弈策略并非取決于策略本身的直接利益得失，而是博弈主體對策略得失值的心理感受，即結果和預期的差距。人在做決定時首先會自己形成一個參考點，然后衡量不同結果的收益是高于或者低于這個參考點。若結果的收益高于參考點，人們傾向于風險厭惡，喜歡確定的小收益；對于結果低于參考點的損失型結果，人們會喜好風險，傾向于避免損失。根據前景理論，前景價值V由權重函數π（pi）和價值函數v（xi）構成，xi是事件i發(fā)生后博弈主體實際收益和參照點的差值，pi 是事件i發(fā)生的概率。即：

其中，α，β∈（0,1）是風險偏好系數，表示博弈主體的風險偏好；τ是損失規(guī)避系數，若τ＞1則表示博弈主體對損失比收益更敏感。

（二）模型構建與分析

假設管理層消極應對信息安全問題，偷懶并減少時間和精力投入時，管理層獲得的效益由兩部分組成。一部分是消極應對從而節(jié)省下來的時間和精力成本h，成本h無論是否之后被內審發(fā)現，都已經發(fā)生轉化為效益；另一部分成本則是管理層消極應對卻未收到懲罰的心理效益，若消極應對但未被發(fā)現，其收益為g，但一旦內審發(fā)現管理層的消極應對行為將加以處罰，從而這部分心理效益將根據懲罰力度θ轉化為-θg。另外，假設公司管理層不重視信息安全被發(fā)現和追責的概率為p，公司管理層的參照點效益為a0。

根據上述假設，若公司管理層選擇消極應對，不治理信息安全，則在未被內審部門發(fā)現并追加懲罰的情況下，實際收入l1=g+h-a0；若消極應對行為被內審發(fā)現并處罰，實際收入為l2=-θg+h-a0，進而構建內部審計對管理層治理信息安全行為的影響模型。即：

由于l1-l2=（1+θ）g＞0，因此有如下兩種情況：當l1＞l2＞0，即當管理層消極應對被懲罰后獲得效益仍大于參照點收入，此時管理層會變成風險偏好者，因為懲罰力度過低，管理層愿意冒著被發(fā)現并懲罰的風險消極懈??；當l2＜0＜l1，即管理層消極應對被發(fā)現的懲罰較重，則管理層變成風險厭惡者，因為懲罰力度大，一旦發(fā)現造成的損失遠大于偷懶懈怠獲得的效益，管理層傾向于積極處理信息安全問題。由此表明，管理層消極應對信息安全問題后被發(fā)現的懲罰越重，則越傾向于積極處理信息安全問題。

管理層為了利益最大化，在心理上會設定一個確定的消極應對的心理效益g，由式（3）可得 ：；令，則有。根據前景理論，當l2>0時，v'(l2)>v'(l1)≥0，則；當l1<0時，v'(l1)>v'(l2)≥0，則。為了使管理層自覺積極處理信息安全問題，可取。

根據上述分析，公司管理層策略選擇的最優(yōu)化條件與處罰力度θ，與被內審發(fā)現的概率p相關。由此可以得出結論，公司內審可以通過兩種途徑影響管理層治理信息安全問題行為。第一種，加大對管理層不治理信息安全的處罰力度（增加θ）；第二種，提高內審工作質量，加強對管理層的監(jiān)督，提高發(fā)現管理層消極治理信息安全行為的概率（提高p）。由此可見，企業(yè)加強內部審計能夠督促管理層更好地履行信息安全建設的職責，幫助董事會更有效地監(jiān)督管理層的信息安全管理行為，從而降低企業(yè)的信息安全風險成本。

四、結論與展望

本文基于有限理性的假設，通過構建企業(yè)董事會和管理層的演化博弈模型，分析了不完全信息條件下雙方在信息安全管理上的動態(tài)博弈過程。結果表明，出于自身利益最大化和風險偏好，董事會和管理層最終會形成“董事會不重視、管理層不執(zhí)行”的困境。為了解決這個博弈過程中出現的困境，本文基于前景理論，構建內部審計對企業(yè)管理層加強企業(yè)信息安全建設行為的影響模型。通過演化博弈分析發(fā)現，內部審計會使管理層更重視規(guī)避風險，更好地履行企業(yè)信息安全維護和信息泄露風險防范的職責；內部審計可以通過加大對管理層不治理信息安全的處罰力度和提高內審工作質量加強對管理層的監(jiān)督這兩種途徑影響管理層治理信息安全問題行為。

現如今，公司掌握了較多的個人信息，而個人隱私一旦泄露，首先會侵犯消費者個人利益，進而會讓消費者開始拒絕提供信息，給公司經營帶來額外的信息獲取成本，更甚者公司信息安全泄露被公開，消費者會對公司產生信任危機，大大降低公司的信譽度和品牌價值，最后影響到公司利潤和公司估值。在相關法律和公司條例尚未健全完備的情況下，加上現代企業(yè)固有的代理風險，管理層很可能選擇忽視企業(yè)的信息安全問題。內部審計的引入，能夠通過及時發(fā)現管理層的管理疏忽懈怠的跡象和表現并及時處罰，有錯必查，有過重罰，使得管理層能夠將更多的資源和關注點投入到信息安全問題上，使企業(yè)防患于未然。

2021年1月，中國內部審計協(xié)會組織編寫了《第3205號內部審計實務指南——信息系統(tǒng)審計》，其中第三節(jié)為信息安全管理審計，明確了信息安全管理審計的重要性。企業(yè)應當充分認識到信息安全的重要性以及內部審計對信息安全的積極作用，將企業(yè)信息安全管理的內部審計作為一項常態(tài)化的制度，貫穿于企業(yè)的經營全過程。企業(yè)應當從安全管理審計、物理安全審計、網絡與通訊安全審計、主機安全審計、應用安全審計、數據安全審計、訪問控制審計、安全防護審計、終端安全和安全體系運行與事件管理審計等多方面入手，從軟硬件、輸入與輸出等角度實現信息安全審計的全覆蓋，從制度和具體事件行為上為企業(yè)的信息安全建設提供參考。同時，企業(yè)可成立信息安全內部審計專項小組，由企業(yè)高管任組長，專業(yè)內部審計人員和信息安全專家等任組員，一方面使企業(yè)管理層充分意識到信息安全的重要性，及時將內部審計的結果運用到企業(yè)信息安全管理工作中，一方面保證審計小組在審計和信息安全上都具有足夠的專業(yè)性，從而能夠勝任信息安全管理的內部審計工作。

本文將博弈論分析方法運用到內部審計的研究領域，分析內部審計對于企業(yè)管理層履行信息安全管理職責行為的影響，有助于深化對于內部審計在公司治理中的定位和作用的認識，增進對于內部審計職能的理解。此外，在社交網絡和信息技術高速發(fā)展的當下，信息安全日益重要，企業(yè)的信息安全管理是企業(yè)持續(xù)發(fā)展的基石，本文的研究結論表明內部審計會使管理層更重視規(guī)避風險，更好地履行企業(yè)信息安全維護和信息泄露風險防范的職責。內部審計可以通過加大對管理層不重視信息安全的處罰力度和提高內審工作質量、加強對管理層的監(jiān)督這兩種途徑，影響管理層治理信息安全問題的行為。由此，企業(yè)應該充分發(fā)揮其對管理層企業(yè)信息安全保護職責履行情況的監(jiān)督作用，更好地促進信息安全管理體系的健全完善和企業(yè)戰(zhàn)略的實現。因此本文具有較強的現實意義和啟發(fā)。

此外，本文仍存在諸多不足和局限。一個企業(yè)的信息安全管理狀況是企業(yè)董事會、管理層、企業(yè)員工等從上至下共同努力的結果。本文僅研究了企業(yè)董事會和管理層之間的博弈過程，以后的研究應該考慮到外部審計、企業(yè)員工等其他各方的行為。此外，在模型設計過程中，為了方便計算，對部分內容進行了簡化處理，因此本文基于博弈模型分析得出的結論還需要實踐的進一步檢驗。