基于前景理论的内部审计与企业信息安全博弈分析

谭梦茹

（南京审计大学政府审计学院 江苏南京 211815）

一、引言与文献概述

信息技术是人类社会发展历程中的一次大变革，近年来云计算、“互联网+”技术的出现和成熟加速了企业信息化的进程，但是在享受其带来的优势的同时，企业加强信息安全风险的防范也至关重要。

信息指的是物质特有的属性，常被理解为情报和数据。信息是企业重要的无形资产甚至是命脉，既涉及到企业自身的机密和知识产权等无形资产，也涉及到企业所服务的客户的信息安全，客户信息的安全是企业良好声誉的基础。但是，近年来信息安全事件频发。2012年2月，国内主流电商淘宝、当当网等网站用户信息泄露；7月，京东商城等多家电商也出现类似问题。在各家网站纷纷爆出问题的第二年，Adobe也未能幸免，3800万用户信息和大量源代码泄露；2018年，勒索病毒的爆发侵害了很多企业用户的信息安全，尤其是政府、高校、医院等公共服务机构。

企业信息安全管理和建设是企业董事会和管理层长期博弈、共同影响的结果。只有企业董事会足够重视信息安全，管理层有效落实董事会决策，才能为企业发展创造良好的信息安全基础。刘晓松等（2013）认为，企业不同职级的人员会对信息安全事件产生不同的影响，高层管理者对信息安全的重视程度会影响企业信息安全的文化和员工的信息安全意识，中层管理者的态度和行为会影响企业信息安全管理的执行效果。

内部审计是改变博弈结果的有效措施。由欧洲六国内部审计师协会联合发布的《风险聚焦——2018内部审计热点问题》将数据安全保护的挑战列在了2018年内部审计热点问题的首位；王兵等（2013）认为内部审计未来发展的方向是拓展信息安全审计；Semer（2012）认为审计人员应在审计时密切关注数据、网络、用户行为等安全意识程序和管理程序中的六大领域。

斯皮内洛（1999）认为企业信息安全漏洞主要源于技术上的欠缺和不适当的公司政策或不当的数据传播的操作这两类因素，而内部审计恰好能够针对这两类因素发挥积极的促进或抑制作用。一方面，内部审计能够通过信息安全审计的方式发现系统漏洞、降低系统被无权限访问、数据平台被外部入侵的潜在风险，以保障硬件、软件和数据存储的安全性。冯淑萍（2016）认为随着信息技术的发展和信息系统的普及，我国的信息系统审计将迅速发展；王希忠等（2010）认为内部审计有助于企业安全管理、信息系统等级保护、安全风险控制，是不可或缺的手段。另一方面，内部审计能够对企业管理层和员工产生警示作用，促使他们更好地履行维护信息安全的职责。时现（2003）认为内部审计会产生“威胁价值”，内部审计的存在使得企业管理者和员工维持良好的内部控制，优化工作行为，从而影响企业的治理来发挥内部审计的增值作用；郭磊（2011）认为强化内部审计是防范人为因素与分析内部威胁的重要安全机制。据此，本文运用演化博弈的方法，基于前景理论对于内部审计和企业信息安全之间的关系进行探讨。

本文可能的贡献在于：将博弈论分析方法运用到内部审计的研究领域，分析内部审计对于企业管理层履行信息安全管理职责行为的影响，对已有研究进行了补充，有助于深化内部审计对公司治理的积极作用的认识。此外，本研究也具有一定的现实意义。在信息安全意义日益凸显的当下，企业的信息安全管理迫在眉睫，本文的研究结论表明内部审计会使管理层更重视规避风险，更好地履行企业信息安全维护和信息泄露风险防范的职责。内部审计可以通过加大对管理层不重视信息安全的处罚力度和提高内审工作质量、加强对管理层的监督这两种途径，影响管理层治理信息安全问题的行为。由此，企业应该充分发挥其对管理层企业信息安全保护职责履行情况的监督作用，更好地促进信息安全管理体系的健全完善和企业战略的实现。

二、企业董事会和管理层对于信息安全管理的博弈分析

（一）演化博弈模型假设

为了便于分析企业董事会和管理层信息安全管理和建设的博弈过程，作出以下假设：

假设一：假设博弈的主体只有企业董事会和管理层，这两方都是追求自身利益最大化的有限理性人，且存在信息不对称的情况。企业董事会的策略选择空间为SB=（重视，不重视），记为（T1，T2）。“重视”是指董事会重视企业信息安全，加强对企业管理层的监督；“不重视”是指董事会忽视这方面建设，不将其纳入管理层业绩考评范畴。同样，企业管理层的策略选择空间为SM=（作为，不作为），记为（A1，A2）。“作为”是指管理层积极采取信息安全管理措施，如加强企业信息系统网络安全的建设、加强信息安全内部控制等；“不作为”是指管理层为了节约成本，采取消极措施甚至合谋泄露企业内部信息。

假设二：董事会选择“重视”（T1）策略的概率为x(0≤x≤1)，管理层选择“作为”（A1）策略的概率为y(0≤y≤1)。如果双方采取策略组合{T1，A1}，企业信息安全管理状况最好，出现企业信息泄露的风险最低；反之，如果双方采取策略组合{T2，A2}，企业信息安全管理状况最差，很可能出现信息泄露的问题；其他两种策略组合{T2，A1}、{T1，A2}下，企业信息安全状况介于上述两者之间，博弈双方承担的风险成本也介于上述两者之间，成本折扣系数分别为K1、K2(0

假设三：如果信息安全状况很差，出现信息泄露并造成企业损失的情况，企业董事会和管理层都会承担责任和蒙受损失，且双方承担的后果成线性相关，相关系数为λ。企业管理层承担的责任为L，则董事会承担的责任为λL，此外企业管理层受到董事会的惩罚记为P。

（二）演化博弈模型构建和演化稳定策略分析

基于以上假设，构建有限理性条件下企业董事会和管理层在信息安全问题上的博弈支付矩阵，相关参数和解释详见表1、表2所示。

表1 企业董事会与管理层交互的支付矩阵

表2 参数解释

企业董事会选择“重视信息安全”的期望收益为UT1=y(-CT)+(1-y)(P-CT-λk2L)；董事会选择“不重视信息安全”的期望收益为UT2=y(-λk1L)+(1-y)(-λL);董事会的平均期望收益为。经过一段时间的博弈，博弈双方会为实现利益最大化而调整策略，如果采取某一策略的个体适应度比总体的平均适应度高，随着时间的推移这个策略就会增长。因此，可得到董事会选择“重视信息安全”的复制动态方程为。将UT1和UT2代入得：

整理得：

同理，企业管理层选择“加强企业信息安全管理”的期望收益为UA1=x(-CA)+(1-x)(-CA- k1L)；管理层选择“不加强企业信息安全管理”的期望收益为UA2=x(-P-k2L)+(1-x)(-L);管理层的平均期望收益为U—A=yUA1+(1-y)UA2。因此，可得到管理层选择“加强企业信息安全管理”的复制动态方程为。将UA1和UA2代入得：

整理得：

分别令F(x)=0，F(y)=0，可解得博弈均衡点。根据孙庆文等（2003）的研究结论，当满足条件，即且时，该复制系统有4个平衡点。其中，E1(0,0)为不稳定的结点，E2（1,0）、E3(0,1)为鞍点，E4（1,1）为稳定的结点。此时，对应企业信息安全理想状态的策略组合{T1，A1}（企业董事会重视企业信息安全且管理层加强企业信息安全管理）为演化稳定策略（ESS）。

（三）演化博弈结果分析

根据上述分析，如果想达到理想结果，双方都采用{T1，A1}的策略组合，即策略组合{T1，A1}（企业董事会重视企业信息安全且管理层加强企业信息安全管理）为演化稳定策略（ESS），就要满足且的条件。具体而言，这需要满足CT<λk1L且CA

但在现实生活中，由于信息是不对称、不完全的，且博弈参与方的决策容易受到外界暂时性因素的影响，博弈双方很难具备完全理性，这也是演化博弈理论产生的原因和基础。对于企业管理层而言，加强企业信息安全管理需要耗费大量的成本，如定期检查企业信息系统安全风险的成本、维护企业信息系统安全的人力成本；但是泄露企业信息，无论是泄露企业重大机密还是出卖消费者和客户的数据，都可能会带来巨大收益，而企业信息安全管理工作不到位的弊端可能在短期内无法直接显现。因此，在直观收益和潜在风险的权衡下，企业管理层可能会冒着损失P的风险选择不采取积极的措施，而不是去承担确定的成本CA。对于企业董事会来说，“重视企业信息安全”意味着要花精力关注和耗成本监督管理层的相关行为，这会付出确定的成本CT，而且过度的强调和不适当的惩罚可能会影响管理层和员工工作的积极性，因此董事会也会倾向于选择T_2策略，不去承担确定的成本CT。由此，上述问题会影响博弈双方向E4（1,1）收敛，使得董事会和管理层都不重视信息安全的现象成为常态。

囿于上述困境，本文在前景理论的基础上构建模型，讨论内部审计对管理层履行信息安全管理职责的影响，探究其是否是破解这种囚徒困境的有利尝试。

三、基于前景理论的内部审计对企业管理层信息安全管理行为的影响分析

（一）理论基础

Kahneman等（1979）提出，在有限理性下，博弈策略并非取决于策略本身的直接利益得失，而是博弈主体对策略得失值的心理感受，即结果和预期的差距。人在做决定时首先会自己形成一个参考点，然后衡量不同结果的收益是高于或者低于这个参考点。若结果的收益高于参考点，人们倾向于风险厌恶，喜欢确定的小收益；对于结果低于参考点的损失型结果，人们会喜好风险，倾向于避免损失。根据前景理论，前景价值V由权重函数π（pi）和价值函数v（xi）构成，xi是事件i发生后博弈主体实际收益和参照点的差值，pi 是事件i发生的概率。即：

其中，α，β∈（0,1）是风险偏好系数，表示博弈主体的风险偏好；τ是损失规避系数，若τ＞1则表示博弈主体对损失比收益更敏感。

（二）模型构建与分析

假设管理层消极应对信息安全问题，偷懒并减少时间和精力投入时，管理层获得的效益由两部分组成。一部分是消极应对从而节省下来的时间和精力成本h，成本h无论是否之后被内审发现，都已经发生转化为效益；另一部分成本则是管理层消极应对却未收到惩罚的心理效益，若消极应对但未被发现，其收益为g，但一旦内审发现管理层的消极应对行为将加以处罚，从而这部分心理效益将根据惩罚力度θ转化为-θg。另外，假设公司管理层不重视信息安全被发现和追责的概率为p，公司管理层的参照点效益为a0。

根据上述假设，若公司管理层选择消极应对，不治理信息安全，则在未被内审部门发现并追加惩罚的情况下，实际收入l1=g+h-a0；若消极应对行为被内审发现并处罚，实际收入为l2=-θg+h-a0，进而构建内部审计对管理层治理信息安全行为的影响模型。即：

由于l1-l2=（1+θ）g＞0，因此有如下两种情况：当l1＞l2＞0，即当管理层消极应对被惩罚后获得效益仍大于参照点收入，此时管理层会变成风险偏好者，因为惩罚力度过低，管理层愿意冒着被发现并惩罚的风险消极懈怠；当l2＜0＜l1，即管理层消极应对被发现的惩罚较重，则管理层变成风险厌恶者，因为惩罚力度大，一旦发现造成的损失远大于偷懒懈怠获得的效益，管理层倾向于积极处理信息安全问题。由此表明，管理层消极应对信息安全问题后被发现的惩罚越重，则越倾向于积极处理信息安全问题。

管理层为了利益最大化，在心理上会设定一个确定的消极应对的心理效益g，由式（3）可得 ：；令，则有。根据前景理论，当l2>0时，v'(l2)>v'(l1)≥0，则；当l1<0时，v'(l1)>v'(l2)≥0，则。为了使管理层自觉积极处理信息安全问题，可取。

根据上述分析，公司管理层策略选择的最优化条件与处罚力度θ，与被内审发现的概率p相关。由此可以得出结论，公司内审可以通过两种途径影响管理层治理信息安全问题行为。第一种，加大对管理层不治理信息安全的处罚力度（增加θ）；第二种，提高内审工作质量，加强对管理层的监督，提高发现管理层消极治理信息安全行为的概率（提高p）。由此可见，企业加强内部审计能够督促管理层更好地履行信息安全建设的职责，帮助董事会更有效地监督管理层的信息安全管理行为，从而降低企业的信息安全风险成本。

四、结论与展望

本文基于有限理性的假设，通过构建企业董事会和管理层的演化博弈模型，分析了不完全信息条件下双方在信息安全管理上的动态博弈过程。结果表明，出于自身利益最大化和风险偏好，董事会和管理层最终会形成“董事会不重视、管理层不执行”的困境。为了解决这个博弈过程中出现的困境，本文基于前景理论，构建内部审计对企业管理层加强企业信息安全建设行为的影响模型。通过演化博弈分析发现，内部审计会使管理层更重视规避风险，更好地履行企业信息安全维护和信息泄露风险防范的职责；内部审计可以通过加大对管理层不治理信息安全的处罚力度和提高内审工作质量加强对管理层的监督这两种途径影响管理层治理信息安全问题行为。

现如今，公司掌握了较多的个人信息，而个人隐私一旦泄露，首先会侵犯消费者个人利益，进而会让消费者开始拒绝提供信息，给公司经营带来额外的信息获取成本，更甚者公司信息安全泄露被公开，消费者会对公司产生信任危机，大大降低公司的信誉度和品牌价值，最后影响到公司利润和公司估值。在相关法律和公司条例尚未健全完备的情况下，加上现代企业固有的代理风险，管理层很可能选择忽视企业的信息安全问题。内部审计的引入，能够通过及时发现管理层的管理疏忽懈怠的迹象和表现并及时处罚，有错必查，有过重罚，使得管理层能够将更多的资源和关注点投入到信息安全问题上，使企业防患于未然。

2021年1月，中国内部审计协会组织编写了《第3205号内部审计实务指南——信息系统审计》，其中第三节为信息安全管理审计，明确了信息安全管理审计的重要性。企业应当充分认识到信息安全的重要性以及内部审计对信息安全的积极作用，将企业信息安全管理的内部审计作为一项常态化的制度，贯穿于企业的经营全过程。企业应当从安全管理审计、物理安全审计、网络与通讯安全审计、主机安全审计、应用安全审计、数据安全审计、访问控制审计、安全防护审计、终端安全和安全体系运行与事件管理审计等多方面入手，从软硬件、输入与输出等角度实现信息安全审计的全覆盖，从制度和具体事件行为上为企业的信息安全建设提供参考。同时，企业可成立信息安全内部审计专项小组，由企业高管任组长，专业内部审计人员和信息安全专家等任组员，一方面使企业管理层充分意识到信息安全的重要性，及时将内部审计的结果运用到企业信息安全管理工作中，一方面保证审计小组在审计和信息安全上都具有足够的专业性，从而能够胜任信息安全管理的内部审计工作。

本文将博弈论分析方法运用到内部审计的研究领域，分析内部审计对于企业管理层履行信息安全管理职责行为的影响，有助于深化对于内部审计在公司治理中的定位和作用的认识，增进对于内部审计职能的理解。此外，在社交网络和信息技术高速发展的当下，信息安全日益重要，企业的信息安全管理是企业持续发展的基石，本文的研究结论表明内部审计会使管理层更重视规避风险，更好地履行企业信息安全维护和信息泄露风险防范的职责。内部审计可以通过加大对管理层不重视信息安全的处罚力度和提高内审工作质量、加强对管理层的监督这两种途径，影响管理层治理信息安全问题的行为。由此，企业应该充分发挥其对管理层企业信息安全保护职责履行情况的监督作用，更好地促进信息安全管理体系的健全完善和企业战略的实现。因此本文具有较强的现实意义和启发。

此外，本文仍存在诸多不足和局限。一个企业的信息安全管理状况是企业董事会、管理层、企业员工等从上至下共同努力的结果。本文仅研究了企业董事会和管理层之间的博弈过程，以后的研究应该考虑到外部审计、企业员工等其他各方的行为。此外，在模型设计过程中，为了方便计算，对部分内容进行了简化处理，因此本文基于博弈模型分析得出的结论还需要实践的进一步检验。