基于前景理論的內部審計與企業信息安全博弈分析

譚夢茹

（南京審計大學政府審計學院 江蘇南京 211815）

一、引言與文獻概述

信息技術是人類社會發展歷程中的一次大變革，近年來云計算、“互聯網+”技術的出現和成熟加速了企業信息化的進程，但是在享受其帶來的優勢的同時，企業加強信息安全風險的防范也至關重要。

信息指的是物質特有的屬性，常被理解為情報和數據。信息是企業重要的無形資產甚至是命脈，既涉及到企業自身的機密和知識產權等無形資產，也涉及到企業所服務的客戶的信息安全，客戶信息的安全是企業良好聲譽的基礎。但是，近年來信息安全事件頻發。2012年2月，國內主流電商淘寶、當當網等網站用戶信息泄露；7月，京東商城等多家電商也出現類似問題。在各家網站紛紛爆出問題的第二年，Adobe也未能幸免，3800萬用戶信息和大量源代碼泄露；2018年，勒索病毒的爆發侵害了很多企業用戶的信息安全，尤其是政府、高校、醫院等公共服務機構。

企業信息安全管理和建設是企業董事會和管理層長期博弈、共同影響的結果。只有企業董事會足夠重視信息安全，管理層有效落實董事會決策，才能為企業發展創造良好的信息安全基礎。劉曉松等（2013）認為，企業不同職級的人員會對信息安全事件產生不同的影響，高層管理者對信息安全的重視程度會影響企業信息安全的文化和員工的信息安全意識，中層管理者的態度和行為會影響企業信息安全管理的執行效果。

內部審計是改變博弈結果的有效措施。由歐洲六國內部審計師協會聯合發布的《風險聚焦——2018內部審計熱點問題》將數據安全保護的挑戰列在了2018年內部審計熱點問題的首位；王兵等（2013）認為內部審計未來發展的方向是拓展信息安全審計；Semer（2012）認為審計人員應在審計時密切關注數據、網絡、用戶行為等安全意識程序和管理程序中的六大領域。

斯皮內洛（1999）認為企業信息安全漏洞主要源于技術上的欠缺和不適當的公司政策或不當的數據傳播的操作這兩類因素，而內部審計恰好能夠針對這兩類因素發揮積極的促進或抑制作用。一方面，內部審計能夠通過信息安全審計的方式發現系統漏洞、降低系統被無權限訪問、數據平臺被外部入侵的潛在風險，以保障硬件、軟件和數據存儲的安全性。馮淑萍（2016）認為隨著信息技術的發展和信息系統的普及，我國的信息系統審計將迅速發展；王希忠等（2010）認為內部審計有助于企業安全管理、信息系統等級保護、安全風險控制，是不可或缺的手段。另一方面，內部審計能夠對企業管理層和員工產生警示作用，促使他們更好地履行維護信息安全的職責。時現（2003）認為內部審計會產生“威脅價值”，內部審計的存在使得企業管理者和員工維持良好的內部控制，優化工作行為，從而影響企業的治理來發揮內部審計的增值作用；郭磊（2011）認為強化內部審計是防范人為因素與分析內部威脅的重要安全機制。據此，本文運用演化博弈的方法，基于前景理論對于內部審計和企業信息安全之間的關系進行探討。

本文可能的貢獻在于：將博弈論分析方法運用到內部審計的研究領域，分析內部審計對于企業管理層履行信息安全管理職責行為的影響，對已有研究進行了補充，有助于深化內部審計對公司治理的積極作用的認識。此外，本研究也具有一定的現實意義。在信息安全意義日益凸顯的當下，企業的信息安全管理迫在眉睫，本文的研究結論表明內部審計會使管理層更重視規避風險，更好地履行企業信息安全維護和信息泄露風險防范的職責。內部審計可以通過加大對管理層不重視信息安全的處罰力度和提高內審工作質量、加強對管理層的監督這兩種途徑，影響管理層治理信息安全問題的行為。由此，企業應該充分發揮其對管理層企業信息安全保護職責履行情況的監督作用，更好地促進信息安全管理體系的健全完善和企業戰略的實現。

二、企業董事會和管理層對于信息安全管理的博弈分析

（一）演化博弈模型假設

為了便于分析企業董事會和管理層信息安全管理和建設的博弈過程，作出以下假設：

假設一：假設博弈的主體只有企業董事會和管理層，這兩方都是追求自身利益最大化的有限理性人，且存在信息不對稱的情況。企業董事會的策略選擇空間為SB=（重視，不重視），記為（T1，T2）。“重視”是指董事會重視企業信息安全，加強對企業管理層的監督；“不重視”是指董事會忽視這方面建設，不將其納入管理層業績考評范疇。同樣，企業管理層的策略選擇空間為SM=（作為，不作為），記為（A1，A2）。“作為”是指管理層積極采取信息安全管理措施，如加強企業信息系統網絡安全的建設、加強信息安全內部控制等；“不作為”是指管理層為了節約成本，采取消極措施甚至合謀泄露企業內部信息。

假設二：董事會選擇“重視”（T1）策略的概率為x(0≤x≤1)，管理層選擇“作為”（A1）策略的概率為y(0≤y≤1)。如果雙方采取策略組合{T1，A1}，企業信息安全管理狀況最好，出現企業信息泄露的風險最低；反之，如果雙方采取策略組合{T2，A2}，企業信息安全管理狀況最差，很可能出現信息泄露的問題；其他兩種策略組合{T2，A1}、{T1，A2}下，企業信息安全狀況介于上述兩者之間，博弈雙方承擔的風險成本也介于上述兩者之間，成本折扣系數分別為K1、K2(0

假設三：如果信息安全狀況很差，出現信息泄露并造成企業損失的情況，企業董事會和管理層都會承擔責任和蒙受損失，且雙方承擔的后果成線性相關，相關系數為λ。企業管理層承擔的責任為L，則董事會承擔的責任為λL，此外企業管理層受到董事會的懲罰記為P。

（二）演化博弈模型構建和演化穩定策略分析

基于以上假設，構建有限理性條件下企業董事會和管理層在信息安全問題上的博弈支付矩陣，相關參數和解釋詳見表1、表2所示。

表1 企業董事會與管理層交互的支付矩陣

表2 參數解釋

企業董事會選擇“重視信息安全”的期望收益為UT1=y(-CT)+(1-y)(P-CT-λk2L)；董事會選擇“不重視信息安全”的期望收益為UT2=y(-λk1L)+(1-y)(-λL);董事會的平均期望收益為。經過一段時間的博弈，博弈雙方會為實現利益最大化而調整策略，如果采取某一策略的個體適應度比總體的平均適應度高，隨著時間的推移這個策略就會增長。因此，可得到董事會選擇“重視信息安全”的復制動態方程為。將UT1和UT2代入得：

整理得：

同理，企業管理層選擇“加強企業信息安全管理”的期望收益為UA1=x(-CA)+(1-x)(-CA- k1L)；管理層選擇“不加強企業信息安全管理”的期望收益為UA2=x(-P-k2L)+(1-x)(-L);管理層的平均期望收益為U—A=yUA1+(1-y)UA2。因此，可得到管理層選擇“加強企業信息安全管理”的復制動態方程為。將UA1和UA2代入得：

整理得：

分別令F(x)=0，F(y)=0，可解得博弈均衡點。根據孫慶文等（2003）的研究結論，當滿足條件，即且時，該復制系統有4個平衡點。其中，E1(0,0)為不穩定的結點，E2（1,0）、E3(0,1)為鞍點，E4（1,1）為穩定的結點。此時，對應企業信息安全理想狀態的策略組合{T1，A1}（企業董事會重視企業信息安全且管理層加強企業信息安全管理）為演化穩定策略（ESS）。

（三）演化博弈結果分析

根據上述分析，如果想達到理想結果，雙方都采用{T1，A1}的策略組合，即策略組合{T1，A1}（企業董事會重視企業信息安全且管理層加強企業信息安全管理）為演化穩定策略（ESS），就要滿足且的條件。具體而言，這需要滿足CT<λk1L且CA

但在現實生活中，由于信息是不對稱、不完全的，且博弈參與方的決策容易受到外界暫時性因素的影響，博弈雙方很難具備完全理性，這也是演化博弈理論產生的原因和基礎。對于企業管理層而言，加強企業信息安全管理需要耗費大量的成本，如定期檢查企業信息系統安全風險的成本、維護企業信息系統安全的人力成本；但是泄露企業信息，無論是泄露企業重大機密還是出賣消費者和客戶的數據，都可能會帶來巨大收益，而企業信息安全管理工作不到位的弊端可能在短期內無法直接顯現。因此，在直觀收益和潛在風險的權衡下，企業管理層可能會冒著損失P的風險選擇不采取積極的措施，而不是去承擔確定的成本CA。對于企業董事會來說，“重視企業信息安全”意味著要花精力關注和耗成本監督管理層的相關行為，這會付出確定的成本CT，而且過度的強調和不適當的懲罰可能會影響管理層和員工工作的積極性，因此董事會也會傾向于選擇T_2策略，不去承擔確定的成本CT。由此，上述問題會影響博弈雙方向E4（1,1）收斂，使得董事會和管理層都不重視信息安全的現象成為常態。

囿于上述困境，本文在前景理論的基礎上構建模型，討論內部審計對管理層履行信息安全管理職責的影響，探究其是否是破解這種囚徒困境的有利嘗試。

三、基于前景理論的內部審計對企業管理層信息安全管理行為的影響分析

（一）理論基礎

Kahneman等（1979）提出，在有限理性下，博弈策略并非取決于策略本身的直接利益得失，而是博弈主體對策略得失值的心理感受，即結果和預期的差距。人在做決定時首先會自己形成一個參考點，然后衡量不同結果的收益是高于或者低于這個參考點。若結果的收益高于參考點，人們傾向于風險厭惡，喜歡確定的小收益；對于結果低于參考點的損失型結果，人們會喜好風險，傾向于避免損失。根據前景理論，前景價值V由權重函數π（pi）和價值函數v（xi）構成，xi是事件i發生后博弈主體實際收益和參照點的差值，pi 是事件i發生的概率。即：

其中，α，β∈（0,1）是風險偏好系數，表示博弈主體的風險偏好；τ是損失規避系數，若τ＞1則表示博弈主體對損失比收益更敏感。

（二）模型構建與分析

假設管理層消極應對信息安全問題，偷懶并減少時間和精力投入時，管理層獲得的效益由兩部分組成。一部分是消極應對從而節省下來的時間和精力成本h，成本h無論是否之后被內審發現，都已經發生轉化為效益；另一部分成本則是管理層消極應對卻未收到懲罰的心理效益，若消極應對但未被發現，其收益為g，但一旦內審發現管理層的消極應對行為將加以處罰，從而這部分心理效益將根據懲罰力度θ轉化為-θg。另外，假設公司管理層不重視信息安全被發現和追責的概率為p，公司管理層的參照點效益為a0。

根據上述假設，若公司管理層選擇消極應對，不治理信息安全，則在未被內審部門發現并追加懲罰的情況下，實際收入l1=g+h-a0；若消極應對行為被內審發現并處罰，實際收入為l2=-θg+h-a0，進而構建內部審計對管理層治理信息安全行為的影響模型。即：

由于l1-l2=（1+θ）g＞0，因此有如下兩種情況：當l1＞l2＞0，即當管理層消極應對被懲罰后獲得效益仍大于參照點收入，此時管理層會變成風險偏好者，因為懲罰力度過低，管理層愿意冒著被發現并懲罰的風險消極懈怠；當l2＜0＜l1，即管理層消極應對被發現的懲罰較重，則管理層變成風險厭惡者，因為懲罰力度大，一旦發現造成的損失遠大于偷懶懈怠獲得的效益，管理層傾向于積極處理信息安全問題。由此表明，管理層消極應對信息安全問題后被發現的懲罰越重，則越傾向于積極處理信息安全問題。

管理層為了利益最大化，在心理上會設定一個確定的消極應對的心理效益g，由式（3）可得 ：；令，則有。根據前景理論，當l2>0時，v'(l2)>v'(l1)≥0，則；當l1<0時，v'(l1)>v'(l2)≥0，則。為了使管理層自覺積極處理信息安全問題，可取。

根據上述分析，公司管理層策略選擇的最優化條件與處罰力度θ，與被內審發現的概率p相關。由此可以得出結論，公司內審可以通過兩種途徑影響管理層治理信息安全問題行為。第一種，加大對管理層不治理信息安全的處罰力度（增加θ）；第二種，提高內審工作質量，加強對管理層的監督，提高發現管理層消極治理信息安全行為的概率（提高p）。由此可見，企業加強內部審計能夠督促管理層更好地履行信息安全建設的職責，幫助董事會更有效地監督管理層的信息安全管理行為，從而降低企業的信息安全風險成本。

四、結論與展望

本文基于有限理性的假設，通過構建企業董事會和管理層的演化博弈模型，分析了不完全信息條件下雙方在信息安全管理上的動態博弈過程。結果表明，出于自身利益最大化和風險偏好，董事會和管理層最終會形成“董事會不重視、管理層不執行”的困境。為了解決這個博弈過程中出現的困境，本文基于前景理論，構建內部審計對企業管理層加強企業信息安全建設行為的影響模型。通過演化博弈分析發現，內部審計會使管理層更重視規避風險，更好地履行企業信息安全維護和信息泄露風險防范的職責；內部審計可以通過加大對管理層不治理信息安全的處罰力度和提高內審工作質量加強對管理層的監督這兩種途徑影響管理層治理信息安全問題行為。

現如今，公司掌握了較多的個人信息，而個人隱私一旦泄露，首先會侵犯消費者個人利益，進而會讓消費者開始拒絕提供信息，給公司經營帶來額外的信息獲取成本，更甚者公司信息安全泄露被公開，消費者會對公司產生信任危機，大大降低公司的信譽度和品牌價值，最后影響到公司利潤和公司估值。在相關法律和公司條例尚未健全完備的情況下，加上現代企業固有的代理風險，管理層很可能選擇忽視企業的信息安全問題。內部審計的引入，能夠通過及時發現管理層的管理疏忽懈怠的跡象和表現并及時處罰，有錯必查，有過重罰，使得管理層能夠將更多的資源和關注點投入到信息安全問題上，使企業防患于未然。

2021年1月，中國內部審計協會組織編寫了《第3205號內部審計實務指南——信息系統審計》，其中第三節為信息安全管理審計，明確了信息安全管理審計的重要性。企業應當充分認識到信息安全的重要性以及內部審計對信息安全的積極作用，將企業信息安全管理的內部審計作為一項常態化的制度，貫穿于企業的經營全過程。企業應當從安全管理審計、物理安全審計、網絡與通訊安全審計、主機安全審計、應用安全審計、數據安全審計、訪問控制審計、安全防護審計、終端安全和安全體系運行與事件管理審計等多方面入手，從軟硬件、輸入與輸出等角度實現信息安全審計的全覆蓋，從制度和具體事件行為上為企業的信息安全建設提供參考。同時，企業可成立信息安全內部審計專項小組，由企業高管任組長，專業內部審計人員和信息安全專家等任組員，一方面使企業管理層充分意識到信息安全的重要性，及時將內部審計的結果運用到企業信息安全管理工作中，一方面保證審計小組在審計和信息安全上都具有足夠的專業性，從而能夠勝任信息安全管理的內部審計工作。

本文將博弈論分析方法運用到內部審計的研究領域，分析內部審計對于企業管理層履行信息安全管理職責行為的影響，有助于深化對于內部審計在公司治理中的定位和作用的認識，增進對于內部審計職能的理解。此外，在社交網絡和信息技術高速發展的當下，信息安全日益重要，企業的信息安全管理是企業持續發展的基石，本文的研究結論表明內部審計會使管理層更重視規避風險，更好地履行企業信息安全維護和信息泄露風險防范的職責。內部審計可以通過加大對管理層不重視信息安全的處罰力度和提高內審工作質量、加強對管理層的監督這兩種途徑，影響管理層治理信息安全問題的行為。由此，企業應該充分發揮其對管理層企業信息安全保護職責履行情況的監督作用，更好地促進信息安全管理體系的健全完善和企業戰略的實現。因此本文具有較強的現實意義和啟發。

此外，本文仍存在諸多不足和局限。一個企業的信息安全管理狀況是企業董事會、管理層、企業員工等從上至下共同努力的結果。本文僅研究了企業董事會和管理層之間的博弈過程，以后的研究應該考慮到外部審計、企業員工等其他各方的行為。此外，在模型設計過程中，為了方便計算，對部分內容進行了簡化處理，因此本文基于博弈模型分析得出的結論還需要實踐的進一步檢驗。