安全漏洞、内部控制与审计风险淤.PDF

安全漏洞、 内部控制与审计风险淤 ———基于审计风险模型与制度经济学的证据 曾建光摇 罗炜摇 伍利娜摇 王立彦 (北京大学光华管理学院摇 北京摇 100871) 摇 摇 摘摇 要摇 美国总统奥巴马认为, 21世纪的经济繁荣取决于信息安全。 本文根据审计风险模型和制度经济学的原理考察了威胁信息安全的首要因素 的安全漏洞, 对于我国资本市场的影响。 学者研究发现: 在其他条件相同的 情况下, 危急型安全漏洞或者高危型安全漏洞发生的频度与审计风险呈显著 正相关, 而中危型安全漏洞或低危型安全漏洞发生的频度与审计风险呈显著 负相关。 在其他条件相同的情况下, 对于非 “五大冶 而言, 危急型安全漏洞 或者高危型安全漏洞发生的频度与审计风险溢价呈显著正相关; 而对于非 “五大冶 而言, 中危型安全漏洞或低危型安全漏洞发生的频度与审计溢价呈显 著负相关。 关键词摇 安全漏洞摇 内部控制摇 审计风险摇 信息风险摇 制度经济学 一、 引言 随着企业信息化的逐步深入以及Internet 的飞速发展, 企业的日常运营的 支撑越来越依赖于IT系统的正常运行, 同时, 企业采用的信息系统也越来越 多, 其规模和覆盖面也不断扩大, 复杂度也越来越高, 当我们享受信息技术经 济、 高效、 智能的工具性的同时, 也体会到了或有所耳闻当安全隐患发生时, 所可能造成的问题。 信息技术存在的安全漏洞是导致这些问题的关键因素。 因 此, IT (information technology) 风险已成为公司管理层、 监管部门等重点关注 的对象, IT 内部控制也已成为企业内部控制的主要组成部分。 由于计算机及 其信息系统的安全漏洞对于企业内部控制的威胁, 导致企业的控制风险 (control risk) 以及固有风险 (inherent risk) 和 (或) 信息风险 (information risk) 的增加, 在面对这些风险增加的情况下, 审计师为了控制整体的审计风 险必然会降低检查风险 (detectionrisk), 从而最终影响审计风险。 基于此, 本 淤 本文得到国家自然科学基金项目的资助 “ERP系统实施与企业绩效增长关系研究冶, 项目批准 号。 曾建光摇 罗炜摇 伍利娜摇 王立彦: 安全漏洞、 内部控制与审计风险 摇摇123 文根据审计风险模型和制度经济学的原理, 通过考察计算机及其信息系统的安 全漏洞对于企业内部控制质量的影响, 而企业内部控制质量的变化势必影响企 业的控制风险以及固有风险和 (或) 信息风险, 进而影响审计师的检查风险, 最终导致审计风险的变化。 安全漏洞是Internet时代的一种客观存在, 已成为信息安全管理工程师与 攻击者双方博弈的对象。 新华网2010年10月3 日报道, 一种利用Microsoft漏 洞的新型病毒 (Stuxnet) 能够通过移动存储介质和局域网进行传播, 并利用 西门子控制系统中存在的漏洞, 感染数据采集与监视控制系统。 该系统广泛用 于能源、 交通、 水利等, 一旦遭受病毒侵害, 则可能造成钢铁、 电力、 能源、 化工等重要行业的企业运行异常, 或者造成商业秘密失窃, 甚至停工停产等严 淤 重事故 。 又据中国新闻网2010 年 10 月 13 日报道, 微软向全球用户发布了 16个月度安全补丁, 用于修复Office、 浏览器、 Windows等系列的操作系统的 多处漏洞, Windows用户如果不及时修补, 那么在浏览网页、 听音乐、 运行 Office等情况下, 很可能会遭受木马病毒的远程攻击, 导致隐私数据遭到恶意 程序的篡改或窃取。 由此可知, 随着 Internet 的迅猛发展, 基于Internet 的企 业级的Web应用和服务也变得越来越多, 安全漏洞变得越来越与企业的运营 息息相关。 美国总统奥巴马就提出:21世纪的经济繁荣取决于信息安全, 如果对信 息安全漏洞掉以轻心, 美国就会重蹈德军密码机在第二次世界大战中被英军破 译的覆辙 (杨谷,2009)。 因为信息系统中的一个微小漏洞都可能导致重大的 人员伤亡和财产损失, 甚至导致国家安全问题, 如