曾建光，李妮，帖曉東

（西南財經(jīng)大學(xué)，四川成都 611130）

信息安全漏洞風(fēng)險與企業(yè)內(nèi)部控制有效性建設(shè)
——基于百度遭受網(wǎng)絡(luò)攻擊的案例分析

曾建光，李妮，帖曉東

（西南財經(jīng)大學(xué)，四川成都 611130）

2010年1月12日，黑客利用百度公司網(wǎng)絡(luò)服務(wù)器存在的一個安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊，導(dǎo)致百度無法為用戶提供正常服務(wù)長達(dá)近六個小時，個別地區(qū)達(dá)到十二個小時之久。本文通過考察百度此次無法正常提供服務(wù)的事件，研究表明，在內(nèi)部控制中已經(jīng)普遍嵌入了信息技術(shù)的今天，重視內(nèi)部控制中的信息技術(shù)風(fēng)險是現(xiàn)代企業(yè)必須考慮的重要因素之一。由于安全漏洞等信息技術(shù)風(fēng)險的發(fā)生具有突發(fā)性和不可預(yù)知性等特點(diǎn)，因此，要求企業(yè)在構(gòu)建內(nèi)部控制時，需要重視內(nèi)部控制中的信息安全解決方案的完備性建設(shè)，尤其是突發(fā)風(fēng)險的應(yīng)對措施的建設(shè)。本文為我們認(rèn)識嵌入信息技術(shù)的內(nèi)部控制的重要性以及內(nèi)控信息披露的經(jīng)濟(jì)后果提供了極其重要的參考價值。

信息安全漏洞；信息風(fēng)險；內(nèi)部控制；百度

一、引言

隨著Internet的飛速發(fā)展，企業(yè)信息化已經(jīng)深深扎根于企業(yè)的日常運(yùn)營之中。與信息技術(shù)（Information Technology，IT）相關(guān)的系統(tǒng)已經(jīng)成為企業(yè)的核心支撐系統(tǒng)之一，企業(yè)采用的信息系統(tǒng)也越來越多，其規(guī)模和覆蓋面也不斷擴(kuò)大，復(fù)雜度也越來越高。同時，不斷激化的市場競爭越來越突顯信息技術(shù)對于提升企業(yè)核心力的重要性。而企業(yè)信息化的雙刃劍效應(yīng)，使其在給企業(yè)帶來各種競爭優(yōu)勢與效益和效率提升的同時，也帶來了各種與信息技術(shù)相關(guān)的風(fēng)險——信息技術(shù)風(fēng)險。信息技術(shù)風(fēng)險是指企業(yè)在使用與計算機(jī)和網(wǎng)絡(luò)等信息技術(shù)相關(guān)的產(chǎn)品、服務(wù)和信息系統(tǒng)時，導(dǎo)致經(jīng)營的不確定性和對企業(yè)經(jīng)營管理所造成的負(fù)面影響的概率（George, 2001）。導(dǎo)致信息技術(shù)風(fēng)險的關(guān)鍵因素是信息技術(shù)自身存在的安全漏洞。因此，如何防范信息技術(shù)風(fēng)險，特別是防范安全漏洞的風(fēng)險已成為公司管理層、監(jiān)管部門等重點(diǎn)關(guān)注的對象。安全漏洞的存在成為懸掛在企業(yè)內(nèi)部控制之上的達(dá)摩克利斯之劍，也即：在內(nèi)部控制存在較大或者嚴(yán)重的缺陷時，安全漏洞的存在會導(dǎo)致信息技術(shù)風(fēng)險的增大，而嵌入信息技術(shù)的內(nèi)部控制的風(fēng)險也會隨之加劇。

由于企業(yè)在信息技術(shù)上的投資，容易產(chǎn)生“IT生產(chǎn)力悖論”（Brynjolfsson，1993）的幻覺。信息安全上的投資是企業(yè)在信息技術(shù)上的投資之一，也是嵌入信息技術(shù)的內(nèi)部控制的投資的一部分。如果信息安全上的投資不足，那么，對于現(xiàn)代企業(yè)來說，其嵌入信息技術(shù)的內(nèi)部控制風(fēng)險就必然會增大。也就是說，重視內(nèi)部控制中的信息技術(shù)風(fēng)險是現(xiàn)代企業(yè)進(jìn)行內(nèi)部控制建設(shè)中必須要考慮的重要因素之一。由于信息技術(shù)自身存在的安全漏洞是信息技術(shù)風(fēng)險的關(guān)鍵因素，因此，在企業(yè)的內(nèi)部控制建設(shè)中，必須加強(qiáng)安全漏洞的管理和防范。

很多企業(yè)，特別是國內(nèi)的企業(yè)對于加強(qiáng)內(nèi)部控制的建設(shè)重視程度還不夠，更多的是出于應(yīng)付監(jiān)管層的需要（陳志斌，2007）。對于企業(yè)董事會、管理層和一般員工來說，即使是重視內(nèi)部控制的建設(shè)，往往也忽視內(nèi)部控制中的信息技術(shù)的建設(shè)，即使企業(yè)重視了內(nèi)部控制中的信息技術(shù)的建設(shè)，也往往會忽視了其中的安全漏洞的防范（劉志遠(yuǎn)和劉潔, 2001）。安全漏洞作為一種潛伏在信息技術(shù)中的“幽靈”，沒有誰能夠準(zhǔn)確預(yù)測它的爆發(fā)及其爆發(fā)所導(dǎo)致的危害程度，唯一能做的是進(jìn)行足夠的防范以及及時采取風(fēng)險應(yīng)對措施。因此，在企業(yè)的內(nèi)部控制中，必須重視安全漏洞的問題。

內(nèi)部控制價值的計量和估計是內(nèi)部控制研究中的一個難題，這可能也是很多企業(yè)疏于構(gòu)建高質(zhì)量的內(nèi)部控制的原因之一。本文以百度公司2010年1月12日由于黑客利用其網(wǎng)絡(luò)服務(wù)器的一個安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊，所導(dǎo)致的無法正常為客戶提供服務(wù)為案例。以該事件的發(fā)生為研究時點(diǎn)，考察嵌入信息技術(shù)的內(nèi)部控制的加強(qiáng)和規(guī)范化對于企業(yè)經(jīng)營管理和風(fēng)險防范能力的重要性，同時，本文還對由于安全漏洞導(dǎo)致的內(nèi)部控制重要缺陷（material weakness）的損失進(jìn)行了評估。

本文可能的貢獻(xiàn)主要體現(xiàn)在四個方面：第一，首次以實(shí)例的范式，引入內(nèi)部控制中的安全漏洞對于公司價值的影響，豐富了內(nèi)部控制方面的文獻(xiàn)，同時本文也為處于信息化生態(tài)環(huán)境下的企業(yè)內(nèi)部控制，應(yīng)該防范軟件中的安全漏洞風(fēng)險（陳志斌，2007）提供了一個實(shí)例證據(jù)；第二，通過計量和估計安全漏洞對于公司價值的損失量，首次度量了內(nèi)部控制的價值；第三，嘗試了信息安全性的一種度量方法，為內(nèi)部控制的重要缺陷提供了一種測度方法。

本文安排如下：第二部分是理論分析與文獻(xiàn)回顧；第三部分是百度無法訪問事件與百度的內(nèi)部控制介紹；第四部分是研究結(jié)論與展望。

二、理論分析與文獻(xiàn)回顧

Krsul（1998）認(rèn)為，一個軟件漏洞是存在于系統(tǒng)規(guī)范說明書、系統(tǒng)設(shè)計階段、系統(tǒng)開發(fā)階段或配置階段中的一個錯誤實(shí)例，它的執(zhí)行違反了安全策略。不管安全漏洞是因?yàn)樵O(shè)計，還是系統(tǒng)過程開發(fā)中、運(yùn)行中抑或維護(hù)階段甚至是測試階段的失誤造成的，還是人為有意設(shè)置的，都會威脅到計算機(jī)及其相關(guān)信息系統(tǒng)的安全性。這些漏洞以不同的形式存在于計算機(jī)及其相關(guān)信息系統(tǒng)的各個層次和環(huán)節(jié)之中，而且隨著信息系統(tǒng)的不同（包括版本、系統(tǒng)等的不同）而不同；這些漏洞一旦被惡意主體發(fā)覺并利用，就可能損害計算機(jī)及其相關(guān)信息系統(tǒng)的安全性，進(jìn)而影響甚至破壞、中斷計算機(jī)及其相關(guān)信息系統(tǒng)的正常服務(wù)（張濤和吳沖, 2008），由此造成企業(yè)不必要的價值損失。

美國總統(tǒng)Barack Obama就提出：二十一世紀(jì)的經(jīng)濟(jì)繁榮取決于信息安全，如果對信息安全漏洞掉以輕心,美國就會重蹈德軍密碼機(jī)在二戰(zhàn)中被英軍破譯的覆轍①李天柱等（2011）提出。。我國也非常重視信息安全的戰(zhàn)略發(fā)展和建設(shè)。在《國家中長期科技發(fā)展規(guī)劃綱要》中，就對信息產(chǎn)業(yè)及現(xiàn)代服務(wù)業(yè)提出了四點(diǎn)發(fā)展思路，其中第四點(diǎn)指出：“以發(fā)展高可信網(wǎng)絡(luò)為重點(diǎn)，開發(fā)網(wǎng)絡(luò)信息安全技術(shù)及相關(guān)產(chǎn)品，建立信息安全技術(shù)保障體系，具備防范各種信息安全突發(fā)事件的技術(shù)能力?！痹凇?006—2020國家信息化發(fā)展戰(zhàn)略》中又提出了九項(xiàng)戰(zhàn)略重點(diǎn)，其中第八項(xiàng)指出：“建設(shè)國家信息安全保障體系，圍繞網(wǎng)絡(luò)安全涉及的內(nèi)容，全面加強(qiáng)國家信息安全保障體系建設(shè)，建立和完善信息安全登記保護(hù)制度，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定的重要信息系統(tǒng)。同時，還將加強(qiáng)信息安全風(fēng)險評估工作，建設(shè)和完善信息安全監(jiān)控體系，提高對網(wǎng)絡(luò)安全事件應(yīng)對和防范能力，從實(shí)際出發(fā)，促進(jìn)資源共享，重視災(zāi)難備份建設(shè)，增強(qiáng)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的抗毀能力和災(zāi)難恢復(fù)能力?！?/p>

安全漏洞是信息技術(shù)時代的一種客觀存在，已成為信息安全工程師與攻擊者雙方博弈的對象。Syverson(1997） 認(rèn)為應(yīng)使用動態(tài)博弈來對網(wǎng)絡(luò)中的正常節(jié)點(diǎn)和惡意節(jié)點(diǎn)進(jìn)行理性分析。Wei and Jeannette(2005） 將攻防雙方看作是非零和動態(tài)博弈中的兩個局中人, 并得到了雙方的最優(yōu)響應(yīng)策略。朱建明和Raghunathan（2009）將信息安全看作是企業(yè)與入侵者之間的一個博弈，企業(yè)的目標(biāo)是最小化入侵者帶來的損失，企業(yè)的信息安全投資收益依賴于被入侵的程度，入侵者入侵的收益依賴于被發(fā)現(xiàn)的可能性，而入侵者被發(fā)現(xiàn)的可能性依賴于企業(yè)信息安全技術(shù)狀況。孟祥宏（2010）研究認(rèn)為，應(yīng)從攻防博弈的視角來研究信息安全問題。王元卓等（2010）提出了一個基于隨機(jī)博弈模型的網(wǎng)絡(luò)攻防量化分析方法，采用該方法可以對目標(biāo)網(wǎng)絡(luò)的攻擊成功率、平均攻擊時間、脆弱節(jié)點(diǎn)以及潛在攻擊路徑等方面進(jìn)行安全分析與評價。以上文獻(xiàn)只是提出了企業(yè)的外部攻擊者與企業(yè)內(nèi)部控制的安全性之間的博弈，雖然，這些文獻(xiàn)認(rèn)識到企業(yè)內(nèi)部控制中的信息技術(shù)的安全性是影響企業(yè)信息技術(shù)投資中的信息安全投資的重要因素，但是，他們并沒有對其理論和模型進(jìn)行實(shí)證檢驗(yàn)，更沒有去考察這些技術(shù)對于企業(yè)的價值。

防范安全漏洞的信息安全的投資是企業(yè)信息技術(shù)投資中的一部分。Triplett（1999）研究發(fā)現(xiàn)“IT生產(chǎn)力悖論”其實(shí)不存在。Brynjolfsson and Hitt（1993）研究發(fā)現(xiàn)企業(yè)IT投資回報不僅體現(xiàn)在企業(yè)生產(chǎn)能力及收益率相關(guān)指標(biāo)的提高上, 而且大多數(shù)情況下，體現(xiàn)在客戶滿意度上。但是這些文獻(xiàn)只是總體研究信息技術(shù)的投資回報，并沒有具體研究在信息技術(shù)投資中的信息安全的投資情況及其回報問題。

安全漏洞的存在會導(dǎo)致嵌入信息技術(shù)的內(nèi)部控制存在信息安全性問題。內(nèi)部控制存在信息安全性問題就不可避免地導(dǎo)致內(nèi)部控制存在缺陷。由于代理問題的存在，內(nèi)部控制是否真正存在缺陷及其危害程度，作為企業(yè)外部的利益相關(guān)者是無法得知的。SOX法案的出臺在很大程度上解決了這個問題。Ge and Mcvay （2005）研究發(fā)現(xiàn)，內(nèi)部控制的重大缺陷的披露與經(jīng)營復(fù)雜性正相關(guān), 而與公司規(guī)模和公司盈利能力負(fù)相關(guān)。Leone (2007）研究發(fā)現(xiàn)，內(nèi)部控制的重大缺陷的披露的影響因素有組織結(jié)構(gòu)的復(fù)雜性、重要組織變化以及在內(nèi)控系統(tǒng)方面的投資等。在我國，方紅星、孫翯（2007）研究發(fā)現(xiàn)，具有海外上市、規(guī)模較大、收到清潔的審計意見、國有企業(yè)等特征的公司具有較強(qiáng)的動機(jī)自愿披露內(nèi)部控制信息。林斌和饒靜（2009）研究發(fā)現(xiàn)，具有資源充足、成長較快、設(shè)置了內(nèi)審部門的上市公司更愿意披露內(nèi)部控制鑒證報告，而上市年限較長、財務(wù)狀況較差、組織變革程度高和發(fā)生過違規(guī)的公司更不愿意披露內(nèi)部控制鑒證報告。這些文獻(xiàn)考察的是影響內(nèi)部控制缺陷披露的因素，這些因素盡管有較好的解釋力，但是，我們通過這些披露的報告無法真正知道企業(yè)實(shí)際存在的缺陷問題，尤其是安全漏洞的風(fēng)險。也就是說，這些文獻(xiàn)發(fā)現(xiàn)的影響披露的因素存在一定的內(nèi)生性。

以上的文獻(xiàn)考察的是影響披露的因素，那么，導(dǎo)致這些已披露的內(nèi)部控制缺陷的原因究竟有哪些？Ashbaugh-Skaife et al.（2007）研究發(fā)現(xiàn)，相對未披露內(nèi)部控制缺陷的公司而言，披露的公司經(jīng)營狀況較復(fù)雜，近期業(yè)務(wù)結(jié)構(gòu)發(fā)生了調(diào)整，會計風(fēng)險較大，審計師辭職較多，用于完善內(nèi)部控制的資源較少。Doyle et al.（2007）研究發(fā)現(xiàn)，規(guī)模較小、成立時間較短、業(yè)務(wù)較復(fù)雜、財務(wù)狀況較差、成長較快或經(jīng)歷過業(yè)務(wù)重組的公司，內(nèi)部控制更有可能存在缺陷。這些文獻(xiàn)研究發(fā)現(xiàn)的影響內(nèi)部控制的因素都是從企業(yè)的經(jīng)濟(jì)特征進(jìn)行考察的，他們忽視了企業(yè)運(yùn)營（包括內(nèi)部控制）中的技術(shù)因素的作用。

關(guān)于內(nèi)部控制缺陷對于企業(yè)的經(jīng)濟(jì)后果的研究文獻(xiàn)較多。內(nèi)部控制缺陷的存在會導(dǎo)致公司價值的損失，包括股價的向下波動（Hammersley et al., 2007；Beneish et al., 2008）、資本成本的增加（Ghosh et al., 2006； Schneider and Church, 2008；Costello and Regina, 2009；Kim et al., 2009）、審計費(fèi)用的增加（Raghundan and Rama, 2006；Hogan and Wilkins，2008；Hoitash et al., 2008）等等。這些文獻(xiàn)的研究發(fā)現(xiàn)了內(nèi)部控制缺陷的存在會引起企業(yè)價值的損失。但是，這些文獻(xiàn)只是從某一個側(cè)面反映內(nèi)部控制缺陷的價值損失，并沒有綜合考察企業(yè)價值損失的總量，容易讓決策者產(chǎn)生決策的偏誤。

總之，目前關(guān)于內(nèi)部控制缺陷的文獻(xiàn)研究，都是把企業(yè)經(jīng)濟(jì)特征作為考察對象，而把信息技術(shù)作為外生變量，這樣容易導(dǎo)致結(jié)果的偏誤。為了更好地考察內(nèi)部控制缺陷對于公司價值的影響，同時也必須排除內(nèi)生性因素的影響，我們在案例分析的基礎(chǔ)上采用了事件研究的方法，以全面、系統(tǒng)地考察信息安全導(dǎo)致的內(nèi)部控制缺陷對于公司價值的影響。

基于以上文獻(xiàn)，從應(yīng)對信息安全風(fēng)險的措施來看，對于內(nèi)部控制中的信息技術(shù)投資，特別是信息安全的投資及其回報往往很難進(jìn)行測度和計量。如果企業(yè)在內(nèi)部控制的信息安全上的投資不足，必然會導(dǎo)致企業(yè)內(nèi)部控制的質(zhì)量下降，進(jìn)而導(dǎo)致企業(yè)運(yùn)營的低效率和低效益，資產(chǎn)的安全性也無法確保。為了加強(qiáng)企業(yè)內(nèi)部控制的建設(shè)，2008年5月22日，財政部、證監(jiān)會、審計署、銀監(jiān)會和保監(jiān)會五部委聯(lián)合制定并發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》，其中第七條規(guī)定：“企業(yè)應(yīng)當(dāng)運(yùn)用信息技術(shù)加強(qiáng)內(nèi)部控制，建立與經(jīng)營管理相適應(yīng)的信息系統(tǒng)，促進(jìn)內(nèi)部控制流程與信息系統(tǒng)的有機(jī)結(jié)合，實(shí)現(xiàn)對業(yè)務(wù)和事項(xiàng)的自動控制，減少或消除人為操縱因素?！薄镀髽I(yè)內(nèi)部控制基本規(guī)范》的這條規(guī)定，著重于信息技術(shù)在信息處理方面的優(yōu)點(diǎn)，而忽視了由于信息技術(shù)的采用所導(dǎo)致的信息安全隱患，由此造成偏離內(nèi)部控制的目標(biāo)。故在2010年4 月26日發(fā)布的《企業(yè)內(nèi)部控制應(yīng)用指引》第18號——信息系統(tǒng)中的第三章第十三條中規(guī)定：“企業(yè)應(yīng)當(dāng)綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，漏洞掃描、入侵檢測等軟件技術(shù)以及遠(yuǎn)程訪問安全策略等手段，加強(qiáng)網(wǎng)絡(luò)安全，防范來自網(wǎng)絡(luò)的攻擊和非法侵入?！?因此，為了更有效地發(fā)揮信息技術(shù)的優(yōu)點(diǎn)，避免由于信息技術(shù)的負(fù)面作用給企業(yè)帶來不必要的損失，如商業(yè)秘密的泄露等，我們必須加強(qiáng)企業(yè)內(nèi)部控制，對安全漏洞的危害性保持足夠的重視。

基于以上分析，在互聯(lián)網(wǎng)技術(shù)以及移動互聯(lián)網(wǎng)技術(shù)日益發(fā)達(dá)的今天，每個企業(yè)都無法生存在不采用信息技術(shù)的真空中。信息技術(shù)為企業(yè)提供了良好的發(fā)展平臺，已融入到企業(yè)的生產(chǎn)、研發(fā)、運(yùn)營和管理等各項(xiàng)活動中，同時又由于信息平臺存在安全漏洞的問題，勢必對企業(yè)的內(nèi)部控制提出更高要求。當(dāng)企業(yè)的內(nèi)部控制不僅僅受到傳統(tǒng)的企業(yè)內(nèi)部環(huán)境的影響，而且還受到來自Internet上的攻擊威脅時，安全漏洞對于我國企業(yè)的影響又是如何呢？本文根據(jù)2010年1月12日百度公司由于黑客利用其網(wǎng)絡(luò)服務(wù)器的一個安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊，導(dǎo)致百度無法為國內(nèi)用戶提供正常服務(wù)長達(dá)近六個小時之久，考察安全漏洞對企業(yè)內(nèi)部控制的影響。

三、百度無法訪問事件與百度的內(nèi)部控制

（一）案例的選取——百度情況簡介

百度（www.baidu.com，NASDAQ：BIDU），2000年1月成立于北京中關(guān)村，于2005年8月5日在美國納斯達(dá)克（NASDAQ）上市，是掌握世界尖端核心技術(shù)的中國高科技企業(yè)，是全球最大的中文搜索引擎、最大的中文網(wǎng)站；百度日本公司于2008年1月23日正式運(yùn)營，全面開啟了百度的國際化戰(zhàn)略②關(guān)于百度，http://home.baidu.com/about/about.html，2011-4-16，15:45。據(jù)國外媒體2010年1月14日報道，美國互聯(lián)網(wǎng)流量監(jiān)測機(jī)構(gòu)StatCounter通過匯總2009年7月至12月間2 400萬個搜索引擎產(chǎn)生的點(diǎn)擊，結(jié)果表明：百度在中國市場的份額為56%③調(diào)查顯示谷歌中國搜索份額達(dá)43%，百度56%，http://tech.sina.com.cn/i/2010-01-14/14293771192.shtml，2011-4-17，15:48。北京正望咨詢有限公司2009年11月23日發(fā)布了2009年中國搜索引擎用戶市場調(diào)查報告，結(jié)果顯示，在所有調(diào)查城市中百度的市場份額為69.9%④報告稱谷歌中國份額首次跌破20%，百度占69.9%，http://tech.qq.com/a/20091123/000320.htm，2011-4-17，15:49。易觀智庫和易觀國際（Analysys International）2010年3月23日的報告顯示：2009年中國搜索引擎運(yùn)營商市場規(guī)模達(dá)到71.5億元人民幣，其中百度的市場份額為60.9%⑤易觀智庫，http://www.enfodesk.com/SMinisite/index/articledetail/type_id/2/info_id/102306.html，2011-4-17，15:50。艾瑞（iResearch）2010年發(fā)布的《中國搜索引擎市場份額報告（2009-2010年）》顯示，搜索引擎廣告市場在經(jīng)濟(jì)危機(jī)下表現(xiàn)出較強(qiáng)的抗壓性，2009年中國搜索引擎市場規(guī)模達(dá)69.6億元人民幣（約合10.2億美元），其中百度的市場份額為63.9%，搜索引擎市場規(guī)模在網(wǎng)絡(luò)廣告市場規(guī)模中占比達(dá)33.6%；2009年中國網(wǎng)頁搜索請求量規(guī)模為2 033.8億次，其中百度的網(wǎng)頁搜索請求量市場份額為76%。

從百度的2009年報可以看出，百度的收入主要來自競價排名的廣告業(yè)務(wù)，競價排名收入占總收入之比高達(dá)99.94%。百度競價排名服務(wù)（Pay for Performance，P4P）是基于百度搜索引擎的一種在線推廣服務(wù)，完全按照在百度搜索引擎的搜索結(jié)果中的點(diǎn)擊情況給企業(yè)帶來的用戶點(diǎn)擊訪問量進(jìn)行收費(fèi)，沒有訪問不收費(fèi)。在百度搜索引擎的搜索結(jié)果的排名按照客戶對關(guān)鍵詞競價的高低進(jìn)行排名，競價越高的客戶排名越靠前。如：企業(yè)在百度競價排名服務(wù)中注冊了“智能手機(jī)”關(guān)鍵詞，當(dāng)用戶在百度搜索引擎中搜索“智能手機(jī)”相關(guān)信息時，該企業(yè)的信息就會按照競價排名的高低優(yōu)先被搜索到，而且百度根據(jù)搜索引擎帶給企業(yè)的點(diǎn)擊訪問量進(jìn)行收費(fèi)。

按照美國公眾公司會計監(jiān)管委員會（Public Company Accounting Oversight Board，PCAOB）2007年實(shí)施的審計準(zhǔn)則第5號《與財務(wù)報表審計相結(jié)合的財務(wù)報告內(nèi)部控制審計》的定義,如果一項(xiàng)或若干項(xiàng)缺陷存在導(dǎo)致年度或中期財務(wù)報表存在重大錯報而不能有效防范或及時發(fā)現(xiàn)的合理可能 （reasonable possibility ） 時，那么，該缺陷就構(gòu)成重大缺陷（ material weakness）。從實(shí)務(wù)上看，財務(wù)報告內(nèi)部控制和管理控制彼此交融，難以絕然區(qū)分，故實(shí)證研究者在研究時一般也未做明確區(qū)分，即籠統(tǒng)地稱為內(nèi)部控制（李享，2009）?；谝陨戏治觯疚慕梃b Ge and McVay （2005） 的思路，按照瞿旭等（2009）對重大缺陷（ material weakness）的分類做法，將嵌入在內(nèi)部控制中的信息技術(shù)的安全漏洞問題歸為重大缺陷中的技術(shù)問題，以2010年1月12日百度公司由于黑客利用其網(wǎng)絡(luò)服務(wù)器的一個安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊，導(dǎo)致百度無法為國內(nèi)用戶提供正常服務(wù)長達(dá)近六個小時之久為案例，剖析該事件的發(fā)生導(dǎo)致的百度公司價值損失，以引導(dǎo)企業(yè)重視其內(nèi)部控制中采用的信息技術(shù)的安全漏洞給企業(yè)帶來的損失，以此來考察安全漏洞對于內(nèi)部控制的影響，也以期對后續(xù)重大缺陷信息披露和監(jiān)管等研究有所貢獻(xiàn)。

（二）百度網(wǎng)站首頁無法訪問事件回顧

2010年1月12日北京時間6點(diǎn)左右起，北京、廣東等地?zé)o法正常訪問百度網(wǎng)站首頁，百度所有服務(wù)，包括子域名，包括新聞、博客、視頻、圖庫等全部都無法正常訪問；9:27，百度相關(guān)人士表示，故障“還在查，目前原因不知”； 10:45，百度官方表示：baidu.com域名在美國域名注冊商處被非法篡改；12:51，百度CEO李彥宏就此事在百度i貼吧里表示：“史無前例，史無前例呀！”11:00，上海、廣東、北京等地部分網(wǎng)絡(luò)開始恢復(fù)對baidu.com的訪問，但其他子域名還無法正常訪問； 13:00，國家工業(yè)和信息化部召集百度公司、基礎(chǔ)電信運(yùn)營企業(yè)、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（ CNCERT/ CC ）以及中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）在國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心召開專家研判會，對該事件相關(guān)情況進(jìn)行匯總研判；18:00，百度正式發(fā)表聲明：目前已解決了大部分登錄問題，如果解析速度正常，全球?qū)⒃?8小時內(nèi)能全部恢復(fù)正常訪問百度首頁⑥百度首頁無法訪問追蹤報道_網(wǎng)易科技，http://tech.163.com/special/000943DN/baidudown0112.html，2011-4-18, 22:10。中新網(wǎng)2000年1月13日報道稱，百度無法正常訪問后，騰訊、新浪預(yù)計流量將下降約5%，而搜狐和網(wǎng)易預(yù)計流量將下降約10%。

近12小時⑦我們計算的是從發(fā)生問題（6:00）到完全恢復(fù)正常（18:00）的時間。百度無法正常訪問。瑞星反病毒專家分析，這次攻擊百度的黑客利用了DNS(Domain Name System，域名系統(tǒng)）的相關(guān)漏洞信息，對DNS記錄進(jìn)行了篡改。域名解析服務(wù)提供商DNSPod在2010年1月12日官方博客稱：register.com（baidu.com的域名注冊商）的程序存在漏洞，導(dǎo)致百度的DNS服務(wù)器和whois（域名baidu.com的數(shù)據(jù)庫）信息被強(qiáng)行篡改。中國國家互聯(lián)網(wǎng)應(yīng)急中心就2010年1月12日百度無法訪問發(fā)布公告，該公告稱：“造成本次事件的原因是baidu.com域名的注冊信息被非法篡改，致使baidu.com域名在全球的解析被錯誤指向，最終導(dǎo)致全球互聯(lián)網(wǎng)用戶無法正常訪問baidu.com網(wǎng)站”。

（三）百度網(wǎng)站首頁無法訪問事件的經(jīng)濟(jì)后果分析

根據(jù)以上對于百度網(wǎng)站首頁無法訪問的分析可知，造成這次事件真正的原因在于百度的域名注冊商register.com的服務(wù)器的軟件存在安全漏洞，該安全漏洞被黑客發(fā)現(xiàn)并被惡意利用，嚴(yán)重破壞了百度的域名解析信息的保密性、完整性和可用性。由于發(fā)現(xiàn)較晚以及服務(wù)提供商，百度應(yīng)對風(fēng)險的措施存在嚴(yán)重的缺陷和滯后，從而加劇了這次安全漏洞被利用的負(fù)面影響程度。

根據(jù)ISO/IEC 13335的定義，風(fēng)險是指事件發(fā)生的可能性及后果的組合⑧對應(yīng)的英文為：combination of the probability of an event and its consequence，ISO Guide 73:2002，也即：威脅⑨威脅是指：可能對系統(tǒng)或組織造成損害的事件的潛在原因，ISO/IEC TR 13335-1:2004通過利用組織的一個或多個薄弱點(diǎn)⑩薄弱點(diǎn)是指：能被威脅利用的資產(chǎn)的脆弱點(diǎn)，ISO/IEC TR 13335-1:2004導(dǎo)致對組織造成損害的可能性。威脅、薄弱點(diǎn)、資產(chǎn)（任何對組織有價值的東西，ISO/IEC TR 13335-1:2004）三者構(gòu)成風(fēng)險的三大要素。從ISO/IEC 13335對于風(fēng)險的定義及其界定，我們可知，百度網(wǎng)站首頁無法訪問事件，來自網(wǎng)絡(luò)黑客的威脅，黑客充分利用了百度域名注冊商的服務(wù)器上的安全漏洞，給百度公司的資產(chǎn)造成了嚴(yán)重的損害。為了更好地警示企業(yè)注重內(nèi)部控制中的信息技術(shù)自身的與生俱來的安全漏洞的危害性，我們需要評估這次事件的經(jīng)濟(jì)后果。我們采用ISO/IEC TR 13335-1:2004對于資產(chǎn)的定義，包括有形的資產(chǎn)、無形的資產(chǎn)以及所有的可能對公司有形的資產(chǎn)、無形的資產(chǎn)產(chǎn)生增值的信息能力，如服務(wù)能力、聲譽(yù)等等。按照這個定義，我們可以全面認(rèn)識薄弱點(diǎn)的危害性以及識別出內(nèi)部控制中的這種脆弱性，以提醒企業(yè)加強(qiáng)這種薄弱點(diǎn)的建設(shè)。

由于內(nèi)部控制的其他缺陷與內(nèi)部控制中的信息技術(shù)的安全漏洞的爆發(fā)所導(dǎo)致的內(nèi)部控制的缺陷很難區(qū)分。所以關(guān)于內(nèi)部控制中的信息技術(shù)的安全漏洞的檢驗(yàn)文獻(xiàn)，到目前為止沒有發(fā)現(xiàn)，本文借鑒Menon and Williams（1994）和伍利娜等（2010）的做法，采用百度網(wǎng)站首頁無法訪問這一特殊事件來粗略檢驗(yàn)內(nèi)部控制中的信息技術(shù)的安全漏洞的爆發(fā)，給企業(yè)造成的危害性，也即對企業(yè)的經(jīng)濟(jì)后果分析。為我們認(rèn)識嵌入內(nèi)部控制的信息技術(shù)的重要性以及內(nèi)控信息披露的經(jīng)濟(jì)后果提供了極其重要的參考。

根據(jù)百度截至2010年3月31日的2010財年第一季度總營收為人民幣12.94億元，平均每日營收超過人民幣1 460萬元。半天以上的損失，損失數(shù)字超過人民幣730萬元。若除去春節(jié)放假因素，半天以上的損失，損失數(shù)字超過人民幣780萬元?感謝匿名審稿人的意見，我們在此只是想說明這種安全風(fēng)險可能的影響。。百度2010財年第一季度的成本與費(fèi)用為人民幣7.31億元，較上一季度的成本與費(fèi)用7.937億元人民幣，下降了4%，但較2009年同期的成本與費(fèi)用6.122億元人民幣，上漲了25%。

Irving(2006）研究發(fā)現(xiàn)，內(nèi)部控制披露能為投資者的資源配置決策提供有用的增量信息。Hamersley et al.(2008）認(rèn)為，內(nèi)部控制缺陷的披露及其特征將給市場投資者帶來增量的決策有用信息。美國東部時間2010年1月12日9:34，百度開盤價為394.13美元，下跌了6.44美元，跌幅為1.6%。美國東部時間2010 年1月12日NASDAQ百度的收盤價為386.49美元，下跌了14.08美元，跌幅為3.51%（ NASDAQ綜合指數(shù)跌幅為1.30%），回落到一個月來的最低點(diǎn)附近。如圖1所示。從圖1可知，由嵌入在內(nèi)部控制中的信息技術(shù)的安全漏洞導(dǎo)致的百度無法正常訪問，佐證了Irving(2006） 和Hamersley et al.(2008）的研究結(jié)論。

根據(jù)Raghunandan and Rama(2006）和Hogan and Wilkins（2008）的研究發(fā)現(xiàn)，當(dāng)審計師面對較高的內(nèi)部控制風(fēng)險時，審計師需要增加更多的審計投入和（或）需要增加訴訟風(fēng)險溢價。按照他們的研究，我們比較baidu.com近三年的審計費(fèi)用，如表1所示。

圖1　百度（NASDAQ：BIDU）2010年1月12日在納斯達(dá)克市場上的股價表現(xiàn)?圖片來源于：http://media.ifeng.com/hotspot/baidubeiheizt/zuixin/201001/0113_9232_1509128.shtml，2011-4-18，20:21

表1　baidu.com　2008—2010年支付的審計費(fèi)用表

表1中的審計收費(fèi)分別由摘自baidu.com的2007—2010年年報（20-F）整理而得，這四年baidu. com聘請的審計師都是來自于Ernst ＆ Young Hua Ming會計師事務(wù)所，2005—2006年聘請的是Ernst ＆ Young。除了北京時間4月29日，百度宣布按照10:1比例執(zhí)行拆股計劃之外，并無其他大事，但是2010年的審計費(fèi)用較2009年的審計費(fèi)用高出近18%，較其他年份的增長率高出太多。Ernst ＆ Young Hua Ming在2010年大幅提高審計收費(fèi)，在審計師沒有變更的情況下，很有可能是因?yàn)?010年1月12日百度遭受網(wǎng)絡(luò)攻擊暴露了百度的內(nèi)部控制存在重大缺陷，給審計師增加了審計風(fēng)險，為了減少審計風(fēng)險?感謝匿名審稿人的意見，我們在此只是一種猜測，由于數(shù)據(jù)的局限性，無法通過實(shí)證證據(jù)進(jìn)行分析。，或者可能是出于訴訟風(fēng)險溢價或者是增加了審計付出，審計師提高了審計收費(fèi)。

（四）百度網(wǎng)站首頁無法訪問事件的無法計量部分的經(jīng)濟(jì)后果

以上考察的是根據(jù)季報和成本與費(fèi)用進(jìn)行估計的損失，以及股票市場的損失，由于這次事件持續(xù)時間過長，還存在很多無法度量的損失。為了對無法度量的損失有個大體的認(rèn)識，我們考察了這個事件在全球范圍內(nèi)的關(guān)注程度。關(guān)注程度的度量通過谷歌（Google）搜索引擎的搜索量和新聞報道量來考察。透過谷歌（Google）搜索引擎的搜索量指數(shù)和新聞引用量，我們可以看到2010年1月12日發(fā)生的百度網(wǎng)站首頁無法訪問在用戶中的影響，這些搜索引擎的用戶通過其個人的網(wǎng)絡(luò)進(jìn)行傳播，最終百度的事件必然在百度的用戶、投資者（包括潛在投資者）、客戶等之間產(chǎn)生廣泛的負(fù)面影響，從而對百度的價值造成巨大的潛在損失。

2010年1月12日發(fā)生的百度網(wǎng)站首頁無法訪問，迅速在網(wǎng)絡(luò)上傳播，“baidu”和“百度”立即成為谷歌（Google）搜索引擎上升最快的關(guān)鍵字。如圖2和圖3所示。圖2和圖3中的紅色曲線表示的是“百度”主題的關(guān)注度，紅色的曲線表示的是“baidu”主題的關(guān)注度；圖的上半部分表示的是搜索量指數(shù)（在Google上被搜索的頻率），圖的下半部分表示的是新聞引用量（在Google新聞報道中出現(xiàn)的頻率）。圖2 表示的是2010年1月份Google全球搜索量指數(shù)和新聞引用量分布圖，圖3 表示的是2010年度Google全球搜索量指數(shù)和新聞引用量分布。從圖2可知：2010年1月份，12日的百度在Google全球搜索中最受關(guān)注，達(dá)到月度峰值，比其他關(guān)鍵詞的搜索量超出了一倍多；在2010年1月12日，“百度”的被搜索頻率比“baidu”高出近一倍；從新聞引用量來看，在2010年1 月13日在Google新聞報道中出現(xiàn)的頻率達(dá)到峰值，但是，在Google新聞報道中，“baidu”的被搜索頻率比“百度”高出很多倍。在圖3中也呈現(xiàn)與圖2相似的規(guī)律。綜合圖2和圖3可知，2010年1 月12日百度發(fā)生的無法訪問事件，受到全世界的廣泛關(guān)注，給百度造成了不可估量的潛在損失。

圖2　2010年1月份Google全球搜索指數(shù)?圖片來源于：http://www.google.com/trends？q=baidu%2C%E7%99%BE%E5%BA%A6＆ctab=0＆geo=all＆date=2010＆so rt=0，2011-4-19, 21:35

圖3　2010年全年Google全球搜索指數(shù)?圖片來源于：http://www.google.com/trends？q=baidu%2C%E7%99%BE%E5%BA%A6＆ctab=0＆geo=all＆date=2010-1＆sort=0, 2011-4-19 , 21:35

Goh（2007）認(rèn)為，發(fā)現(xiàn)重大缺陷的公司的高級經(jīng)理人員相比沒有發(fā)現(xiàn)的更有可能被輪換。2010 年1月18日，百度正式宣布CTO(首席技術(shù)官）李一男已因個人原因提出辭職，經(jīng)百度批準(zhǔn)，從即日起李一男不再擔(dān)任CTO的職務(wù)。離2010年1月12日發(fā)生的百度網(wǎng)站首頁無法訪問剛剛過去了六天。這其中的真正原因，不得不讓人把剛發(fā)生的無法正常訪問的事件與技術(shù)的高管CTO的離職產(chǎn)生聯(lián)想。我們認(rèn)為，2010年1月12日發(fā)生的百度網(wǎng)站首頁無法訪問事件，作為CTO難辭其咎。雖然我們不能說是這個事件的發(fā)生導(dǎo)致了CTO的離職，但是，至少是加劇了CTO的離職速度。由于該重大缺陷的發(fā)現(xiàn)造成了巨大的影響，因此，更受監(jiān)管機(jī)構(gòu)和投資者的關(guān)注。為了重塑公司聲譽(yù)，改善股票業(yè)績，恢復(fù)投資者信心，百度開始從內(nèi)部控制中可能的信息技術(shù)風(fēng)險入手，提升內(nèi)部控制的質(zhì)量，同時，百度也有動力從負(fù)責(zé)整個公司信息技術(shù)的CTO入手，改善公司治理結(jié)構(gòu)，進(jìn)而提升內(nèi)部控制質(zhì)量。

（五）安全漏洞與百度的內(nèi)部控制問題

基于以上的分析，我們可知，由于網(wǎng)絡(luò)服務(wù)器的解析軟件存在安全漏洞，該安全漏洞被黑客發(fā)現(xiàn)并被惡意利用，導(dǎo)致了這次長達(dá)近六個小時的無法正常提供服務(wù)。在百度無法正常提供服務(wù)被發(fā)現(xiàn)近三個半小時后，已經(jīng)給公司的經(jīng)營造成嚴(yán)重負(fù)面影響，企業(yè)的資產(chǎn)安全性遭受破壞，百度作為一個擁有眾多計算機(jī)及其相關(guān)專業(yè)技術(shù)團(tuán)隊(duì)的公司，居然還沒有發(fā)現(xiàn)原因所在，這表明，百度對于企業(yè)內(nèi)部和外部的風(fēng)險評估存在較大的缺陷。百度在2009年年報中，關(guān)于百度無法訪問事件出現(xiàn)在業(yè)務(wù)風(fēng)險中，其中提及到由于第三方服務(wù)提供商無法提供持續(xù)的、不間斷的服務(wù)所導(dǎo)致的對于公司業(yè)務(wù)和聲譽(yù)損失的風(fēng)險，年報中聲稱只中斷了大約5個小時（approximately fve hours）。由于域名解析是由第三方服務(wù)商提供，并稱該事件不是百度所能掌控的，并且百度的冗余系統(tǒng)管理并沒有覆蓋所有的系統(tǒng)。給出的理由是：全面冗余系統(tǒng)管理太貴，會影響公司的營運(yùn)利潤率（operating margin）且還不可能完全避免中斷服務(wù)的頻度和持續(xù)時間。就百度公司在2009年年報中對于這一事件的說明與解釋，在一定程度上表明，百度公司對于內(nèi)部控制中的信息技術(shù)風(fēng)險中的安全漏洞風(fēng)險，并沒有給投資者一個非常有說服力的解釋，也沒有看到在內(nèi)部控制的缺陷管理上有進(jìn)一步的體現(xiàn)。

百度在年報中的說明具有一定的合理性，但是可以通過加強(qiáng)內(nèi)部控制來減少這種突發(fā)事件的危害。像安全漏洞這樣的潛在的、無法預(yù)知的風(fēng)險，必須采取足夠的預(yù)防措施，以防止重大缺陷給公司價值造成重大損失。像百度這種完全依賴互聯(lián)網(wǎng)的公司，由于其DNS解析服務(wù)器在國外，企業(yè)應(yīng)該設(shè)置專門的人員負(fù)責(zé)與域名注冊商進(jìn)行足夠的溝通，并且這些人員必須密切關(guān)注域名注冊商的服務(wù)器的最新軟件補(bǔ)丁程序情況，一旦發(fā)現(xiàn)域名注冊商沒有及時安裝補(bǔ)丁程序，就應(yīng)該及時通知域名注冊商。此外，百度作為一個服務(wù)全球的搜索引擎提供商，應(yīng)該為網(wǎng)站準(zhǔn)備至少兩套可以同時使用的、由不同域名注冊商提供的、用戶知曉的注冊域名。在百度出現(xiàn)這種意外事件時，臨時啟用了新的域名http://www.baidu.com.cn，但是，由于這個域名普通搜索引擎的用戶并不知道，導(dǎo)致大量用戶無法正常使用。因此，百度需要在事后重新評估內(nèi)部控制的重大缺陷問題，提出對于備用域名的方案。這些備用域名不是在出現(xiàn)問題時才啟用，而是在平時就需要培養(yǎng)用戶對于備用域名的知曉度，這樣即使再發(fā)生類似的事件，也不會造成這么大的損失。

四、研究結(jié)論與展望

2010年1月12日，由于黑客利用其網(wǎng)絡(luò)服務(wù)器的一個安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊，導(dǎo)致百度無法為用戶提供正常服務(wù)長達(dá)近6個小時之久，部分地區(qū)達(dá)到12個小時之久。但由于內(nèi)部控制中的信息技術(shù)的安全漏洞所導(dǎo)致的缺陷與內(nèi)部控制的其他缺陷很難區(qū)分，所以，有關(guān)內(nèi)部控制中的信息技術(shù)的安全漏洞所導(dǎo)致的內(nèi)部控制缺陷的檢驗(yàn)文獻(xiàn)，到目前為止沒有發(fā)現(xiàn)。本文借鑒Menon and Williams（1994）和伍利娜等（2010）的做法，采用百度網(wǎng)站首頁無法訪問這一特殊事件來粗略檢驗(yàn)內(nèi)部控制中的信息技術(shù)的安全漏洞所導(dǎo)致的內(nèi)部控制缺陷的經(jīng)濟(jì)后果。本文通過考察百度此次無法正常提供服務(wù)的事件，表明，現(xiàn)代企業(yè)必須確保信息技術(shù)的正常投資，同時需要重視內(nèi)部控制建設(shè)，并需要充分重視信息技術(shù)在內(nèi)部控制中的重要作用，特別是嵌入信息技術(shù)的內(nèi)部控制的安全漏洞風(fēng)險的風(fēng)險分析、風(fēng)險評估以及風(fēng)險的應(yīng)對措施及其方案的完備性建設(shè)。

本文的研究為處于信息化生態(tài)環(huán)境下的企業(yè)內(nèi)部控制，應(yīng)該防范軟件中的安全漏洞風(fēng)險（陳志斌，2007）提供了一個實(shí)例證據(jù)，同時提醒我們在考察現(xiàn)代企業(yè)的內(nèi)部控制時，不僅需要考察經(jīng)濟(jì)因素，而且需要考察技術(shù)因素對于內(nèi)部控制缺陷的影響。由于本文采用的是案例分析，得到的結(jié)論不一定具有廣泛的適用性。后續(xù)研究將就嵌入信息技術(shù)的內(nèi)部控制的安全漏洞所導(dǎo)致的內(nèi)部控制缺陷進(jìn)行實(shí)證研究。

[1]朱建明，Raghunathan S. ：《基于博弈論的信息安全技術(shù)評價模型》，《計算機(jī)學(xué)報》，2009年第4期。

[2]陳志斌：《信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究》，《會計研究》，2007年第1期。

[3]孟祥宏：《信息安全攻防博弈研究》，《計算機(jī)技術(shù)與發(fā)展》，2010年第4期。

[4]王元卓，林闖，程學(xué)旗，方濱興：《基于隨機(jī)博弈模型的網(wǎng)絡(luò)攻防量化分析方法》，《計算機(jī)學(xué)報》，2010年第9期。

[5]方紅星，孫翯：《強(qiáng)制披露規(guī)則下的內(nèi)部控制信息披露——基于滬市上市公司2006年年報的實(shí)證研究》，《財經(jīng)問題研究》，2007年第12期。

[6]林斌，饒靜：《上市公司為什么自愿披露內(nèi)部控制鑒證報告——基于信號傳遞理論的實(shí)證研究》，《會計研究》，2009年第2期。

[7]李享：《美國內(nèi)部控制實(shí)證研究:回顧與啟示》，《會計研究》，2009年第1期。

[8]瞿旭，李明，楊丹，葉建明：《上市銀行內(nèi)部控制實(shí)質(zhì)性漏洞披露現(xiàn)狀研究——基于民生銀行的案例分析》，《會計研究》，2009年第4期。

[9]劉志遠(yuǎn),劉潔：《信息技術(shù)條件下的企業(yè)內(nèi)部控制》，《會計研究》，2001年第12期。

[10]伍利娜，鄭曉博，岳衡：《審計賠償責(zé)任與投資者利益保護(hù)——審計保險假說在新興資本市場上的檢驗(yàn)》，《管理世界》，2010年第3期。

[11］ Ashbaugh-Skaife，H.，D. Collins，W. Kinney，2007, “The discovery and reporting of internal control defciencies prior to SOX-mandated audits”，Journal of Accounting and Economics 44，pp.166～192.

[12］ Beneish，M. D.，M. Billings，and L. Hodder. 2008, “Internal control weaknesses and information uncertainty”，The Accounting Review 83(3） ，pp. 665～703.

[13］ Brynjolfsson E. ，Hitt L. ，1993, “IS information systems spending productive？ New evidence and new results”，Proceedings of the Fourteenth International conference on information systems, 1993，pp.47～64.

[14］ Brynjolfsson E. ，1993, “The productivity paradox of information technology”，Communications of the ACM.35(12） ，pp.66～77.

[15］ Costello，A. ，Regina W. M. ，2009, “The impact of fnancial reporting quality on debt contracting: Evidence from internal control weakness reports”，University of Chicago Booth School of Business working paper.

[16］ Doyle，J.，W. Ge，S. McVay，2007, “ Determinants of weaknesses in internal control over fnancial reporting”，Journal of Accounting and Economics 44: 193～223.

[17］ Ge W. and S. McVay，2005, “The Disclosure of Material Weakness in Internal Control after the Sarbanes-Oxley Act”，Accounting Horizons, 19，pp.137～158.

[18］ George J. 2001, “A transactions cost approach to the theory of fnancial intermediation”，Journal of Finance, 9，pp.77～83.

[19］ Ghosh，A.，and M. Lubberink，2006, “Timeliness and mandated disclosures on internal controls under Section 404”，Working paper，City University of New York.

[20] Goh，Beng Wee，2007, “Internal Control Failures and Corporate Governance Structures: A Post Sarbanes-Oxley Act（SOX）Analysis，Doctoral dissertation”，Georgia Institute of Technology.

[21］ Hammersley，J.S.，L.A. Myers，C. Shakespeare，2007, “Market reactions to the disclosure of internal control weaknesses and to the characteristics of those weaknesses under Section 302 of the Sarbanes Oxley Act of 2002”，Review of Accounting Studies 13，pp.141-165.

[22] Hammersley，Jacqueline S.，Linda A. Myers，C. ShakesPeare，2008, “Market Reactions to the Disclosure of Internal Control Weaknesses and to the Characteristics of Those weaknesses under Section 302 of the Sarbanes' Oxley Act of 2002”，Review Accounting Studies l3，pp.141～165.

[23］ Hogan，C.，Wilkins，M.，2008, “Evidence on the audit risk model: Do auditors increase audit fees in the presence of internal control defciencies？ ”，Contemporary Accounting Research 25，pp.219～242.

[24］ Hoitash，R.，U. Hoitash，J. Bedard，2008, “Internal controls quality and audit pricing under the Sarbanes-Oxley Act”，Auditing: A Journal of Practice ＆ Theory 27，pp.105～126.

[25] Irving，Jams H.II.，2006, “The Information Content of internal Controls Legislation: Evidence from Material Weakness Disclosures，Doctoral dissertation”，University of North Carolina at Chapel Hill.

[26］ Jack E. Triplett，1999, “ The Solow Productivity Paradox: What do Computers do to Productivity？ ”，The Canadian Journal of Economics. 32(2） ，pp.309～334.

[27］ Kim，J.B.，B.Y. Song ，L. Zhang，2009, “Internal control weakness and bank loan contracting: Evidence from SOX Section 404 disclosures”，Working Paper，Concordia University.

[28］ Krsul I. ，1998, “Software Vulnerability Analysis”，West Lafayette: Department of Computer Science，Purdue University.

[29］ Leone A. J. ，2007, “Factors related to internal control disclosure: A discussion of Ashbaugh，Collins and Kinney (2007） and Doyle，Ge，and McVay（2007） ”，Journal of Accounting and Economics，Sep，pp.224～237.

[30］ Lye Kong-wei，Jeannette M W. ，2005, “Game strategies in network security ”，International Journal of Information Security 4(1- 2） ，pp.71～86.

[31］ Menon，K. ，J. D. Williams，1994, “The Insurance Hypothesis and Market Prices”，The Accounting Review,69(2），pp.327～342.

[32］ Raghunandan K. ，D. Rama，2006, “SOX Section 404 material weakness disclosures and audit fees”，Auditing: A Journal of Practice ＆ Theory. 25，pp. 99-114.

[33］ Schneider，A.，B. K. Church，2008, “The effect of auditors' internal control opinions on loan decisions”，Journal of Accounting and Public Policy 27，pp.1–18.

[34］ Syverson P. E. ，1997, “A different look at secure distributed Computation. Proceedings of the 1997 IEEE Computer Security Foundations Workshop”，Washington, DC, USA: IEEE Computer Society 1997，pp.109～115.

〔執(zhí)行編輯：秦光遠(yuǎn)〕

Security Vulnerability and Internal Control: A Case Study based on the Unavailable Service on Baidu.com in Jan. 2010

ZENG Jian Guang, LI Ni, TIE Xiao Dong
（Sounthwestern University of Finance and Economics，Chengdu 611130，China）

This paper investigates that the security vulnerability event that happened in Baidu.com on 12th Jan 2010. The hacks made Baidu.com discontinue her service for about twelve hours. And we propose that we must attach IT's importance on internal control and ensure the IT investment on the internal control. At the same time we realize that IT has her two-edged effects on internal control，so security vulnerability should be evaluated in internal control.

Security Vulnerability，Information Risk，Internal Control，Baidu.com

F49

A

2095-7572（2016）04-0059-11

2016-03-12

國家自然科學(xué)基金（批準(zhǔn)號 71572152）、中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金項(xiàng)目 (批準(zhǔn)號16CX150206），四川省社科規(guī)劃項(xiàng)目（批準(zhǔn)號 SC15B087）和西南財經(jīng)大學(xué)2016年度重大基礎(chǔ)理論研究項(xiàng)目（批準(zhǔn)號 JBK161105）。

曾建光，男，西南財經(jīng)大學(xué)會計學(xué)院副教授；李妮，女，西南財經(jīng)大學(xué)碩士研究生；帖曉東，男，西南財經(jīng)大學(xué)碩士研究生。