萨班斯-奥克斯利法案预测安全性的信息含量

是 否 +2 论坛币

k人 参与回答

经管之家送您一份

应届毕业生专属福利!

求职就业群

赵安豆老师微信：zhaoandou666

经管之家联合CDA

送您一个全额奖学金名额~ !

立即领取

感谢您参与论坛问题回答

经管之家送您两个论坛币！

+2 论坛币

英文标题：
《The Information Content of Sarbanes-Oxley in Predicting Security
  Breaches》
---
作者：
J. Christopher Westland
---
最新提交年份：
2018
---
英文摘要：
  We investigated publicly reported security breaches of internal controls in corporate systems to determine whether SOX assessments are information bearing with respect to breaches which can lead to materially significant losses and misstatements. SOX Section 404 adverse decisions on effectiveness of controls occurred in 100% of credit card data breaches and around 33% of insider breaches. SOX 404 audits provided a contrarian \"effective\" control decisions on 88% of situations where there was a control breach concerning a portable device. We found that management and SOX 404 auditors do not general agree on the underlying internal control situation at any time; instead the SOX 404 team was likely to discover material weaknesses and \"educate\" management and internal audit teams about the importance of these control weaknesses. SOX attestations were poor at identifying control weaknesses from unintended disclosures, physical losses, hacking and malware. Hazard and occupancy models showed that both SOX 302 and 404 section audits provided information on the frequency of breaches, with SOX 404 being three times as informative as section 302 reports. The hazard model found an expected 2.88% reduction in breaches when SOX 302 controls are effective; management \"material weakness\' attestations provided no information in this structural model, whereas there would be around a 1% increase in breach occurrence when there are significant deficiencies. SOX 404 attestations were the most informative, and a negative SOX 404 attestation is projected to increase the frequency of breaches by around 8.5%.
---
中文摘要：
我们调查了公司系统中公开报告的违反内部控制的安全违规行为，以确定SOX评估是否与可能导致重大损失和误报的违规行为相关。SOX第404节关于控制有效性的不利决定发生在100%的信用卡数据泄露和大约33%的内幕泄露中。SOX 404审计在88%的情况下提供了反向的“有效”控制决策，其中涉及便携式设备的控制违反。我们发现，管理层和SOX 404审计师在任何时候都不能就潜在的内部控制情况达成一致意见；相反，SOX 404团队可能会发现重大缺陷，并“教育”管理层和内部审计团队这些控制缺陷的重要性。SOX认证在识别来自意外披露、物理损失、黑客和恶意软件的控制弱点方面表现不佳。危险和占用模型表明，SOX 302和404部分审计都提供了违规频率的信息，其中SOX 404的信息量是第302部分报告的三倍。危险模型发现，当SOX 302控制措施有效时，违规行为预计减少2.88%；管理层的“重大缺陷”证明在此结构模型中未提供任何信息，而当存在重大缺陷时，违约发生率将增加约1%。SOX 404证明的信息量最大，消极的SOX 404证明预计将使违约频率增加约8.5%。
---
分类信息：

一级分类：Quantitative Finance        数量金融学
二级分类：General Finance        一般财务
分类描述：Development of general quantitative methodologies with applications in finance
通用定量方法的发展及其在金融中的应用
--

---
PDF下载：
--> The_Information_Content_of_Sarbanes-Oxley_in_Predicting_Security_Breaches.pdf (1.13 MB)

2022-6-8 18:35:48 上传

扫码加我 拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

分享0 收藏1 回帖

关键词：安全性 萨班斯 克斯利 奥克斯 Quantitative

!1.这个信息所容纳之物属于萨班斯-奥克斯利法案！在里面预测！！安全违规行为！J、 Christopher Westland伊利诺伊大学-芝加哥大学摘要遵守萨班斯-奥克斯利法案（SOX）在识别和消除信息系统违规带来的公司威胁方面有多有效？我们调查了公司系统中公开报告的违反内部控制的安全行为，以确定SOX评估是否与可能导致重大损失和误报的违规行为相关。我们的测试结果在不同的违约类型之间存在显著差异。SOX Section404在100%的信用卡数据泄露和大约33%的内幕泄露中，都发生了关于控制有效性的不利决定。SOX 404审计对88%的便携式设备控制违规情况提供了反向“有效”控制决策。这表明，员工使用可携带到公司外部的便携式设备，颠覆了特别严格的内部控制。我们发现，管理层和SOX 404审计师在任何时候都不能就基本的内部控制情况达成一致意见；相反，SOX 404团队可能会发现重大缺陷，并“教育”管理层和内部审计团队这些控制缺陷的重要性。SOX认证旨在从意外披露、物理损失、黑客和恶意软件、固定设备以及未知违约原因的情况中识别控制缺陷。危险2.构建了居住结构模型，以推断更大的人口；结果表明，SOX 302和404部分审计提供的信息与违规频率密切相关，其中SOX 404的信息量是302部分报告的三倍。

hazardmodel发现，当SOX 302控制措施有效时，违规行为预计减少2.88%；经营“重大缺陷”证明在该结构模型中未提供任何信息，而当存在重大缺陷时，违约发生率将增加约1%。SOX 404证明的信息量最大，消极的SOX 404证明预计将使违约频率增加约8.5%。我们得出结论，内部控制的强度证明SOX报告中的d很可能是公司在特定时期内发生abreach的一个重要因素。（349字）1。《萨班斯-奥克斯利法案》和对公司系统的威胁在安然和世通公司倒闭标志着网络泡沫的终结之后，美国立法者试图通过《2002年萨班斯-奥克斯利法案》（“SOX”）更好地保护投资者并向投资者通报情况。SOX第404节（“SOX 404”）要求公司在外部审计师的监督下审查其财务报告内部控制（“ICFRs”），并声明其ICFRs是“有效”还是“无效”SOX第302节（“SOX 302”）要求公司自我报告内部控制的有效性。关注内部控制的一个重要原因是，公司可能遭受外部行为者的系统入侵，通常称为安全漏洞或黑客攻击，这可能导致重大损失和误报。最近的信息系统违规行为变得更加昂贵和频繁；例如，到目前为止，家得宝2015年的违规行为已经使其损失了2.32亿美元，他们预计这一金额将达到数十亿美元。

2015年，阿什利·麦迪逊（AshleyMadison）的违规行为窃取了4000万个账户，其中包括照片、性取向详情和个人地址。2013年，Target的违规行为影响了7000万客户的账户，迄今为止，该公司已花费1.62亿美元的额外费用。2014年，索尼影业的一次“和平卫士”违规窃取了超过100 TB的机密数据。2014年，MySpace账户数量达到3.6亿，LinkedIn黑客入侵了超过1亿个账户，！3.雅虎5亿账户遭到黑客攻击，3.4亿AdultFriendFinder账户遭到黑客攻击（这是一年来的第二次），以及许多其他违规行为。在过去五年中，违规行为的频率和规模都急剧增长。审计师强烈辩称，他们没有明确的责任在审计期间发现欺诈和外部威胁。尽管如此，在安然（Enron）和世通（WorldCom）倒闭后，审计部门被迫承担一些检测欺诈和威胁的责任。（AICPA 2002）就审计师识别可能导致重大错报的外部威胁和欺诈的责任提供了具体指南。安全违规和其他对公司的外部威胁被归为“欺诈”类别，AU 316.05对此进行了澄清。“广义的法律概念，审计师不会对是否发生欺诈作出法律决定。相反，审计师的利益与导致财务报表重大错报的行为特别相关。区分欺诈与错误的主要因素是导致财务报表错报的根本行为是故意的还是无意的国家。

欺诈是一种故意行为，导致作为审计对象的财务报表出现重大错报。“萨班斯-奥克斯利法案是一项正式的尝试，旨在对审计人员和管理层施加额外的共同责任，以检测欺诈和外部威胁，对于这项研究，SOX第302和404节要求进行内部控制评估。SOX合规性一直存在争议。有人提出了有关成本高昂的SOX审查的有效性、SOX的外部有效性的问题评估公司的安全违规、错误、欺诈和其他外部财务威胁，以及SOX向投资者和其他利益相关者报告的有用性。不幸的是，这些问题一直很难研究，因为外部违规、欺诈和其他犯罪在商业中被严重低估，导致数据集中的报告偏差，给控制研究带来困难。企业高管、政客和游说人士认为，2002年的《萨班斯-奥克斯利法案》（Sarbanes-OxleyAct，SOX）是一项繁琐且成本高昂的监管，并不有效（Drabugh 2012）。仅遵守第404条的规定就被估计为每家公司每年平均170万美元（FEI 2007），甚至在美国最高法院提出了SOX违宪的论点（FEP 2010）。上的出版物！4.SOX实施对整个市场和经济的影响已通过案例研究、论战和实证研究得出结论（Bratton 2003、Romano 2004、Coates 2007、Engel、Hayes et al.2007、Kang、Liu et al。

2010年），但关于SOX实施是否提高了内部控制的安全性和完整性的证据仍不明确。这项研究解决了“企业在SOX合规性方面的投资在识别和消除内部控制安全违规威胁方面有多大的效果？”SOX评估的外部有效性和效用很难衡量，因为公司意识到自己的声誉，倾向于在发生内部控制违规事件后严重少报。受害者很少发现有效的违规行为，显然网络犯罪者自己也没有系统地报告他们的活动。

尽管如此，我们相信SOX指标提供了有关信息系统安全漏洞可能性的信息，因为这是对计算机系统进行有效内部控制的基本目标，我们试图在本研究中对这些信念进行实证验证。我们目前的研究调查了SOX报告中有关安全漏洞的信息内容，以测试五个相关假设。！“：SOX 404认证向管理层自我报告的SOX 302认证添加新信息重要性：SOX 404认证成本高昂且有争议，一些评论家质疑他们是否添加了SOX 302认证中尚未提供的信息。！\\35;：SOX 404认证与SOX 302认证具有相同的系统控制集。重要性：假设！\\35;补充了假设！”并测试SOX 302和SOX 404认证是否与相同的控制和安全问题集相关。！$%SOX 404和302证明包含关于未来发生特定类型安全违规的信息。重要性：这是我们的主要假设，测试将确定SOX提供的关于各种违约类型的信息量。！5!!&%\'结构模型提高了SOX 302和SOX 404安全违规证明的准确性；他们通过假设一个基本的、符合经验的breakgeneration模型来添加信息。重要性：Lucas的评论（Lucas 1976）指出，需要结构模型来充分理解回归分析的结论。

我们构建了两个模型：（1）危险结构模型和（2）占用结构模型，为内部控制提供具体的政策建议。！（%SOX认证中引用的潜在控制缺陷会导致更高的安全违规率，反之亦然（反事实）重要性：我们提供了反事实测试来确定因果关系的方向，并确保SOX认证不会因为安全违规发生而在事后简单地引用控制缺陷。我们的调查收益像跟随。！！部分2.总结！先前的研究那个有调查！SOX！报告！虽然描述！SOX！报告！下列的它的满的实施在里面2005.!!!部分3.评论！这个数据获得！对于这研究部分4.测试！）“！and！）\\*\'section！5！tests！）$*\'section！6！tests！）&；！and！section！7！tests！）（.！！！！第8节！总结了！这些！结果！以及！政策！建议！和！建议！用于！研究！可能！扩展！本文中的！发现！！！！！2。之前对SOX认证信息的研究迄今为止，大多数SOX研究都集中于内部一致性、合规性和应计会计评估，而不是对欺诈和安全违规等外部风险的管理。另一方面会计人员对控制权的评估与其相关的现实后果之间应该有很高的相关性，但各种障碍使得外部有效性很难研究。Priorresearch显示，SOX 302和SOX 404指标在簿记和会计领域内部保持一致。在发现实际运营差异后，发现SOX 404例外情况与财务重述相关，但较弱！6.积极支持符合良好内部控制的SOX 404评估（Rice and Weber 2012，Rice，Weber et al。

2014).几乎自SOX成立以来，就一直在研究SOX文件中与公司报告的其他财务统计数据相关的合规成本和信息内容。（Rice和Weber2012，Rice，Weber et al.2014）对SOX 404报告进行了研究，该报告针对的是原始错报与潜在控制缺陷相关的重述公司样本。他们发现，重述，即由于审计师利益相关者或法律压力而改变上一年的财务报表，提供了大量关于可能导致安全违规的控制缺陷以及管理层对这些缺陷的认识的信息。一般而言，重述公司在错报期间确实承认其现有的控制缺陷，报告现有缺陷的可能性与外部资本需求、公司规模、非审计费用以及大型审计公司的存在呈负相关。重述与财务压力、审计师努力、之前报告的控制缺陷、其他重述以及接收者或管理层变更呈正相关。（Rice and Weber 2012，Rice，Weber et al.2014）未发现任何证据表明，对未报告现有控制缺陷的公司经理或审计师更可能进行处罚；相反，他们得出的结论是，在重述之前已报告的控制缺陷后，集体诉讼管理人员更替和审计人员更替的可能性更大。他们得出的结论是，围绕SOX 404的现有公共和私营执法机制不太可能为合规提供强有力的激励，并可能解释为什么大多数重述是由之前声称拥有有效内部控制的公司发布的。（Bedard、Hoitash等人。

2009年，Bedard和Graham 2011）检查了内部控制缺陷的检测和严重分类，发现外部审计师在第404节审计期间检测到约四分之三的未调解内部控制缺陷。（Ge，Koester et al.2016）研究了261家公司的样本，这些公司在其SOX文件中披露了至少一个内部控制的重大缺陷，发现不良的内部控制通常与会计控制资源承诺不足有关，最常见的特定账户重大缺陷出现在应收账款和存货中。相比之下，SOX 302披露倾向于描述复杂账户中的内部控制问题，如衍生工具和incometax账户。他们发现，披露重大弱点与商业正相关！7.复杂性（例如多个部门和外币），与公司规模（例如市值）负相关，与公司盈利能力（例如资产回报率）负相关。（Lin，Pizzini et al.2011）利用214家公司的数据，调查了公司内部审计职能在披露SOX 404项下报告的重大缺陷方面所起的作用。他们发现，重大弱点披露与内部审计师的教育水平呈负相关，与分级审计业务和外部内部审计师协调的实践呈正相关。（Ashbaugh Skaife，Collins et al.2007）报告称，SOX披露的内部控制缺陷与更复杂的运营、最近的组织变革、更大的会计风险、更多的审计师辞职以及可用于内部控制的资源较少有关。