萨班斯-奥克斯利法案预测安全性的信息含量

他们还发现，有SOX披露的内部控制缺陷的公司有更多的SEC执法行动和财务重述，更有可能使用单一主导的审计公司，并拥有更集中的机构所有权。（Feng，Li et al.2009）发现，内部控制缺陷与指导不准确相关。特别是，由于这两个账户在预测收益中的重要性，当与销售收入或成本相关的疲软时，发现无效的内部控制对预测准确性的影响要大三倍。（Ashbaugh Skaife，Collins et al.2008）发现，与未报告内部控制问题的公司相比，报告内部控制缺陷的公司的应计质量较低，这通过应计噪音和绝对异常应计来衡量。此外，审计师确认对之前报告的内部控制缺陷进行补救的公司，其应计质量比未纠正其控制问题的公司有所提高。他们发现，重大弱点与噪音与权责发生制“噪音”（更高的误差项方差）以及导致收益上扬的故意错报相关。违约和SOX数据项SOX报告始于2004年，但直到2005年，所有上市公司才报告其SOX评估。本研究收集了SOX年度报告以及2005-2015年10年期间公开报告的安全漏洞。在我们的研究中，我们考虑了两组重叠的公司：（1）报告SOX评估的上市公司和（2）在研究期间报告安全违规的上市公司。图2描述了：（A）！8.所有美国公司，（B）公开交易的美国公司，以及（C）已报告安全违规的公共和私人美国公司。

我们忽略了主要适用于小型私营公司的仅管理层的SOX评估，并将我们的研究重点放在了更完整的上市公司数据集上，其中包括对控制措施的外部审计评估（+见图2）。图1：本研究中获得数据的四个公司子集我们定义了另外两个子集+，（经历违约的上市公司）和+。（未经历违约的上市公司）进行单独的定制分析，以控制选择偏差。要构建数据子集+，和+。有必要在a/0123 4’56789索引中加入有关SOX和违规报告的信息。由于SOX报告是由管理层和审计师定期提交的，以管理合同流程而非内部控制流程为条件，因此这两个子类之间的数据无法直接进行比较。相比之下，违规数据集提供了内部控制流程崩溃的报告，而且不完整，因为公司和犯罪分子不喜欢报告违规行为；行业估计表明，3%至30%的违规行为是公开报告的（Menn 2012）。无论内部控制是否发生任何变化，SOX每年都将生成报告；但违规行为显然需要某种控制失误。

表1总结了分析中使用的SOX 302和404报告中提取的数据项。！9!!10!表1：分析中使用的SOX 302和404指标SOX 302指标：是否有效（302）关于内部控制是否在公司有效的自我报告管理断言。0=否1=yesMATERIAL\\u弱点（302）关于公司内部控制系统是否存在重大弱点的自我报告管理断言。0=控制措施有效1=公司控制措施中存在重大缺陷SIG\\U缺陷（302）自我报告管理层关于公司内部控制系统是否存在重大缺陷的断言0=控制措施有效1=公司控制措施中存在缺陷SOX 404指标：IC\\U OP\\U类型手动系统或自动计算机系统0=手动1=AutomatedAUDITOR\\u同意（404）审计师对管理层SOX 404断言的“证明”0=不同意1=同意对公司内部控制有效性的组合意见0=控制通常有效1=存在重大控制缺陷IC\\u有效（404）管理层断言内部控制有效（内部控制有效）0=no 1=yesAUDIT\\U FEECost of SOX 404 audit（数字；货币）这项研究收集了170647份年度SOX 302和SOX 404 SEC 10-K 10-KSB 10-Q 10-QSB20-F和40-F文件，这些文件是在纽约证券交易所或纳斯达克上市的美国公司（公司从2005年4月15日开始报告此数据，但早在2002年就出现了高级文件）。在这些报告中，我们仅选择了年度报告，因为这些报告包含经审计的SOX信息（第404节）以及一组可比较的管理层报告的SOX信息（第302节）。

我们还获得了美国隐私权信息交换所/Verizon汇编的388份自2005年以来主要报告的美国公司安全漏洞，其中213份适用于184家纽约证券交易所和纳斯达克公司。！11!表2：analysisSOX报告中使用的违规数据SOX报告：计数o纳斯达克公司o纽交所公司o自动系统上的SOX报告o手动系统上的SOX报告NASDAQ&纽交所的Tol SOX报告（数据集B）违规数据：o支付卡欺诈（卡）-涉及借记卡和信用卡的欺诈，未通过黑客完成。例如，服务点终端上的浏览设备o非故意泄露（DISC）-网站上公开发布的敏感信息处理不当或通过电子邮件、传真或邮件发送给错误的一方。o黑客或恶意软件（HACK）-外部恶意软件和间谍软件的电子进入。o内幕人士（INSD）-有合法访问权的人故意破坏信息-例如员工或承包商。o物理丢失（PHYS）-丢失、丢弃或被盗的非电子记录，如纸质文件o便携式设备（端口）-丢失、丢弃或被盗的笔记本电脑PDA智能手机便携式存储设备CD硬盘驱动器数据磁带等。o固定设备（STAT）-丢失、丢弃或被盗的固定电子设备，如非移动设计的计算机或服务器。o未知（UNKN）o2005年至2016年报告的违规总数（数据集C）适用于纽约证交所和纳斯达克上市公司的违规总数（数据集+，-）纽约证交所和纳斯达克（NASDAQIndustry）上市的唯一违规公司数据集来源表明，安全违规被3到30个因素严重低估（Menn 2012，Symantic 2016）。网络犯罪是一种低风险、高回报的职业（Lewis和Baker，2013年），据估计，全球经济每年损失375亿至5750亿美元。

大多数违规行为并没有被报告，因为它们可能向客户和投资者发出缺乏内部控制的信号。银行和保险公司等金融机构尤其如此，它们可以避免公众对面向客户的零售和互联网公司的审查。此外，最好的黑客往往是国家资助的安全专业人员，他们使用的方法是当前技术无法检测到的，并且可能破坏内部控制和危害资产！12!从未被发现。违规、欺诈、计算机系统受损以及对SOX合规性的担忧，促使计算机和信息系统的升级和更换花费了数十亿美元。SOX统计数据显示，审计师认证的不良率从2004年的16.9%迅速下降到2005年的10.3%，到2009年已稳定在2%左右，这表明其他（1）管理层和内部员工越来越善于说服外部审计师，他们的系统是安全的，并受到防欺诈和外部威胁的保护；或（2）SOX实施后，内部控制立即有了显著改善，至少在SOX审计中包括的领域。

还有其他“仅限管理层”的评估主要适用于小型私营公司；尽管这些公司的趋势大致与大型公司的趋势一致，但负面意见的发布率通常比上市公司高出30%左右（Cheffers 2012），负面意见的百分比与上市公司的比例同步下降。此外，每一家“四大”审计事务所（审计几乎所有在美国交易所上市的事务所）在提供不利证明方面都表现出独特的偏见：安永会计师事务所专注于应收账款、收入确认、税收和固定资产；普华永道专注于应收账款、收入确认、税收和应付款项；毕马威专注于会计收入、收入确认、税收和库存；德勤专注于收入认知、税收、负债、库存和高管薪酬（Cheffers 2012）。这些偏差可能反映出签名审计方法、内部表格和检查表以及个别公司特有的审计历史。因此，这些公司将把审计预算的较大部分分配给某些账户，而其他账户将承担费用。此外，审计师倾向于分配更多的时间来审计借方余额账户，假设复式记账将确保贷方账户的准确性；但选择审计的账户取决于公司的政策、程序和管理合伙人。信息系统安全漏洞在审计师关于是否发现特定“重大弱点”的断言中得到了解决。

随着旧的弱点得到解决，新的弱点浮出水面，这些问题每年都有所不同，但在SOX的负面意见中，有八个财务报告领域被认为受到严格控制：（1）应收账款/贷款（2）投资或！13!现金（3） 证券（债务类债务权证和股票）；收入确认；（4） 税费/福利/延期（FAS109）；（5） 应付负债准备金和应计估计数；（6） 实体（外国关联方附属子公司）；（7） PPE无形资产固定资产；库存供应商销售成本。只有（1）、（2）和（8）是会在报告的安全违规中显示的控制区域。此外，SOX 404认证中通常出现八个操作领域：（1）对之前SOX 404意见的回应；（2） 对材料缺陷的响应；（3） 人事问题；（4） 职责分离；（5） 财务重述；（6） 材料年终调整；（7） 内部审计发现；（8）IT系统。虽然（Rice and Weber 2012，Rice，Weber et al.2014）发现（5），财务重述是内部控制薄弱环节的重要指标，这将导致不利的SOX 302和404评估以及潜在的安全薄弱环节，但只有（3）、（4）和（8）往往是报告的安全违规中会出现的操作领域。本分析中观察的基本“单位”是SOX报告的发布，违规行为被解释为这些SOX报告中信息的事后证据。在我们对：反事实的测试中，将探讨事后均值相关性还是因果关系。

违约信息均经过审查（仅在2005年至2015年期间收集），且未完成，因为只有3%至30%的违约信息在该数据集上公开报告（Menn 2012）。这是推断中的一个重要问题，因为它表明观察到的（报告的）违规行为是人群的一个集合。在随机样本中，3-30%足以进行推断；实地研究通常呼吁“方便样本”的概念我们判断，在违规事件的发生和报告中可能会发现一些系统性偏差，面向消费者的行业更容易报告（因为很难向客户隐瞒违规），后台金融行业由于其安全和效率声誉受到影响而不太可能报告。我们在本文后面介绍的结构模型中解决了这些潜在偏差，但最初构建了违约SOX面板数据，以便结合可用数据进行回归。为了合并这两个数据集，我们将它们组织成索引的观测值；0123\'158<710182=>;=.  这两个数据集中的公司集合和日期都不对应。上市公司每年都会有SOX报告日期，只需按年对其进行索引即可。尽管违约报告出现在新闻稿或新闻文章中，其日期每天都有决议，可以包括上市公司和非上市公司。我们扩大了突破口！14!由于我们的数据集只包含一个报告日期，而且违约事件本身往往有一个期限，通常不超过一年。有了这些概括，就有可能将违规和SOX数据编入索引；0123\'158<710182=>;?862=.该数据集报告了3398家上市公司中的213家在2005年至2015年期间报告SOX评估的违规情况。

图2（经历违约的上市公司）将分析限制在子集+，通过放弃我们没有SOX 404报告和小组概念模型的违约公司，解决了公司的问题regression@A286BC8D“E”FGHIJ，Kwherea286bc8d提供PrivacyClearinghouse/Verizon数据集的安全漏洞分类和其他指标，fghre提供AuditAnalytics数据集的SOX 302和404报告评估。数据集被分为手动和自动系统，每个系统接收单独的SOX报告。SOX信息含量测试审计证明的SOX不利百分比从最初的16.9%迅速下降到目前的2%左右，表明SOX 404审计程序，估计每年成本约为200万美元，未添加有关系统安全性的重要信息，而非公司内部审计师管理层在其自我报告的SOX 302证明中提供的信息。为了调查，我们进行了测试！“：SOX 404认证将新信息添加到管理层自我报告的SOX 302认证中。这将测试批评的准确性，即SOX404认证成本高昂，而不提供SOX 302认证中尚未提供的新信息。我们得出结论，对于调查的研究问题，因公司规模而产生的任何混淆的SOX认证影响都是无关紧要的在这里这并不意外，因为无论是（Ge，Koester等人，2016年）还是（Ashbaugh Skaife，Collins等人，2007年）都没有发现SOX 404披露中的规模效应，尽管他们确实发现公司复杂性确实导致了第404节下的不利测试数量。

为了评估规模效应混淆我们在SOX安全违规证明中的主要测试信息的可能性，对公司规模的四个衡量指标——销售额、净收入、市值和员工数量——进行了回归分析。！15!表3总结了结果：这四个数字约为1-5%，我们发现的唯一重要关系是员工越多的公司“内部人”违规（INSD）越多，这似乎是更大规模、更劳动密集型运营的逻辑结果。其他财务指标仅与所有类型的安全漏洞密切相关。范围内发生的微小差异取决于结构参数和拟合统计数据7 4 D76 71D71BDML#\'s和4 D7671D71BD7表明，公司规模对证券违约发生率的影响很小。表3：违约类型发生与公司规模和运营指标资本化销售收入员工人数的OLS回归SY(R)EstimatetSigEstimatetSigEstimatetSigEstimatetSigx’4.655***6.244***2664.763.279***74.1646.029***CARD0.5911.167396.350.34820.7961.214DISC-10479-1.2282.194*-72.33-0.07926.0281.891。HACK-14291-1.697-11826-2.205*-1432.22-1.557-11.49-0.83INSD-6047-0.6982.377*-661.13-0.68864.5564.474***PHYS-6043-0.5760.714-913.76-0.769-6.953-0.39PORT1.5822.475*162.260.185*32.5342.459*STAT-22686-2.298*1.045-2604.27-2.23-8.22-0.473Unknanananananana Nananal#0.054290.044790.011040.04741F10.4310.742.55611.28Signif。