萨班斯-奥克斯利法案预测安全性的信息含量

代码：0“***”0.001“***”0.01“***”0.05“0.1\'\'1我们分别测试了2005年至2015年年度公司报告（图2中的子集B）的面板数据，以用于手动和自动系统的概念性审计model@FGHOPO“E”fghqprijj在以下回归模型中实现：在概念讨论中，我在本文中始终使用了“响应变量”的R语言格式预测变量“where the tilde means”被建模为的函数。括号和下标进一步定义了模型测试的总体。！16！Stoopovwx\'YZ>\'Y“STUQPRVW>Y#STUQPR[\\>Y$STUQPR]^>>Y和STUQPR\\uqbc>Y（STUQPRefg>YhSTUQPRijkfcja>YlSTUQPRmcnjo“”@p其中：变量描述fghophkin内部控制是有效的指标变量fghqprqkin内部控制是有效的指标变量fghqprr存在重大弱点指标变量fghqpr存在重大缺陷指标变量fghqpr存在重大缺陷指标变量fghqprvnon审计事务所FeesFGHQPR |}~审计公司税务费GHQPRoEURo}zEURX审计公司相关费用GHQPR'z''审计公司其他费用Oldridge对未观察到的个人影响的测试得出自动系统审计的z=2.535（p值=0.01124）；对于手动系统，z=3.7439（p值=0.0001812），两者都支持存在未观察到的效应的假设，表明我们需要使用固定效应回归。Wooldridge对固定效应面板中的序列相关性进行的测试得出…#=0.24677（pvalue=0.6194）和手动系统…#=4.1434（p值=0.0418）都表明面板中存在序列相关性。如果我们考虑对审计进行结构分析，预计会出现未观察到的影响和序列相关性。审计范围受法规限制，因此预计会有本法规未涵盖的未观察到的影响。

一年内安全性较差的公司，在其他年份很可能安全性较差，因此指标和费用都将表现出序列相关性。表4和表5总结了面板回归结果。！17!表4:SOX 404“内部控制在公司自动化系统中有效”决策（取决于）的固定效应面板回归估计值（SOX 302）和管理决策（独立）估计值STD。错误值PR（>| t |）为有效值0.1550.00440.6060.000***材料缺陷-0.8100.004-198.8150.000***SIG\\U缺陷-0.0090.001-7.0470.000***审计费用-1.41E-109.60E-11-1.47150.1412非审计费用2.77E-082.95E-080.93960.3474税费-2.70E-082.95E-08-0.919 640.3595审计相关费用-2.76E-082.95E-08-0.93670.3489L#0.90782F-statistic29507.7手动和自动系统报告中的残差图，估计值表明，公司平均证明内部控制有效性是SOX 302报告有效性的六倍，是SOX 404报告有效性的六倍。所有变量的迹象都在预期的方向上，没有证据表明向公司收取的任何费用影响了审计师的意见——我们验证了SOX审计师的独立性。在手动和自动系统中，该公司自报的“重大缺陷”与约80%的SOX 404阴性对照评估相关，而自报的“重大缺陷”仅出现在约1-2%的SOX 404阴性对照评估中。这表明，管理层自我报告的“重大缺陷”是审计师发现的控制问题的重要指标，而重大缺陷则不是。！18!表5:SOX 404“内部控制在公司手动系统中有效”决策（取决于）的固定效应面板回归估计值（SOX 302）和管理决策（独立）估计值STD。

错误值PR（>| t |）有效0.1750.00440.0800.000***材料缺陷-0.7960.005-173.3020.000***SIG\\U缺陷-0.0160.002-10.2410.000***审计费1.33E-101.26E-101.06080.2888非审计费5.37E-083.86E-081.39110.1642税费-5.28E-083.86E-08-1.36810.1713审计相关费用-5.39E-083.86E-08-1.39730.1623L#0.86641F-statistic22251.6残差图审计师的SOX404之间的相关性一年内的认证强烈（99.99%置信度）依赖于TUQPRVW，STUQPRtuandSTUQPR\\uuuuqpr的情况稍差[\\.自动和手动系统数据子集中解释的差异量分别为l#XZpo和l#XOEpo和l#XOEo这为参数估计提供了可信度。我们的发现有力地支持了这一假设！即SOX 404测试为自我报告的SOX 302证明添加了新信息，并建议SOX 404审计，尽管受到管理层自我报告的影响“重大弱点”还为投资者提供了利益相关者无法获得的信息。通过Wooldridge的测试检测到面板数据中的序列相关性，我们在测试中消除了这种影响，从而充分利用了这一发现！$\'通过公司汇总所有数据。随着时间的推移，审计师和管理层达成的任何同期协议都应在汇总中被冲掉。关于审计师独立性的任何剩余问题！19!SOX 404测试的进行可能已经出现，因为潜在的控制弱点是显而易见的，不一定需要独立的认证来识别。控制缺陷的出现预计是暂时的和时间相关的，也就是说，一旦发现，管理层强烈倾向于对其进行纠正，因此在随后的时间段内不应出现相同的缺陷。

如果我们使用2005年至2015年期间收集的数据对之前的模型进行测试，我们将消除任何暂时性影响，并消除SOX 404认证中的持续偏差和缺乏独立性。为此，我们进行了测试！#%SOX 404证明了与管理层和内部审计师SOX302证明相同的系统控制，以确定审计师和管理层意见的一致性是否是由于在某个时间点存在相同的基础控制弱点。因为我们为面板回归选择了固定效应模型，所以我们选择保留对聚合数据回归的影响，以吸收任何未观察到的效应，使两个回归之间的结果具有可比性。由于回归到平均值，表6和表7以及估计值中显示的结果发生了实质性变化。表6:SOX 404的回归估计“内部控制在公司自动化系统中有效”决策（取决于）SOX 302和管理决策（独立）在2005年至2015年期间的合计估计。

错误值PR（>| t |）（截获）0.3817000.0383109.9640000.000000***有效1.9700000.003912503.6030000.000000***材料\\u缺陷0.8939000.01625055.0110000.000000***SIG\\u缺陷-0.0372100.010710-3.4740000.000521***审计费0.00000 10.000000 3.2520000.001157**非审计费0.0004040.0001412.8690000.004143**税费-0.0004010.000141-2.8480000.004427**审计相关费用-0.0004070.000141-2.8920000.003853**其他费用-0.0004030。000141-2.8660000.004192**L#0.9906F-统计！20!表7:SOX 404“内部控制在公司手动系统中有效”决策（取决于SOX 302）的回归估计，以及2005年至2015年手动和自动系统报告中汇总的管理决策（独立），估计数表明，公司平均证明内部控制有效性为三分之一至一半“SOX 302报告中经常出现SOX 404报告中的情况。总的来说，公司似乎比SOX 404审计师更警惕和怀疑内部控制缺陷。管理层和内部审计师可能有更多关于控制缺陷的信息，因为他们全年都对公司进行审查，而不是SOX404团队的年度活动。差异数量解释如下在自动系统和手动系统中，数据子集都是#^ZZZZZ的，这种改进可能反映了由于聚合而回归到平均值。SOX 302中“重大缺陷”断言的影响似乎与面板回归一致。SOX 302“控制有效”和“材料薄弱”估计值的幅度变化以及符号反转“材料薄弱”估计值导致我们拒绝！$。

“重大缺陷”估计的面板回归结果的正负号表明，管理层在SOX 302报告中自我报告的“重大缺陷”的缺失通常与SOX 404阴性对照评估的发生率显著较高有关。这与之前的研究（Benoit 2006，Bedard，Hoitash et al.2009）相一致，他们发现管理层在评估SOX302自我报告中反映的内部控制有效性时过于自信，其中90%的404节无效的公司控制着估计的标准。错误值PR（>| t |）（截获）0.6114000.06079010.0590000.000000***有效2.9560000.006189477.6400000.000000***材料\\u缺陷1.7630000.02231079.0310000.000000***SIG\\u缺陷-0.0529000.016950-3.1200000.001822**审计费0.0000020.0000013.6410000.000276***非审计费0.0005900.0002352.5130000.012017*税费-0.0005850.000235-2.4950000.012660*审计相关费用-0.0005950.000235-2.5360000.011243*其他费用-0.0005900.000235-2.5150000.011947*L#0.988F-statistic34480.00！21!（IC\\u IS\\u EFFECTIVE=0）在报告不良第404节的同一期间结束时，仍自我报告有效的302个对照组（IS\\u EFFECTIVE=1）。我们证实了Benoit的发现：在我们的数据中，Welch的两个样本t-统计为4p‰ROZZZ“”@“4o6–%P‰oPRI‰”，这可能反映出管理层通常不知道SOX 404外部审计师认为重要的重大弱点，而审计师在进行SOX 404认证期间“教育”管理层有关重大弱点的知识。我们的结论是，不是管理层和审计人员在任何时候都发现相同的潜在内部控制情况；相反，SOX404审核员可能会发现重大缺陷，并“教育”管理层和内部审核团队这些控制缺陷的重要性。5.

预测违约我们到目前为止的测试表明，违约的发生仅受规模的微弱影响，内部控制的强度可能是一个时期内公司发生违约的一个重要因素。我们还得出结论，SOX 404审计师保持其独立性符合公认审计准则（GAAS）。随着对规模和审计师独立性等潜在混杂因素的调查有效完成，我们可以继续检验我们的主要假设！$%\'SOX 404和302认证包含有关未来发生特定类型安全违规的信息。我们分别测试了2005年至2015年公司年度报告（交叉点+，图2中）的面板数据，以对手动和自动系统进行概念性审计model@A286BC8D“E”FGHIJ，K\'在以下回归模型中实现：\'A286BC X\'YZ>\'Y“STUQPRVW>Y#STUQPR[\\>Y$STUQPR]^>>Y&STUOPOVW>>Y（STUQPR\\uABC>Y：STUQPRd\\uu>YhSTUQPRefg>>\'YlSTUQPRijkfcja>Y-STUQPRmcnjo\'@RI！！！24！我们测试了一个面板二项模型（logit和probit）使用一般线性模型方法，但使用标准线性模型面板回归获得更好的拟合。二项模型可能会被首选的原因是为了避免小样本量的估计偏差，但在我们的研究中！“#$%&“$（）*）+，/01数据集足够大，使用probitor logit模型没有任何优势，线性模型面板回归方法将产生无偏估计量。使用Hausman检验、Chamberlain检验固定效应和Wooldridge检验面板模型中未观察效应来检验固定效应线性模型的适当性（Wooldridge 2010、Shang和Wooldridge 2016、Wooldridge 2016）。我们用每种类型的违约相关指标变量计算了Wooldridge的测试统计模型。

所有模型的测试统计表明可能存在未观察到的个体效应，因此我们使用固定效应面板回归。图2:SOX评估在控制自动化系统中安全漏洞类型方面的相对有效性-0.330.27-0.440.32-0.990.160.960.050.54-0.140.58-0.240.990.10-0.76-0.060.11-0.43-0.170.25-0.01-0.38-0.390.02-0.190.100.05-0.050.02-0.060.130.00INSD DISC UNKNK HACK卡PHYS端口统计<---------更好的控制较弱的控制----------SOX 404有效控制SOX 302有效控制SOX 302 Mtl弱点*-1 SOX 302 Sig缺陷*-1！25!Wooldridge对固定效应统计中序列相关性的测试也表明所有模型中都存在显著的序列相关性，这似乎是合理的，因为安全漏洞通常在被检测到之前就发生了，而且在被检测到之后的一段时间内可能会不被纠正。请注意，良好内部控制的评估（SOX 302和404）由指标值“1”表示。对重大弱点和重大缺陷的评估也用指标值“1”表示，但这意味着相反的评估，即控制不充分。

因此，在确定图2和图3中的垂直轴时，后两个估计器乘以234）图3：SOX评估在控制手动系统中的安全漏洞类型方面的相对有效性-0.320.14-0.420.47-1.000.200.880.050.530.050.55-0.440.990.07-0.69-0.060.11-0.48-0.160.32-0.01-0.37-0.420.01-0.190.110.06-0.050.02-0.050.110.00INSD光盘UNKN黑客卡PHYS端口统计数据<---------更好的控制较弱的控制------->SOX 404有效控制SOX 302有效控制SOX 302 Mtl弱点*-1 SOX 302 Sig缺陷*-1！26!图2和图3分别显示了SOX评估在控制自动和手动系统中各种类型的安全漏洞方面的相对有效性。更仔细地观察这些影响，我们可以看到，SOX审计在预测各种类型的安全漏洞方面有着显著的不同效果，但对于手动和自动系统，结果非常相似。对于黑客和恶意软件（HACK）、固定设备（STAT）以及违规原因未知（UNKN）的情况，模型拟合度（）几乎为零，这表明目前公司内外的SOX审计实践几乎没有提供控制这些威胁的有用信息。意外披露（DISC）和物理损失（PHY）的估计量很小，这也表明SOX审计提供的信息很少有助于控制这些类型的违规行为。如果SOX在识别未来安全违规方面提供了重要的预测能力，那么管理层（SOX 302）的评估通常比SOX 404审计提供的信息少。这与我们在之前的测试中发现的不包括违约信息的情况一致，并且与之前的研究一致（Benoit 2006，Bedard，Hoitash et al。

2009）世卫组织发现，管理层对SOX302下自我报告中反映的持续内部控制有效性过于自信。SOX 404在100%的信用卡（card）数据访问和大约33%的内部人（INSD）违规中都发生了关于控制有效性的不利决策。但SOX 404审计在88%的情况下给出了“有效”的控制决策，其中涉及便携式（端口）设备的控制违规。这表明，员工使用便携式设备颠覆了严格的内部控制，这些设备可以携带在公司的物理边界之外，并且可以比公司直接控制的设备更自由地使用。此外，SOXauditors没有发现这些颠覆内部控制的行为。6、结构模型上述小组回归结果为SOXauditing的特质及其在特定类型的安全违规方面的有效性提供了有用的见解。我们的fitstatistics从1%到36%不等，这取决于我们对特定类型违规行为的信息量（更常见的违规行为提供了更多的数据，因此更适合！27！模型）。这些研究数据集是通过带有偏见的自然实验产生的，这些偏见在早些时候就已经消除了，我们没有像实验室研究所期望的那样进行随机分组。为了观察我们是否可以改进这些拟合，我们对我们的研究模型施加了额外的结构，以推断产生数据的潜在过程，并对观测数据产生的潜在偏差进行拓扑控制。（Lucas 1976）认为，一般的加性线性模型，如我们之前章节面板中引用的模型，会导致回归的不稳定性和稳健性。当结构是政策不变的，即结构不变的，即。