萨班斯-奥克斯利法案预测安全性的信息含量

并不是说，只要竞争环境或政策发生变化，它们就一定会发生变化。（Lucas 1976）推动了一项关于如何进行动态数量经济学的实证研究计划，认为现实世界的决策将偏离历史数据中的关系。需要通过分析构建关系和行为的底层动力学来构建策略不变的结构模型。调用企业面临的潜在安全风险的理论模型解决了我们后续分析中的两个问题：1。违反数据是稀疏的所以面板回归！算法！是更多可能的到终止没有一解决方案由于到单数的矩阵！或失败属于这个算法！到会聚A.理论的分发！允许！有效的自举！到决定计算问题。！2、违约！数据是明显地！少报！和一理论的模型允许！发展属于理论上！声音推断！到较好的估计这个真的！危险到公司！属于安全违规行为。！！在本节中，我们开发了聚合面板的结构模型，并使用两种替代的基础发电模型，使用违约率的经验分布。这将我们的合并数据集简化为单个公司“观察”数据集，将违约发生时间分布与SOX评估时间分布联系起来。这两个结构模型分别是风险模型（违约时间/失效）和占用模型（违约分配给公司！28！a）违约风险结构模型。我们通过将完整的违约报告日期（月-日-年）重新组织为违约之间的天数间隔来构建违约风险数据集。数据于2005年1月1日左删，2016年12月31日右删。

对于SOX数据集来说，类似的结构化模型是没有意义的，因为SOX报告以固定的年度间隔出现，因此，我们可以使用完整的SOXdataset和经验的“预期违约时间”参数估计来分析回归模型$789#9&%:);9(<#9\"=<9>?)>@)<97$)<>)?$A<）“\\$%&”*）+，/01。我们还拥有关于违规类型的数据（例如黑客、内部工作等），但这一数据非常稀少，因此在任何分辨率低于一般违规报告的情况下，都很难以这种方式做出更广泛的推断。我们计算了违规之间的时间（以天为单位），并将经过左右审查的数据集与潜在的“下次违规时间”相匹配分配在这种失效分析中，通常考虑三种分布：1。指数型！哪一个假设！那个违规行为！是独立的属于每个其他人！2、伽马射线！提供！一非常全体的分配那个包括！二者都指数型！和高斯分布！分发！像好像另外候选人！和3、高斯！提供！一实用的分配对于添加剂过程！具有非常好发达的！统计的算法。！根据我们最初的假设，即黑客是不可知论者，他们不喜欢破坏一家公司而不是另一家公司，并且假设他们彼此独立行动，他们不会告诉很多人他们的非法破坏行为，我们最初支持一个工作假设，即破坏事件呈指数分布。虽然强烈反对指数分布，但我们对“预计下次违约时间”观察结果的最大似然拟合。

这似乎意味着违规行为不是随机独立的事件，如果我们考虑另一种假设，即黑客可能会使用相同的漏洞同时对多家公司进行成本效益较高的攻击，从而导致许多并非随机独立的成功黑客。相比之下，伽马分布（包括指数分布和正态分布作为子类）提供了很好的拟合，为形状和比例参数提供了很高的值。随着形状和比例的增加，伽马分布收敛到高斯分布，我们的经验！29!fit强烈支持高斯分布的预期违约间隔时间。通过将审查后的违约数据（2005年至2015年）拟合为高斯分布，并计算每个列出的风险和生成SOX报告的年份的均值和方差统计数据，估计违约之间的平均时间（以天为单位）。如果一家公司在审查的时间间隔内没有违规行为，我们使用保守估计的下一次违规时间的高斯分布，bcde）F）GHDEIDJI）ICKLDHLME）F）NOP3）；%Q（）从2005年1月1日到2014年12月31日的时间间隔反映出在这段时间内，abreach的几率不到50%。表10：违规（拦截）危害模型的回归结果302：有效控制302：材料缺陷302：显著缺陷404：自动系统下次违规的有效控制时间（天）预计2047.774-58.689-1.63418.657-175.2640.66%标准错误149.608112.124151.70936.502119.805t-val13.688-0.523-0.0110.511-1.463下次违规的时间（天）系统估计2047.778-59.231-1.60219.364-175.4440.67%标准错误149.608112.126151.7136.512119.805t-val13.688-0.528-0.0110.53-1.464表10总结了$789#9&%:);9(<#9\"=<9>?)>@)<97$)<> )?$A<）“\\$%&”*）+，/01使用假设高斯分布的危险模型进行回归。

不幸的是，关于个别违约类型的数据不足以拟合风险模型，因此我们需要满足于对未区分违约总数的估计。但是对于手动和自动系统都是如此，这强烈支持建模的关系。此外，我们认为，危险结构模型估计提供的信息与我们的经验拟合是互补的，是使用FitDistPlus软件包中的fitdistcens算法完成的，该算法使用Nelder-Mead方法计算分布参数的最大似然估计。！30!其他测试，因为它根据管理层或审计人员的SOX证明，估计了违规之间的预期时间变化，并且无论是针对手动系统还是自动系统，结果都是一致的。表11：基于危害模型的违约频率变化违约间隔天数变化%ChangeConclusion当SOX302和SOX404指标=0100.00%基线SOX302：有效控制=1+59+2.88%控制有效时，违约频率降低SOX302：材料缺陷=1+1.6+0.08%无效SOX302：严重缺陷=1-19-0.93%稍高严重缺陷违规SOX404：有效控制=1+175+8.54%，控制有效时违规频率降低。表11提供了政策建议，如果管理层知道abreach的预期成本，具体值可能与SOX404和SOX302认证的成本相匹配。例如，如果我们假设所讨论的违规行为是家得宝或目标规模的违规行为，比如说每2048天（5.6年）发生约1亿美元，那么增加175天就意味着通过进行SOX404审计平均每年节省850万美元。

危险结构模型具有很强的启发性，但在进一步探索该模型之前，还需要特定类型河段的额外数据。b） 断裂的占用结构模型$789#9&% :)#%?T 2@\\$U=$&Q） ；9(<#9\"=<9>?)>@)\"#$% &\'$()*)+,./使用玻色-爱因斯坦占有率模型外推到全套firmsv。在过去十年中，爱因斯坦统计在经济学、心理学和金融领域的应用大幅增长，例如，在（Kürten and Kusmartsev 2011，Xu 2015）（Pascual Leone 1970，Bouchaud and Mézard 2000，Weiss and Weiss 2003，Mezard and Montanari 2009）和（Amati and VanRijsbergen 2002）。他们已经被证明可以提供准确的经济网络模型，比如！31!这里调查的是财务报告和互联网黑客网络。它们可以有效地对竞争性非平衡系统进行建模，并可以预测竞争系统中观察到的先动优势、马修效应和赢家通吃现象，这些现象是潜在进化网络的各个阶段（Bianconi和Barabási，2001）。本节中的玻色-爱因斯坦模型构建如下。让纽约证券交易所和纳斯达克交易所的上市公司在其系统中存在XY安全漏洞，并且Zywealth（美元）可以在一段时间内从该公司系统的漏洞中提取。这可以定义为“占用”一个在物理学中被广泛研究的形式问题，其中定义了三个主要系统：费米-狄拉克-麦克斯韦-玻尔兹曼和玻色-爱因斯坦占有率。费米-狄拉克占有率意味着一家公司的系统不能在一定的时间间隔内被黑客入侵或破坏两次（即闪电不会击中两次），这显然是不现实的。麦克斯韦-玻尔兹曼占有率是吉布斯悖论核心的理论概念，在当前的研究背景下没有意义。

相比之下，BoseEinstein占用在许多现实世界现象中都存在，这是我们在分析公司安全漏洞时所做的一个基本假设。Bose-Einstein的占有率意味着那些犯下安全漏洞的人是不可知论者——他们不在乎自己入侵了哪家公司；相反，他们被任何获取、破坏或其他黑客目标的机会所吸引。LetZYbe largeXYrandom，并做出收敛到极限分布的非常弱的假设]^ ^ ^ ^ ` a！A、 *bAc）%（）A\'d）e f d.（Hill 1974）建立在（Simon1955、Mandelbrot 1960、Mandelbrot 1965）和（Hill 1970）早期工作的基础上，表明如果安全漏洞数量的秩频分布！h、 对于#[\\公司的系统，遵循BoseEinstein的ZyWealth（美元）分配，ZyWealth（美元）是通过xyHacking attemptheng！h.i#j！klm.for3no Fkc从公司提取的。这称为Zipf分布，具有质量函数（和频率）@荷兰皇家航空！#。F#j！荷兰皇家航空公司。p！#。qwherep！#.）是Reimann的zeta ando rsdtuv。在ourdatasetW F NNwx）中，纽约证券交易所+纳斯达克上市公司和388家违反数据的公司中，XYzYFR3N）发生在184家纽约证券交易所+纳斯达克上市公司中（2005年至2015年期间为0亿美元）。！32！表12:frequencies@klm!#.我#j！荷兰皇家航空公司。CARDDISCHACKINSDPHYSPORTSTATUNKN{（<97%<$）>@）o2.00083.96564.41533.55132.44044.39131.93812.17755$（（9>？）{（<97%<>#-1.0008-2.9656-3.4153-2.5513-1.4404-3.3913-0.9381-1.1775+<；4{>#0.06640.10840.12710.09900.07780.12550.06450.0713<2}%：=$-15.0800-27.3500-26.8600-25.7640-18.5200-27.0200-14.5500-16.504038600 7.06%65.96%65.15%63.23%47.06%65.41%35.43%41.37%a 2（<%<{）！；%Q（）“$<~$？）”#$%&\'. #9|\'< 2 <%9:)>?:Q132034773228969191182524341336612697表12显示了将我们的违约数据集与入住率模型拟合的结果。所有的回归都是显著的。0001显著性水平，尽管我们的数据有三个限制：1。

工业！来源！建议那个安全违规行为！是非常少报！通过因素！正在更改！从…起3.到30!（Menn！2012，！Symantic！2016）。！！！！2、违约！计数！是整数和因此这个估计！不断的曲线是一近似值。！3、全部！但是184!(4.6%)!属于这个3398!上市的公司！报道！零违规行为！在里面这个研究时期这些清晰地代表这个范围哪里g！h、 o3！自从违反计数！是整数。！我们排名频率排序的右尾没有报告违规，这并不意味着这些公司不会面临安全违规的威胁。相反，右尾的违约概率反映了所有公司都面临着普遍的低水平背景威胁（因为没有达到要求的公司无法排名），这些应与软件测试中所谓的5000年错误（Adams 1980）类似对待。从我们的角度来看，处于右尾的公司没有银行评级，而且完全相同，因此面临着一个统一的背景违约概率，该概率非常低，但不是零。经验系数在文献中有各种解释，这取决于您使用的模型；例如（Mandelbrot 1960，Mandelbrot 1965）认为，这些代表了系统熵的一部分，可以使用分形建模。进一步修饰这样的叙述超出了本研究的范围，我们只需假设o）的值描述了行业范围内安全性的某个工件或度量。！33!子午阶频率分布为厚尾分布；对于较大的r，其概率密度函数是成比例的，且累积尾部分布不收敛。

在我们的例子中，尾部是右界的#F nnwx4，右尾部单个公司的违约概率是y#j！吉隆坡h…k+y#j！吉隆坡fh···································！^‰S.<<OEZ^o）k“”（欧元小时“）o）”（46+–EUR“\'“EURhSyh！^‰媫OEooZ^o-单个违约类型的平均失效时间为6至36年，所有类型的违约时间加起来都超过5个月。这比危险结构模型预计的5.6年更频繁，但通过更广泛的数据收集，可以获得更可靠的估计，我们认为这一估计是现实的。”职业系统结构模型的tic。这种在软件领域发生的故障被虚构地称为5000个错误，并在中进行了研究（Boehm、Clark等人，1995年，Westland 2000年，Westland 2002年，Westland 2004年）。！36!在任何给定时间发生违约的可能性都很小，由于公司数量足够多，可以预计每年在所有公司中都会出现许多失败，因此整个行业的违约风险是巨大的。如果您同意仅报告330%的违规行为的估计，则情况会更糟，因此在我们的数据集中。这个\"##$%&#\' ()*$*+）*+，）在所有回归中仅为弱显著或不显著。对于95.4%没有公开报告违规行为的上市公司，占用结构模型并没有提供人们所希望的新信息。占用结构模型可用于未来全套上市公司和SOX认证公司的违约概率估计，但我们需要大量关于发生违约的信息，才能成功使用此类模型进行推断。因果方向（反事实）上一节测试了SOX 302和404证明中的管理和审计例外是否会影响安全违规的概率。

支持-。和拒绝#-“和-/#证明来自SOX审计的负面公开意见和较低的审计费用与安全违规事件的增加相关。我们的工作假设是，审计意见的广泛性为公司内部控制系统的变化提供了详细的指导，这将降低其未来发生安全违规的可能性。为了验证这一原因，我们hain：$&012）1#3&+*#45+%+4%#6+75240171%*）#+%\\35; 89#6：4；12#2+)<#4=#>21$,?为了验证这一点，我们构建了待测试的反事实假设（被推翻）：@：在发生证券违约后的几年内，将出现更高的累积异常SOX指标，这表明证券违约促使审计师和管理层对公司的内部控制持反对意见。为了确定“发生”因果关系，我们测试了反事实#ABCDE>21美元#4、321%、1Fi。e、 使用WelchTwo样本t检验（表3），安全漏洞的发生是否会影响SOX 302和404指标。为了建立“时间”因果关系，我们测试了反事实CDE>21美元#&$*1关于以下最大注册公司的213起违规事件！37!（MacKinlay 1997）事件研究分析流程。纽约证券交易所和纳斯达克公司共记录了213起违规“事件”（G>HIJK#LK#M#>HIJNKO#LNKOPat timesA）。M） “/对于股票代码集为G*+、QKM*+、QNKOPRA*+、.M*+、SF的公司，对于每个违约事件>HIJTU#LUwe定义的任何特定SOX 302或404指标（即数据集中的一列）的时段G和VWXYLU#和Vzlylup，我们将有任何SOX指标###[\\IH]^i#H#的市场预期（平均）值和公司+时间*的异常回报。”还有metrica！i\\u HRbcdeUfg#H^i\\u HRbcdeUfg#(##[\\IH]^I\\u H`与9A！I\\u bcdeUfghia！I\\u H\\HRbcdeUfg。

2007年至2014年期间发生的安全违规事件werechosen，允许双方在两年内包含我们研究数据集中的完整数据系列。评估事件的影响需要衡量异常回报。异常回报是指资产在事件窗口上的实际事后回报减去资产在事件窗口上的正常回报。我们使用了一个常数平均回报模型，正常回报被定义为以事件为条件的预期回报。对于公司+和事件日期*而言，异常回报率为isa！哎哟！IH（[]！IHEDH`]j `其中！IH！IH和[]！IHEDH`分别是时间段*的异常实际回报和正常回报。dh是正常回报模型中的条件信息，回报是从数据集值计算出来的（此处指定为与事件研究符号一致）。！在目前的研究中，我们的数据是分类的，我们可以在没有信息丢失的情况下设置！IHo kIHsince所有的kihramnf。此类数据的异常回报模拟值是！IHh kIH（[\\IH]kIH`]p`累计异常回报率为：9a！IVXWIZbhqa！IH\\HRVXWIZb]r`其中512+4是活动前或活动后的2年窗口。！38!图4：异常回报计算的概念示意图由于本研究涉及年度时间序列，基于股价的事件研究中通常使用的120天周期太短。相反，我们将假定活动前后的窗口为两年宽；我们将假设事件本身周围没有条件窗口（股票价格事件研究可能就是这种情况）。