萨班斯-奥克斯利法案预测安全性的信息含量

安全漏洞事件选自2007年至2014年期间，允许双方在两年内包含ourresearch数据集的完整数据系列。表15：发生反事实：Welch两样本t检验比较关键SOX指标估计期内有无违约的公司Welch t-statWelch-Satterthwaite DFp-value95%置信度IntervalIS\\u EFFECTIVE-0.602336.5400.548-0.0260.014MATERIAL\\u weakness 1.056336.7200.292-0.0090.029SIG\\u defective-1.285336.0600.200-0.0530.011AUDITOR\\u agreements-0.08989.3720.929-0.0990.090 Combined\\u IC\\u OP-0.227122.4900.821-0.0690.055IC\\u IS\\u EFFECTIVE0.308366.4500.758-0.0180.024AUDIT\\U FEES-6.400122.0600.000-13851669-7306656表16：时间反事实：韦尔奇两个样本的CAR前后t检验关键SOX指标违约事件Welch t-statWelch-Satterthwaite DFp-Value 95%置信度IntervalIS\\u EFFECTIVE-0.720230.6830.212-0.0110.004MATERIAL\\u weakness 1.09571.6410.298-0.0030.029SIG\\u defective-0.101652.1460.328-0.1030.021 auditor\\u agreement-0.007113.9271.247-0.1740.079 combined\\u IC\\u OP-0.129190.5680.110-0.0180.078IC\\u IS\\u EFFECTIVE0.329394.5941.142-0.0190.038ic\\u AUDIT\\U FEES-12.445187.3580.000-13692930.748-66609.057表15和表16提供了Welch双样本t检验的结果，这是比较两个独立组的平均值最合适的测试，从方差未知且样本方差不均匀的两个群体中提取。不幸的是，所有的公司！39!审计师的SOX证明p值相当高，我们无法区分这两组的平均值。除了与审计费用有关的情况外，因果关系的方向在所有情况下都是模棱两可的。图5显示了随时间推移向客户收取的审计和非审计费用平均值的一致性。

从2003年到2007年左右，由于SOX合规工作，审计费用（黑色）大幅上升，但在2008年经济衰退后回落并下降。这就产生了一种情况，即审计费用在违约前和违约后的累积平均回报是不同的。图5：数据集中各公司审计费用（黑色）与其他费用（灰色）的趋势t9！结论和讨论公司在SOX合规方面的投资在识别和消除违规威胁方面有多有效？为此，我们在本文中调查了公司系统的违规行为，以确定SOX评估是否与公司的安全漏洞和安全违规历史相关。SOX专注于公司的内部控制及其遭受外部行为者系统入侵的可能性，这可能会导致重大损失和误报。！40!我们调查了-。《SOX 302报告》中公布的管理层认证中，外部审计师的成本高昂且有争议的SOX 404认证工作是否提供了未提供的信息。我们发现，公司平均证明SOX 302报告中的内部控制有效性是SOX 404报告的六倍，而手动和自动系统的报告都是如此。没有证据表明向该公司收取的任何费用影响了审计师的意见——我们验证了SOX审计师的独立性。在手动和自动系统中，公司自我报告的“重大缺陷”与大约80%的SOX 404阴性对照评估相关，而自我报告的“重大缺陷”仅出现在大约1-2%的SOX 404阴性对照评估中。这表明，管理层自我报告的“重大缺陷”是审计师发现的控制问题的重要指标，而重大缺陷则不是。

我们的发现有力地支持了这一假设。SOX 404测试为自我报告的SOX 302认证添加了新信息，并表明SOX 404审计虽然受到管理层自我报告的“重大弱点”的影响，但也为投资者提供了利益相关者无法获得的信息。假设-“测试了外部审计师在其SOX 404程序中是否调查了相同的系统控制缺陷，并发现了与管理层和内部审计师在其SOX 302程序中相同类型的问题。补充假设-。我们不仅想知道外部审计师是否提供了额外信息，还想知道他们是否正在搜索相同的控制集管理层SOX 302认证的rol弱点。在手动和自动系统的报告中，估计数表明，公司平均证明，内部控制有效性是SOX 302报告的三分之一到一半，是inSOX 404报告的三分之一到一半。总体而言，与SOX 404审计师相比，公司似乎对内部控制缺陷更加警惕和怀疑。管理层和内部审计师可能有更多关于控制缺陷的信息，因为他们全年都在审计公司，而不是SOX404团队的年度审计。SOX 302“控制有效”和“重大弱点”估计值的幅度变化以及“重大弱点”估计值中的符号反转使我们拒绝-”。从“重大弱点”估计值的面板回归结果中的符号反转表明，不存在“重大弱点”一般而言，管理层在第302号报告中自我报告的SOX 404阴性对照评估的发生率显著较高。这与之前的研究结果一致（Benoit 2006，Bedard，！41！Hoitash et al。

2009年）管理层对评估SOX302下自我报告中反映的内部控制有效性过于自信，其中90%的404节控制无效的公司在报告不利404节的同一时期结束时仍然自我报告有效302控制。我们拒绝了“并发现管理层和审计师在任何时候都不能就基本的内部控制情况达成一致；相反，SOX 404团队可能会发现重大弱点并“教育”管理层和内部审计团队了解这些控制缺陷的重要性。到目前为止，我们的测试表明，违规行为的发生仅受规模的微弱影响，内部控制的强度可能是公司在一段时间内发生abreach的一个重要因素。我们还得出结论，SOX 404审计师保持其独立性符合公认审计准则（GAAS）。随着对规模和审计师独立性等潜在混杂因素的调查有效完成，我们可以继续测试我们的主要假设。我们发现，与管理层（SOX 302）的评估相比，SOX 404 Audits在识别未来安全漏洞方面提供了更大的预测能力，这与之前的研究结果一致（Benoit2006，Bedard，Hoitash et al.2009，Rice and Weber 2012，Rice，Weber et al.2014）。SOXattestations在识别可能导致意外披露（DISC）、物理损失（Phy）、黑客和恶意软件（HACK）、固定设备（STAT）以及违规原因未知的情况（UNKN）的控制弱点方面表现不佳，这表明目前公司内外的SOX审计实践在控制这些威胁方面提供的有用信息很少。

SOX 404在100%的信用卡（card）数据泄露和大约33%的内部人员（INSD）泄露中，都发生了关于控制有效性的不利决策。但SOX 404审计对88%的便携式（端口）设备违反控制的情况给出了“有效”的控制决策，表明员工使用可在公司物理边界外携带的便携式设备颠覆了特别严格的内部控制，而且可以比公司直接控制的设备更自由地使用。此外，SOX的审计人员没有发现这些对内部控制的颠覆。假设——检验了卢卡斯批判（Lucas 1976）中推荐的结构模型是否可以通过假设一个潜在的生成模型来扩展我们从相对有限的违约数据得出的推论。我们构建了两个模型：（1）危险结构模型和（2）占用！42!结构模型。危险模型提供了具体的管理政策建议，尤其是在管理层知道违约的预期成本的情况下。我们发现，当SOX 302控制措施有效时，违规行为预计减少2.88%；经营“重大缺陷”证明在此结构模型中未提供任何信息，而当存在重大缺陷时，违约发生率将增加约1%。最后，SOX 404证明是最具信息量的证明，预计负面SOX 404证明将使违约频率增加约8.5%。危险结构模型具有很强的提示性，但是，在进一步研究该模型之前，还需要特定类型违约级别的额外数据。不幸的是，占用率模型没有那么成功，尽管它有一个更雄心勃勃的目标，即提供所有上市公司的预测。

占用率模型的平均失效时间与危害模型的平均失效时间一致，我们认为，通过更广泛的数据收集，可以获得更稳健的估计。我们认为我们的估计是现实的，但我们目前的入住率结构模型数据集支持不足。我们相信，有了更多关于破坏的信息，这些模型有望在未来成功地进行结构建模。最后，我们的因果关系假设（反事实）产生了模棱两可的结果，我们无法确定因果关系的方向。我们发现的唯一影响是审计费用，由于SOX合规工作，审计费用从2003年大幅上升至2007年左右，但在2008年经济衰退后有所下降；这些影响是由我们研究的外部因素驱动的。这造成了这样一种情况，即审计费用在违约前后的累积平均回报率不同，但没有明确指出因果关系。这项研究深入了解了SOX 404和302认证在管理企业面临的日益复杂的内部控制环境方面的价值。SOX 404程序成本高昂且有争议，但我们提供的证据表明，即使在有限的安全违规领域（仅为SOX认证工作的一小部分），外部和内部SOX审计也提供了公司和监管组织无法获得的重要信息。正如所有实证安全研究一样，网络犯罪是一种低风险高回报的职业，这一事实阻碍了我们的研究。行业估计表明，在我们的研究数据集（Menn 2012）中，只有3%至30%的违规行为是公开报告的，公司通常不会报告违规行为，因为它们可能向客户和投资者表明缺乏内部控制。

最好的黑客可能是国家！43!赞助的安全专业人员，使用当前技术无法检测到的方法，可以破坏内部控制并危及资产而不被检测到。银行和保险公司等金融机构尤其如此，它们可以避免公众对面向客户的零售和互联网公司的审查。通过巧妙地利用现有违约数据构建结构模型，并进行更有力的测试，我们相信可以克服控制违约实证研究中的这些局限性。参考Adams，E.（1980）。最小化软件缺陷的成本影响，IBM Thomas J.Watson ResearchDivision。AICPA（2002年）。AU第316节，财务报表审计中的欺诈考虑，来源：SAS第99号；SAS编号113。Amati，G.和C.J.Van Rijsbergen（2002年）。“基于测量随机性差异的信息检索概率模型。”ACM信息系统交易（TOIS）20（4）：357-389。Ashbaugh Skaife，H.等人（2008年）。“SOX内部控制缺陷及其对应计质量的影响。”会计审查83（1）：217-250。Ashbaugh Skaife，H.等人（2007年）。“内部控制缺陷的发现和报告，尤其是SOX授权的审计。”会计与经济杂志44（1）：166-192。贝达德、J.C.和L.格雷厄姆（2011）。“萨班斯-奥克斯利法案第404节内部控制缺陷的检测和严重性分类。”会计审查86（3）：825-855。Bedard，J.C.等人（2009年）。“美国关于审计师参与评估财务报告内部控制效果的证据。”《国际审计杂志》13（2）：105125。Benoit，L.a.（2006年）。

“缩小萨班斯-奥克斯利法案披露控制差距。”fromhttp://www.section404.org/UserFiles/File/Lord_Benoit_Report_1_Bridging_the_Disclosure_Control_Gap.pdf.Bianconi，G.和A.-L.Barabási（2001年）。“复杂网络中的玻色-爱因斯坦凝聚。”物理复习信函86（24）：5632。Boehm，B.等人（1995年）。“未来软件生命周期过程的成本模型：COCOMO 2.0。”软件工程年鉴1（1）：57-94。Bouchaud，J.-P.和M.Mézard（2000年）。“简单经济模型中的财富凝聚。”物理学A：统计力学及其应用282（3）：536-545。Bratton，W.W.（2003）。“安然、萨班斯-奥克斯利法案和会计：规则vs原则vs！44！租金。”维拉诺瓦法律评论48（4）：1023。Cheffers，M.、D Whalen，M Thrun（2012年）。SOX 404仪表板：第6年更新。Worcester MA，审计分析。Coates，J.C.（2007）。“萨班斯-奥克斯利法案的目标和承诺。”《经济展望杂志》21（1）：91-116。德鲁，K.a.D.a.（2012年7月30日）。“分析：十年过去了，萨班斯-奥克斯利法案有效吗？”路透社。2016年8月1日检索自http://www.reuters.com/article/us-financialsarbox-idUSBRE86Q1BY20120730.Engel，E.，等人（2007年）。“萨班斯-奥克斯利法案和公司的私有化决策。”《会计和经济学杂志》44（1）：116-145。FEI（2007）。“FEI调查：2007年SOX合规平均成本为170万美元。”2016年8月10日检索自http://www.financialexecutives.org/KenticoCMS/News---Publications/PressRoom/2008-press-releases/FEI-Survey--Average-2007-SOX-Compliance-Cost-$1-7-.aspx axzz4GwRYv3sa。Feng，M.，等人（2009年）。“内部控制和管理指导。”会计与经济杂志48（2）：190-209。FEP（2010年）。自由进入。基金诉Pub。公司会计监督Bd.，561美国477，130 S.Ct。3138177 L.Ed.2d 706（2010年）。Ge，W.等人（2016年）。

“第404（b）节豁免的成本和收益：来自小公司内部控制披露的证据。”Ge，W.等人（2016年）。“第404（b）节豁免的成本和收益：来自小公司内部控制披露的证据。”SSRN 2405187提供。Hill，B.M.（1970年）。“齐普夫定律和人口组成的先验分布。”《美国统计协会杂志》65（331）：1220-1232。Hill，B.M.（1974）。“齐夫定律的秩频率形式。”《美国统计协会杂志》69（348）：1017-1026。Kang，Q.等人（2010年）。“萨班斯-奥克斯利法案与公司投资：结构评估。”《金融经济学杂志》96（2）：291-305。Kürten，K.和F.Kusmartsev（2011年）。“自由市场经济中的Bose-Einstein货币分配。II。”EPL（欧洲物理学通讯）93（2）：28003。Lewis，J.和S.Baker（2013年）。“网络犯罪和网络间谍的经济影响。”华盛顿特区战略与国际研究中心：103-117。Lin，S.等人（2011年）。“内部审计职能部门在披露重大缺陷方面的作用。”会计审查86（1）：287-323。Lucas，R.E.（1976）。计量经济政策评估：批判。卡内基-罗切斯特公共政策系列会议，北荷兰。MacKinlay，A.C.（1997）。“经济和金融事件研究”《经济文献杂志》35（1）：13-39。！45!Mandelbrot，B.（1960年）。“帕累托征税法和收入分配。”《国际经济评论》1（2）：79-106。Mandelbrot，B.（1965年）。“一类长尾概率分布和城市规模的经验分布。”行为科学中的数学探索13:322。Menn，J.（2012）。“被黑客攻击的公司仍然没有告诉投资者。”路透社。Mezard，M.和A.Montanari（2009年）。信息、物理和计算，牛津大学出版社。Pascual Leone，J.（1970年）。

“皮亚杰发展阶段过渡规则的数学模型。”心理学报32:301-345。Rice，S.C.和D.P.Weber（2012年）。“根据SOX 404，内部控制报告的有效性如何？现有重大缺陷（未）披露的决定因素。”《会计杂志》研究50（3）：811-843。Rice，S.C.等人（2014年）。“SOX 404有牙齿吗？未能报告现有内部控制缺陷的后果。”会计审查90（3）：1169-1200。Romano，R.（2004年）。“萨班斯-奥克斯利法案和庸医公司治理的制定。”Shang，S.和J.Wooldridge（2016）。“关于估计重译后的部分效应。”Simon，H.A.（1955年）。“关于一类斜分布函数。”Biometrika 42（3/4）：425-440。Symantic（2016）。“Internet安全威胁报告。”fromhttps://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf.Weiss，H.和V.Weiss（2003年）。“中庸之道是脑电波的时钟周期。”混沌、孤子与分形18（4）：643-652。Westland，J.C.（2000年）。“研究报告：建模软件发布后错误的发生率。”信息系统研究11（3）：320-324。Westland，J.C.（2002年）。“软件开发中错误的代价：来自行业的证据。”《系统与软件杂志》62（1）：1-9。Westland，J.C.（2004）。“软件缺陷的成本行为。”决策支持系统37（2）：229-238。Wooldridge，J.M.（2010）。横截面和面板数据的计量经济学分析，第2版，MITPress，第10.5.3章。Wooldridge，J.M.（2016）。《计量经济学导论：现代方法》，第6版，CengageLearning，波士顿，sec。7-2，第206-211页。Xu，J.（2015）。“经济系统中的玻色-爱因斯坦凝聚机制。”EPL（欧洲物理学家）110（5）：58002。