萨班斯-奥克斯利法案预测安全性的信息含量

2022-6-8 18:36:01

2015年，阿什利·麦迪逊（AshleyMadison）的违规行为窃取了4000万个账户，其中包括照片、性取向详情和个人地址。2013年，Target的违规行为影响了7000万客户的账户，迄今为止，该公司已花费1.62亿美元的额外费用。2014年，索尼影业的一次“和平卫士”违规窃取了超过100 TB的机密数据。2014年，MySpace账户数量达到3.6亿，LinkedIn黑客入侵了超过1亿个账户，！3.雅虎5亿账户遭到黑客攻击，3.4亿AdultFriendFinder账户遭到黑客攻击（这是一年来的第二次），以及许多其他违规行为。在过去五年中，违规行为的频率和规模都急剧增长。审计师强烈辩称，他们没有明确的责任在审计期间发现欺诈和外部威胁。尽管如此，在安然（Enron）和世通（WorldCom）倒闭后，审计部门被迫承担一些检测欺诈和威胁的责任。（AICPA 2002）就审计师识别可能导致重大错报的外部威胁和欺诈的责任提供了具体指南。安全违规和其他对公司的外部威胁被归为“欺诈”类别，AU 316.05对此进行了澄清。“广义的法律概念，审计师不会对是否发生欺诈作出法律决定。相反，审计师的利益与导致财务报表重大错报的行为特别相关。区分欺诈与错误的主要因素是导致财务报表错报的根本行为是故意的还是无意的国家。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:36:05

欺诈是一种故意行为，导致作为审计对象的财务报表出现重大错报。“萨班斯-奥克斯利法案是一项正式的尝试，旨在对审计人员和管理层施加额外的共同责任，以检测欺诈和外部威胁，对于这项研究，SOX第302和404节要求进行内部控制评估。SOX合规性一直存在争议。有人提出了有关成本高昂的SOX审查的有效性、SOX的外部有效性的问题评估公司的安全违规、错误、欺诈和其他外部财务威胁，以及SOX向投资者和其他利益相关者报告的有用性。不幸的是，这些问题一直很难研究，因为外部违规、欺诈和其他犯罪在商业中被严重低估，导致数据集中的报告偏差，给控制研究带来困难。企业高管、政客和游说人士认为，2002年的《萨班斯-奥克斯利法案》（Sarbanes-OxleyAct，SOX）是一项繁琐且成本高昂的监管，并不有效（Drabugh 2012）。仅遵守第404条的规定就被估计为每家公司每年平均170万美元（FEI 2007），甚至在美国最高法院提出了SOX违宪的论点（FEP 2010）。上的出版物！4.SOX实施对整个市场和经济的影响已通过案例研究、论战和实证研究得出结论（Bratton 2003、Romano 2004、Coates 2007、Engel、Hayes et al.2007、Kang、Liu et al。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:36:08

2010年），但关于SOX实施是否提高了内部控制的安全性和完整性的证据仍不明确。这项研究解决了“企业在SOX合规性方面的投资在识别和消除内部控制安全违规威胁方面有多大的效果？”SOX评估的外部有效性和效用很难衡量，因为公司意识到自己的声誉，倾向于在发生内部控制违规事件后严重少报。受害者很少发现有效的违规行为，显然网络犯罪者自己也没有系统地报告他们的活动。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

点击查看更多内容…

2022-6-8 18:36:11

尽管如此，我们相信SOX指标提供了有关信息系统安全漏洞可能性的信息，因为这是对计算机系统进行有效内部控制的基本目标，我们试图在本研究中对这些信念进行实证验证。我们目前的研究调查了SOX报告中有关安全漏洞的信息内容，以测试五个相关假设。！“：SOX 404认证向管理层自我报告的SOX 302认证添加新信息重要性：SOX 404认证成本高昂且有争议，一些评论家质疑他们是否添加了SOX 302认证中尚未提供的信息。！\\35;：SOX 404认证与SOX 302认证具有相同的系统控制集。重要性：假设！\\35;补充了假设！”并测试SOX 302和SOX 404认证是否与相同的控制和安全问题集相关。！$%SOX 404和302证明包含关于未来发生特定类型安全违规的信息。重要性：这是我们的主要假设，测试将确定SOX提供的关于各种违约类型的信息量。！5!!&%\'结构模型提高了SOX 302和SOX 404安全违规证明的准确性；他们通过假设一个基本的、符合经验的breakgeneration模型来添加信息。重要性：Lucas的评论（Lucas 1976）指出，需要结构模型来充分理解回归分析的结论。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:36:14

我们构建了两个模型：（1）危险结构模型和（2）占用结构模型，为内部控制提供具体的政策建议。！（%SOX认证中引用的潜在控制缺陷会导致更高的安全违规率，反之亦然（反事实）重要性：我们提供了反事实测试来确定因果关系的方向，并确保SOX认证不会因为安全违规发生而在事后简单地引用控制缺陷。我们的调查收益像跟随。！！部分2.总结！先前的研究那个有调查！SOX！报告！虽然描述！SOX！报告！下列的它的满的实施在里面2005.!!!部分3.评论！这个数据获得！对于这研究部分4.测试！）“！and！）\\*\'section！5！tests！）$*\'section！6！tests！）&；！and！section！7！tests！）（.！！！！第8节！总结了！这些！结果！以及！政策！建议！和！建议！用于！研究！可能！扩展！本文中的！发现！！！！！2。之前对SOX认证信息的研究迄今为止，大多数SOX研究都集中于内部一致性、合规性和应计会计评估，而不是对欺诈和安全违规等外部风险的管理。另一方面会计人员对控制权的评估与其相关的现实后果之间应该有很高的相关性，但各种障碍使得外部有效性很难研究。Priorresearch显示，SOX 302和SOX 404指标在簿记和会计领域内部保持一致。在发现实际运营差异后，发现SOX 404例外情况与财务重述相关，但较弱！6.积极支持符合良好内部控制的SOX 404评估（Rice and Weber 2012，Rice，Weber et al。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:36:17

2014).几乎自SOX成立以来，就一直在研究SOX文件中与公司报告的其他财务统计数据相关的合规成本和信息内容。（Rice和Weber2012，Rice，Weber et al.2014）对SOX 404报告进行了研究，该报告针对的是原始错报与潜在控制缺陷相关的重述公司样本。他们发现，重述，即由于审计师利益相关者或法律压力而改变上一年的财务报表，提供了大量关于可能导致安全违规的控制缺陷以及管理层对这些缺陷的认识的信息。一般而言，重述公司在错报期间确实承认其现有的控制缺陷，报告现有缺陷的可能性与外部资本需求、公司规模、非审计费用以及大型审计公司的存在呈负相关。重述与财务压力、审计师努力、之前报告的控制缺陷、其他重述以及接收者或管理层变更呈正相关。（Rice and Weber 2012，Rice，Weber et al.2014）未发现任何证据表明，对未报告现有控制缺陷的公司经理或审计师更可能进行处罚；相反，他们得出的结论是，在重述之前已报告的控制缺陷后，集体诉讼管理人员更替和审计人员更替的可能性更大。他们得出的结论是，围绕SOX 404的现有公共和私营执法机制不太可能为合规提供强有力的激励，并可能解释为什么大多数重述是由之前声称拥有有效内部控制的公司发布的。（Bedard、Hoitash等人。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:36:20

2009年，Bedard和Graham 2011）检查了内部控制缺陷的检测和严重分类，发现外部审计师在第404节审计期间检测到约四分之三的未调解内部控制缺陷。（Ge，Koester et al.2016）研究了261家公司的样本，这些公司在其SOX文件中披露了至少一个内部控制的重大缺陷，发现不良的内部控制通常与会计控制资源承诺不足有关，最常见的特定账户重大缺陷出现在应收账款和存货中。相比之下，SOX 302披露倾向于描述复杂账户中的内部控制问题，如衍生工具和incometax账户。他们发现，披露重大弱点与商业正相关！7.复杂性（例如多个部门和外币），与公司规模（例如市值）负相关，与公司盈利能力（例如资产回报率）负相关。（Lin，Pizzini et al.2011）利用214家公司的数据，调查了公司内部审计职能在披露SOX 404项下报告的重大缺陷方面所起的作用。他们发现，重大弱点披露与内部审计师的教育水平呈负相关，与分级审计业务和外部内部审计师协调的实践呈正相关。（Ashbaugh Skaife，Collins et al.2007）报告称，SOX披露的内部控制缺陷与更复杂的运营、最近的组织变革、更大的会计风险、更多的审计师辞职以及可用于内部控制的资源较少有关。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:36:23

他们还发现，有SOX披露的内部控制缺陷的公司有更多的SEC执法行动和财务重述，更有可能使用单一主导的审计公司，并拥有更集中的机构所有权。（Feng，Li et al.2009）发现，内部控制缺陷与指导不准确相关。特别是，由于这两个账户在预测收益中的重要性，当与销售收入或成本相关的疲软时，发现无效的内部控制对预测准确性的影响要大三倍。（Ashbaugh Skaife，Collins et al.2008）发现，与未报告内部控制问题的公司相比，报告内部控制缺陷的公司的应计质量较低，这通过应计噪音和绝对异常应计来衡量。此外，审计师确认对之前报告的内部控制缺陷进行补救的公司，其应计质量比未纠正其控制问题的公司有所提高。他们发现，重大弱点与噪音与权责发生制“噪音”（更高的误差项方差）以及导致收益上扬的故意错报相关。违约和SOX数据项SOX报告始于2004年，但直到2005年，所有上市公司才报告其SOX评估。本研究收集了SOX年度报告以及2005-2015年10年期间公开报告的安全漏洞。在我们的研究中，我们考虑了两组重叠的公司：（1）报告SOX评估的上市公司和（2）在研究期间报告安全违规的上市公司。图2描述了：（A）！8.所有美国公司，（B）公开交易的美国公司，以及（C）已报告安全违规的公共和私人美国公司。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

大多数88

2022-6-8 18:36:26

我们忽略了主要适用于小型私营公司的仅管理层的SOX评估，并将我们的研究重点放在了更完整的上市公司数据集上，其中包括对控制措施的外部审计评估（+见图2）。图1：本研究中获得数据的四个公司子集我们定义了另外两个子集+，（经历违约的上市公司）和+。（未经历违约的上市公司）进行单独的定制分析，以控制选择偏差。要构建数据子集+，和+。有必要在a/0123 4’56789索引中加入有关SOX和违规报告的信息。由于SOX报告是由管理层和审计师定期提交的，以管理合同流程而非内部控制流程为条件，因此这两个子类之间的数据无法直接进行比较。相比之下，违规数据集提供了内部控制流程崩溃的报告，而且不完整，因为公司和犯罪分子不喜欢报告违规行为；行业估计表明，3%至30%的违规行为是公开报告的（Menn 2012）。无论内部控制是否发生任何变化，SOX每年都将生成报告；但违规行为显然需要某种控制失误。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:36:29

表1总结了分析中使用的SOX 302和404报告中提取的数据项。！9!!10!表1：分析中使用的SOX 302和404指标SOX 302指标：是否有效（302）关于内部控制是否在公司有效的自我报告管理断言。0=否1=yesMATERIAL\\u弱点（302）关于公司内部控制系统是否存在重大弱点的自我报告管理断言。0=控制措施有效1=公司控制措施中存在重大缺陷SIG\\U缺陷（302）自我报告管理层关于公司内部控制系统是否存在重大缺陷的断言0=控制措施有效1=公司控制措施中存在缺陷SOX 404指标：IC\\U OP\\U类型手动系统或自动计算机系统0=手动1=AutomatedAUDITOR\\u同意（404）审计师对管理层SOX 404断言的“证明”0=不同意1=同意对公司内部控制有效性的组合意见0=控制通常有效1=存在重大控制缺陷IC\\u有效（404）管理层断言内部控制有效（内部控制有效）0=no 1=yesAUDIT\\U FEECost of SOX 404 audit（数字；货币）这项研究收集了170647份年度SOX 302和SOX 404 SEC 10-K 10-KSB 10-Q 10-QSB20-F和40-F文件，这些文件是在纽约证券交易所或纳斯达克上市的美国公司（公司从2005年4月15日开始报告此数据，但早在2002年就出现了高级文件）。在这些报告中，我们仅选择了年度报告，因为这些报告包含经审计的SOX信息（第404节）以及一组可比较的管理层报告的SOX信息（第302节）。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

nandehutu2022

2022-6-8 18:36:33

我们还获得了美国隐私权信息交换所/Verizon汇编的388份自2005年以来主要报告的美国公司安全漏洞，其中213份适用于184家纽约证券交易所和纳斯达克公司。！11!表2：analysisSOX报告中使用的违规数据SOX报告：计数o纳斯达克公司o纽交所公司o自动系统上的SOX报告o手动系统上的SOX报告NASDAQ&纽交所的Tol SOX报告（数据集B）违规数据：o支付卡欺诈（卡）-涉及借记卡和信用卡的欺诈，未通过黑客完成。例如，服务点终端上的浏览设备o非故意泄露（DISC）-网站上公开发布的敏感信息处理不当或通过电子邮件、传真或邮件发送给错误的一方。o黑客或恶意软件（HACK）-外部恶意软件和间谍软件的电子进入。o内幕人士（INSD）-有合法访问权的人故意破坏信息-例如员工或承包商。o物理丢失（PHYS）-丢失、丢弃或被盗的非电子记录，如纸质文件o便携式设备（端口）-丢失、丢弃或被盗的笔记本电脑PDA智能手机便携式存储设备CD硬盘驱动器数据磁带等。o固定设备（STAT）-丢失、丢弃或被盗的固定电子设备，如非移动设计的计算机或服务器。o未知（UNKN）o2005年至2016年报告的违规总数（数据集C）适用于纽约证交所和纳斯达克上市公司的违规总数（数据集+，-）纽约证交所和纳斯达克（NASDAQIndustry）上市的唯一违规公司数据集来源表明，安全违规被3到30个因素严重低估（Menn 2012，Symantic 2016）。网络犯罪是一种低风险、高回报的职业（Lewis和Baker，2013年），据估计，全球经济每年损失375亿至5750亿美元。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

可人4

2022-6-8 18:36:36

大多数违规行为并没有被报告，因为它们可能向客户和投资者发出缺乏内部控制的信号。银行和保险公司等金融机构尤其如此，它们可以避免公众对面向客户的零售和互联网公司的审查。此外，最好的黑客往往是国家资助的安全专业人员，他们使用的方法是当前技术无法检测到的，并且可能破坏内部控制和危害资产！12!从未被发现。违规、欺诈、计算机系统受损以及对SOX合规性的担忧，促使计算机和信息系统的升级和更换花费了数十亿美元。SOX统计数据显示，审计师认证的不良率从2004年的16.9%迅速下降到2005年的10.3%，到2009年已稳定在2%左右，这表明其他（1）管理层和内部员工越来越善于说服外部审计师，他们的系统是安全的，并受到防欺诈和外部威胁的保护；或（2）SOX实施后，内部控制立即有了显著改善，至少在SOX审计中包括的领域。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:36:39

还有其他“仅限管理层”的评估主要适用于小型私营公司；尽管这些公司的趋势大致与大型公司的趋势一致，但负面意见的发布率通常比上市公司高出30%左右（Cheffers 2012），负面意见的百分比与上市公司的比例同步下降。此外，每一家“四大”审计事务所（审计几乎所有在美国交易所上市的事务所）在提供不利证明方面都表现出独特的偏见：安永会计师事务所专注于应收账款、收入确认、税收和固定资产；普华永道专注于应收账款、收入确认、税收和应付款项；毕马威专注于会计收入、收入确认、税收和库存；德勤专注于收入认知、税收、负债、库存和高管薪酬（Cheffers 2012）。这些偏差可能反映出签名审计方法、内部表格和检查表以及个别公司特有的审计历史。因此，这些公司将把审计预算的较大部分分配给某些账户，而其他账户将承担费用。此外，审计师倾向于分配更多的时间来审计借方余额账户，假设复式记账将确保贷方账户的准确性；但选择审计的账户取决于公司的政策、程序和管理合伙人。信息系统安全漏洞在审计师关于是否发现特定“重大弱点”的断言中得到了解决。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:36:43

随着旧的弱点得到解决，新的弱点浮出水面，这些问题每年都有所不同，但在SOX的负面意见中，有八个财务报告领域被认为受到严格控制：（1）应收账款/贷款（2）投资或！13!现金（3）证券（债务类债务权证和股票）；收入确认；（4）税费/福利/延期（FAS109）；（5）应付负债准备金和应计估计数；（6）实体（外国关联方附属子公司）；（7） PPE无形资产固定资产；库存供应商销售成本。只有（1）、（2）和（8）是会在报告的安全违规中显示的控制区域。此外，SOX 404认证中通常出现八个操作领域：（1）对之前SOX 404意见的回应；（2）对材料缺陷的响应；（3）人事问题；（4）职责分离；（5）财务重述；（6）材料年终调整；（7）内部审计发现；（8）IT系统。虽然（Rice and Weber 2012，Rice，Weber et al.2014）发现（5），财务重述是内部控制薄弱环节的重要指标，这将导致不利的SOX 302和404评估以及潜在的安全薄弱环节，但只有（3）、（4）和（8）往往是报告的安全违规中会出现的操作领域。本分析中观察的基本“单位”是SOX报告的发布，违规行为被解释为这些SOX报告中信息的事后证据。在我们对：反事实的测试中，将探讨事后均值相关性还是因果关系。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:36:46

违约信息均经过审查（仅在2005年至2015年期间收集），且未完成，因为只有3%至30%的违约信息在该数据集上公开报告（Menn 2012）。这是推断中的一个重要问题，因为它表明观察到的（报告的）违规行为是人群的一个集合。在随机样本中，3-30%足以进行推断；实地研究通常呼吁“方便样本”的概念我们判断，在违规事件的发生和报告中可能会发现一些系统性偏差，面向消费者的行业更容易报告（因为很难向客户隐瞒违规），后台金融行业由于其安全和效率声誉受到影响而不太可能报告。我们在本文后面介绍的结构模型中解决了这些潜在偏差，但最初构建了违约SOX面板数据，以便结合可用数据进行回归。为了合并这两个数据集，我们将它们组织成索引的观测值；0123\'158<710182=>;=. 这两个数据集中的公司集合和日期都不对应。上市公司每年都会有SOX报告日期，只需按年对其进行索引即可。尽管违约报告出现在新闻稿或新闻文章中，其日期每天都有决议，可以包括上市公司和非上市公司。我们扩大了突破口！14!由于我们的数据集只包含一个报告日期，而且违约事件本身往往有一个期限，通常不超过一年。有了这些概括，就有可能将违规和SOX数据编入索引；0123\'158<710182=>;?862=.该数据集报告了3398家上市公司中的213家在2005年至2015年期间报告SOX评估的违规情况。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:36:50

图2（经历违约的上市公司）将分析限制在子集+，通过放弃我们没有SOX 404报告和小组概念模型的违约公司，解决了公司的问题regression@A286BC8D“E”FGHIJ，Kwherea286bc8d提供PrivacyClearinghouse/Verizon数据集的安全漏洞分类和其他指标，fghre提供AuditAnalytics数据集的SOX 302和404报告评估。数据集被分为手动和自动系统，每个系统接收单独的SOX报告。SOX信息含量测试审计证明的SOX不利百分比从最初的16.9%迅速下降到目前的2%左右，表明SOX 404审计程序，估计每年成本约为200万美元，未添加有关系统安全性的重要信息，而非公司内部审计师管理层在其自我报告的SOX 302证明中提供的信息。为了调查，我们进行了测试！“：SOX 404认证将新信息添加到管理层自我报告的SOX 302认证中。这将测试批评的准确性，即SOX404认证成本高昂，而不提供SOX 302认证中尚未提供的新信息。我们得出结论，对于调查的研究问题，因公司规模而产生的任何混淆的SOX认证影响都是无关紧要的在这里这并不意外，因为无论是（Ge，Koester等人，2016年）还是（Ashbaugh Skaife，Collins等人，2007年）都没有发现SOX 404披露中的规模效应，尽管他们确实发现公司复杂性确实导致了第404节下的不利测试数量。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:36:53

为了评估规模效应混淆我们在SOX安全违规证明中的主要测试信息的可能性，对公司规模的四个衡量指标——销售额、净收入、市值和员工数量——进行了回归分析。！15!表3总结了结果：这四个数字约为1-5%，我们发现的唯一重要关系是员工越多的公司“内部人”违规（INSD）越多，这似乎是更大规模、更劳动密集型运营的逻辑结果。其他财务指标仅与所有类型的安全漏洞密切相关。范围内发生的微小差异取决于结构参数和拟合统计数据7 4 D76 71D71BDML#\'s和4 D7671D71BD7表明，公司规模对证券违约发生率的影响很小。表3：违约类型发生与公司规模和运营指标资本化销售收入员工人数的OLS回归SY(R)EstimatetSigEstimatetSigEstimatetSigEstimatetSigx’4.655***6.244***2664.763.279***74.1646.029***CARD0.5911.167396.350.34820.7961.214DISC-10479-1.2282.194*-72.33-0.07926.0281.891。HACK-14291-1.697-11826-2.205*-1432.22-1.557-11.49-0.83INSD-6047-0.6982.377*-661.13-0.68864.5564.474***PHYS-6043-0.5760.714-913.76-0.769-6.953-0.39PORT1.5822.475*162.260.185*32.5342.459*STAT-22686-2.298*1.045-2604.27-2.23-8.22-0.473Unknanananananana Nananal#0.054290.044790.011040.04741F10.4310.742.55611.28Signif。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:36:56

代码：0“***”0.001“***”0.01“***”0.05“0.1\'\'1我们分别测试了2005年至2015年年度公司报告（图2中的子集B）的面板数据，以用于手动和自动系统的概念性审计model@FGHOPO“E”fghqprijj在以下回归模型中实现：在概念讨论中，我在本文中始终使用了“响应变量”的R语言格式预测变量“where the tilde means”被建模为的函数。括号和下标进一步定义了模型测试的总体。！16！Stoopovwx\'YZ>\'Y“STUQPRVW>Y#STUQPR[\\>Y$STUQPR]^>>Y和STUQPR\\uqbc>Y（STUQPRefg>YhSTUQPRijkfcja>YlSTUQPRmcnjo“”@p其中：变量描述fghophkin内部控制是有效的指标变量fghqprqkin内部控制是有效的指标变量fghqprr存在重大弱点指标变量fghqpr存在重大缺陷指标变量fghqpr存在重大缺陷指标变量fghqprvnon审计事务所FeesFGHQPR |}~审计公司税务费GHQPRoEURo}zEURX审计公司相关费用GHQPR'z''审计公司其他费用Oldridge对未观察到的个人影响的测试得出自动系统审计的z=2.535（p值=0.01124）；对于手动系统，z=3.7439（p值=0.0001812），两者都支持存在未观察到的效应的假设，表明我们需要使用固定效应回归。Wooldridge对固定效应面板中的序列相关性进行的测试得出…#=0.24677（pvalue=0.6194）和手动系统…#=4.1434（p值=0.0418）都表明面板中存在序列相关性。如果我们考虑对审计进行结构分析，预计会出现未观察到的影响和序列相关性。审计范围受法规限制，因此预计会有本法规未涵盖的未观察到的影响。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:36:59

一年内安全性较差的公司，在其他年份很可能安全性较差，因此指标和费用都将表现出序列相关性。表4和表5总结了面板回归结果。！17!表4:SOX 404“内部控制在公司自动化系统中有效”决策（取决于）的固定效应面板回归估计值（SOX 302）和管理决策（独立）估计值STD。错误值PR（>| t |）为有效值0.1550.00440.6060.000***材料缺陷-0.8100.004-198.8150.000***SIG\\U缺陷-0.0090.001-7.0470.000***审计费用-1.41E-109.60E-11-1.47150.1412非审计费用2.77E-082.95E-080.93960.3474税费-2.70E-082.95E-08-0.919 640.3595审计相关费用-2.76E-082.95E-08-0.93670.3489L#0.90782F-statistic29507.7手动和自动系统报告中的残差图，估计值表明，公司平均证明内部控制有效性是SOX 302报告有效性的六倍，是SOX 404报告有效性的六倍。所有变量的迹象都在预期的方向上，没有证据表明向公司收取的任何费用影响了审计师的意见——我们验证了SOX审计师的独立性。在手动和自动系统中，该公司自报的“重大缺陷”与约80%的SOX 404阴性对照评估相关，而自报的“重大缺陷”仅出现在约1-2%的SOX 404阴性对照评估中。这表明，管理层自我报告的“重大缺陷”是审计师发现的控制问题的重要指标，而重大缺陷则不是。！18!表5:SOX 404“内部控制在公司手动系统中有效”决策（取决于）的固定效应面板回归估计值（SOX 302）和管理决策（独立）估计值STD。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

nandehutu2022

2022-6-8 18:37:04

错误值PR（>| t |）有效0.1750.00440.0800.000***材料缺陷-0.7960.005-173.3020.000***SIG\\U缺陷-0.0160.002-10.2410.000***审计费1.33E-101.26E-101.06080.2888非审计费5.37E-083.86E-081.39110.1642税费-5.28E-083.86E-08-1.36810.1713审计相关费用-5.39E-083.86E-08-1.39730.1623L#0.86641F-statistic22251.6残差图审计师的SOX404之间的相关性一年内的认证强烈（99.99%置信度）依赖于TUQPRVW，STUQPRtuandSTUQPR\\uuuuqpr的情况稍差[\\.自动和手动系统数据子集中解释的差异量分别为l#XZpo和l#XOEpo和l#XOEo这为参数估计提供了可信度。我们的发现有力地支持了这一假设！即SOX 404测试为自我报告的SOX 302证明添加了新信息，并建议SOX 404审计，尽管受到管理层自我报告的影响“重大弱点”还为投资者提供了利益相关者无法获得的信息。通过Wooldridge的测试检测到面板数据中的序列相关性，我们在测试中消除了这种影响，从而充分利用了这一发现！$\'通过公司汇总所有数据。随着时间的推移，审计师和管理层达成的任何同期协议都应在汇总中被冲掉。关于审计师独立性的任何剩余问题！19!SOX 404测试的进行可能已经出现，因为潜在的控制弱点是显而易见的，不一定需要独立的认证来识别。控制缺陷的出现预计是暂时的和时间相关的，也就是说，一旦发现，管理层强烈倾向于对其进行纠正，因此在随后的时间段内不应出现相同的缺陷。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:37:07

如果我们使用2005年至2015年期间收集的数据对之前的模型进行测试，我们将消除任何暂时性影响，并消除SOX 404认证中的持续偏差和缺乏独立性。为此，我们进行了测试！#%SOX 404证明了与管理层和内部审计师SOX302证明相同的系统控制，以确定审计师和管理层意见的一致性是否是由于在某个时间点存在相同的基础控制弱点。因为我们为面板回归选择了固定效应模型，所以我们选择保留对聚合数据回归的影响，以吸收任何未观察到的效应，使两个回归之间的结果具有可比性。由于回归到平均值，表6和表7以及估计值中显示的结果发生了实质性变化。表6:SOX 404的回归估计“内部控制在公司自动化系统中有效”决策（取决于）SOX 302和管理决策（独立）在2005年至2015年期间的合计估计。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

nandehutu2022

2022-6-8 18:37:10

错误值PR（>| t |）（截获）0.3817000.0383109.9640000.000000***有效1.9700000.003912503.6030000.000000***材料\\u缺陷0.8939000.01625055.0110000.000000***SIG\\u缺陷-0.0372100.010710-3.4740000.000521***审计费0.00000 10.000000 3.2520000.001157**非审计费0.0004040.0001412.8690000.004143**税费-0.0004010.000141-2.8480000.004427**审计相关费用-0.0004070.000141-2.8920000.003853**其他费用-0.0004030。000141-2.8660000.004192**L#0.9906F-统计！20!表7:SOX 404“内部控制在公司手动系统中有效”决策（取决于SOX 302）的回归估计，以及2005年至2015年手动和自动系统报告中汇总的管理决策（独立），估计数表明，公司平均证明内部控制有效性为三分之一至一半“SOX 302报告中经常出现SOX 404报告中的情况。总的来说，公司似乎比SOX 404审计师更警惕和怀疑内部控制缺陷。管理层和内部审计师可能有更多关于控制缺陷的信息，因为他们全年都对公司进行审查，而不是SOX404团队的年度活动。差异数量解释如下在自动系统和手动系统中，数据子集都是#^ZZZZZ的，这种改进可能反映了由于聚合而回归到平均值。SOX 302中“重大缺陷”断言的影响似乎与面板回归一致。SOX 302“控制有效”和“材料薄弱”估计值的幅度变化以及符号反转“材料薄弱”估计值导致我们拒绝！$。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:37:13

“重大缺陷”估计的面板回归结果的正负号表明，管理层在SOX 302报告中自我报告的“重大缺陷”的缺失通常与SOX 404阴性对照评估的发生率显著较高有关。这与之前的研究（Benoit 2006，Bedard，Hoitash et al.2009）相一致，他们发现管理层在评估SOX302自我报告中反映的内部控制有效性时过于自信，其中90%的404节无效的公司控制着估计的标准。错误值PR（>| t |）（截获）0.6114000.06079010.0590000.000000***有效2.9560000.006189477.6400000.000000***材料\\u缺陷1.7630000.02231079.0310000.000000***SIG\\u缺陷-0.0529000.016950-3.1200000.001822**审计费0.0000020.0000013.6410000.000276***非审计费0.0005900.0002352.5130000.012017*税费-0.0005850.000235-2.4950000.012660*审计相关费用-0.0005950.000235-2.5360000.011243*其他费用-0.0005900.000235-2.5150000.011947*L#0.988F-statistic34480.00！21!（IC\\u IS\\u EFFECTIVE=0）在报告不良第404节的同一期间结束时，仍自我报告有效的302个对照组（IS\\u EFFECTIVE=1）。我们证实了Benoit的发现：在我们的数据中，Welch的两个样本t-统计为4p‰ROZZZ“”@“4o6–%P‰oPRI‰”，这可能反映出管理层通常不知道SOX 404外部审计师认为重要的重大弱点，而审计师在进行SOX 404认证期间“教育”管理层有关重大弱点的知识。我们的结论是，不是管理层和审计人员在任何时候都发现相同的潜在内部控制情况；相反，SOX404审核员可能会发现重大缺陷，并“教育”管理层和内部审核团队这些控制缺陷的重要性。5.

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

大多数88

2022-6-8 18:37:16

预测违约我们到目前为止的测试表明，违约的发生仅受规模的微弱影响，内部控制的强度可能是一个时期内公司发生违约的一个重要因素。我们还得出结论，SOX 404审计师保持其独立性符合公认审计准则（GAAS）。随着对规模和审计师独立性等潜在混杂因素的调查有效完成，我们可以继续检验我们的主要假设！$%\'SOX 404和302认证包含有关未来发生特定类型安全违规的信息。我们分别测试了2005年至2015年公司年度报告（交叉点+，图2中）的面板数据，以对手动和自动系统进行概念性审计model@A286BC8D“E”FGHIJ，K\'在以下回归模型中实现：\'A286BC X\'YZ>\'Y“STUQPRVW>Y#STUQPR[\\>Y$STUQPR]^>>Y&STUOPOVW>>Y（STUQPR\\uABC>Y：STUQPRd\\uu>YhSTUQPRefg>>\'YlSTUQPRijkfcja>Y-STUQPRmcnjo\'@RI！！！24！我们测试了一个面板二项模型（logit和probit）使用一般线性模型方法，但使用标准线性模型面板回归获得更好的拟合。二项模型可能会被首选的原因是为了避免小样本量的估计偏差，但在我们的研究中！“#$%&“$（）*）+，/01数据集足够大，使用probitor logit模型没有任何优势，线性模型面板回归方法将产生无偏估计量。使用Hausman检验、Chamberlain检验固定效应和Wooldridge检验面板模型中未观察效应来检验固定效应线性模型的适当性（Wooldridge 2010、Shang和Wooldridge 2016、Wooldridge 2016）。我们用每种类型的违约相关指标变量计算了Wooldridge的测试统计模型。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-8 18:37:19

所有模型的测试统计表明可能存在未观察到的个体效应，因此我们使用固定效应面板回归。图2:SOX评估在控制自动化系统中安全漏洞类型方面的相对有效性-0.330.27-0.440.32-0.990.160.960.050.54-0.140.58-0.240.990.10-0.76-0.060.11-0.43-0.170.25-0.01-0.38-0.390.02-0.190.100.05-0.050.02-0.060.130.00INSD DISC UNKNK HACK卡PHYS端口统计<---------更好的控制较弱的控制----------SOX 404有效控制SOX 302有效控制SOX 302 Mtl弱点*-1 SOX 302 Sig缺陷*-1！25!Wooldridge对固定效应统计中序列相关性的测试也表明所有模型中都存在显著的序列相关性，这似乎是合理的，因为安全漏洞通常在被检测到之前就发生了，而且在被检测到之后的一段时间内可能会不被纠正。请注意，良好内部控制的评估（SOX 302和404）由指标值“1”表示。对重大弱点和重大缺陷的评估也用指标值“1”表示，但这意味着相反的评估，即控制不充分。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

可人4

2022-6-8 18:37:22

因此，在确定图2和图3中的垂直轴时，后两个估计器乘以234）图3：SOX评估在控制手动系统中的安全漏洞类型方面的相对有效性-0.320.14-0.420.47-1.000.200.880.050.530.050.55-0.440.990.07-0.69-0.060.11-0.48-0.160.32-0.01-0.37-0.420.01-0.190.110.06-0.050.02-0.050.110.00INSD光盘UNKN黑客卡PHYS端口统计数据<---------更好的控制较弱的控制------->SOX 404有效控制SOX 302有效控制SOX 302 Mtl弱点*-1 SOX 302 Sig缺陷*-1！26!图2和图3分别显示了SOX评估在控制自动和手动系统中各种类型的安全漏洞方面的相对有效性。更仔细地观察这些影响，我们可以看到，SOX审计在预测各种类型的安全漏洞方面有着显著的不同效果，但对于手动和自动系统，结果非常相似。对于黑客和恶意软件（HACK）、固定设备（STAT）以及违规原因未知（UNKN）的情况，模型拟合度（）几乎为零，这表明目前公司内外的SOX审计实践几乎没有提供控制这些威胁的有用信息。意外披露（DISC）和物理损失（PHY）的估计量很小，这也表明SOX审计提供的信息很少有助于控制这些类型的违规行为。如果SOX在识别未来安全违规方面提供了重要的预测能力，那么管理层（SOX 302）的评估通常比SOX 404审计提供的信息少。这与我们在之前的测试中发现的不包括违约信息的情况一致，并且与之前的研究一致（Benoit 2006，Bedard，Hoitash et al。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝