并不是说，只要竞争环境或政策发生变化，它们就一定会发生变化。（Lucas 1976）推动了一项关于如何进行动态数量经济学的实证研究计划，认为现实世界的决策将偏离历史数据中的关系。需要通过分析构建关系和行为的底层动力学来构建策略不变的结构模型。调用企业面临的潜在安全风险的理论模型解决了我们后续分析中的两个问题：1。违反数据是稀疏的所以面板回归！算法！是更多可能的到终止没有一解决方案由于到单数的矩阵！或失败属于这个算法！到会聚A.理论的分发！允许！有效的自举！到决定计算问题。！2、违约！数据是明显地！少报！和一理论的模型允许！发展属于理论上！声音推断！到较好的估计这个真的！危险到公司！属于安全违规行为。！！在本节中，我们开发了聚合面板的结构模型，并使用两种替代的基础发电模型，使用违约率的经验分布。这将我们的合并数据集简化为单个公司“观察”数据集，将违约发生时间分布与SOX评估时间分布联系起来。这两个结构模型分别是风险模型（违约时间/失效）和占用模型（违约分配给公司！28！a）违约风险结构模型。我们通过将完整的违约报告日期（月-日-年）重新组织为违约之间的天数间隔来构建违约风险数据集。数据于2005年1月1日左删，2016年12月31日右删。

对于SOX数据集来说，类似的结构化模型是没有意义的，因为SOX报告以固定的年度间隔出现，因此，我们可以使用完整的SOXdataset和经验的“预期违约时间”参数估计来分析回归模型$789#9&%:);9(<#9\"=<9>?)>@)<97$)<>)?$A<）“\\$%&”*）+，/01。我们还拥有关于违规类型的数据（例如黑客、内部工作等），但这一数据非常稀少，因此在任何分辨率低于一般违规报告的情况下，都很难以这种方式做出更广泛的推断。我们计算了违规之间的时间（以天为单位），并将经过左右审查的数据集与潜在的“下次违规时间”相匹配分配在这种失效分析中，通常考虑三种分布：1。指数型！哪一个假设！那个违规行为！是独立的属于每个其他人！2、伽马射线！提供！一非常全体的分配那个包括！二者都指数型！和高斯分布！分发！像好像另外候选人！和3、高斯！提供！一实用的分配对于添加剂过程！具有非常好发达的！统计的算法。！根据我们最初的假设，即黑客是不可知论者，他们不喜欢破坏一家公司而不是另一家公司，并且假设他们彼此独立行动，他们不会告诉很多人他们的非法破坏行为，我们最初支持一个工作假设，即破坏事件呈指数分布。虽然强烈反对指数分布，但我们对“预计下次违约时间”观察结果的最大似然拟合。

这似乎意味着违规行为不是随机独立的事件，如果我们考虑另一种假设，即黑客可能会使用相同的漏洞同时对多家公司进行成本效益较高的攻击，从而导致许多并非随机独立的成功黑客。相比之下，伽马分布（包括指数分布和正态分布作为子类）提供了很好的拟合，为形状和比例参数提供了很高的值。随着形状和比例的增加，伽马分布收敛到高斯分布，我们的经验！29!fit强烈支持高斯分布的预期违约间隔时间。通过将审查后的违约数据（2005年至2015年）拟合为高斯分布，并计算每个列出的风险和生成SOX报告的年份的均值和方差统计数据，估计违约之间的平均时间（以天为单位）。如果一家公司在审查的时间间隔内没有违规行为，我们使用保守估计的下一次违规时间的高斯分布，bcde）F）GHDEIDJI）ICKLDHLME）F）NOP3）；%Q（）从2005年1月1日到2014年12月31日的时间间隔反映出在这段时间内，abreach的几率不到50%。表10：违规（拦截）危害模型的回归结果302：有效控制302：材料缺陷302：显著缺陷404：自动系统下次违规的有效控制时间（天）预计2047.774-58.689-1.63418.657-175.2640.66%标准错误149.608112.124151.70936.502119.805t-val13.688-0.523-0.0110.511-1.463下次违规的时间（天）系统估计2047.778-59.231-1.60219.364-175.4440.67%标准错误149.608112.126151.7136.512119.805t-val13.688-0.528-0.0110.53-1.464表10总结了$789#9&%:);9(<#9\"=<9>?)>@)<97$)<> )?$A<）“\\$%&”*）+，/01使用假设高斯分布的危险模型进行回归。

不幸的是，关于个别违约类型的数据不足以拟合风险模型，因此我们需要满足于对未区分违约总数的估计。但是对于手动和自动系统都是如此，这强烈支持建模的关系。此外，我们认为，危险结构模型估计提供的信息与我们的经验拟合是互补的，是使用FitDistPlus软件包中的fitdistcens算法完成的，该算法使用Nelder-Mead方法计算分布参数的最大似然估计。！30!其他测试，因为它根据管理层或审计人员的SOX证明，估计了违规之间的预期时间变化，并且无论是针对手动系统还是自动系统，结果都是一致的。表11：基于危害模型的违约频率变化违约间隔天数变化%ChangeConclusion当SOX302和SOX404指标=0100.00%基线SOX302：有效控制=1+59+2.88%控制有效时，违约频率降低SOX302：材料缺陷=1+1.6+0.08%无效SOX302：严重缺陷=1-19-0.93%稍高严重缺陷违规SOX404：有效控制=1+175+8.54%，控制有效时违规频率降低。表11提供了政策建议，如果管理层知道abreach的预期成本，具体值可能与SOX404和SOX302认证的成本相匹配。例如，如果我们假设所讨论的违规行为是家得宝或目标规模的违规行为，比如说每2048天（5.6年）发生约1亿美元，那么增加175天就意味着通过进行SOX404审计平均每年节省850万美元。

危险结构模型具有很强的启发性，但在进一步探索该模型之前，还需要特定类型河段的额外数据。b） 断裂的占用结构模型$789#9&% :)#%?T 2@\\$U=$&Q） ；9(<#9\"=<9>?)>@)\"#$% &\'$()*)+,./使用玻色-爱因斯坦占有率模型外推到全套firmsv。在过去十年中，爱因斯坦统计在经济学、心理学和金融领域的应用大幅增长，例如，在（Kürten and Kusmartsev 2011，Xu 2015）（Pascual Leone 1970，Bouchaud and Mézard 2000，Weiss and Weiss 2003，Mezard and Montanari 2009）和（Amati and VanRijsbergen 2002）。他们已经被证明可以提供准确的经济网络模型，比如！31!这里调查的是财务报告和互联网黑客网络。它们可以有效地对竞争性非平衡系统进行建模，并可以预测竞争系统中观察到的先动优势、马修效应和赢家通吃现象，这些现象是潜在进化网络的各个阶段（Bianconi和Barabási，2001）。本节中的玻色-爱因斯坦模型构建如下。让纽约证券交易所和纳斯达克交易所的上市公司在其系统中存在XY安全漏洞，并且Zywealth（美元）可以在一段时间内从该公司系统的漏洞中提取。这可以定义为“占用”一个在物理学中被广泛研究的形式问题，其中定义了三个主要系统：费米-狄拉克-麦克斯韦-玻尔兹曼和玻色-爱因斯坦占有率。费米-狄拉克占有率意味着一家公司的系统不能在一定的时间间隔内被黑客入侵或破坏两次（即闪电不会击中两次），这显然是不现实的。麦克斯韦-玻尔兹曼占有率是吉布斯悖论核心的理论概念，在当前的研究背景下没有意义。

相比之下，BoseEinstein占用在许多现实世界现象中都存在，这是我们在分析公司安全漏洞时所做的一个基本假设。Bose-Einstein的占有率意味着那些犯下安全漏洞的人是不可知论者——他们不在乎自己入侵了哪家公司；相反，他们被任何获取、破坏或其他黑客目标的机会所吸引。LetZYbe largeXYrandom，并做出收敛到极限分布的非常弱的假设]^ ^ ^ ^ ` a！A、 *bAc）%（）A\'d）e f d.（Hill 1974）建立在（Simon1955、Mandelbrot 1960、Mandelbrot 1965）和（Hill 1970）早期工作的基础上，表明如果安全漏洞数量的秩频分布！h、 对于#[\\公司的系统，遵循BoseEinstein的ZyWealth（美元）分配，ZyWealth（美元）是通过xyHacking attemptheng！h.i#j！klm.for3no Fkc从公司提取的。这称为Zipf分布，具有质量函数（和频率）@荷兰皇家航空！#。F#j！荷兰皇家航空公司。p！#。qwherep！#.）是Reimann的zeta ando rsdtuv。在ourdatasetW F NNwx）中，纽约证券交易所+纳斯达克上市公司和388家违反数据的公司中，XYzYFR3N）发生在184家纽约证券交易所+纳斯达克上市公司中（2005年至2015年期间为0亿美元）。！32！表12:frequencies@klm!#.我#j！荷兰皇家航空公司。CARDDISCHACKINSDPHYSPORTSTATUNKN{（<97%<$）>@）o2.00083.96564.41533.55132.44044.39131.93812.17755$（（9>？）{（<97%<>#-1.0008-2.9656-3.4153-2.5513-1.4404-3.3913-0.9381-1.1775+<；4{>#0.06640.10840.12710.09900.07780.12550.06450.0713<2}%：=$-15.0800-27.3500-26.8600-25.7640-18.5200-27.0200-14.5500-16.504038600 7.06%65.96%65.15%63.23%47.06%65.41%35.43%41.37%a 2（<%<{）！；%Q（）“$<~$？）”#$%&\'. #9|\'< 2 <%9:)>?:Q132034773228969191182524341336612697表12显示了将我们的违约数据集与入住率模型拟合的结果。所有的回归都是显著的。0001显著性水平，尽管我们的数据有三个限制：1。

工业！来源！建议那个安全违规行为！是非常少报！通过因素！正在更改！从…起3.到30!（Menn！2012，！Symantic！2016）。！！！！2、违约！计数！是整数和因此这个估计！不断的曲线是一近似值。！3、全部！但是184!(4.6%)!属于这个3398!上市的公司！报道！零违规行为！在里面这个研究时期这些清晰地代表这个范围哪里g！h、 o3！自从违反计数！是整数。！我们排名频率排序的右尾没有报告违规，这并不意味着这些公司不会面临安全违规的威胁。相反，右尾的违约概率反映了所有公司都面临着普遍的低水平背景威胁（因为没有达到要求的公司无法排名），这些应与软件测试中所谓的5000年错误（Adams 1980）类似对待。从我们的角度来看，处于右尾的公司没有银行评级，而且完全相同，因此面临着一个统一的背景违约概率，该概率非常低，但不是零。经验系数在文献中有各种解释，这取决于您使用的模型；例如（Mandelbrot 1960，Mandelbrot 1965）认为，这些代表了系统熵的一部分，可以使用分形建模。进一步修饰这样的叙述超出了本研究的范围，我们只需假设o）的值描述了行业范围内安全性的某个工件或度量。！33!子午阶频率分布为厚尾分布；对于较大的r，其概率密度函数是成比例的，且累积尾部分布不收敛。

在我们的例子中，尾部是右界的#F nnwx4，右尾部单个公司的违约概率是y#j！吉隆坡h…k+y#j！吉隆坡fh···································！^‰S.<<OEZ^o）k“”（欧元小时“）o）”（46+–EUR“\'“EURhSyh！^‰媫OEooZ^o-单个违约类型的平均失效时间为6至36年，所有类型的违约时间加起来都超过5个月。这比危险结构模型预计的5.6年更频繁，但通过更广泛的数据收集，可以获得更可靠的估计，我们认为这一估计是现实的。”职业系统结构模型的tic。这种在软件领域发生的故障被虚构地称为5000个错误，并在中进行了研究（Boehm、Clark等人，1995年，Westland 2000年，Westland 2002年，Westland 2004年）。！36!在任何给定时间发生违约的可能性都很小，由于公司数量足够多，可以预计每年在所有公司中都会出现许多失败，因此整个行业的违约风险是巨大的。如果您同意仅报告330%的违规行为的估计，则情况会更糟，因此在我们的数据集中。这个\"##$%&#\' ()*$*+）*+，）在所有回归中仅为弱显著或不显著。对于95.4%没有公开报告违规行为的上市公司，占用结构模型并没有提供人们所希望的新信息。占用结构模型可用于未来全套上市公司和SOX认证公司的违约概率估计，但我们需要大量关于发生违约的信息，才能成功使用此类模型进行推断。因果方向（反事实）上一节测试了SOX 302和404证明中的管理和审计例外是否会影响安全违规的概率。

支持-。和拒绝#-“和-/#证明来自SOX审计的负面公开意见和较低的审计费用与安全违规事件的增加相关。我们的工作假设是，审计意见的广泛性为公司内部控制系统的变化提供了详细的指导，这将降低其未来发生安全违规的可能性。为了验证这一原因，我们hain：$&012）1#3&+*#45+%+4%#6+75240171%*）#+%\\35; 89#6：4；12#2+)<#4=#>21$,?为了验证这一点，我们构建了待测试的反事实假设（被推翻）：@：在发生证券违约后的几年内，将出现更高的累积异常SOX指标，这表明证券违约促使审计师和管理层对公司的内部控制持反对意见。为了确定“发生”因果关系，我们测试了反事实#ABCDE>21美元#4、321%、1Fi。e、 使用WelchTwo样本t检验（表3），安全漏洞的发生是否会影响SOX 302和404指标。为了建立“时间”因果关系，我们测试了反事实CDE>21美元#&$*1关于以下最大注册公司的213起违规事件！37!（MacKinlay 1997）事件研究分析流程。纽约证券交易所和纳斯达克公司共记录了213起违规“事件”（G>HIJK#LK#M#>HIJNKO#LNKOPat timesA）。M） “/对于股票代码集为G*+、QKM*+、QNKOPRA*+、.M*+、SF的公司，对于每个违约事件>HIJTU#LUwe定义的任何特定SOX 302或404指标（即数据集中的一列）的时段G和VWXYLU#和Vzlylup，我们将有任何SOX指标###[\\IH]^i#H#的市场预期（平均）值和公司+时间*的异常回报。”还有metrica！i\\u HRbcdeUfg#H^i\\u HRbcdeUfg#(##[\\IH]^I\\u H`与9A！I\\u bcdeUfghia！I\\u H\\HRbcdeUfg。

2007年至2014年期间发生的安全违规事件werechosen，允许双方在两年内包含我们研究数据集中的完整数据系列。评估事件的影响需要衡量异常回报。异常回报是指资产在事件窗口上的实际事后回报减去资产在事件窗口上的正常回报。我们使用了一个常数平均回报模型，正常回报被定义为以事件为条件的预期回报。对于公司+和事件日期*而言，异常回报率为isa！哎哟！IH（[]！IHEDH`]j `其中！IH！IH和[]！IHEDH`分别是时间段*的异常实际回报和正常回报。dh是正常回报模型中的条件信息，回报是从数据集值计算出来的（此处指定为与事件研究符号一致）。！在目前的研究中，我们的数据是分类的，我们可以在没有信息丢失的情况下设置！IHo kIHsince所有的kihramnf。此类数据的异常回报模拟值是！IHh kIH（[\\IH]kIH`]p`累计异常回报率为：9a！IVXWIZbhqa！IH\\HRVXWIZb]r`其中512+4是活动前或活动后的2年窗口。！38!图4：异常回报计算的概念示意图由于本研究涉及年度时间序列，基于股价的事件研究中通常使用的120天周期太短。相反，我们将假定活动前后的窗口为两年宽；我们将假设事件本身周围没有条件窗口（股票价格事件研究可能就是这种情况）。

安全漏洞事件选自2007年至2014年期间，允许双方在两年内包含ourresearch数据集的完整数据系列。表15：发生反事实：Welch两样本t检验比较关键SOX指标估计期内有无违约的公司Welch t-statWelch-Satterthwaite DFp-value95%置信度IntervalIS\\u EFFECTIVE-0.602336.5400.548-0.0260.014MATERIAL\\u weakness 1.056336.7200.292-0.0090.029SIG\\u defective-1.285336.0600.200-0.0530.011AUDITOR\\u agreements-0.08989.3720.929-0.0990.090 Combined\\u IC\\u OP-0.227122.4900.821-0.0690.055IC\\u IS\\u EFFECTIVE0.308366.4500.758-0.0180.024AUDIT\\U FEES-6.400122.0600.000-13851669-7306656表16：时间反事实：韦尔奇两个样本的CAR前后t检验关键SOX指标违约事件Welch t-statWelch-Satterthwaite DFp-Value 95%置信度IntervalIS\\u EFFECTIVE-0.720230.6830.212-0.0110.004MATERIAL\\u weakness 1.09571.6410.298-0.0030.029SIG\\u defective-0.101652.1460.328-0.1030.021 auditor\\u agreement-0.007113.9271.247-0.1740.079 combined\\u IC\\u OP-0.129190.5680.110-0.0180.078IC\\u IS\\u EFFECTIVE0.329394.5941.142-0.0190.038ic\\u AUDIT\\U FEES-12.445187.3580.000-13692930.748-66609.057表15和表16提供了Welch双样本t检验的结果，这是比较两个独立组的平均值最合适的测试，从方差未知且样本方差不均匀的两个群体中提取。不幸的是，所有的公司！39!审计师的SOX证明p值相当高，我们无法区分这两组的平均值。除了与审计费用有关的情况外，因果关系的方向在所有情况下都是模棱两可的。图5显示了随时间推移向客户收取的审计和非审计费用平均值的一致性。

从2003年到2007年左右，由于SOX合规工作，审计费用（黑色）大幅上升，但在2008年经济衰退后回落并下降。这就产生了一种情况，即审计费用在违约前和违约后的累积平均回报是不同的。图5：数据集中各公司审计费用（黑色）与其他费用（灰色）的趋势t9！结论和讨论公司在SOX合规方面的投资在识别和消除违规威胁方面有多有效？为此，我们在本文中调查了公司系统的违规行为，以确定SOX评估是否与公司的安全漏洞和安全违规历史相关。SOX专注于公司的内部控制及其遭受外部行为者系统入侵的可能性，这可能会导致重大损失和误报。！40!我们调查了-。《SOX 302报告》中公布的管理层认证中，外部审计师的成本高昂且有争议的SOX 404认证工作是否提供了未提供的信息。我们发现，公司平均证明SOX 302报告中的内部控制有效性是SOX 404报告的六倍，而手动和自动系统的报告都是如此。没有证据表明向该公司收取的任何费用影响了审计师的意见——我们验证了SOX审计师的独立性。在手动和自动系统中，公司自我报告的“重大缺陷”与大约80%的SOX 404阴性对照评估相关，而自我报告的“重大缺陷”仅出现在大约1-2%的SOX 404阴性对照评估中。这表明，管理层自我报告的“重大缺陷”是审计师发现的控制问题的重要指标，而重大缺陷则不是。

我们的发现有力地支持了这一假设。SOX 404测试为自我报告的SOX 302认证添加了新信息，并表明SOX 404审计虽然受到管理层自我报告的“重大弱点”的影响，但也为投资者提供了利益相关者无法获得的信息。假设-“测试了外部审计师在其SOX 404程序中是否调查了相同的系统控制缺陷，并发现了与管理层和内部审计师在其SOX 302程序中相同类型的问题。补充假设-。我们不仅想知道外部审计师是否提供了额外信息，还想知道他们是否正在搜索相同的控制集管理层SOX 302认证的rol弱点。在手动和自动系统的报告中，估计数表明，公司平均证明，内部控制有效性是SOX 302报告的三分之一到一半，是inSOX 404报告的三分之一到一半。总体而言，与SOX 404审计师相比，公司似乎对内部控制缺陷更加警惕和怀疑。管理层和内部审计师可能有更多关于控制缺陷的信息，因为他们全年都在审计公司，而不是SOX404团队的年度审计。SOX 302“控制有效”和“重大弱点”估计值的幅度变化以及“重大弱点”估计值中的符号反转使我们拒绝-”。从“重大弱点”估计值的面板回归结果中的符号反转表明，不存在“重大弱点”一般而言，管理层在第302号报告中自我报告的SOX 404阴性对照评估的发生率显著较高。这与之前的研究结果一致（Benoit 2006，Bedard，！41！Hoitash et al。

2009年）管理层对评估SOX302下自我报告中反映的内部控制有效性过于自信，其中90%的404节控制无效的公司在报告不利404节的同一时期结束时仍然自我报告有效302控制。我们拒绝了“并发现管理层和审计师在任何时候都不能就基本的内部控制情况达成一致；相反，SOX 404团队可能会发现重大弱点并“教育”管理层和内部审计团队了解这些控制缺陷的重要性。到目前为止，我们的测试表明，违规行为的发生仅受规模的微弱影响，内部控制的强度可能是公司在一段时间内发生abreach的一个重要因素。我们还得出结论，SOX 404审计师保持其独立性符合公认审计准则（GAAS）。随着对规模和审计师独立性等潜在混杂因素的调查有效完成，我们可以继续测试我们的主要假设。我们发现，与管理层（SOX 302）的评估相比，SOX 404 Audits在识别未来安全漏洞方面提供了更大的预测能力，这与之前的研究结果一致（Benoit2006，Bedard，Hoitash et al.2009，Rice and Weber 2012，Rice，Weber et al.2014）。SOXattestations在识别可能导致意外披露（DISC）、物理损失（Phy）、黑客和恶意软件（HACK）、固定设备（STAT）以及违规原因未知的情况（UNKN）的控制弱点方面表现不佳，这表明目前公司内外的SOX审计实践在控制这些威胁方面提供的有用信息很少。

SOX 404在100%的信用卡（card）数据泄露和大约33%的内部人员（INSD）泄露中，都发生了关于控制有效性的不利决策。但SOX 404审计对88%的便携式（端口）设备违反控制的情况给出了“有效”的控制决策，表明员工使用可在公司物理边界外携带的便携式设备颠覆了特别严格的内部控制，而且可以比公司直接控制的设备更自由地使用。此外，SOX的审计人员没有发现这些对内部控制的颠覆。假设——检验了卢卡斯批判（Lucas 1976）中推荐的结构模型是否可以通过假设一个潜在的生成模型来扩展我们从相对有限的违约数据得出的推论。我们构建了两个模型：（1）危险结构模型和（2）占用！42!结构模型。危险模型提供了具体的管理政策建议，尤其是在管理层知道违约的预期成本的情况下。我们发现，当SOX 302控制措施有效时，违规行为预计减少2.88%；经营“重大缺陷”证明在此结构模型中未提供任何信息，而当存在重大缺陷时，违约发生率将增加约1%。最后，SOX 404证明是最具信息量的证明，预计负面SOX 404证明将使违约频率增加约8.5%。危险结构模型具有很强的提示性，但是，在进一步研究该模型之前，还需要特定类型违约级别的额外数据。不幸的是，占用率模型没有那么成功，尽管它有一个更雄心勃勃的目标，即提供所有上市公司的预测。

占用率模型的平均失效时间与危害模型的平均失效时间一致，我们认为，通过更广泛的数据收集，可以获得更稳健的估计。我们认为我们的估计是现实的，但我们目前的入住率结构模型数据集支持不足。我们相信，有了更多关于破坏的信息，这些模型有望在未来成功地进行结构建模。最后，我们的因果关系假设（反事实）产生了模棱两可的结果，我们无法确定因果关系的方向。我们发现的唯一影响是审计费用，由于SOX合规工作，审计费用从2003年大幅上升至2007年左右，但在2008年经济衰退后有所下降；这些影响是由我们研究的外部因素驱动的。这造成了这样一种情况，即审计费用在违约前后的累积平均回报率不同，但没有明确指出因果关系。这项研究深入了解了SOX 404和302认证在管理企业面临的日益复杂的内部控制环境方面的价值。SOX 404程序成本高昂且有争议，但我们提供的证据表明，即使在有限的安全违规领域（仅为SOX认证工作的一小部分），外部和内部SOX审计也提供了公司和监管组织无法获得的重要信息。正如所有实证安全研究一样，网络犯罪是一种低风险高回报的职业，这一事实阻碍了我们的研究。行业估计表明，在我们的研究数据集（Menn 2012）中，只有3%至30%的违规行为是公开报告的，公司通常不会报告违规行为，因为它们可能向客户和投资者表明缺乏内部控制。

最好的黑客可能是国家！43!赞助的安全专业人员，使用当前技术无法检测到的方法，可以破坏内部控制并危及资产而不被检测到。银行和保险公司等金融机构尤其如此，它们可以避免公众对面向客户的零售和互联网公司的审查。通过巧妙地利用现有违约数据构建结构模型，并进行更有力的测试，我们相信可以克服控制违约实证研究中的这些局限性。参考Adams，E.（1980）。最小化软件缺陷的成本影响，IBM Thomas J.Watson ResearchDivision。AICPA（2002年）。AU第316节，财务报表审计中的欺诈考虑，来源：SAS第99号；SAS编号113。Amati，G.和C.J.Van Rijsbergen（2002年）。“基于测量随机性差异的信息检索概率模型。”ACM信息系统交易（TOIS）20（4）：357-389。Ashbaugh Skaife，H.等人（2008年）。“SOX内部控制缺陷及其对应计质量的影响。”会计审查83（1）：217-250。Ashbaugh Skaife，H.等人（2007年）。“内部控制缺陷的发现和报告，尤其是SOX授权的审计。”会计与经济杂志44（1）：166-192。贝达德、J.C.和L.格雷厄姆（2011）。“萨班斯-奥克斯利法案第404节内部控制缺陷的检测和严重性分类。”会计审查86（3）：825-855。Bedard，J.C.等人（2009年）。“美国关于审计师参与评估财务报告内部控制效果的证据。”《国际审计杂志》13（2）：105125。Benoit，L.a.（2006年）。

“缩小萨班斯-奥克斯利法案披露控制差距。”fromhttp://www.section404.org/UserFiles/File/Lord_Benoit_Report_1_Bridging_the_Disclosure_Control_Gap.pdf.Bianconi，G.和A.-L.Barabási（2001年）。“复杂网络中的玻色-爱因斯坦凝聚。”物理复习信函86（24）：5632。Boehm，B.等人（1995年）。“未来软件生命周期过程的成本模型：COCOMO 2.0。”软件工程年鉴1（1）：57-94。Bouchaud，J.-P.和M.Mézard（2000年）。“简单经济模型中的财富凝聚。”物理学A：统计力学及其应用282（3）：536-545。Bratton，W.W.（2003）。“安然、萨班斯-奥克斯利法案和会计：规则vs原则vs！44！租金。”维拉诺瓦法律评论48（4）：1023。Cheffers，M.、D Whalen，M Thrun（2012年）。SOX 404仪表板：第6年更新。Worcester MA，审计分析。Coates，J.C.（2007）。“萨班斯-奥克斯利法案的目标和承诺。”《经济展望杂志》21（1）：91-116。德鲁，K.a.D.a.（2012年7月30日）。“分析：十年过去了，萨班斯-奥克斯利法案有效吗？”路透社。2016年8月1日检索自http://www.reuters.com/article/us-financialsarbox-idUSBRE86Q1BY20120730.Engel，E.，等人（2007年）。“萨班斯-奥克斯利法案和公司的私有化决策。”《会计和经济学杂志》44（1）：116-145。FEI（2007）。“FEI调查：2007年SOX合规平均成本为170万美元。”2016年8月10日检索自http://www.financialexecutives.org/KenticoCMS/News---Publications/PressRoom/2008-press-releases/FEI-Survey--Average-2007-SOX-Compliance-Cost-$1-7-.aspx axzz4GwRYv3sa。Feng，M.，等人（2009年）。“内部控制和管理指导。”会计与经济杂志48（2）：190-209。FEP（2010年）。自由进入。基金诉Pub。公司会计监督Bd.，561美国477，130 S.Ct。3138177 L.Ed.2d 706（2010年）。Ge，W.等人（2016年）。

“第404（b）节豁免的成本和收益：来自小公司内部控制披露的证据。”Ge，W.等人（2016年）。“第404（b）节豁免的成本和收益：来自小公司内部控制披露的证据。”SSRN 2405187提供。Hill，B.M.（1970年）。“齐普夫定律和人口组成的先验分布。”《美国统计协会杂志》65（331）：1220-1232。Hill，B.M.（1974）。“齐夫定律的秩频率形式。”《美国统计协会杂志》69（348）：1017-1026。Kang，Q.等人（2010年）。“萨班斯-奥克斯利法案与公司投资：结构评估。”《金融经济学杂志》96（2）：291-305。Kürten，K.和F.Kusmartsev（2011年）。“自由市场经济中的Bose-Einstein货币分配。II。”EPL（欧洲物理学通讯）93（2）：28003。Lewis，J.和S.Baker（2013年）。“网络犯罪和网络间谍的经济影响。”华盛顿特区战略与国际研究中心：103-117。Lin，S.等人（2011年）。“内部审计职能部门在披露重大缺陷方面的作用。”会计审查86（1）：287-323。Lucas，R.E.（1976）。计量经济政策评估：批判。卡内基-罗切斯特公共政策系列会议，北荷兰。MacKinlay，A.C.（1997）。“经济和金融事件研究”《经济文献杂志》35（1）：13-39。！45!Mandelbrot，B.（1960年）。“帕累托征税法和收入分配。”《国际经济评论》1（2）：79-106。Mandelbrot，B.（1965年）。“一类长尾概率分布和城市规模的经验分布。”行为科学中的数学探索13:322。Menn，J.（2012）。“被黑客攻击的公司仍然没有告诉投资者。”路透社。Mezard，M.和A.Montanari（2009年）。信息、物理和计算，牛津大学出版社。Pascual Leone，J.（1970年）。

“皮亚杰发展阶段过渡规则的数学模型。”心理学报32:301-345。Rice，S.C.和D.P.Weber（2012年）。“根据SOX 404，内部控制报告的有效性如何？现有重大缺陷（未）披露的决定因素。”《会计杂志》研究50（3）：811-843。Rice，S.C.等人（2014年）。“SOX 404有牙齿吗？未能报告现有内部控制缺陷的后果。”会计审查90（3）：1169-1200。Romano，R.（2004年）。“萨班斯-奥克斯利法案和庸医公司治理的制定。”Shang，S.和J.Wooldridge（2016）。“关于估计重译后的部分效应。”Simon，H.A.（1955年）。“关于一类斜分布函数。”Biometrika 42（3/4）：425-440。Symantic（2016）。“Internet安全威胁报告。”fromhttps://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf.Weiss，H.和V.Weiss（2003年）。“中庸之道是脑电波的时钟周期。”混沌、孤子与分形18（4）：643-652。Westland，J.C.（2000年）。“研究报告：建模软件发布后错误的发生率。”信息系统研究11（3）：320-324。Westland，J.C.（2002年）。“软件开发中错误的代价：来自行业的证据。”《系统与软件杂志》62（1）：1-9。Westland，J.C.（2004）。“软件缺陷的成本行为。”决策支持系统37（2）：229-238。Wooldridge，J.M.（2010）。横截面和面板数据的计量经济学分析，第2版，MITPress，第10.5.3章。Wooldridge，J.M.（2016）。《计量经济学导论：现代方法》，第6版，CengageLearning，波士顿，sec。7-2，第206-211页。Xu，J.（2015）。“经济系统中的玻色-爱因斯坦凝聚机制。”EPL（欧洲物理学家）110（5）：58002。