پیروی از قانون Sarbanes-Oxley (SOX) در شناسایی و از بین بردن تهدیدهای شرکت در برابر نقض سیستم های اطلاعاتی چقدر مؤثر است؟ ما نقض امنیت عمومی کنترلهای داخلی در سیستمهای شرکتی را بررسی کردیم که آیا ارزیابی های SOX اطلاعاتی در رابطه با تخلفات هستند که می تواند منجر به خسارات و سوء رفتارهای قابل ملاحظه شود. نتایج آزمایشهای ما بین انواع نقض تفاوت معنی داری داشت. SOX بخش ۴۰۴ تصمیمات منفی در مورد اثربخشی کنترلها در ۱۰۰٪ موارد نقض اطلاعات کارت اعتباری و حدود ۳۳٪ موارد نقض خودی رخ داده است. ممیزی SOX 404 تصمیم کنترل “مؤثر” متضاد در ۸۸٪ از مواردی که یک نقض کنترل در مورد یک دستگاه قابل حمل وجود داشته باشد ارائه کرده است. این امر نشان می دهد که کارکنان با استفاده از دستگاههای قابل حمل که می توانند در خارج از مرزهای فیزیکی بنگاه انجام شوند ، کنترلهای داخلی را به شدت سخت می گیرند. ما دریافتیم که حسابرسان مدیریت و SOX 404 به طور کلی در مورد شرایط کنترل داخلی اساسی در هر زمان موافق نیستند. در عوض ، حسابرسان SOX 404 احتمالاً نقاط ضعف مواد را کشف می کردند و تیم های مدیریت و حسابرسی داخلی را در مورد اهمیت این ضعف های کنترل “آموزش” می دادند. گواهی های SOX در شناسایی نقاط ضعف کنترل از افشای ناخواسته ، خسارات جسمی ، هک و بدافزار ، دستگاه های ثابت و موقعیت هایی که علت این نقض ناشناخته بود ضعیف بودند. مدل های ساختاری خطر و اشغال برای برون یابی به جمعیت بیشتری ساخته شد. نتایج نشان داد که هر دو حسابرسی SOX 302 و ۴۰۴ ، اطلاعات مربوط به فراوانی تخلفات را ارائه می دهند ، در حالی که SOX 404 سه برابر اطلاعات بخش گزارش ۳۰۲ است. هنگامی که کنترل SOX 302 مؤثر بود ، مدل خطر ۲٫۸۸٪ کاهش تخلف را نشان داد. تأییدیه های “ضعف مادی” مدیریت هیچ اطلاعاتی را در این مدل ساختاری ارائه نکرده است ، در حالی که در صورت وجود نواقص قابل توجه ، حدود ۱٪ در بروز نقض وجود خواهد داشت. گواهینامه SOX 404 آموزنده ترین بود. تصدیق منفی SOX 404 پیش بینی شده است که فرکانس تخلفات را حدود ۸٫۵٪ افزایش دهد. نتیجه گرفتیم که قدرت کنترل های داخلی اثبات شده در گزارش های SOX احتمالاً عامل مهمی در بروز نقض امنیت در یک دوره خاص است.