研究者：Larry Gordon 和Martin Loeb


在二十世纪九十年代后期，一连串的财务丑闻震动了整个企业界，最终导致涉案数名高管获刑入狱以及美国八大会计师事务所之一败落出局。与之相应，政府通过了《萨班斯-奥克斯利法案》(也即《2002公众公司会计改革和投资者保护法案》,简称SOX)。进一步严格了监管力度和企业财务报告的责任。根据史密斯商学院最近的一项研究，《萨班斯-奥克斯利法案》的通过无意之中也带来了一个副作用，也就是越来越多的企业主动公开了自己的信息安全措施。

《萨班斯-奥克斯利法案》(SOX) 的第302节和404节要求公开上市企业的首席执行官和首席财务官，要明确地保证并负责在企业内建立和维护充分的汇报系统和适当的内部监管系统。《萨班斯-奥克斯利法案》(SOX) 赋予了美国证券交易委员会(SEC) 制定规则的责任，在第404节的规定之下，企业必须遵守并服从内部监管报告。

参与研究的有：史密斯商学院管理财务学与信息保障专业Ernst & Young Alumni教授Lawrence A. Gordon 、担任Deloitte & Touche院士和财务与信息保障专业的教授Martin P. Loeb、来自马里兰大学的William Lucshyn、和来自位于马德里的西班牙皇家研究院06届博士毕业生Tashfeen Sohail。他们的合著论文显示：所有这些法规已经间接地导致了主动公开信息安全活动的增加。他们的研究首次揭示了《萨班斯-奥克斯利法案》(SOX) 影响企业主动公开信息安全活动的经验证据；以及由于《萨班斯-奥克斯利法案》(SOX) 的通过，企业信息安全活动更加得到企业高层领导重视的间接证据。

研究对比了从2000年到2004年向美国证券交易委员会（SEC）提交备案企业的频率，包括执行《萨班斯-奥克斯利法案》（SOX）的大型企业、中小型企业和外资注册企业。Gordon教授与 Loeb教授, Lucyshyn先生 和 Sohail博士一道，观察了这个五年阶段超过27000家企业，并且通过记录企业的首次数据差别来总结规律。他们发现《萨班斯-奥克斯利法案》（SOX）通过之后，企业信息安全活动方面的报告增加超过了100%。

美国证券交易委员会（SEC）颁布的规定中明确要求企业内部监管系统必须有能力保护公司财产，包括信息资产的安全。在它没有对报告信息安全活动做出具体要求时，大多数公司似乎认为这是《萨班斯-奥克斯利法案》（SOX）的默许。

如果不是正式要求，那么为什么企业公开信息安全活动的报告与日俱增呢？也许是由于企业对自己的信息安全活动更加警惕，因此就对此类活动投入了更多精力；或者是由于《萨班斯-奥克斯利法案》（SOX）要求企业采用复杂精准的电脑系统来管理用于报告的必要信息，从而导致企业增加了信息安全活动。这些活动报告包括信息安全漏洞以及企业保护信息资产安全所采取的步骤。

Loeb教授说：“企业将报告安全漏洞视为一种积极措施，因为企业认识到安全漏洞的信息早晚也会被公开，因此公开问题和解决方案也许是企业应对安全漏洞所带来的负面影响的方式。”

实际上，企业主动公开有关信息安全方面的信息并不意味着企业提高了自身安全活动的等级。Gordon教授认为公开信息安全活动的增加是企业以自己的方式显示其与信息安全联系的重要性，不过他警告说：许多企业也许在信息安全领域的投入并不充分。Gordon教授说：“我认为企业目前已经认识到了信息安全是个重大问题，但是要真正重视信息安全，企业就应该从IT预算中划拨更多的比例用于信息安全活动。但是从总体来看，企业目前并没有按照信息安全重要性的增幅对信息安全活动的经费给与相应的增长。”

Gordon 和Loeb教授还认为：对于许多企业来说，在这类主动公开信息安全活动中，存在着一个可衡量的市场价值，这也是今后将要研究的论文课题。

《萨班斯-奥克斯利法案对于企业公开信息安全活动的影响》一文发表在《金融与公共政策期刊》上。欲了解详情，敬请通过电子邮件联系lgordon@rhsmith.umd.edu 或mloeb@rhsmith.umd.edu.