盧葳葳、黃俊仁

　　臺大會計系於5月22日的Workshop，非常榮幸邀請到Alvarez College of Business的教授K. K. Raman發表他的論文：Do Auditors Price Customer Protection Disclosure Mandates? Evidence From Data Breach Disclosure Laws，探討「美國各州陸續頒布之客戶資料外洩揭露法（Data Breach Disclosure Laws）」有關的問題：是否該類消費者保護法令在保護客戶的同時，也對公司本身的資訊系統與審計市場造成外部性影響？尤其是，當公司所處州政府規定若發生客戶個資外洩，必須及時通知受影響客戶，會否因此「間接地」激勵公司加強資訊安全投資或內控，使公司在外部審計面上能夠展現較低之審計風險並反映在「較低的審計費用」？

　　作者採用 Difference-in-Differences (DID) 架構：透過各州在 2002–2018 年間分散通過外洩揭露法並簽署生效之時間差，來比較「頒布前後」與「受影響州與未受影響州」之公司審計費用變化。實證資料包含 Audit Analytics 與 Compustat，涵蓋約 4,374 家美國上市公司、37,422 筆公司年度觀察。研究結果顯示，審計費用在法令通過後顯著下降，幅度約 4–5% 左右，表示公司似乎因法案而實際加強資安與內部控制，降低了會計師業務風險。更發現 (a) 企業被發現重大內控缺失 (MICW) 的機率、與 (b) 財務報表重編（restatements）機率，皆一起降低。另外，公司佈局方面，也出現更高比例任用「Chief IT Officer」等資訊安全相關主管進入高階管理團隊。當進一步以「Big 4 vs. 非 Big 4」區分時，發現此效果在 Big 4 樣本上更顯著；且企業位於「低社會資本地區」或「財務困境較嚴重」的公司上更強烈。

　　整體而言，本研究顯示：州層級的客戶保護揭露法確實對公司 IT 控制與審計風險帶來重大影響，並且以降低審計師對於客戶整體承做風險的評估為基礎，進一步反映在審計訂價的顯著下降。這樣的結果，不僅在學術上豐富了有關「政策介入如何改變公司內部行為」的文獻，也對審計與資安交織的實務運作提出了具體證據。它並未只把資安/IT 風險視為一個「外部市場觀點」，而是放在審計實務與內控範疇中，更完整呈現了在資訊科技與公司財報監管之間的互動機制。這種做法有助於瞭解，當公司擔心外在聲譽傷害導致連帶影響時，他們會自發性地投入資安建設，也能改善內控；而會計師，身為「把關者」與「聲譽利害關係人」，同樣會預期到並調整其審計定價。提供一個政策制定在市場中產生綜效的最佳詮釋。