John Cox非常看好他的公司为Sarbanes-Oxley法案所做的努力，在他看来，他们所做的准备工作很全面，一定能为他们带来财务上的收益。

　　“我认为，遵循Sarbanes-Oxley规范的过程不是一个财务上的训练，而是对文化的冲击，”Cox说道，“如果公司在经过调整后效率无法提高，那我们很难从中得到收益。”Cox是BMC软件公司的首席会计师。

　　Cox特别希望通过强有力的审计与内部控制来找出存在问题的商业流程。他说：“我们想发现低效率的商业流程，这样能帮我们节省很多费用。”

　　Sarbanes-Oxley法案对公司财务与公司管理提出了非常严格的要求。这部被被很多人视作近十年来最严厉的法案规定，CEO们必须亲自证明财务报表与其他信息的有效性，否则将会面临惩罚，轻则罚款，重则面临牢狱之灾。

　　公司还必须将内部控制建立在数据的基础上——信息是如何存储、如何使用以及如何保护的——而且每年都要通过独立审计师的审计。

　　据金融执行官国际有限公司称，每年的审计费用已成为公司的巨大开销之一，仅2004年审计费用就增长了35%。

　　实际上，数据的真实性已经成为近年美国针对公司立法的重点。美国健康保险便利及责任法案（HIPAA）要求卫生保健公司遵循特定的标准来保证敏感病人的数据。另外一步法案，即Gramm-Leach-Bliley法案，规定金融公司如何处理个人客户的私人信息。

　　众多的标准和法案迫使美国公司改变他们的商业流程，对于那些业务扩展到海外的公司而言， 这个问题更加恼人。总部设在美国的公司必须做到其所有的海外分部都遵从联邦标准。但对海外供货商或商业合作伙伴来说，适应法案和标准的过程将更加复杂，尤其是具有惩罚性的Sarbanes-Oxley。

　　“供应商是否要与你遵守同样的要求取决于他们个人，”Peter Gerr说，“并没有国际性的组织或方法来迫使供应链中的多个组织遵循同一项法令。”Peter是企业战略组织的分析师。

　　HIPAA规定美国医疗保健公司必须保证其所有的海外供货商都用同样的内部控制方式来处理敏感病人的数据，包括如何共享、获取以及保护信息。这些海外供货商包括印度的数据处理中心和其他海外地点。

　　Scott Nathan是一名数据安全方面的律师，他表示，当供货商或合作伙伴不符合要求时，“最重要的是要保证你的权利能以有效的方式得到申诉。”

　　同时，美国公司不能声称自己不知海外供货商如何处理重要数据。Barry  Lurie说：“仅仅说‘我已经将一切都外包了，因此我不用承担任何责任。’是绝对不够的。你要能保证从第三方供货商那里得到的数据经过了适当的数据控制，尤其当这些数据将出现在你的资产负债表中的时候。”

　　更加严格的管理与会计流程也耗费了公司很多财力与时间。据Gartner的报道，平均看来，美国公司将IT预算的3.3%用于筹划如何遵守新的法案。

　　想从遵守法案中得到收益的公司在培训上下了很大功夫。主要是将钱花在培训员工上，告诉他们新的标准，并且告诉他们为什么遵循这个标准是重要的。在培训上多投资能使员工更好的理解公司的商业流程，当审计员问他们问题的时候，这一点将给你们很大的帮助。但重新设计商业流程不是很难，难的是让所有的员工都遵守它。