Lei Sarbanes-Oxley é uma reação da legislação americana aos escândalos financeiros da Enron, WorldCom, entre outros. Foi promulgada em janeiro de 2002, nos Estados Unidos.
Esta lei estabelece regras para Governança Corporativa relativas à divulgação e à emissão de relatórios financeiros.
O objetivo da Lei é:
Coibir abusos, ampliando exigências de governança corporativa;
Implementar mudanças efetivas e sustentáveis para recuperar a confiança dos investidores no mercado de capitais;
Aumentar a transparência das informações geradas pelas empresas e instituições do mercado de capitais (os investidores preocupam-se com a forma como seus investimentos são gerenciados e como são protegidos);
Desencorajar afirmações dos executivos de que "não tinham conhecimento" das atividades duvidosas praticadas por suas companhias, tais como:
- Participações não registradas nos livros,
- Reconhecimento de receitas impróprias,
- Outras falhas de controle interno.

Diante deste cenário, a ação da TI é de fundamental importância nesse processo. É a área responsável pelo controle, segurança da informação e sistemas. Portanto, deverá estar alinhada na adequação desta Lei para garantir às regras de transparência fiscal e financeira. A seção 404 da Lei Sarbanes-Oxley aborda os impactos diante da área de tecnologia. Porém para atender os controles das demandas voltadas a SOX, a TI deverá utilizar frameworks nacionais e internacionais, tais como:
01. DRI – plano de continuidade de negócios (PCN)
02. CobiT – governança em TI
03. ITIL
– gestão de serviços de TI
04. CMM
– gestão para o desenvolvimento de software
05. ISO
149977 (BS-7799) – gestão de segurança da informação/PSI

É necessário analisar, modificar, implantar e assegurar uma cultura de controles internos (se necessário, redesenhar processos de controles) a fim de assegurar a confiabilidade das informações, realizar diagnósticos de compliance, eliminar processos redundantes, gerar a confiabilidade de sistemas e