萨氏法案和其后SEC的一系列法规制定措施给公司治理、财务报告披露和审计独立带来了深远的影响。特别需要关注的是，在302和404章的要求下，企业需要就其内部控制环境的状况进行持续、可靠地披露。企业外部审计师同时需要就内部控制有效性提供年度审计意见。

　　尽管守法行为乍看上去是一个财务和审计方面的问题，而不是一个信息系统问题，但理解信息技术在企业达成其守法目标的过程中所起的作用是非常重要的。毕竟萨氏法案的核心就是要保证为编制和记录财务披露信息而制定的内部控制措施的有效性。而在现下，又有哪个企业不是依靠信息技术来处理、编辑和管理信息的呢？

　　企业为保证对萨氏法案的遵守，需要采取的关键行动有：

　　以系统的、结构化的方式记录所有流程、政策、风险领域、控制以及目标。有关流程和控制的文档必须提供给企业所有相关员工。

　　监控企业控制环境，这包括包括确认财务系统的系统控制和在出现违反控制的行为后的补救措施。

　　内部控制评估是一个由企业管理层评价每个实体和流程完善性的程序。

　　控制完善性评价是一个由企业管理层执行的就企业在控制方面的进度和滞后与最佳实务进行比较的持续过程。

　　沟通是所有为遵守法规所采取措施的基础。管理层、审计委员会、审计小组和流程负责人必须及时沟通联系以达成企业遵守法规的目标。

　　报告是为支持审计证实（attestation）而编制相关报告的行为。

　　在理解了上述关键措施后，我们可以逐步了解信息技术在实现以上行为过程中所起到的重要作用：

　　归档：企业需要一个集中式的系统来记录其内部控制环境。政策文档、流程文档、组织目标、目标相关的风险和控制都必须在一个安全和可审计的环境下保存归档。企业范围内的管理层和流程/控制负责人应可以随时随地访问这些文件。现有的信息技术为集中创建和管理电子文档提供可能，这些材料可以通过一个建立在全球范围内的企业内网，由单一的验证和访问安全控制保证其访问安全性。

　　监控：对控制的监控应建立在企业实体和流程层面。管理层所设计的实体级监控也是为了实现在每个流程级别的控制。流程或控制负责人及数据校验点应集成在财务系统中。当然企业需要同时保证有一个外部监控系统来评价这些系统控制。这可以通过将监控系统与财务系统中的特定事件控制集成来实现。依靠财务系统中的技术，集成可以是一个基于事件的程序接口（该接口是业务级的），或者是一个与报告系统相关的分析性集成。应用软件程序接口可以由财务系统供应商、XML技术或一些关键技术来实现（现在一些信息技术提供商为客户公司实现守法目标提供许多关键性技术）。

　　内部控制评价：企业管理层要判断内部控制有效性，对控制设计和经营有效性的评价和评估是不可缺少的。管理层和审计小组需要规划这些控制评价，但实际评价方案是由单个流程负责人提供后综合起来的。有效的信息技术工具在设计和制定这些评价问卷时非常关键，同时信息技术在企业从分散的各个职能部门负责人处收集控制评价，执行日常项目的过程中也十分重要。一些能够集成内部人力资源系统、轻量级目录访问协议数据库（LDAPdatabases），公司电子邮件系统的技术可以在内部控制评价中大展身手。

　　衡量/考核：一个统一的衡量系统对于评估控制至关重要。衡量系统应能够帮助企业集合各个实体和流程中的控制。在COSO框架下，衡量系统应能够提供评估控制信息的方式，这些控制信息涉及战略、财务与法规目标。衡量系统应能够帮助识别企业在实施流程优化时的滞后程度。管理层使用的“财务状况仪表盘”（Financialdashboards）应能够显示企业在公司治理中的整体完善程度，可以在必要时让管理层容易地了解单个流程或系统。信息技术在这一领域起到的作用尤为关键。内部控制饿衡量系统应与公司绩效考核工具、计分卡系统和其它分析程序无缝集成。

　　沟通：能够提供各个企业实体间的持续沟通。企业电子邮件系统，URL警告和escalation过程都是为了保证沟通而必须的技术。

　　报告：许多企业规范了报告和商务职能系统，实现了集中式的报告编制和分发。由内部控制和鉴证等应用产生的报告应与这些报告标准无缝集成。

　　结论：信息技术在保证企业遵守法律中的作用是多方面的。归档、监控、评价、衡量/考核、沟通以及报告这些行为需要与企业信息系统高度集成。文件管理系统、ERP系统、内网门户、人力资源系统、企业绩效考核系统、计分卡系统、电子邮件工具和商务职能都是企业关键敏感数据的来源。一个柔性、开放且安全的技术平台是建立守法体系所必须的。信息技术部门和审计部门之间的持续合作也是守法体系成功的基础。