John Cox乐观地努力使他的公司符合美国企业管理法案（Sarbanes-Oxley Act）。尽管很麻烦，但他会获得金融和运作收益。

　　“美国企业管理法案不是金融训练而是文化训练，”休斯顿BMC软件股份有限公司的首席会计Cox说。“如果我们履行法规要求，但是公司没有获得任何效率的提升，那法规对公司没有任何益处。”

　　显然，Cox希望严格的审查和内部控制的自动执行可以使商业惯例的缺陷暴露出来。“我们希望找到效率低下的流程，这可以帮助我们节省时间和金钱，”Cox说。

　　Sarbanes-Oxley法案对财务会计和企业管理有严格的要求，被认为是近几十年来最严格的商业法律，它要求CEO们个人担保财政决算和其它信息，不然会被严厉处罚，包括罚款甚至监禁。

　　公司必需建立数据内部控制机制——信息如何存储、获得和保护——每年进行外部审计。

　　实际上，数据完整性是最近针对美国企业的立法的核心。健康保险便利和义务法案（HIPAA）要求卫生保健公司遵循特定标准来保护病人敏感信息的安全。另一个法规，格莱姆－布里勒法规（GLBA），控制金融公司如何处理个人隐私信息。

　　符合不同法规的要求迫使美国公司改变他们的商务交易模式，当公司有海外业务时尤其麻烦。任何总部在美国的公司必需确保他们的海外分部符合联邦法规的规定。但是国外的卖主或商务合作伙伴的合法性就更复杂了，尤其是对惩罚性的 Sarbanes-Oxley法案。

　　“你的供应商是否与你执行同样的法规取决于他们自己”麻省米尔福德企业策略工作组的分析师Peter Gerr说。“没有国际性的管理机构，也没有方法迫使供应链上的多家公司执行一个法规。”

　　没有，也就是说只有美国立法者提供的法规。例如HIPPA法规，要求美国卫生保健公司保证任何海外卖主在处理敏感的病人数据时，就如何共享、获得和保护信息，遵循相同的严格控制。这包括印度的数据处理站和其他海外区域。

　　“提前了解服务协议中规定的权利正在以一种有效的方式执行，这是很重要的，”卖主或商务伙伴也许不满足要求， Scott Nathan说，他是一名专攻数据隐私法案的律师。

　　与此同时，美国公司不能不了解他们的海外卖主管理重要数据的方法。“声称‘我的业务外包了，所以我没有责任’是不够的”，Barry Lurie说，他是尤利系统公司的副总裁和任事股东。“你需要确保你从第三方卖主获得的信息有适当的数据控制，特别是如果它是组成财政的一部分或者出现在资产负债表上。”

　　严格地清算帐目和公司管理需要花费公司的时间和金钱。根据美国康涅狄格州斯坦福德市的Gartner有限公司的调查，美国公司平均将IT预算的3.3％用于合法性计划。“今年CIO的预算只有1.4％，他们不得不从自由基金获得其余的近2％的预算”，French Caldwell说，他是Gartner公司的副总裁和研究室主任。

　　根据Gartner公司最近的调查，希望从合法性获得商业收益的公司比其他公司花费更多资金用于培训。资金用于对处理敏感数据的员工进行新法规的培训和使其明白为什么合法性非常重要。“在培训方面的支出有助于人们更好地理解商务流程，这在审计人员向他们发问时十分重要”，Caldwell说。

　　为了顺应加强的规范化思潮，尤利公司的Lurie说，越来越多的公司在团队规范性和任命首席规范执行官上花费金钱和资源。他警告说，公司不应该把规范性视作过时的事情。设计更好的商务流程很重要，但是公司还需要确保员工在使用它们。