2002年前后，美国爆发了一系列的财务和管理丑闻，如安然和世通事件，这些丑闻严重破坏了美国金融证券制度，彻底打击了投资者对美国资本市场的信心。为了扭转这一局面，美国国会通过了《2002年公众公司会计改革和投资者保护法案》。该法案由美国参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出，又被称作《2002年萨班斯—奥克斯利法案》(Sarbanes—Oxley Act 2002，以下简称“SOX法案”)。2002年7月，美国总统布什将此法案签署为法律。
 
         颁布SOX法案的目的是为了提高上市公司的治理水平，恢复投资者的信心，保护投资者的利益以及使上市公司的公开报告更透明。SOX法案被称为是自罗斯福总统以来对美国商界影响最为深远的改革法案。它为上市公司建立了很高的行为规范，明确了上市公司许多前所未有的责任及相应的惩罚。该法案包括11个部分，主要内容有（1）成立独立的上市公司会计监管委员会；（2）要求加强审计师的独立性；（3）要求加大公司的财务报告责任；（4）要求强化财务披露义务；（5）加重对违法行为的处罚措施；（5）增加经费拨款，强化美国证券管理委员会的监管职能；（6）要求美国审计总署加强调查研究法案等。所有在美国证券交易委员会(以下简称“SEC”)备案的上市公司，包括在美国注册的上市公司和在外国注册而于美国上市的公司，不论规模，均需遵守SOX法案的有关规定。
 
         法案的核心在于促进企业完善内部控制，加强向公众披露的信息质量和透明度，并对公司管理层提出了明确的责任要求。法案对上市公司的规定和影响主要体现在公司治理、管理层责任方面的规定。其中，最难操作、最复杂、成本最高的是该法案中对企业要求的完善内部控制，即404条款。根据404条款，公司管理层必须建立并维护充分的财务报告内部控制结构和程序；管理层必须使用适当的标准对财务报告内部控制结构和程序的有效性实施评估，并对所实施的评估进行记录和报告；外部审计师必须对管理层关于财务报告内部控制的有效性的评估结论出具审计意见。
 
         SEC规定，管理层必须选择一个控制框架（如COSO的内部控制框架），并在此基础上对其内部控制有效性做出认定和评价。COSO 是自愿性的私人组织，致力于通过建立完善有效的内部控制和法人治理结构以提高财务报告的质量。COSO内部控制框架包括三个纬度： 
 
         第一纬度是目标，COSO内部控制的设计旨在合理保证实现以下目标：运营的有效性、财务报告的可靠性以及法律法规的遵循性。
 
         在第二纬度中，COSO要求公司必须在公司层面（entity level）与流程层面(activities level)两个层次上对其内部控制进行评估。
 
         第三纬度则包含了内部控制的五大要素：控制环境、风险评估、控制活动、信息与沟通和监控。
按照COSO框架建立内控体系，需要营造控制环境，识别并评估风险，通过控制活动对主要风险进行控制，整个业务活动中要保证信息传递畅通。内部控制体系的运行要有持续有效的监督。对于任意给定的目标（例如财务报告的可靠性），管理层必须在公司层面与流程层面对内部控制的五大要素进行评估。
 
         SOX法案以立法的形式促进企业加强内部控制，其影响和意义是深远的。法案的出台，标志着美国金融证券法律的根本思想从信息披露转向实质性管制。它的推行，将大大改变在美国上市公司的商业环境，同时还将影响企业的各项管理行为，特别是企业全面风险管理。企业全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略，风险理财措施，风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。
 
         一方面，SOX法案的合规要求为企业建立全面风险管理框架打下坚实的基础。内部控制是企业全面风险管理必不可少的一部分。它是为了实现企业的管理目标而提供的一种合理保障，良好的内部控制可以合理保证企业营运的有效性、财务报告的可靠性和法律法规的遵循性，而这也正是企业全面风险管理应该达到的基本状态。另一方面，全面风险管理为企业真正贯彻落实SOX法案的要求并最终形成最佳的内部控制系统提供有力保障。企业全面风险管理的范围比内部控制的范围更为广泛，是对内部控制的扩展，是一个主要针对风险的更为明确的概念。全面风险管理涵盖了内部控制的全部内容，包括风险评估、制定风险策略和风险管理解决方案、风险管理监督改进等活动。内部控制只有和企业风险管理相结合，才能真正发挥其作用，真正为企业创造价值。