Der Sarbanes-Oxley Act hat US-Firmen gezeigt, wie untrennbar Unternehmensinteressen und die IT miteinander verwoben sind und wie schwierig ein Abgleich dieser beiden Bereiche sein kann. Auch in Europa stehen Verschärfungen der EU-Richtlinien an: Das IT-Risikomanagement und die damit verbundene gesicherte IT-Architektur wird Pflicht. Das besagt die zum 1. Juli 2008 umzusetzende 8. EU-Richtlinie (Abschlussprüfer Richtlinie).

Auch wenn SOX nicht explizit auf die Kontrolle der IT abzielt, hat die Verordnung doch weit reichende Auswirkungen auf die IT-Abteilungen. Die Handhabung, Speicherung und Nutzung jener Daten, die für den Geschäftsbericht relevant sind, sowie der Umgang mit der Infrastruktur oder die Arbeitsvorgänge selber stehen plötzlich viel stärker unter Beobachtung. Damit tragen sie maßgeblich zum Erfolg oder Misserfolg von Unternehmen bei. Wenn man bedenkt, dass 50 Prozent der G2000 Unternehmen schätzen, dass jedes einzelne von ihnen 15 Mannjahre jährlich in die Umsetzung und Einhaltung der SOX-Bestimmungen steckt, wird deutlich, wie dringend wir effizientere Compliance-Prozesse benötigen.

Unternehmen verstehen allmählich, dass die SOX-Compliance kein einmaliges Projekt ist. Vielmehr sehen sie SOX als fortlaufende Herausforderung und bringen ihre Enterprise Architecture Programme auf Vordermann, um SOX-relevante Prozesse zu beobachten, Risiken zu eliminieren, Änderungen im System zu identifizieren und gemeinsam mit der Geschäftsführung und anderen Stakeholdern zu verwalten. Wenn Unternehmen Kontrollprozesse und Zielsetzungen in der IT fest verankern, können Risiken leichter erkannt, eingeschätzt und abgewendet werden.