从1991年开始，欧洲一些国家实施了国有企业私营化的战略。世界许多大公司开始了兼并、重组和公司治理的过程，企业面临的风险普遍增大。其主要原因是：企业实行多样化经营，进入了众多以前未涉及的不熟悉领域；实施国际化发展战略，使得企业的控制链大大延长；信息技术在经营管理中广泛应用，又导致计算机犯罪案件的增加。在这种情况下，企业开始注重风险管理。

为了整顿上市公司秩序，提高投资者对美国经济的信心，2002年7月25日，美国国会加速通过了《萨班斯―奥克斯利法案》(Sarbanes-Oxley Act，又名《2002年公众公司会计改革和投资者保护法案》，简称《萨班斯法案》或《SOX法案》)。该法案由国会民主党议员萨班斯和共和党议员奥克斯利共同起草。2002年7月30日，经时任美国总统布什签署后，《萨班斯法案》正式生效。该法案针对上市公司增加了许多严厉的法律措施，成为自20世纪30年代以来，政府制定的监管最严格、制裁措施最严厉的公司法律。该法案要求建立上市公司会计监管委员会(简称 PCAOB)，并授予美国证券交易委员会(简称SEC)更大的职权。该法案强调完善上市公司的内控治理结构，加大了公司管理层的责任，第404条款是其中的精华。

对于企业如何取得投资大众的信任和防范风险，成了强化公司治理的首要目标。《萨班斯法案》是对美国上市公司、监管机构，以及中介机构的行为实施约束的法案。该法案的颁布，对在美国上市的企业在公司治理、内部控制和信息披露方面提出更为严格的监管要求，从法律层面正式确立“后安然时代”的外部监管模式，标志着民间机构主宰会计审计准则制定和沿用100多年的行业自律时代的终结。在美国2001—2002年度所曝光的各类公司丑闻事件中，企业管理层无疑应当负有最主要的责任，《萨班斯法案》的主要内容之一就是明确公司管理层的责任(如负责数字的可靠性，负责内控的建立和运行，负责对内控的评价等)，同时对公司管理层违法的刑事责任加大管理，并将法律责任用成文法的方式加以明确规定。另外，加强对会计职业的监管，提高财务报告的真实性。其内在逻辑是：提高公司财务报告及信息披露的及时性与准确性，可以有效地保护投资者的利益；强化公司高管的财务报告责任，提高外部审计的独立性等，将有助于提高公司财务报告及信息披露的质量。

《萨班斯法案》对美国《1933年证券法》《1934年证券交易法》进行了修订，在公司治理、证券市场监管等方面做出新的规定。时任美国总统布什在签署《萨班斯法案》的新闻发布会上称，“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。《萨班斯法案》是自《1933年证券法》和《1934年证券交易法》以来美国资本市场的变革，进一步完善了以往美国法规在处理虚假财务报表、虚假财务审计、销毁财务证据等方面的缺陷。(www.daowen.com)

《萨班斯法案》的第404条款，被认为是最难把控、最繁杂、成本高的一个条款。2006年，SEC宣布再次推迟小型公众公司和部分外国公司执行该法案第404条款的最后日期。人们认为，SEC的决定是对企业界、资本市场和政界批评的又一次妥协。主要原因之一就是，第404条款的执行成本太高，可能会让美国资本市场出现“空洞化”的结果。2002年至今，以筹资规模计划10个项目中只有一个是在美国发行上市。美联储前任主席格林斯潘呼吁，为了恢复美国市场的竞争力和吸引力，挽留正在撤离或准备撤离的海外投资者，美国应当对令无数海外公司头痛的《萨班斯法案》做出改动。目前围绕第404条款的争议仍在继续，深入评价该法案及其对资本市场的影响，还需要很长时间。但目前一直认为：美国资本市场不能缺少《萨班斯法案》。美国SEC正在谋求监管与效率、收益与成本、短期与长期的平衡。平衡点的一端是严刑重罚的呼声，要求充分保护投资者的利益并维护资本市场的信心；另一端是大市场的呼声，要求确保美国资本市场在全球强大的融资功能和吸引力。怎样掌控好这个度，对美国来说，是一项严酷的挑战，也是一门高超的艺术。

《萨班斯法案》对全球经济和金融的影响越来越重要。它的颁布，为加强公司管理、信息披露和保护投资者利益带来了呼声。虽然它的规定不一定都适合每个国家的国情，但是可以从立法精神的角度进行借鉴。许多国家将其作为参考标准，已经或者正在酝酿类似的监管措施或监管法规。

自1992年版《内部控制——整合框架》发布以来，它已经被世界上许多企业所采用。理论界和实务界对内部控制整合框架提出一些改进意见，强调内部控制整合框架的建立应与企业的风险管理相结合。2004年9月，COSO发布了《企业风险管理——整合框架》，这个框架是在1992年版《内部控制——整合框架》的基础上，结合《萨班斯法案》在报告方面的要求，进行扩展研究得到的。普华永道的项目参与者认为，新报告中有60%的内容得益于1992年版《内部控制——整合框架》。但由于风险是一个比内部控制更为广泛的概念，《企业风险管理——整合框架》中的许多讨论比1992年版《内部控制——整合框架》的讨论更为全面、更为深刻。此外，COSO在《企业风险管理——整合框架》讨论稿中也指出，《企业风险管理——整合框架》是建立在《内部控制——整合框架》的基础上的，内部控制是企业风险管理必不可少的部分。《企业风险管理——整合框架》的范围比《内部控制——整合框架》的范围更为广泛，是对《内部控制——整合框架》的扩展，是一个针对风险更加明确的概念。