沙賓404條款和企業內部控制最有相關的, 規定公司必須建立內控制度，以確保財務品質，且管理階層必須自評，再由簽證會計師針對內控制度以及公司管理階層提出的自評資料，進行測試且提出查核報告，再把查核結果向美國證管會（SEC）申報。

周建宏會計師表示,初次導入沙賓404條款內控制度的公司，一致反應是「很貴！」周建宏指出，以美國在地掛牌企業來說，去年每家平均要花費340萬美元來「導入」這套內控制度；「測試」階段還要付一次與查帳（財簽）同等的費用，負擔不小。據瞭解，包括中華電、台積電、日月光等大型企業，均選擇先導入BS7799的方式完成所有內控事項。由於BS7799標準極為嚴荷，做到更為複雜的BS7799就幾乎符合沙賓規範。

不過經過搜索, 發現沙賓法案的稽核標準來自 PCAOB 的 Auditing Standard No. 2, 標題為 「An Audit OfInternal Control Over Financial Reporting Performed in Conjunction withAn Audit of Financial Statements.」. 而它的來源為COSO報告中的內部控制, 包括控制環境（ControlEnvironment）, 風險評估（risk assessment）, 控制活動（control activities）,信息和交流（information and communication）和監控（monitoring）等 5 部份. 可以使用的輔助框架包括有ISO27001, ISO20000, Cobit, ITIL 等, 其中又以 Cobit 和 COSO 的關係最密切, 而 Cobit 直接引用 ITIL 的 Service Delivery 和 Service Support.

AuditingStandard No. 2 是從瞭解交易流程切入, 包括交易是由誰啟動, 由誰核准, 必須有記錄, 流程和報告. 當然這些資料和ERP密切相關, 難怪會計師事務所會培養不少 SAP 稽核人員, 能夠在 SAP 內部翻箱倒櫃, 功力越來越高了.就 IT 本身而言,稽核人員所注重的就是程式開發, 程式變更, 電腦操作, 存取程式和資料等重點, 這些範圍真是可大可小, 確實和 ISO27001 脫不了關係.

以前做內部控制, 感覺比較輕鬆, 現在董事會和會計師都被賦予會有重大罰則, 如果不實申報, 做起來壓力變大, 與人為敵,有點像防範超級恐怖份子賓拉登, 自己成為反恐小組成員, 如果能夠成為Jack Bauer,也是會成名的.(美國電視影集24小時反恐任務的男主角)