Zgodność Sarbanes-Oxley odnosi się do zgodności z ustawą o reformie rachunkowości spółek publicznych i ochronie inwestorów z 2002 r., znaną również jako Sarbanes-Oxley. Sponsorowany przez senatora Paula Sarbanesa z Maryland i przedstawiciela Michaela Oxleya z Ohio, ustawa była odpowiedzią na nadmiar skandali korporacyjnych związanych z oszustwami, takich jak sprawa Enronu. Zgodność wymaga od instytucji finansowych starannego dokumentowania i ujawniania swoich kontroli wewnętrznych, kodeksów etyki, którym podlegają pracownicy oraz sprawozdań komitetu audytu.
Ustawa jest dość skomplikowana i próbuje zapobiegać oszustwom korporacyjnym. W tym celu zgodność Sarbanes-Oxley wymaga zwrócenia uwagi na wiele różnych klauzul. Na przykład, paragraf 402(a) ogranicza warunki, na jakich firmy mogą udzielać pożyczek lub udzielać kredytów swoim menedżerom, a paragraf 404 nakazuje sporządzanie raportów samooceny, dotyczących skuteczności kontroli wewnętrznych stosowanych przez firmę.
Zgodność Sarbanes-Oxley wymaga również od przedstawicieli prawa przestrzegania zmian prawnych wprowadzonych przez ustawę. Na przykład, tytuł VIII, Ustawa o odpowiedzialności za nadużycia korporacyjne i karne z 2002 r., czyni oszustwa bardziej ryzykownym biznesem i rozszerza możliwości rządu w zakresie ścigania przypadków oszustwa. Ustawa zabrania fałszowania lub niszczenia dokumentów, wymaga od audytorów prowadzenia dokumentacji przez co najmniej pięć lat po przeprowadzeniu kontroli, przedłuża przedawnienie ścigania oszustw oraz zawiera przepis dotyczący „ochrony sygnalistów” dla pracowników, którzy przestrzegają prawa wbrew woli ich firmy. Podobnie, tytuł IX zaostrza kary za oszustwa i daje Komisji Papierów Wartościowych i Giełd większe uprawnienia w postępowaniu z przypadkami oszustw.
Badania nad zgodnością Sarbanes-Oxley wykazały, że proporcjonalnie duże instytucje finansowe wydają znacznie mniej na osiągnięcie zgodności niż małe firmy. W rzeczywistości przestrzeganie ustawy jest często tak drogie, że wiele małych spółek publicznych staje się prywatnymi, aby uniknąć kosztów. Początkowo tylko firmy o kapitalizacji rynkowej wynoszącej 75 milionów dolarów amerykańskich (USD) lub więcej musiały stosować się do raportów kontroli wewnętrznej, ale po kilku latach wszystkie firmy każdej wielkości były zobowiązane do ich przestrzegania.