La SOX se aplica a todas las empresas que cotizan en bolsa y operan en EE. UU. y a sus filiales al 100 %. También se aplica a los analistas de valores y a las firmas de contabilidad que auditan empresas públicas.

Aunque las empresas privadas y las organizaciones sin ánimo de lucro no suelen estar sujetas a SOX, existen algunas excepciones. Las empresas privadas que se preparan para salir a bolsa a través de una oferta pública inicial están sujetas a la SOX cuando presentan una declaración de registro ante la SEC. Las empresas privadas que prestan servicios a empresas públicas están protegidas por la SOX al informar sobre la mala conducta de sus clientes públicos.

La SOX prohíbe a cualquier organización, pública, privada o sin ánimo de lucro, destruir o falsificar registros financieros para obstruir una investigación federal.

Aunque la SOX es una regulación estadounidense, tiene repercusiones para las organizaciones de fuera del país. Las empresas públicas con sede fuera de EE. UU. deben cumplir con los requisitos de SOX si hacen negocios en EE. UU.

La aprobación de la SOX también inspiró a otros países a adoptar sus propias leyes para combatir el fraude financiero, como la Keeping the Promise for a Strong Economy Act de Canadá (también llamada “C-SOX”) y la Financial Instruments and Exchange Act de Japón (también llamada “J- SOX”).

En Europa, muchos han notado una superposición significativa entre el cumplimiento de la SOX y el cumplimiento del Reglamento General de Protección de Datos (RGPD). En particular, muchos de los mismos controles de seguridad y procesos de protección de datos que permiten el cumplimiento de la SOX también respaldan el cumplimiento del RGPD. La Unión Europea también ha implementado sus propias normas similares a las de la SOX en torno a la independencia de los auditores financieros.