Binnen de SOX-verslaggeving is de verantwoordelijkheid voor de IT-controls lang niet altijd even duidelijk. In de term ‘IT controls’ lijkt een organisatorische tegenstrijdigheid verscholen. Een afdeling Operational Risk Management is genegen te kijken naar het eerste deel, namelijk ‘IT’ en trekt de conclusie ‘het hoort thuis bij ICT’. De ICT-afdeling is echter genegen te kijken naar het tweede deel ‘controls’ en trekt de conclusie ‘nee hoor, het hoort thuis bij de afdeling Operational Risk Management’. Zo is er nog niet zoveel gebeurd.