Los controles de tecnología de la información (TI) son la aplicación comercial y la parte de supervisión del departamento de almacenamiento y recuperación de información de una empresa. Generalmente hay dos tipos de controles de TI. Los controles generales son el tipo de control principal y cubren todo desde el punto de vista personal y corporativo, mientras que los controles de aplicaciones son la gestión interna de los sistemas informáticos y de software. Una compañía generalmente tiene un director de información (CIO) que supervisa sus controles de TI y trabaja con el departamento de TI para garantizar que se cumplan los estándares.

Los controles generales de TI son los más amplios, ya que se ocupan de todo lo que está fuera del sistema informático real. Estos controles se dividen en tres grupos principales de control: recursos, usabilidad y técnicos. Los controles de recursos se refieren a la maquinaria física como objetos caros en lugar de sistemas específicos. Estos controles aseguran que el sistema de alimentación sea adecuado para los servidores, que las computadoras estén protegidas contra inundaciones y que nadie pueda robarlas.

Los controles de usabilidad de TI funcionan con las personas que realmente usan las computadoras. Estos controles se centran en actualizar programas, garantizar el uso adecuado de los recursos informáticos y administrar el soporte técnico. Estos controles aseguran que la interacción hombre-máquina progrese sin problemas. Con estos controles, el sistema de TI se evalúa en función de las personas que usan las máquinas en lugar de la función real de las máquinas.

El último grupo general de controles de TI es técnico. Este es el grupo de control que se ocupa directamente del uso y mantenimiento del sistema informático de la compañía. Este grupo cubre la instalación o actualización de programas, el reemplazo de sistemas de hardware y el procesamiento de errores. Esta es la única forma de control de TI que trata directamente con el sistema informático en su conjunto en lugar de interactuar afuera con él.

Los controles de aplicación son los controles internos ubicados en un sistema de TI para monitorear las operaciones del hardware, el software y las interacciones del usuario. Estos controles son casi completamente automáticos una vez iniciados. Si uno de estos controles encuentra un problema, generará un informe y lo enviará a la ubicación adecuada. Cualquier acción de ese informe caerá en una de las categorías generales de control de TI.

La principal diferencia entre los controles de TI y las políticas de TI estándar es el enfoque comercial. En un departamento de TI típico, el objetivo está en el sistema en sí mismo y no en la usabilidad o las aplicaciones comerciales del sistema. Los controles de TI tienen el foco fuera del sistema. El CIO puede haber sido parte del departamento de TI, pero es más probable que sea un especialista en negocios o marketing con capacitación en asuntos de TI.