Los controles de tecnología de la información (TI) son la aplicación comercial y la parte de supervisión del departamento de almacenamiento y recuperación de información de una empresa. Generalmente hay dos tipos de controles de TI. Los controles generales son el tipo de control principal y cubren todo desde el punto de vista del personal y corporativo, mientras que los controles de aplicación son la gestión interna de los sistemas informáticos y de software. Por lo general, una empresa tiene un director de información (CIO) que supervisa sus controles de TI y trabaja con el departamento de TI para garantizar que se cumplan los estándares.
Los controles generales de TI son los más amplios, ya que se ocupan de todo lo que está fuera del sistema informático real. Estos controles se dividen en tres grupos de control principales: recursos, usabilidad y técnico. Los controles de recursos se refieren a la maquinaria física como objetos costosos en lugar de sistemas específicos. Estos controles aseguran que el sistema de energía sea adecuado para los servidores, que las computadoras estén protegidas de inundaciones y que nadie pueda robar las computadoras.
Los controles de usabilidad de TI funcionan con las personas que realmente usan las computadoras. Estos controles se enfocan en actualizar los programas, asegurar el uso adecuado de los recursos informáticos y administrar el soporte técnico. Estos controles aseguran que la interacción hombre-máquina progrese sin problemas. Con estos controles, el sistema de TI se evalúa en función de las personas que utilizan las máquinas en lugar de la función real de las máquinas.
El último grupo de controles generales de TI es el técnico. Este es el grupo de control que se ocupa directamente del uso y mantenimiento del sistema informático de la empresa. Este grupo cubre la instalación o actualización de programas, reemplazo de sistemas de hardware y procesamiento de errores. Ésta es la única forma de control de TI que se ocupa directamente del sistema informático en su conjunto en lugar de interactuar con él desde el exterior.
Los controles de aplicación son los controles internos colocados en un sistema de TI para monitorear las operaciones del hardware, el software y las interacciones del usuario. Estos controles son casi completamente automáticos una vez iniciados. Si uno de estos controles encuentra un problema, generará un informe y lo enviará a la ubicación adecuada. Cualquier acción de ese informe se incluirá en una de las categorías generales de control de TI.
La principal diferencia entre los controles de TI y las políticas de TI estándar es el enfoque comercial. En un departamento de TI típico, el objetivo está en el sistema en sí más que en la usabilidad o las aplicaciones comerciales del sistema. Los controles de TI tienen el foco fuera del sistema. El CIO puede haber sido parte del departamento de TI, pero es más probable que sea un especialista en negocios o marketing con capacitación en asuntos de TI.