Informationsteknologi (IT) kontroller är affärsapplikationen och tillsynsdelen av ett företags avdelning för informationslagring och -hämtning. Det finns i allmänhet två typer av IT-kontroller. Allmänna kontroller är den huvudsakliga kontrolltypen och täcker allt från personal- och företagssynpunkt, medan applikationskontroller är den inre hanteringen av dator- och mjukvarusystem. Ett företag har vanligtvis en Chief Information Officer (CIO) som övervakar dess IT-kontroller och arbetar med IT-avdelningen för att säkerställa att standarder uppfylls.
Allmänna IT-kontroller är mest breda, eftersom de hanterar allt utanför själva datorsystemet. Dessa kontroller delas in i tre huvudkontrollgrupper: resurs, användbarhet och teknisk. Resurskontroller handlar om det fysiska maskineriet som dyra objekt snarare än specifika system. Dessa kontroller ser till att strömsystemet är tillräckligt för servrarna, att datorerna är skyddade från översvämningar och att ingen kan stjäla datorerna.
Användbarhet IT-kontroller fungerar med de personer som faktiskt använder datorerna. Dessa kontroller fokuserar på att uppdatera program, säkerställa korrekt användning av datorresurser och administrera teknisk support. Dessa kontroller säkerställer att interaktionen mellan människa och maskin fortskrider smidigt. Med hjälp av dessa kontroller utvärderas IT-systemet utifrån de personer som använder maskinerna snarare än maskinernas faktiska funktion.
Den sista allmänna IT-kontrollgruppen är teknisk. Detta är kontrollgruppen som direkt sysslar med användning och underhåll av företagets datasystem. Denna grupp omfattar installation eller uppdatering av program, byte av hårdvarusystem och bearbetning av fel. Detta är den enda formen av IT-styrning som direkt handlar om datasystemet som helhet istället för att interagera utanför med det.
Applikationskontroller är de inre kontrollerna som placeras på ett IT-system för att övervaka driften av hårdvara, mjukvara och användarinteraktioner. Dessa kontroller är nästan helt automatiska när de väl startat. Om en av dessa kontroller stöter på ett problem kommer den att generera en rapport och skicka den till lämplig plats. Alla åtgärder från den rapporten faller inom en av de allmänna IT-kontrollkategorierna.
Den största skillnaden mellan IT-kontroller och standard IT-policyer är affärsfokus. På en typisk IT-avdelning ligger målet på själva systemet snarare än systemets användbarhet eller affärsapplikationer. IT-kontroller har fokus utanför systemet. CIO:n kan ha varit en del av IT-avdelningen, men det är mer troligt att han är en affärs- eller marknadsföringsspecialist med utbildning i IT-frågor.