Mechanizmy kontroli technologii informacyjnej (IT) to aplikacja biznesowa i część nadzorcza działu przechowywania i wyszukiwania informacji w firmie. Generalnie istnieją dwa rodzaje kontroli IT. Kontrole ogólne są głównym rodzajem kontroli i obejmują wszystko z punktu widzenia personelu i firmy, podczas gdy kontrole aplikacji to wewnętrzne zarządzanie systemami komputerowymi i programowymi. Firma zazwyczaj ma dyrektora ds. informacji (CIO), który nadzoruje jej kontrole IT i współpracuje z działem IT, aby zapewnić przestrzeganie standardów.
Ogólne kontrole IT są najszersze, ponieważ dotyczą wszystkiego poza rzeczywistym systemem komputerowym. Kontrole te dzielą się na trzy główne grupy kontrolne: zasoby, użyteczność i techniczne. Kontrola zasobów dotyczy maszyn fizycznych jako kosztownych obiektów, a nie konkretnych systemów. Kontrole te zapewniają, że system zasilania jest odpowiedni dla serwerów, komputery są chronione przed zalaniem i nikt nie może ich ukraść.
Użyteczność Kontrole IT współpracują z osobami, które faktycznie korzystają z komputerów. Kontrole te skupiają się na aktualizowaniu programów, zapewnieniu właściwego wykorzystania zasobów komputera i administrowaniu pomocą techniczną. Te elementy sterujące zapewniają płynny przebieg interakcji człowiek-maszyna. Za pomocą tych kontroli system IT jest oceniany na podstawie osób korzystających z maszyn, a nie rzeczywistej funkcji maszyn.
Ostatnia ogólna grupa kontroli IT ma charakter techniczny. Jest to grupa kontrolna, która bezpośrednio zajmuje się użytkowaniem i utrzymaniem firmowego systemu komputerowego. Ta grupa obejmuje instalację lub aktualizację programów, wymianę systemów sprzętowych oraz obsługę błędów. Jest to jedyna forma kontroli IT, która zajmuje się bezpośrednio systemem komputerowym jako całością, zamiast wchodzić z nim w interakcje na zewnątrz.
Kontrole aplikacji to wewnętrzne kontrole umieszczone w systemie informatycznym w celu monitorowania działania sprzętu, oprogramowania i interakcji użytkowników. Te kontrole są prawie całkowicie automatyczne po uruchomieniu. Jeśli jeden z tych elementów sterujących napotka problem, wygeneruje raport i wyśle go do odpowiedniej lokalizacji. Każde działanie z tego raportu będzie należeć do jednej z ogólnych kategorii kontroli IT.
Główną różnicą między kontrolami IT a standardowymi politykami IT jest koncentracja na biznesie. W typowym dziale IT celem jest sam system, a nie użyteczność lub aplikacje biznesowe systemu. Kontrole IT skupiają się poza systemem. CIO mógł być częścią działu IT, ale bardziej prawdopodobne jest, że jest specjalistą ds. biznesu lub marketingu z przeszkoleniem w sprawach IT.