Hoạt động kiểm soát nội bộ trong môi trường tin học được phân thành hai loại: kiểm soát chung và kiểm soát ứng dụng.
Kiểm soát chung
Chúng được áp dụng cho toàn hệ thống thông tin và cho tất cả các ứng dụng có trên hệ thống. Kiểm soát chung bao gồm các thủ tục được thiết kế để duy trì tính thống nhất và sẳn sàng của các chức năng xử lý thông tin, hệ thống mạng và các hệ thống ứng dụng có liên quan. Những kiểm soát này đảm bảo một số thông tin như: tập tin dữ liệu được xử lý, các lỗi được ghi chú và giải quyết; các ứng dụng và chức năng được xử lý theo lịch trình được lập trình trước; tập tin được sao chép dự phòng theo chu kỳ thích hợp, cho phép khôi phục lại các xử lý sai; …
Kiểm soát chung bao gồm các tiến trình sau:
Thiết lập và phát triển các chương trình và hệ thống nhằm đảm bảo
chúng được thiết lập hoặc điều chỉnh phù hợp với yêu cầu của người sử dụng, có đầy đủ các thủ tục kiểm soát thích hợp và tài liệu hướng dẫn, đảm bảo không có sai sót và đã thực hiện các thử nghiệm thích hợp trước khi ứng dụng chương trình (4, 248). Công việc này phải được lưu lại thành các tài liệu gồm: tài liệu quản trị, tài liệu ứng dụng và tài liệu vận hành hệ thống.
Thay đổi chương trình và hệ thống hiện hữu. Tiến trình này xuất phát từ
yêu cầu thay đổi thiết kế chương trình từ bộ phận sử dụng cuối cùng. Trước hết, yêu cầu đó được xem xét trên các khía cạnh như tính cấp thiết của thay đổi, những ảnh hưởng của thay đổi đến hệ thống hiện tại, chi phí thay đổi … Sau đó, các chương trình thay đổi này phải được chạy thử nghiệm trước khi đưa vào sử
dụng chính thức để đảm bảo sự an toàn cho hệ thống. Mọi thay đổi phải được lưu lại trong tài liệu, có nêu rõ lý do và các nội dung thay đổi.
Truy cập chương trình và dữ liệu. Mỗi hệ thống máy tính cần có những
thủ tục kiểm soát tương ứng nhằm bảo vệ các thiết bị, những tập tin và các chương trình nhằm tránh mất mát, thiệt hại và bị truy cập trái phép. Tiến trình này đòi hỏi mõi khi người sử dụng muốn truy cập vào các chương trình hay xem những tập tin dữ liệu từ các máy tính riêng lẻ hay từ những thiết bị trực tuyến, họ bắt buộc phải ghi tên đăng ký (user name hay user – ID) và nhập mật khẩu (4, 250). Ngoài ra, tiến trình này còn phải kiểm soát việc chuyển tải dữ liệu sao cho an toàn.
Các hoạt động vận hành máy tính và kiểm soát dữ liệu. là sự phân
quyền và huấn luyện sử dụng theo tính chất công việc cho nhân viên trực tiếp sử dụng máy tính. Điều này sẽ giảm thiểu các thay đổi trái phép đối với chương trình. Bên cạnh đó, việc kiểm soát dữ liệu còn được thực hiện thông qua việc rà soát các nhật ký vận hành. Nhật ký này lưu lại các thông tin chi tiết của từng công việc được thực hiện như: thời gian đăng nhập vào hệ thống, đối tượng được sử dụng …
Các hoạt động kiểm soát vật chất. Hoạt động này rất cần thiết cho việc
bảo vệ các thiết bị máy tính, hạn chế tối đa những thiệt hai do môi trường tự nhiên hay do sự phá hoại của con người. Cách tốt nhất để ngăn ngừa các thiệt hại do sự phá hoại cố ý là giới hạn việc truy cập hệ thống (4,252). Các hoạt động kiểm soát này thường là bảo quản máy tính, đặc biệt là máy chủ ở nơi an toàn, có thiết bị lưu điện phòng trong trường hợp nguồn điện bị cắt đột ngột, hoặc trang bị thiết bị sao chép dữ liệu tự động, …
Kiểm soát ứng dụng
Ứng dụng là các chương trình xử lý bằng máy tính được thiết kế để giúp con người thực hiện một kiểu công việc nào đó ví dụ như mua hàng, trả tiền, kế toán các chi phí nghiên cứu và dự báo và quản lý ngân sách… Kiểm soát ứng dụng bao gồm kiểm soát đầu vào, kiểm soát xử lý và kiểm soát đầu ra. Chúng được áp dụng cụ thể cho từng ứng dụng đơn lẻ.
Kiểm soát đầu vào đảm bảo việc ghi nhận đầy đủ và chính xác các
nghiệp vụ được cho phép; nhận diện những đối tượng đã bị loại bỏ, đang bị treo chờ xử lý, bị trùng lắp. Một số ví dụ về kiểm soát đầu vào là liệt kê các lỗi, kiểm tra hạn mức, kiểm tra số thứ tự, kiểm tra tính hợp lệ…
Kiểm soát xử lý đảm bảo việc xử lý đầy đủ và chính xác của các nghiệp
vụ được cho phép. Một số ví dụ về kiểm soát xử lý là kiểm tra số tổng, kiểm tra kết chuyển, kiểm tra tổng hash, báo cáo dấu vết kiểm toán.
Kiểm soát đầu ra đảm bảo lưu lại dấu vết kiểm toán, các kết quả xử lý
đầy đủ và chính xác được báo cáo đến các cá nhân hợp lý.