De acordo com as Diretrizes para as Normas de Controle Inter...

Sem aula para procurar a justificativa da resposta.... Daí fica complicado. Vou pesquisar e trazer a resposta em breve.

Segundo as diretrizes da INTOSAI, os sistemas de informação envolvem procedimentos de controle específicos. Por esse motivo, os controles da tecnologia da informação (TI) consistem em dois grandes grupos:

(1) controles gerais 

Controles gerais são a estrutura, as políticas e os procedimentos que se aplicam a todos ou a uma grande parcela dos sistemas de informação da entidade e que ajudam a assegurar seu funcionamento correto. Eles criam o ambiente no qual operam os sistemas aplicativos e de controle.

As grandes categorias de controles gerais são: (1) programa institucional de planejamento e gerenciamento de segurança; (2) controles de acesso; (3) controles de desenvolvimento, manutenção e mudanças de softwares aplicativos; (4) controles de sistema de software; (5) segregação de funções; e (6) continuidade no serviço.

2) controles de aplicativos

Os controles de aplicativos são a estrutura, as políticas e os procedimentos utilizados, separadamente em sistemas aplicativos, e estão diretamente relacionados às aplicações informatizadas individuais. Esses controles são geralmente planejados para prevenir, detectar e corrigir erros e irregularidades enquanto a informação flui através dos sistemas de informação.

Os controles gerais e de aplicação estão inter-relacionados e ambos são necessários para assegurar um processamento adequado e completo da informação. Dado que a tecnologia da informação muda muito rapidamente, os controles relacionados devem evoluir constantemente para permanecerem eficazes.

Certo

controles gerais - são a estrutura, as políticas e os procedimentos que se aplicam a todos ou a uma grande parcela dos sistemas de informação da entidade.

 controles de aplicativos - são a estrutura, as políticas e os procedimentos utilizados, separadamente em sistemas aplicativos, e estão diretamente relacionados às aplicações informatizadas individuais. 

OBS: Os controles gerais e de aplicação estão inter-relacionados e ambos são necessários para assegurar um processamento adequado e completo da informação.

Componentes do Controle interno: Ambiente de Controle, Avaliação de Riscos, Atividades de Controle, Informação e Comunicação, Atividades de monitoramento. Ambiente de Controle: Ética, integridade, cultura organizacional, retenção de talentos, etc. São os fatores intangíveis que conduzem o controle interno por toda a organização. Tem impacto pervasivo no sistema de controle interno Avaliação de Riscos: Processo para identificar e avaliar os riscos. Riscos devem ser reduzidos a níveis aceitáveis (que a organização tolera). Como o risco depende do objetivo, este componente necessita que a administração tenha estabelecido objetivos e que estes objetivos estejam adequados à organização. Atividades de Controle: São políticas e procedimentos para reduzir os riscos, como controles preventivos, detectivos e as ações corretivas. Exemplos: Segregação de funções, revisões da alta direção, indicadores de desempenho. No âmbito da TI, são considerados dois tipos de controles: os controles gerais (aplicados a todos os sistemas) e os controles de aplicativo (aplicados a um sistema individualmente). Informação e Comunicação: A organização proporciona, compartilha e obtém as informações necessárias para a realização de seus objetivos. Além disso, deve receber informações externas e fornecer informações que atendam as expectativas das partes interessadas. Atividades de Monitoramento; Servem para certificar a presença e o funcionamento dos controles internos. Geralmente são feitas por autoavaliação. São realizadas por avaliações contínuas (mais eficazes, pois dão informações mais oportunas e tempestivas, por meio de reuniões, seminários, atuação dos gerentes e da auditoria, etc) ou por avaliações independentes (que podem, inclusive, avaliar se as avaliações contínuas estão dando resultado ou não). Pode ser feita mesmo que haja procedimentos informais ou não documentados. As deficiências devem ser comunicadas por canais normais (deficiências rotineiras) ou em canais alternativos (informações sensíveis, como atos ilegais ou impróprios).