Alternativa correta: C – certo

Tema central: Esta questão trata dos controles de aplicativos em sistemas de informação, conforme as Diretrizes para as Normas de Controle Interno do Setor Público (INTOSAI).

Resumo teórico: Em auditoria governamental, os controles em sistemas de informação se dividem em dois grandes grupos:

• Controles gerais de TI: referem-se à infraestrutura, segurança, redes e políticas que abrangem todo o ambiente de TI.
• Controles de aplicativos: são procedimentos específicos que atuam diretamente sobre softwares ou sistemas informatizados individuais, assegurando que dados inseridos, processados e gerados pelas aplicações sejam corretos, completos e autorizados.

Fontes: INTOSAI GOV 9100, NBC T 16.6, Manual de Auditoria do TCU.

Justificativa da alternativa correta: O item afirma que os sistemas de informação utilizam procedimentos específicos de controle, entre eles os controles de aplicativos, que estão ligados diretamente às aplicações informatizadas individuais. Isso está correto: controles de aplicativos lidam, por exemplo, com validação de dados, autorizações, trilhas de auditoria nos sistemas, entre outros, sempre atuando sobre um sistema específico.

Como identificar a resposta correta: Ao encontrar termos como aplicativos e aplicações informatizadas individuais, associe ao conceito de controles de aplicativos, diferenciando dos controles gerais de TI, que são mais amplos.

Estratégia para evitar erro: Fique atento às palavras-chave: individuais, aplicativo, específico. Sempre relacione controles de aplicativos a processos dentro de um sistema único, não à estrutura geral de TI.

Resumo motivador: Entender a diferença entre controles gerais e de aplicativos é essencial para acertar questões sobre auditoria em TI! Continue praticando para ganhar segurança nesse tipo de abordagem.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Sem aula para procurar a justificativa da resposta.... Daí fica complicado. Vou pesquisar e trazer a resposta em breve.

Segundo as diretrizes da INTOSAI, os sistemas de informação envolvem procedimentos de controle específicos. Por esse motivo, os controles da tecnologia da informação (TI) consistem em dois grandes grupos:

(1) controles gerais 

Controles gerais são a estrutura, as políticas e os procedimentos que se aplicam a todos ou a uma grande parcela dos sistemas de informação da entidade e que ajudam a assegurar seu funcionamento correto. Eles criam o ambiente no qual operam os sistemas aplicativos e de controle.

As grandes categorias de controles gerais são: (1) programa institucional de planejamento e gerenciamento de segurança; (2) controles de acesso; (3) controles de desenvolvimento, manutenção e mudanças de softwares aplicativos; (4) controles de sistema de software; (5) segregação de funções; e (6) continuidade no serviço.

2) controles de aplicativos

Os controles de aplicativos são a estrutura, as políticas e os procedimentos utilizados, separadamente em sistemas aplicativos, e estão diretamente relacionados às aplicações informatizadas individuais. Esses controles são geralmente planejados para prevenir, detectar e corrigir erros e irregularidades enquanto a informação flui através dos sistemas de informação.

Os controles gerais e de aplicação estão inter-relacionados e ambos são necessários para assegurar um processamento adequado e completo da informação. Dado que a tecnologia da informação muda muito rapidamente, os controles relacionados devem evoluir constantemente para permanecerem eficazes.

Certo

controles gerais - são a estrutura, as políticas e os procedimentos que se aplicam a todos ou a uma grande parcela dos sistemas de informação da entidade.

 controles de aplicativos - são a estrutura, as políticas e os procedimentos utilizados, separadamente em sistemas aplicativos, e estão diretamente relacionados às aplicações informatizadas individuais. 

OBS: Os controles gerais e de aplicação estão inter-relacionados e ambos são necessários para assegurar um processamento adequado e completo da informação.

Componentes do Controle interno: Ambiente de Controle, Avaliação de Riscos, Atividades de Controle, Informação e Comunicação, Atividades de monitoramento. Ambiente de Controle: Ética, integridade, cultura organizacional, retenção de talentos, etc. São os fatores intangíveis que conduzem o controle interno por toda a organização. Tem impacto pervasivo no sistema de controle interno Avaliação de Riscos: Processo para identificar e avaliar os riscos. Riscos devem ser reduzidos a níveis aceitáveis (que a organização tolera). Como o risco depende do objetivo, este componente necessita que a administração tenha estabelecido objetivos e que estes objetivos estejam adequados à organização. Atividades de Controle: São políticas e procedimentos para reduzir os riscos, como controles preventivos, detectivos e as ações corretivas. Exemplos: Segregação de funções, revisões da alta direção, indicadores de desempenho. No âmbito da TI, são considerados dois tipos de controles: os controles gerais (aplicados a todos os sistemas) e os controles de aplicativo (aplicados a um sistema individualmente). Informação e Comunicação: A organização proporciona, compartilha e obtém as informações necessárias para a realização de seus objetivos. Além disso, deve receber informações externas e fornecer informações que atendam as expectativas das partes interessadas. Atividades de Monitoramento; Servem para certificar a presença e o funcionamento dos controles internos. Geralmente são feitas por autoavaliação. São realizadas por avaliações contínuas (mais eficazes, pois dão informações mais oportunas e tempestivas, por meio de reuniões, seminários, atuação dos gerentes e da auditoria, etc) ou por avaliações independentes (que podem, inclusive, avaliar se as avaliações contínuas estão dando resultado ou não). Pode ser feita mesmo que haja procedimentos informais ou não documentados. As deficiências devem ser comunicadas por canais normais (deficiências rotineiras) ou em canais alternativos (informações sensíveis, como atos ilegais ou impróprios).

Redação mal feita. Aplicações informatizadas individuais é diferente de informações individuais como API, Sou.Gov, SSO etc. que mesmo assim são aplicações que "compartilham" informações individuais, mas não são aplicações informatizadas individuais.