Segundo o COSO (Gerenciamento de Riscos Corporativos - Estrutura Integrada), a dependência cada vez maior em relação a sistemas de informações para auxiliar a operação de uma organização e para atender aos objetivos de comunicação e ao cumprimento de políticas traz a necessidade de controle dos sistemas mais significativos. Dois grupos amplos de atividades de controle dos sistemas de informação podem ser utilizados. O primeiro diz respeito aos controles gerais, que se aplicam a praticamente todos os sistemas e contribuem para assegurar uma operação adequada e contínua. O segundo grupo é o dos controles de aplicativos, que incluem etapas para avaliar o processo por meio de códigos de programação dentro do software. Os controles gerais e os de aplicativos, em conjunto com os processos de controle manual, quando necessários, asseguram a integridade, a precisão e a validade das informações.
Os controles gerais estendem-se pela administração da tecnologia da informação, pela infraestrutura da tecnologia da informação, pela administração da segurança, pela aquisição de software, pelo desenvolvimento e pela manutenção. Esses controles aplicam-se a todos os sistemas: os de grande porte ou mainframe para cliente/servidor aos ambientes de computadores portáteis e os de mesa.Alguns exemplos de controles comuns nessas categorias: Administração da Tecnologia da Informática, Infraestrutura da Tecnologia da Informática (categorização dos usuários segundo os perfis), Administração da Segurança; Aquisição, Desenvolvimento e Manutenção de Software ( uso de softwares licenciados).
Portanto, item certo.
Todos os controles internos visam proteger a organização de diversos riscos. Um desses riscos é a perda de ativos, razão pela qual esses ativos da organização precisam estar seguros.
Um dos ativos mais preciosos de uma organização são os sistemas de informações, pois eles são essenciais tanto para o trabalho em si, quanto para gerar informações cujas partes interessadas tem necessidades. Por isso, é importante que a organização estabeleça controles internos para evitar que pessoas não autorizadas tenham acesso aos sistemas ou que as informações que estão nos sistemas sejam corrompidas.
Uma das formas de a organização fazer isso é limitar o acesso aos sistemas apenas para quem tem o perfil adequado. Assim, usuários normais dos sistemas não terão acesso a todas as funcionalidades do sistema, mas apenas a uma parte delas e terão um perfil no sistema mais usual. Já as camadas mais altas da organização podem ter perfis que contenham mais possibilidades de acesso.
Da mesma forma, para evitar que qualquer pessoa possa instalar um programa no computador da organização (o que pode acarretar a entrada de vírus de computador, por exemplo), a organização pode evitar a instalação desses softwares e só liberar programas que tenham sido licenciados previamente, isto é, autorizados pela organização.
Portanto, tanto a categorização dos usuários por perfis quanto o uso de softwares licenciados são controles internos utilizados pela administração da organização.