Errado. As atividades de controle são políticas e procedimentos que direcionam as ações individuais na implementação das políticas de gestão de riscos, diretamente ou mediante a aplicação de tecnologia, a fim de assegurar que as respostas aos riscos sejam executadas. Essas atividades podem ser classificadas com base na natureza dos objetivos da organização aos quais os riscos de estratégia, operação, comunicação e cumprimento de diretrizes estão associados.
A despeito do fato de que algumas atividades de controle relacionam-se exclusivamente com uma categoria, sempre haverá alguma sobreposição. Dependendo das circunstâncias, uma determinada atividade de controle pode ajudar a atender aos objetivos da organização em mais de uma categoria. Por exemplo, esses controles também podem assegurar relatórios confiáveis, que, por sua vez, podem servir para assegurar o seu cumprimento e assim por diante.
Só pra lembrar a categoria dos objetivos:
Objetivos Operacionais – relacionam-se com a eficácia e a eficiência das operações da organização, inclusive metas de desempenho e de lucro, bem como reservas de recursos contra prejuízos. Variam de acordo com a decisão da administração em relação à estrutura e ao desempenho.
Objetivos de Comunicação – relacionam-se com a confiabilidade dos relatórios. Incluem relatórios internos e externos e podem, ainda, conter informações financeiras e não financeiras.
Objetivos de Conformidade – relacionam-se com o cumprimento de leis e regulamentos. Em alguns casos dependem de fatores externos e tendem a ser semelhantes em todas as organizações, e em outros casos em todo um setor industrial.
O examinador quiz confundir o candidato, associando o fato das atividades de controle serem políticas e procedimentos, com os objetivos de conformidade, que se relacionam com o cumprimento de leis e regulamentos.
Fonte: http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf
É isso pessoal. Espero ter ajudado.