Company-Level-Controls beschreiben aus globaler Sicht z.B.: welche IT-Systeme eingesetzt werden und wie sie zusammenarbeiten
IT-Application-Controls sind fachlich begründete Kontrollen und dienen der systemtechnisch gestützten, ordnungsmäßigen Abwicklung der Geschäftsprozesse, etwa dem Einkauf oder der Buchhaltung. Es handelt sich somit um Kontrollen der Geschäftsprozesse durch das System beziehungsweise bei der Nutzung innerhalb des Systems. Sie stellen sicher, dass Kontrollautomatismen definiert sind und auch tatsächlich funktionieren, beispielsweise mittels Plausibilitätsprüfungen
IT-General-Controls sind abgeleitet aus den IT-Prozessen. Sie haben keinen direkten Bezug zu den Fachbereichen, gelten aber als unterstützend. Sie beinhalten Informationen zur technischen Infrastruktur. Wie funktionieren die Sicherheitssysteme? Wer hat Zugriff auf Datenbanken?
Die IT muss beschreiben, wie die IT funktioniert“
