Archive for พฤศจิกายน, 2010

ข้อสังเกตจากการประเมินการบริหารความเสี่ยงของหน่วยงานภาครัฐ บางประการ ประจำปี 2552 (2)

จากการประเมินการบริหารการจัดการความเสี่ยงของหน่วยงานภาครัฐ ประจำปี 2552 มีข้อสังเกตจากการรวบรวมของ บริษัทที่ปรึกษา/Tris บางประการ ซึ่งน่าจะเป็นประโยชน์ต่อการปรับปรุงการยกระดับการบริหารความเสี่ยงในเชิงคุณภาพ โดยการทำความเข้าใจกับเกณฑ์ประเมิน Risk Map ในส่วนที่เกี่ยวข้อง สรุปได้ดังนี้

ประเด็นการให้คะแนนเชิงคุณภาพ
พิจารณาจากระบบการบริหารความเสี่ยงที่มีสามารถป้องกันไม่ให้เกิด Incident โดยมีการสื่อสารให้บุคลากรในองค์กรรับทราบและมีมาตรการในการป้องกันไม่ให้ Incident เกิดขึ้นอีก ซึ่งมีแนวปฏิบัติัดังนี้

1. สายการรายงานและสายการบังคับบัญชีของระบบงานบริหารความเสี่ยง สามารถให้ผู้บริหารได้รับทราบและพิจารณาแก้ไขได้อย่างรวดเร็วหรือไม่

2. แผนบริหารความเสี่ยงได้ถูกปรับให้เหมาะสมกับสถานการณ์ดังกล่าวอย่างไร

3. การวิเคราะห์ผลกระทบของ Incident ต่อระบบงานทุกระบบในองค์กร

ดังนั้น หากหน่วยงานของรัฐที่เกี่ยวข้องกับการประเมินผล หรือหน่วยงานอื่น ๆ ที่สนใจจะยกระดับการบริหารความเสี่ยงในเชิงคุณภาพ ก็อาจพิจารณาปัจจัยข้างต้น โดยนำมาปรับปรุงใช้กับแผนการบริหารความเสี่ยงในปีต่อ ๆ ไปให้เหมาะสมยิ่งขึ้น

 

แนวการประเมินการให้คะแนนเชิงคุณภาพของการบริหารความเสี่ยง (1)

ทางการโดย สคร. กระทรวงการคลัง และที่ปรึกษา สคร. คือ Tris อาจจะประเมินคุณภาพการบริหารความเสี่ยง และอาจปรับลดคะแนนลงได้ โดยพิจารณาจากเกณฑ์ต่อไปนี้

1. ความครบถ้วนของปัจจัยเสี่ยง

– ความสอดคล้องกับแผนปฏิบัติการประจำปี ตัวชี้วัดขององค์กร รวมถึง การวิเคราะห์ SWOT

– เทคนิค/วิธีการที่ รส. ใช้ในการค้นหาปัจจัยเสี่ยง

– Incident ที่เกิดขึ้นในระหว่างปี และ Incident ที่เกี่ยวข้องกับ Stakeholder ขององค์กร ได้นำมาวิเคราะห์ถึงผลกระทบต่อองค์กรหรือไม่

– รส. ควรวิเคราะห์ Impact ของ Stakeholder ที่มีต่อองค์กรประกอบในการค้นหาปัจจัยเสี่ยง

The Five Forces That Shape Industry Competition

การประเมินความเสี่ยงเชิงคุณภาพ

2. การประเมินความเสี่ยง และการจัดระดับความสำคัญ (Risk Assessment & Prioritize)

– เกณฑ์การประเมินในปี 53 หน่วยงาน/องค์กรมีการกำหนดเกณฑ์ระดับความรุนแรงแยกรายปัจจัยเสี่ยง และควรมีการวิเคราะห์อย่างเป็นระบบ ดังนั้น ควรแสดงถึงการใช้ฐานข้อมูลของหน่วยงานมาใช้ในการกำหนดโอกาส/ผลกระทบ รวมถึงสามารถอธิบายได้ถึงระดับความรุนแรงในมุมมองต่าง ๆ ที่สามารถเทียบเคียงกันได้

– แนวคิดในการจัดลำดับความสำคัญ โดยเฉพาะ Compliance Risk

การประเมินความเสี่ยง และการจัดระดับความสำคัญ

อาจสรุปได้ว่า ประเด็นการประเมินเชิงคุณภาพ จะเน้นการประเมินการบริหารความเสี่ยง และการจัดระดับความสำคัญของการบริหารความเสี่ยง ที่มีผลกระทบต่อเป้าหมายเชิงกลยุทธ์ขององค์กรนั้น โดยหลักการจะเกี่ยวข้องกับการบริหาร IT Risk และ Non – IT Risk อย่างผสมผสานและเป็นบูรณาการ ที่จะสัมพันธ์กับกรอบใหญ่ของการขับเคลื่อน Integrity – Driven Performance ตามแนวทางของ GRC เป็นสำคัญ

 

Integrated Management / Audit and CAE – Chief Audit Executive ตอน 3

ท่านผู้อ่านมีความคิดเห็นอย่างไรบ้างครับ เมื่ออ่านจบตอนที่ 2 ในหัวข้อของ Integrated Management / Audit และเมื่อท่านได้อ่านเรื่อง GRC ซึ่งเป็นการหลอมรวมการบริหารจัดการของ Governance + Risk Management + Compliance ให้เป็นหนึ่งเดียว ภายใต้ร่มใบเดียวกัน มิใช่ภายใต้ร่มของแต่ละ G R C ซึ่งเป็นร่ม 3 อัน มารวมกัน เพราะในหลักการบริหารในการจัดการ GRC นั้น มีองค์ประกอบที่แตกต่างกับ G + R + C มากทีเดียว

วันนี้ ผมจะคุยในหัวข้อ Integrated Managment / Audit ต่อจากครั้งที่ 2 นะครับว่า มาตรฐานการปฏิบัติงานทางด้านคอมพิวเตอร์ หรือเทคโนโลยีสารสนเทศทางการสื่อสาร (ICT) ที่เป็นสากล หรือที่เป็น Best Practice หรือ Good Practice ได้ถูกนำมาใช้ หรือถูกนำมาบังคับใช้อย่างหลีกเลี่ยงไม่ได้ และในกรณีที่การปฏิบัติงานไม่มีกรอบ Standard หรือ Best Practice ในเรื่องที่เกี่ยวข้อง ก็ต้องนำ Guideline ในเรื่องนั้น ๆ มาใช้ในทางปฏิบัติ เพื่อให้เกิดการยอมรับต่อผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งภายในและต่างประเทศ

Integrated Thinking แนวคิด หรือการคิดให้ครบจนจบความ / ครบถ้วน ความคิดให้กว้างอย่างสร้างสรรค์ (Creative Thinking) การคิดให้ลึกเชิงวิเคราะห์ (Analytical Thinking) เพื่อให้เกิดความเข้าใจโดยรวมของทั้งระบบ (System Thinking) เพื่อก้าวสู่เป้าหมาย-วัตถุประสงค์อย่างเป็นระบบเพื่อการจัดการที่ดี (Systematic Thinking Approach) เพื่อให้เกิดความสมบูรณ์ ความครบถ้วน ความถูกต้อง ที่จะนำไปสู่ประสิทธิภาพและประสิทธิผลในการดำเนินงาน และยกระดับการแข่งขัน จึงเป็นเรื่องที่จำเป็นอย่างยิ่งของการบริหารองค์กรยุคใหม่ ที่นำไปสู่หลักการที่นำไปสู่กระบวนการบริหารที่รวมเป็นชุด ที่มีความสัมพันธ์กันและกันในองค์ประกอบหลักการบริหารด้านการกำกับดูแลกิจการที่ดี (Governance – CG + ITG) การบริหารความเสี่ยงระดับองค์กร (Risk หรือ ERM) และการปฏิบัติตามกฎเกณฑ์ และกติกาสังคม ทั้งในระดับประเทศ และระหว่างประเทศ (Compliance) เพื่อสร้างความพึงพอใจให้กับผู้มีผลประโยชน์ร่วม (Stakeholders) ทั้งในระยะสั้นและระยะยาว ที่เรียกว่า GRC จึงเกิดขึ้น และเป็นแนวการบริหารยุคใหม่ล่าสุดที่จะยั่งยืนไปอีกนานแสนนาน

อย่างไรก็ดี การก้าวสู่กระบวนขับเคลื่อนการบริหารที่เน้น “กระบวนการ” หรือ “Process” ที่หลอมรวมการบริหาร PPT หรือ People + Process + Technology ที่เน้น Operational Management และเป็น Core Function ในการผลักดันองค์กรไปสู่ Integrity – Driven Performance ภายใต้องค์ประกอบหลัก GRC เพื่อตอบสนองความต้องการของผู้มีผลประโยชน์ร่วมอย่างผสมผสานเป็นหนึ่งเดียวของธุรกิจนั้น จะเป็นสุดยอดของกระบวนการบริหารการจัดการ ที่องค์กรชั้นนำของโลกได้นำมาใช้ในการบริหารในปัจจุบัน และผู้กำกับ (Regulators) ได้นำกรอบแนวคิดนี้ไปใช้กับผู้ปฏิบัติ (Operators) ในองค์กรที่เกี่ยวข้อง เพื่อให้เกิดประสิทธิภาพการบริหารและการจัดการที่ดี เพื่อก้าวไปสู่ Corporate Governance หรือบรรษัทภิบาลที่เป็นรูปธรรม +++

ก่อนการก้าวสู่ GRC ตามวรรคต้น แนวความคิดในเรื่อง Integrated Thinking โดยการคิดให้ครบจนจนความ โดยดูเป้าประสงค์สุดท้ายที่ใช้กรอบ Business Balanced Scorecard เชื่อมโยงกับ Information Balanced Scorecard จะเป็นขั้นตอนแรก ๆ ขององค์กรส่วนใหญ่ ซึ่งจะกำหนดเป็นนโยบายและแนวปฏิบัติที่ชัดเจน ของการผสมผสานการบริหาร การจัดการของ Business Objectives และ IT Objectives เป็นหนึ่งเดียวหรือภายใต้ร่มเดียวกัน นั่นคือ จะไม่แยกนโยบายเรื่อง Business Objectives กับ IT Objectives ออกจากกัน นี่คือ Integrated Thinking ในเบื้องต้น ก่อนจะก้าวไปสู่ GRC ที่ท้าทายต่อไป

กระบวนการบริหารความเสี่ยง กระบวนการควบคุม กระบวนการตรวจสอบ กระบวนการติดตามการบริหารและการจัดการ รวมทั้ง กระบวนการตัดสินใจ ของคณะกรรมการและผู้บริหารระดับสูง จะเกี่ยวข้องกับ Integrated Thinking เป็นอย่างน้อยทั้งสิ้น

ดังนั้น คณะกรรมการและผู้บริหารที่เกี่ยวข้อง รวมทั้ง คณะกรรมการตรวจสอบ CAE และผู้ตรวจสอบ ทั้งภายในและภายนอก ที่มีความเข้าใจภาพดังกล่าวข้างต้นไปในทิศทางเดียวกัน จะสามารถยกระดับการบริหารการจัดการ เพื่อก้าวสู่การกำกับดูแลกิจการที่ดี เพื่อการเติบโตอย่างยั่งยืนที่แท้จริงได้อย่างเป็นรูปธรรม

ผมขอสรุปในตอนที่ 3 ในหัวข้อนี้ส่งท้ายเป็นการเบื้องต้น แต่มิใช่ตอนจบนะครับว่า Integrated Thinking ที่นำไปสู่ Integrated Management / Audit สามารถสร้าง Value Added และ Value Creation ได้มากกว่า Silo – Based มากนักนั้น เป็นเพียงก้าวหนึ่งในก้าวแรก ๆ เพื่อไปสู่ GRC เท่านั้นนะครับ

 

Corporate Governance and the Role of Internal Audit in Asia

จากการร่วมประชุม 2010 Asian Chief Audit Executives Leadership Forum ที่สิงคโปร์ มีเอกสารที่น่าสนใจเล่มหนึ่งที่แจกให้ผู้เข้าร่วมประชุมได้อ่าน ในชื่อเรื่องว่า Corporate Governance and the Role of Internal Audit in Asia ซึ่งดำเนินการโดย Asian Developement Bank, September 2010

ในปลายปี ค.ศ. 2007 คณะกรรมการบริหาร (EXCO – Executive Committee) ของ ACIIA (Asian Confederation of institutes of Internal Auditors) ให้การรับรองโครงการจัดทำเอกสารจากการค้นคว้าในหัวข้อ Corporate Governance and the Role of Internal Audit in Asia การจัดทำหนังสือเล่มนี้เป็นการรวบรวมบทบาทของผู้ตรวจสอบใน Asia ที่เกี่ยวข้องกับ CG เป็นหลัก เพื่อประเมินว่า ในย่านเอเชียนั้น ผู้ตรวจสอบภายในมีบบบาทที่เกี่ยวข้องกับบรรษัทภิบาล หรือ CG ภายในองค์กรของตนอย่างไรบ้าง

CG and Auditors

เอกสารนี้สรุปสั้น ๆ ได้ดังนี้ว่า บทบาทของผู้ตรวจสอบภายในที่เกี่ยวข้องกับ CG ของประเทศในย่านเอเชีย จะขึ้นกับประวัติศาสตร์ วัฒนธรรม สภาพแวดล้อมของสถาบันต่าง ๆ ภายในองค์กร และของประเทศนั้น ๆ

และยังให้แนวความคิดว่า บทบาทของผู้ตรวจสอบภายในยังรวมถึง การติดตาม การควบคุมภายในตามฐานความเสี่ยง การประเมินผล และการวิเคราะห์ความเสี่ยง รวมทั้งการควบคุมความเสี่ยงในระดับองค์กร และทบทวน รวมทั้งการยืนยันความน่าเชื่อถือได้ของข้อมูลสารสนเทศ ที่เกี่ยวข้องกับการเงิน และมิใช่การเงิน รวมทั้งการปฏิบัติตามกฎหมาย กฎเกณฑ์ต่าง ๆ และวิธีการปฏิบัติต่าง ๆ ว่าสอดคล้องกับแนวทางกำกับที่มาจากกฎหมาย กฎเกณฑ์ต่าง ๆ นั้นหรือไม่

เอกสารฉบับนี้ได้รวบรวมเนื้อเรื่องดังกล่าวอย่างกว้าง ๆ ของบทบาทผู้ตรวจสอบภายในที่เกี่ยวข้องกับ CG ในประเทศจีน แผ่นดินใหญ่ ประเทศญี่ปุ่น ประเทศออสเตรเลีย มาเลเซีย เป็นต้น

กล่าวโดยสรุป ในมุมมองส่วนตัวของผม เอกสารเล่มนี้ได้ให้แนวทางเกี่ยวกับบทบาทของผู้ตรวจสอบภายในกับบรรษัทภิบาลเบื้องต้นมาก และอิงมาตรฐานในยุคก่อนปี ค.ศ. 2007 เป็นหลัก ซึ่งเมื่อเปรียบเทียบกับสรรสาระที่ผมได้รับจากการประชุมในที่ประชุม CAE Leadship Forum ในหัวข้อต่าง ๆ ตามที่ผมได้นำเสนอในเรื่อง Integrated Management / Audit ซึ่งเป็นความคิดที่ผมได้รับจากภาพโดยรวม จากการประชุมที่ผมได้กล่าวไว้ในหัวข้อ คุยกับผู้เขียนนั้น จะมีสาระที่แตกต่างกันค่อนข้างมากในเนื้อหาที่ได้รับ สำหรับ CAE Leadship Forum ซึ่งเน้นการนำเสนอในลักษณะ Panel Discussion เป็นหลัก

บทบาทของผู้ตรวจสอบภายในทางด้าน Governance ตามเอกสารเล่มนี้จะประกอบด้วยแนวทางดังนี้

the Role of IA in governance (Hermanson and Rittenberg, 2003)

Role of Internal Audit
– Risk Assessment
– Control Assurance
– Compliance Work
– Consulting & Operations

อย่างไรก็ดี ถึงแม้ข้อมูลข้างต้นจะเป็นข้อมูลก่อนปี ค.ศ. 2007 แต่ก็มีเรื่องที่พูดถึง Future of Asian IA: Learning from the best practice ในลักษณะที่พยายาม update ข้อมูลตอนสุดท้ายให้ดูเหมาะสมกับการบริหารความเสี่ยงมากยิ่งขึ้น รวมทั้ง ให้คำแนะนำว่าให้ผู้ตรวจสอบภายในปฏิบัติตามมาตรฐานการตรวจสอบภายในสากล ของ IIA เป็นหลัก

เอกสารเล่มนี้จึงกล่าวถึงแนวทางที่สมาคมผู้ตรวจสอบภายในสากล ได้สนับสนุนกระบวนการวิเคราะห์ ประเมิน ความเสี่ยงตามแนวทางของ COSO – ERM Framework และได้นำเสนอ Internal Audit’s Role in ERM ตามภาพที่น่าสนใจด้านล่างนี้

ITG_GRC_COSO_Value Creation

ประเทศออสเตรเลียเป็นประเทศหนึ่งที่อยู่ใน ACIIA (Asian Confederation of institutes of Internal Auditors) และเป็นผู้นำในหลายด้านของกระบวนการจัดการที่ดี ทั้งด้าน CG ด้าน Risk Management ซึ่งในที่ประชุม ACIIA ได้ให้ประเทศออสเตรเลียเป็นประเทศพี่เลี้ยงหลักกับประเทศอื่น ๆ ในย่านเอเชีย โดยมีหลักการที่ว่า ประเทศที่มีศักยภาพที่ดีกว่า ที่วัดจาก Performance Report ของสมาคม IIA ย่านเอเชียเป็นหลัก และให้ประเทศเหล่านี้ดูแลประเทศที่ดีศักยภาพน้อยกว่าต่อไป ซึ่งเป็นเรื่องที่ดีมาก เพราะจะสอดคล้องกับหลักการของ IIA สากล ที่กล่าวว่า Profit by Sharing ครับ

 

Integrated Management / Audit and CAE – Chief Audit Executive ตอน 2

จากแนวความคิดและการบริหารแบบ Silo – Based ที่องค์กรหลายแห่งก็ยังเป็นเช่นนี้อยู่ในปัจจุบัน ตามที่ได้กล่าวใน Integrated Audit ตอนแรกแล้วนั้นจนนำผู้อ่านมาสู่แนวคิด และแนวปฏิบัติที่สามารถสร้างศักยภาพ และ Value Creation รวมทั้ง ยกระดับการแข่งขันเพื่อการขับเคลื่อน หลักการธรรมมาภิบาลไปสู่การปฏิบัติจริงได้ดียิ่งขึ้น โดยใช้ Integrated Management ซึ่งเป็นขั้นตอนแรก ๆ ที่จะนำไปสู่ Integrity – Driven Performance หรือ GRC ต่อไปนะครับ

จากจุดอ่อนตามที่กล่าวในตอนที่ 1 แล้วนั้น ในทางปฏิบัติของหลาย ๆ องค์กร ทั้งภายในและต่างประเทศหลายแห่ง เกิดจากการบริหารและการจัดการที่มีแนวความคิดจากโครงสร้างขององค์กร ที่ส่วนใหญ่ยังแบ่งงานในลักษณะ Silo – Based นั่นคือ การแบ่งงานตามหน้าที่ หรือตาม Function มากกว่า การคำนึงถึงกระบวนการในการดำเนินงาน ที่ในปัจจุบันใช้คอมพิวเตอร์เข้าช่วยในแทบทุกองค์กร ซึ่งกระบวนการทำงานโดยใช้คอมพิวเตอร์ในขั้นตอนการปฏิบัติงานเป็นส่วนใหญ่นั้น จะมีลักษณะเป็น Integrated – Based ซึ่งอาจจะกล่าวโดยย่อได้คือ เป็นการดำเนินงานที่เชื่อมต่อ กระบวนการทำงานในแต่ละกิจกรรมและในแต่ละขั้นตอนเข้าด้วยกันอย่างต่อเนื่อง ภายในสายงานเดียวกันและข้ามสายงานอย่างอัตโนมัติ โดยเฉพาะอย่างยิ่ง ขั้นตอนการประมวลผล (Process) ซึ่งในขั้นตอนนี้ องค์กรที่ใช้คอมพิวเตอร์เป็นหลักในการดำเนินงาน เช่น ในวงการการเงิน การธนาคาร ตลาดหลักทรัพย์ บริษัทการบิน และการให้บริการแบบอัตโนมัติ ทั้งในลักษณะ Online และ Offline โดยเฉพาะอย่างยิ่ง การให้บริการที่เป็นลักษณะ One Stop Service จะมีลักษณะการใช้คอมพิวเตอร์เข้ามาช่วยในการดำเนินงานเป็นส่วนใหญ่ และมีนัยสำคัญยิ่งต่อความพึงพอใจของลูกค้า และผู้ที่เกี่ยวข้องอย่างมีนัยสำคัญที่ไม่อาจปฏิเสธได้

ความเป็นจริงดังกล่าวตามวรรคต้น มีนัยสำคัญยิ่งต่อกระบวนการควบคุมความเสี่ยง ที่เกี่ยวข้องกับ IT Risk และ IT – Related Risk ที่มีผลต่อ Business Risk ที่เชื่อมโยงกับ Business Process และ Business Control และลึกลงไปถึง Application Control และ General Control ตามหลักการจัดการบริหารที่เป็นกระบวนการที่ใช้ Computer – Based เป็นหลักทั้งสิ้น

ถึงแม้บทบาทของคอมพิวเตอร์ และระบบอัตโนมัติจะมีความสำคัญยิ่งยวดเพียงใด และนับวันช่องว่างระหว่าง Technology Computer กับศักยภาพหรือ Competency ของบุคลากร ในระดับบริหารจนถึงระดับปฏิบัติการ มีช่องว่างเพิ่มขึ้นตามลำดับ นี่คือความเสี่ยงที่มีนัยสำคัญยิ่ง และมีผลสำคัญมากต่อกระบวนการตัดสินใจที่มีประสิทธิภาพ และประสิทธิผลในการดำเนินงานที่แท้จริง ที่หลายองค์กรยังต้องการความเข้าใจอย่างลึกซึ้งถึงผลกระทบต่อ IT Risk ที่มีผลต่อ Business Risk และกระบวนการตัดสินใจของผู้บริหารในภาพโดยรวม

ผู้บริหารของหลายองค์กรส่วนใหญ่ มักจะมีความเข้าใจคลาดเคลื่อนว่า เรื่องของเทคโนโลยี การควบคุมทางเทคโนโลยี และการจัดการทางด้านเทคโนโลยี เป็นของ CIO – Chief Information Officer จึงมีการมอบหมายงานสำคัญ ๆ ในการตัดสินใจไปยัง CIO และ CIO เกือบทั้งหมดก็มอบความไว้วางใจต่อ ๆ ไปยังผู้ใต้บังคับบัญชา รวมทั้ง Outsource ที่เกี่ยวข้อง ซึ่งเพิ่มความเสี่ยงในกระบวนการตัดสินใจ อันเกิดจากผลกระทบของ IT Risk ซึ่งมีผลต่อ Enterprise Risk Management อย่างสำคัญยิ่ง ทั้ง ๆ ที่เรื่องนี้เป็นความรับผิดและความรับชอบ ซึ่งเรียกสั้น ๆ ว่าเป็น Accountability ของผู้บริหารระดับสูงสุด รวมถึงคณะกรรมการที่จะต้องกำหนดนโยบายในเรื่องที่เกี่ยวข้องกับ การบริหารความเสี่ยง ทั้งทางด้าน IT และ Non – IT ในภาพโดยรวมให้เป็นภาพเดียวกัน มิใช่เพียงมาเชื่อมกัน หรือ นำมาต่อกันในภายหลัง+++ เท่านั้น

ท่านคิดอย่างไรบ้างครับ เมื่อได้อ่านเรื่อง Integrated Management / Audit ซึ่งเป็นการผสมผสานการตรวจสอบ IT Audit และ Non – IT Audit เข้าด้วยกัน เป็นหนึ่งเดียวในเป้าประสงค์ของการตรวจสอบโดยรวม แต่อาจแยกการปฏิบัติหน้าที่ โดยมีแนวความคิดและการวางแผนการตรวจสอบที่เกี่ยวข้องกับ Audit Universe ในลักษณะการเชื่อมโยงความเกี่ยวพันกัน ระหว่างการควบคุมความเสี่ยงทางด้าน IT และ Non – IT ไปสู่เป้าประสงค์ของการตรวจสอบ เพื่อฝ่ายบริหารระดับสูงและคณะกรรมการที่เกี่ยวข้อง ได้ใช้รายงานนี้เพื่อการตัดสินใจที่ถูกต้องเป็นสำคัญ มิใช่เป็นเพียงการจัดทำรายงานด้าน IT และคำแนะนำจุดอ่อนที่เกี่ยวข้องกับการควบคุมความเสี่ยงทางด้าน ICT เท่านั้น เพราะผู้บริหารจะให้ความสนใจอย่างจำกัด

ดังนั้น ในทางตรงกันข้าม การตรวจสอบทางด้าน IT Audit การตั้งสมมุติฐานว่า IT Security Control น่าเชื่อถือได้ โดยไม่สนใจความเป็นจริงตามหลักการและกระบวนการตรวสอบทางด้าน IT Audit และผลกระทบที่เกี่ยวข้องกับ Business Process ที่กระเพื่อมมาถึง Business Objective จากข้อมูลทางการเงิน และสารสนเทศที่ไม่น่าเชื่อถือ หรือเชื่อถือได้อย่างจำกัด ก็เป็นความล้มเหลวของการตรวจสอบทางด้าน IT Audit ในมุมมองต่าง ๆ เป็นอย่างยิ่ง

ตัวอย่างดังกล่าวมีมากมาย ทั้งในและต่างประเทศ ที่ผมจะได้มีโอกาสเล่าสู่กันฟังในโอกาสต่อ ๆ ไป