หลายคนอาจจะไม่สังเกตหรือไม่ได้สนใจเมื่อมีปัญหาต่างๆ เกิดขึ้นกับตนเองเวลาติดต่อทำธุรกรรมกับหน่วยงานต่างๆ ส่วนมากจะคิดว่าช่างมันเถอะ หรือไม่ก็เมื่อโทรไปติดต่อ service center และได้รับการแก้ไขปัญหา ก็จบเรื่อง แต่ในความเป็นจริง หน่วยงานต่างๆ ควรนำปัญหาที่ได้รับการแจ้งหรือที่ได้รับการติดต่อเข้ามา มาวิเคราะห์เพื่อหาวิธีการแก้ไขปรับปรุง ไม่เว้นแม้แต่กรณีเดียว หากแต่หน่วยงานอาจจะเริ่มจากปัญหาที่มีผู้ติดต่อแจ้งเข้ามาบ่อยก่อน การนำประเด็นหรือกรณีปัญหาเหล่านี้มาพิจารณาเพื่อทำการแก้ไข ปรับปรุงเป็นวิธีการพัฒนาตนเองอย่างง่ายๆ ของหน่วยงาน
ตามปกติ หน่วยงานจะต้องมีการตรวจสอบข้อผิดพลาด หรือช่องโหว่ของตนเอง โดยเฉพาะการตรวจสอบเทคโนโลยีสารสนเทศเพื่อป้องกัน ซ่อมแซม ตามหลักการที่สอดคล้องกับแนวคิดของ Preventive Maintenance ในการลดความเสี่ยงและความเสียหายของทั้งลูกค้าของหน่วยงาน และหน่วยงานเอง ดังนั้นผู้ที่ทำการตรวจสอบจะต้องคิด วิเคราะห์ เพื่อที่จะระบุความเสี่ยงต่างๆ ที่อาจจะเกิดขึ้นกับระบบสารสนเทศ แต่ไม่ใช่แค่ตรวจสอบความเสี่ยงที่จะเกิดขึ้นกับระบบสารสนเทศเท่านั้น ตามหลักการต้องตรวจสอบว่าระบบสารสนเทศนั้นจะไปสร้างปัญหาหรือความเสี่ยงให้กับผู้ที่เกี่ยวข้องหรือหน่วยงานหรือไม่
ในความเป็นจริงหน่วยงานส่วนมากจะสนใจเฉพาะความเสี่ยงหรือปัญหาที่จะเกิดกับระบบสารสนเทศ หรือเทคโนโลยีสารสนเทศของหน่วยงานเท่านั้น จะเห็นได้จากทุกหน่วยงานให้ความสำคัญกับไวรัสคอมพิวเตอร์ การเข้าถึงข้อมูล ซึ่งเกี่ยวกับการสร้างความปลอดภัยเครือข่ายคอมพิวเตอร์เท่านั้น มีการลงทุนด้วยเงินเป็นจำนวนมากเพื่อป้องกันระบบเครือข่ายคอมพิวเตอร์ แต่หน่วยงานไม่ได้ให้ความสำคัญกับตัวสารสนเทศ ที่จะใช้สำหรับสร้างความสามารถในการแข่งขัน หรือแม้แต่จะใช้สนับสนุนการตัดสินใจของผู้บริหารระดับต่างๆ ซึ่งความเสี่ยงหรือปัญหาที่จะมีผลกระทบต่อการดำเนินงานและมีผลให้ข้อมูลที่จะนำมาใช้สร้างสารสนเทศ หรือหาองค์ความรู้ ที่รู้จักกันอย่างแพร่หลายว่า business intelligence ไม่ใช่เกิดจากช่องโหว่ของระบบเครือข่ายคอมพิวเตอร์อย่างเดียวเท่านั้น มันมาจากคน ระบบงาน กระบวนการทำงาน ระบบสารสนเทศหรือโปรแกรมประยุกต์ หรือแม้แต่ตัวกฎระเบียบ และนโยบายของผู้บริหารก็เป็นไปได้
ดังนั้นผู้ทำการตรวจสอบระบบสารสนเทศจึงไม่ใช่แค่ตรวจสอบเทคโนโลยีสารสนเทศที่เกี่ยวกับระบบโครงข่ายคอมพิวเตอร์เท่านั้น แต่ต้องตรวจสอบตั้งแต่ความจำเป็นในการมีเทคโนโลยีสารสนเทศทุกชนิดทุกอย่างในหน่วยงาน ตรวจสอบกระบวนการทำงาน วิธีการทำงาน เพื่อค้นหาจุดอ่อน จุดแข็ง ปัญหาที่เกิดขึ้นในการทำงาน แล้วจึงพิจารณาหาวิธีการแก้ไข โดยเริ่มจากการปรับปรุงกระบวนการทำงานหรือวิธีการทำงานก่อน แล้วจึงพิจารณานำเทคโนโลยีสารสนเทศเข้ามาสนับสนุนการทำงานในกระบวนการนั้นๆ
สิ่งสำคัญที่ต้องคำนึงถึงคือระบบสารสนเทศหรือเทคโนโลยีสารสนเทศที่นำเข้ามา ไม่ใช่เข้ามาทดแทนคนหรือมาทำงานแทนคน ดังนั้นการตรวจสอบเทคโนโลยีสารสนเทศจึงต้องวิเคราะห์ศักยภาพและทัศนคติในการทำงานของคน ไม่ใช่แค่ศักยภาพในการทำงานกับคอมพิวเตอร์เท่านั้น ศักยภาพในการทำงานตามที่ได้รับมอบหมาย นั่นคือต้องวิเคราะห์ความเหมาะสมและความเชี่ยวชาญของบุคลากรในการใช้ระบบสารสนเทศนั่นเอง ตั้งแต่การรู้จักข้อมูลที่ตนเองเป็นผู้สร้างขึ้นมาจากธุรกรรมที่รับผิดชอบ การเข้าใจกระบวนการทำงาน จนสามารถระบุปัญหาที่อาจจะเกิดขึ้นในกระบวนการทำงานและแนะนำวิธีการปรับปรุงแก้ไขปัญหาที่คาดว่าจะพบ ความสามารถในการใช้ข้อมูลต่างๆ ที่เก็บจากระบบสารสนเทศที่ตนเองใช้งานมาเป็นประโยชน์กับหน่วยงานหรือมาเพิ่มประสิทธิภาพในกระบวนการทำงาน การเข้าใจงานของผู้ร่วมงานที่เกี่ยวข้องกับงานของตนเอง และการปรับปรุงพัฒนาตนเองหรือการระบุได้ถึงองค์ความรู้ที่ตนเองมีอยู่ที่จะสามารถถ่ายทอดออกมาและจัดเก็บโดยระบบสารสนเทศ เป็นต้น หากพิจารณาทั้งหมดที่กล่าวมานี้จะทำให้สามารถระบุปัญหาหรือความเสี่ยงที่เกิดขึ้นจากการนำเทคโนโลยีสารสนเทศมาใช้งานในหน่วยงาน ถือเป็นการทำ preventive maintenance ที่สมบูรณ์
จากที่กล่าวมาข้างต้นจะเห็นได้ว่าผู้ตรวจสอบเทคโนโลยีสารสนเทศจะต้องมีความรู้และความเข้าใจเกี่ยวกับธุรกิจ การจัดการองค์การ การจัดการทรัพยากรบุคคล กระบวนการทำงานต่างๆ และเทคโนโลยีสารสนเทศในทุกเรื่อง ตั้งแต่การวิเคราะห์และออกแบบระบบงาน กระบวนการทำงาน การกำหนดข้อมูลที่จำเป็น การบริหารจัดการข้อมูล การออกแบบระบบสารสนเทศเพื่อสนับสนุนการทำงานอย่างมีประสิทธิภาพ การนำเทคโนโลยีสารสนเทศทางด้าน hardware และ software ที่เหมาะสมมาใช้ การวิเคราะห์และออกแบบเครือข่ายคอมพิวเตอร์ที่เหมาะสม การรักษาความปลอดภัยของข้อมูลที่จะนำมาใช้สร้างสารสนเทศและองค์ความรู้ ความเข้าใจเรื่องการนำข้อมูลมาใช้เพื่อให้เกิดประโยชน์กับหน่วยงาน นอกจากนี้จะต้องมีความสามารถในการประยุกต์ใช้เทคโนโลยีสารสนเทศที่มีอยู่ให้สอดคล้องกับกระบวนการทำงาน หรือการเข้าใจและสามารถจัดการองค์ความรู้ได้ ดังนั้นผู้ที่ตรวจสอบเทคโนโลยีสารสนเทศจะต้องมีความรู้รอบด้าน และต้องเป็นผู้ที่มีประสบการณ์ค่อนข้างสูง เพื่อที่จะสามารถวิเคราะห์ความเสี่ยงของเทคโนโลยีสารสนเทศ และจัดารความเสี่ยงทั้งป้องกัน และแก้ไข หรือปรับปรุงให้ทันกับสภาพแวดล้อมทางธุรกิจที่หน่วยงานเผชิญอยู่ ฟังดูแล้วท่านคิดว่าท่านตอบคำถามว่าน่าเชื่อถือได้แล้วหรือยัง ท่านเข้าใจคำว่าเทคโนโลยีสารสนเทศดีแล้วหรือยัง ท่านตอบได้ไหมว่าเทคโนโลยีสารสนเทศแตกต่างจากระบบสารสนเทศหรือโปรแกรมประยุกต์อย่างไร ความสับสนนี้มีผลต่อความน่าเชื่อถือของระบบงานทุกระบบ ไม่ใช่แค่ระบบที่ขึ้นต้นด้วย e แน่นอน