เคยมีคำถามว่า ใครควรเป็นผู้จัดกระทำการควบคุมภายใน คำถามนี้เริ่มต้นตั้งแต่ให้มีการรายงานการควบคุมภายในตามระเบียบคณะกรรมการตรวจเงินแผ่นดินว่าด้วยการกำหนดมาตรฐานการควบคุมภายใน พ.ศ. 2544 ตามระเบียบข้อ 6 คำตอบมีหลากหลายมาก เช่น ใครไปอบรมมาก็คนนั้นแหละ "ทำ" หัวหน้ากลุ่ม หัวหน้างาน แล้วอาจจะมีคำถามตามมาอีกว่า "ทำไมต้องทำ"
     การควบคุมภายในแทรกอยู่ในการปฏิบัติงานของเจ้าหน้าที่ผู้ปฏิบัติทุกคน เป็นเสมือนเส้นทางสู่ความสำเร็จของงาน เป็นเกราะกำบังตัวเจ้าหน้าที่ ถ้าเราทำงานในหน้าที่ที่รับผิดชอบโดยสำเร็จ ถูกต้อง ครบถ้วน ภายในเวลากำหนด อย่างมีประสิทธิผลและมีประสิทธิภาพ แสดงว่าระบบการควบคุมภายในของเราดี ถ้าเราทำงานไม่เสร็จ ทำงานไม่ทันหรือทำแล้วไม่ถูกต้อง มีข้ัอผิดพลาด เรียกว่า เป็นความเสี่ยง การจัดวางระบบการควบคุมภายใน จึงเป็นการหาวิธีป้องกันความเสี่ยงที่คาดว่าจะเกิดขึ้น ซึ่งถ้าเกิดแล้วจะทำให้ทำงานไม่สำเร็จ ลุล่วง ดังนั้น เราจึงต้องกำหนดการควบคุมภายในสำหรับงานของตัวเราก่อน แล้วดูว่างานของเราเชื่อมโยงไปถึงใครอีกบ้าง ใครที่ต้องมีส่วนสัมพันธ์กับงานของเรา แล้วมาจัดวางระบบการควบคุมภายในให้ครอบคลุมทั้งกลุ่มงาน ทั้งหน่วยงาน "ทุกคน" จึงมีส่วนร่วมในการจัดวางระบบการควบคุมภายใน
     ถ้ายังมองไม่ออก จะขอยกตัวอย่าง "วัน สต็อป เซอร์วิส" ผู้รับผิดชอบงานนี้ทำอะไรบ้าง ถ้ามีผู้มาขอเบิกเงินสวัสดิการค่ารักษาพยาบาล เริ่มจาก
     ข้นตอนที่ 1. ตรวจสอบหลักฐานขอเบิก ถูกต้องตามระเบียบหรือไม่
     ขั้นตอนที่ 2. ตรวจสอบหลักฐานขอเบิกแล้ว ถูกต้อง เสนอผู้มีอำนาจอนุมัติ เจ้าหน้าที่จ่ายเงินทดรองราชการให้ผู้ขอเบิก ผู้ขอเบิกลงลายมือชื่อรับเงินในใบเบิกเงินสวัสดิการค่ารักษาพยาบาล พร้อมวัน เดือน ปี ที่รับเงิน ครบถ้วน ถูกต้อง  2 ขั้นตอนนี้กำหนดเสร็จภายใน 15 นาที
     ท่านคิดว่า 2 ขั้นตอนนี้ จะกำหนดการควบคุมภายในอย่างไร   
     1. ถ้าสงสัยว่ารายการขอเบิกจะเบิกได้หรือไม่ อย่างไร จะสอบถามใคร มีผู้สอบทานอีกคนหรือไม่
     2. ถ้าเจ้าหน้าที่ ไม่อยู่หรือลา ใครเป็นผู้ทำหน้าที่แทน ใครบ้างที่ต้องเกี่ยวข้องกับการจ่ายเงินแบบ "วัน สต็อป เซอร์วิส" 
     3. ระบบการควบคุมการจ่ายเงินทดรองราชการเท่านี้เพียงพอหรือยัง เป็นการปฏิบัติถูกต้องตามระเบียบกำหนดหรือไม่
การควบคุมภายในสำหรับงานการเงินและบัญชีจะมองเห็นได้ชัดเจน เนื่องจากมีตัวระเบียบปฏิบัติเป็นตัวกำหนดว่าจะต้องทำอะไร อย่างไรบ้าง แทรกอยู่ในการปฏิบัติงานด้ัวยเสมอ     
     งานตรวจสอบภายใน ด้านการสอบทานระบบการควบคุมภายในจะดูว่าถ้าเจ้าหน้าที่บอกว่าระบบควบคุมภายใน 3 ข้อข้างต้น ดีและเหมาะสมเพียงพอต่อความเสี่ยงที่อาจจะเกิดขึ้นแล้ว ผู้ตรวจสอบภายในจะไปดูว่า ดีจริงดังว่าหรือเปล่า หรือว่ายังมีข้อบกพร่อง มีช่องโหว่อยู่ในขั้นตอนใด โดยใช้มาตรฐานการตรวจสอบที่เป็นที่ยอมรับกันโดยทั่วไป ใช้องค์ความรู้ด้านการตรวจสอบและข้อระเบียบกฎหมายที่เกี่ยวข้อง ท่านอาจจะแย้งว่าแล้วผู้ตรวจสอบภายใน "เก่ง" พอแล้วหรือ ที่จะบอกว่าระบบควบคุมภายในดีหรือไม่ดี ..และแล้ว...ความเสี่ยงของผู้ตรวจสอบภายในเกิดขึ้น ณ จุดนี้ 
     ดังนั้น ผู้ตรวจสอบภายในต้องจัดวางระบบการควบคุมภายในด้วยเช่นกัน ความเสี่ยงจากความไม่น่าเชื่อถือในความรู้ความสามารถในการปฏิบัติงาน การขาดการพัฒนาความรู้และขาดความเชี่ยวชาญในสาขาวิชาที่จำเป็นสำหรับงานตรวจสอบ เป็นอุปสรรคต่องานตรวจสอบ ทำให้การปฏิบัติงานตรวจสอบไม่เกิดผลสัมฤทธิ์ในระดับที่น่าพึงพอใจ หน่วยตรวจสอบภายในวางแผนแก้ปัญหานี้โดยการส่งบุคลากรเข้ารับการอบรมในหลักสูตรเฉพาะสำหรับผู้ตรวจสอบ เพื่อให้เป็นไปตามมาตรฐานการตรวจสอบ ในหลักสูตรประกาศนียบัตรผู้ตรวจสอบภายในภาครัฐ(CGIA) ซึ่งมี 4 ระดับ แต่ละระดับจะมีการอบรมการตรวจสอบหลายด้าน และที่สำคัญมีการสอบ มิใช่ว่าไปนั่งอบรมเฉย ๆ แล้วกลับมานั่งทำงาน นอกจากนั้นยังมีเครือข่ายการตรวจสอบภายใน มีการพัฒนาตนเองโดยศึกษาระเบียบปฏิบัติต่าง ๆ อย่างสม่ำเสมอ อย่างไรก็ตาม ความเสี่ยงของหน่วยตรวจสอบภายใน จะยังคงมีอยู่ทุกรอบปีที่ให้รายงาน อย่างน้อย 2 ข้อ คือ 1.บุคลากรน้อย ไม่เพียงพอต่อการปฏิบัติงานตรวจสอบให้ครบถ้วนอย่างมีประสิทธิภาพ และ 2. ความเสี่ยงด้านความรู้ความสามารถในการปฏิบัติงานอย่างมีประสิทธิภาพ จำเป็นต้องส่งไปอบรมหรือสัมมนาทุกปีเพื่อเพิ่มพูนความรู้ เปิดโลกกว้่าง สร้างความเชื่อมั่น ทันต่อความเปลี่ยนแปลง ฯลฯ แล้วหน่วยตรวจสอบภายในยังมีความเสี่ยงที่ควบคุมไม่ได้อีกข้อหนึ่ง คือ การได้รับจัดสรรงบประมาณน้อย ค่าลงทะเบียนอบรมหลักสูตร CGIA ก็แพงจัง....จะทำยังไงดีน๊า.....