Die Rolle eines IS-Auditors besteht darin, Feststellungen zu erkennen und zu dokumentieren und Mängel zu kontrollieren. Teil des Auditberichts ist es, die Gründe für die Ergebnisse zu erläutern. Die Verwendung von freigegebenen IDs wird nicht empfohlen, da sie keine Rechenschaftspflicht für Transaktionen ermöglicht. Ein IS-Auditor überlässt es dem Management, zu entscheiden, wie auf die vorgelegten Ergebnisse reagiert werden soll.