El papel de un auditor de IS es detectar y documentar los hallazgos y controlar las deficiencias. Parte del informe de auditoría es explicar el razonamiento detrás de los hallazgos. No se recomienda el uso de identificadores compartidos porque no permite la rendición de cuentas de las transacciones. Un auditor de IS se remite a la gerencia para decidir cómo responder a los hallazgos presentados.