Le rôle d’un auditeur des SI est de détecter et de documenter les constatations et de contrôler les lacunes. Une partie du rapport de vérification consiste à expliquer le raisonnement qui sous-tend les constatations. L’utilisation d’identifiants partagés n’est pas recommandée car elle ne permet pas la responsabilité des transactions. Un vérificateur du SI s’en remet à la direction pour décider de la façon de réagir aux constatations présentées.