在对IT流程的安全审计过程中，信息系统审计师发现没有关于安全程序的文档。该审计师应该：（）

审计的一个主要目标是要识别潜在的风险，因此，最主动的方式是识别并评估目前状况下组织的安全活动。信息系统审计师不应该生成和准备这些文档，因为这会损害审计师的独立性。中止审计便无法实现识别潜在风险这一基本审计目标。因为连正式成文的程序文档都不存在，因此实施符合性测试是没有依据的。点评：发现控制缺陷—深入调研—风险评估—报告。