审查应付账款系统的IS审计师发现没人审查审计日志。向管理人员提出此问题时，得到的回应是因为有效的系统访问控制已就位，因此没有必要进行额外的控制。该审计师能做出的最佳回应是：（）

经验表明，单纯依赖预防性控制非常冒险。预防性控制可能到最后不如料想的那样强大，或者它们的有效性会随着时间的推移而变弱。评估控制成本与风险大小之间的关系是一种得当的管理手段。但是，在高风险的系统中需要一个综合的控制框架。通过智能设计可建立持续运行成本不高的额外检测性和改正性控制（例如，日志的自动化询问），以突出显示可疑的个别交易或数据模式。有效的访问控制虽然本身属于主动控制，但是由于上面提到的那些原因，不足以弥补其他控制薄弱环节的不足。在这种情况下，IS审计师应该积极主动。IS审计师的基本义务是指出会给组织带来不可接受的风险的控制薄弱环节，并与管理人员共同应对这些薄弱环节。对应付账款负责人员的背景调查进行审查，无法证明舞弊行为不会发生。