最高監査責任者（CAE）は、外部サービスプロバイダーが下した結論が適切に裏付けられていることを確認する責任を負います。監査委員会は監査計画を承認し、CEOは外部サービスプロバイダーの契約を承認する場合がありますが、外部監査人が下した結論および勧告の質と裏付けを含む、監査プロセス全体を監督するのはCAEの責任です。参考：
IIA の内部監査の専門的実施に関する国際基準 (基準)、具体的には基準 1312 - 外部評価。
内部監査活動のアウトソーシングおよびコソーシングに関する IIA の実務ガイド。

包括的かつ詳細な説明：
内部で特定されたリスクが業界リスクを反映しているかどうかを検証するために、監査人は組織のリスクプロファイルを同業他社、業界標準、および外部のベストプラクティスと比較する必要があります。このプロセスはベンチマーキング（A）と呼ばれます。ベンチマーキングは、経営陣が新たな業界リスクや一般的な業界リスクを見落としていないかどうかを監査人が評価するのに役立ちます。
* 傾向分析 (B) では、外部との比較ではなく、同じ組織内での時間の経過に伴う変化を評価します。
* 比率分析 (C) は、リスクの特定ではなく、財務指標に重点を置いています。
* 観察 (D) は運用上の洞察を提供しますが、業界比較は提供しません。
したがって、ベンチマークは、監査人がリスク評価において内部環境と外部環境の両方を考慮することを推奨する IIA ガイダンスに沿った適切なツールです。

最高監査責任者（CAE）は、残存リスクを含む監査結果を上級経営陣に伝達する責任を負います。IIA規格2410「伝達基準」によれば、CAEは監査業務の目的、範囲、結論、推奨事項、および行動計画を伝達する必要があります。監査成果の一部である残存リスクは、監査結果と同時に報告されるべきであり、これにより上級経営陣は監査業務のあらゆる側面について十分に理解することができます。これにより、上級経営陣は、統制措置を適用した後も残存するリスクを把握することができます。
参照：
内部監査人協会（IIA） - 内部監査の専門的業務基準、基準2410 - コミュニケーションの基準