最高監査責任者（CAE）は通常、監査業務終了後に複数の業務を実施します。これには、フォローアップ活動の上級経営陣への報告、残存リスク評価のためのフォローアップ手順の実施、改善範囲の評価などが含まれます。これらの業務は、監査勧告が適切に対処され、残存リスクが効果的に管理されていることを確認するために不可欠です。しかし、勧告実施にかかる費用の算定は、通常、CAEの責任ではありません。この作業は、監査対象領域の経営陣が担当するのが一般的です。彼らは、これらの費用を正確に見積もるために必要な詳細な業務知識を有しているからです。参考資料：
* IIA の内部監査の専門的実施に関する国際基準 (基準)、具体的には基準 2500 - 進捗状況の監視。
* IIA のフォローアッププロセスに関する実践ガイド。

IIAのガイダンスによると、組織のリスク管理プログラムに関する内部監査部門の適切な役割は、組織の主要なリスク軽減戦略を十分に理解することです。これにより、内部監査人はリスク管理プロセスの有効性を評価し、リスク管理の適切性について保証を提供できるようになります。リスクの特定と管理、リスク管理プロセスの確立、そしてリスクを軽減するための統制の確立は、内部監査ではなく経営陣の責任です。
参考文献:
* IIA規格：2120 - リスク管理
* IIA実務ガイド：リスク管理における内部監査の役割

経営陣が統制改善のための行動計画を実施した後、監査人が行う最も適切なフォローアップ活動は再テストの実施です。再テストでは、新しい手順が初回監査で特定された統制上の不備に対処する上で有効であるかどうかを検証します。
詳細な説明:
IIA 標準 2500 - 進捗状況の監視:
この規格では、内部監査部門が経営管理上の措置が実施され、意図したとおりに機能していることを監視し、確認することが求められています。再テストは、新しい管理策がリスクを効果的に軽減していることを確認するため、このプロセスの重要な要素です。
再テストの重要性:
再テストにより、監査人は、以前に不備が判明した特定の統制活動が修正されたことを確認することができます。この実践的なアプローチは、新しい手順の有効性を直接的に証明します。
IIA実務アドバイス2500-1:
この勧告では、特定された問題が経営陣の行動によって解決されたことを確認するために、必要に応じて再テストを含むフォローアップ活動の必要性を強調しています。
他の選択肢はなぜないのか?
オプション A (別の監査を実施する): 完全に新しい監査を実施するのは過剰である可能性があります。フォローアップと再テストで是正措置の有効性を確認するのに十分です。
オプション B (手順が文書化されていることを確認する): 文書化は重要ですが、手順が実際に効果的であることを保証するものではありません。
オプション D (手順を分析して経営陣に報告する): 分析は有用ですが、再テストにより有効性を直接検証できます。
結論: オプション C が正解です。再テストにより、新しい手順が以前に特定された欠陥に効果的に対処し、IIA ガイダンスに沿ってリスクが意図したとおりに軽減されたことが確認されるためです。

内部監査人がリスク・コントロール・マトリックスを作成するのに最も効果的な時期は、監査業務の計画段階です。このマトリックスは、主要なリスクとそれらのリスクを軽減するためのコントロールを特定するのに役立ちます。これは、焦点を絞った効果的な監査業務プログラムを策定する上で非常に重要です。
IIA リファレンス:
IIA規格2201「計画策定における考慮事項」では、内部監査員は監査業務を計画する際に重要なリスクと統制を考慮することが求められています。この段階でリスク・コントロール・マトリックスを作成することで、監査業務が最も重要な領域に適切に焦点を絞られるようになります。
リスク評価の実践ガイドでは、計画中にリスクとコントロールのマトリックスを作成すると、特定されたリスクに効果的に対処するための監査の構造化に役立つとアドバイスされています。