马来西亚的上市公司(“PLC”)根据Bursa Malaysia Securities Berhad(“Bursa”)的上市要求(“LR”)第15章，必须建立独立的内部审计(“IA”)功能，无论是内部或外包，为PLC的审计委员会和董事会提供保证，确保PLC在实现公司目标方面的治理、风险和控制程序的充分性和运行有效性。

作为序言，内部审计被定义为“一种独立的、客观的保证和咨询活动，旨在增加价值和改善组织的运作。”它通过采用系统的、有纪律的方法来评估和改善风险管理、控制和治理过程的有效性，帮助组织实现其目标。”(资料来源:内部审计员协会的国际专业惯例框架)。

评估IA的状态函数,其工作范围的程度在plc中,囊委托一个2019年的专题研究内部审计师协会一起马来西亚,专注于IA计划,IA报告(包括后续)和披露IA的公司治理报告功能40个选择的制度．研究集中于IA功能的7项准则，即:

1. 采用认可的内部审计架构;
2. 独立性和客观性;
3. 计划审计;
4. IA函数的有效性;
5. 资源管理;
6. 沟通审计结果;和
7. 监测进展。

这些标准与Bursa的LR、马来西亚公司治理准则(“MCCG”)、风险管理和内部控制声明:上市发行人董事指南(“SORMIC”)和IPPF一致。以下是保险业监督功能在遵守有关规定方面的状况，包括在40个经检讨的plc的年报中披露的情况:

1. 采用认可的内部审计架构

这与IA职能在其工作中采用的认可框架的披露有关——不到披露的plc的一半。如果没有披露，读者就不可能了解内部审计的标准、职业道德守则和核心原则，包括内部审计职能所采用的内部审计定义。

2. 独立性和客观性

保险业监督的职能必须披露其人员在关系上的独立性，以及该等人员与有关的PLC没有任何利益冲突，以便进行客观的评估。

3. 计划审计

本标准涉及采用基于风险的计划，以确定内部审计覆盖范围，该计划的依据是内部审计职能进行的风险评估，或由PLC管理层或其组合编制的风险概况的审查。所有40家plc的内部审计功能都有内部审计计划，但其中只有6家表明其内部审计准备了基于风险的审计计划。

4. 内部审计职能的有效性

这一标准关注于IA范围是否被处理治理、风险管理和内部控制流程，包括关联方交易;以及是否进行了根本原因分析，作为内部监督工作的一部分，以便提出相关建议，以解决所述的弱点。

没有一家plc披露IA范围涵盖治理、风险管理和内部控制流程，包括关联方交易．32个plc披露IA范围仅用于内部控制．大多数plc没有审查其IA范围内的关联方交易，即使这些plc的财务报表披露了重大关联方交易的存在。没有提到的根本原因分析，由内务部进行33 plc (83%)然后在保险业监督报告中提出建议。

5. 资源管理

这涉及披露有关内部监督资源数量的信息，包括负责内部监督的人员的姓名和资格。这些资料可让我们了解在保险业监督工作中所调派的人员是否足够，包括内务主任的能力。虽然30 plc (75%)披露有关内部监督职能的有关资料，10 plc (25%)选择了保持沉默。

6. 沟通审计结果

本标准涉及内部审计工作的结果，即结论或观点，以及如何将该等结果(包括建议的行动计划)传达给管委会。保险业监督只报告12个制度(30%)满足这一标准，而其余的28日制度（70%）在向审计委员会通报审计结果时，未披露任何内部审计结论或意见。

7. 监测进展

这涉及内部监督职能以前报告的问题的后续行动，包括管理部门为解决这些问题而议定的行动计划的执行情况。33个plc(83%)没有监测行动计划的进展情况而剩下的7制度(17%)表示已采取后续行动，并就此向行政委员会报告。

这项研究显示了一个巨大的差距，特别是在上述7个标准中的5个，有关的IA功能的工作，以满足PLC的需要。审核委员会负责监督保险业监督的职能，应考虑采取下列措施，以加强保险业监督的职能，包括人员的能力、在保险业监督中推行的标准及整体工作质素:

一个。采用认可的框架

马来西亚IA的现状(不包括马来西亚国家银行监管的金融机构IA):

内部审计师并不一定必须是任何专业团体的成员，也不必须在其工作中采用任何认可的内部审计师标准。这总能使保险业监督在进行工作时维持其本身的“标准”，而有时，尤其是外判保险业监督服务提供者，可能会迫于压力而涵盖较小范围或省略某些重要程序，以保持在市场上的竞争力。这常常导致IA功能在形式上，没有太多实质内容，只是符合囊的LR。

为纾缓这种情况，管委会应考虑采取下列纠正措施:

1. 定期检讨内部监督职能的范围，以确保其足以就SORMIC公布的上市发行人治理、风险和控制流程的充分性和运作有效性提供相关保证;和
2. 要求内部审计职能采纳马来西亚公司管治守则所列举的全球认可的内部审计架构。象内部审计员协会的国际专业做法框架那样的整体框架规定如下:
1. 内部监督的定义(即，内部监督的范围最少应包括评估机构的治理、风险管理和内部控制流程)；
2. 内部审计人员应遵守的核心原则和职业道德规范专业的独立，客观，无利益冲突，内部审计师接受并遵守内部审计的适当属性);和
3. 一套内部审计标准(简化内部审计工作的方式)计划和执行其工作，收集证据，沟通结果，并监测补救行动计划的进展)．

如果plc采用这种架构，将大大有助于标准化内部监督的范围、内部监督的方法，以及缩小现有的差距，以提高内部监督工作的质量;和

B。持续教育审计委员会，让他们了解内部审计的职能

管委会成员应了解规管规定的最新发展，并应考虑不时参加为管委会成员举办的教育讲座，以加深他们在企业管治方面的角色，风险管理和内部控制，以及管理委员会如何更有效地部署IA功能作为其“眼睛和耳朵”。委员会成员亦应在有关的教育会议上，了解如何评估保险业监督的能力、可用的资源、报告的质素等，以确保保险业监督在向委员会提供保证和意见方面继续处于领先地位。