马来西亚的上市公司(“PLC”)根据Bursa Malaysia Securities Berhad(“Bursa”)的上市要求(“LR”)第15章，必须建立独立的内部审计(“IA”)功能，无论是内部或外包，为PLC的审计委员会和董事会提供保证，确保PLC在实现公司目标方面的治理、风险和控制程序的充分性和运行有效性。

作为序言，内部审计被定义为“一种独立的、客观的保证和咨询活动，旨在增加价值和改善组织的运作。”它通过采用系统的、有纪律的方法来评估和改善风险管理、控制和治理过程的有效性，帮助组织实现其目标。”（资料来源：内部审计研究所的国际专业实践框架[“IPPF”）。

为了评估IA职能的地位以及PLC的工作范围，Bursa于2019年委托了一项专题研究，与内部审计研究所马来西亚，重点是IA计划，IA报告（包括随访）和披露IA职能在公司治理报告中40个选择的制度．研究集中于IA功能的7项准则，即:

1. 采用认可的内部审计架构;
2. 独立性和客观性;
3. 规划审计;
4. IA功能的有效性;
5. 资源管理;
6. 沟通审计结果;和
7. 监督进展。

这些标准与Bursa的LR、马来西亚公司治理准则(“MCCG”)、风险管理和内部控制声明:上市发行人董事指南(“SORMIC”)和IPPF一致。以下是保险业监督功能在遵守有关规定方面的状况，包括在40个经检讨的plc的年报中披露的情况:

1. 通过认可的IA框架

这涉及本公开IA功能在其工作中采用的公认框架 - 不到所公开的PLC的一半。在没有这样的披露的情况下，读者无法理解IA职能通过的内部审计的伦理和核心原则的伦理和核心原则的决定性，包括内部审计的定义。

2. 独立性和客观性

IA功能必须在关系方面披露其人员的独立性，而IA人员没有任何有关的PLC的利益冲突，以实现客观评估。

3. 计划审计

本标准涉及采用基于风险的计划，以确定内部审计覆盖范围，该计划的依据是内部审计职能进行的风险评估，或由PLC管理层或其组合编制的风险概况的审查。所有40家plc的内部审计功能都有内部审计计划，但其中只有6家表明其内部审计准备了基于风险的审计计划。

4. 内部审计职能的有效性

该标准专注于IA范围是否解决了治理，风险管理和内部控制流程，包括相关方交易;作为IA的一部分进行了根本原因分析，以使相关建议能够解决所指出的弱点。

没有一家plc披露IA范围涵盖治理、风险管理和内部控制流程，包括关联方交易．32个PLC揭示了IA范围仅仅是内部对照．大多数plc没有审查其IA范围内的关联方交易，即使这些plc的财务报表披露了重大关联方交易的存在。没有提到的根本原因分析，由内务部进行33个PLC（83％）然后在保险业监督报告中提出建议。

5. 资源管理

这涉及披露有关内部监督资源数量的信息，包括负责内部监督的人员的姓名和资格。这些资料可让我们了解在保险业监督工作中所调派的人员是否足够，包括内务主任的能力。虽然30个PLC（75％）披露有关内部监督职能的有关资料，10个PLC（25％）选择保持沉默。

6. 传达审计结果

该标准涉及IA工作的结果，即结论或意见关于PLC治理，风险和控制过程的充分性和运营效能作为一组，以及如何向AC传达这种结果，包括建议的行动计划。IA仅报告12个制度（30％）满足这一标准，剩下的虽然28日制度（70％）在向AC宣传审计结果时未能披露任何IA结论或意见。

7. 监测进展

这涉及内部监督职能以前报告的问题的后续行动，包括管理部门为解决这些问题而议定的行动计划的执行情况。33个PLC（83％）没有监测行动计划的进展情况而剩下的7个PLC.(17%)表示已采取后续行动，并就此向行政委员会报告。

这项研究显示了一个巨大的差距，特别是在上述7个标准中的5个，有关的IA功能的工作，以满足PLC的需要。审核委员会负责监督保险业监督的职能，应考虑采取下列措施，以加强保险业监督的职能，包括人员的能力、在保险业监督中推行的标准及整体工作质素:

一种。通过认可的框架

目前在马来西亚的IA场景（不包括银行Negara Malaysia银行监管的金融机构IA）：

内部审计师并不一定必须是任何专业团体的成员，也不必须在其工作中采用任何认可的内部审计师标准。这总能使保险业监督在进行工作时维持其本身的“标准”，而有时，尤其是外判保险业监督服务提供者，可能会迫于压力而涵盖较小范围或省略某些重要程序，以保持在市场上的竞争力。这常常导致IA功能在形式上，没有太多实质内容，只是符合囊的LR。

为了减轻这种情况，AC应考虑以下纠正措施：

1. 定期检讨内部监督职能的范围，以确保其足以就SORMIC公布的上市发行人治理、风险和控制流程的充分性和运作有效性提供相关保证;和
2. 要求IA职能通过在法国公司治理的马来西亚代码中列举全球公认的内部审计框架。像国际专业实践框架一样的全面框架，内部审计研究所的框架，规定了以下内容：
1. IA的定义（即至少是最低限度，IA的范围应涵盖组织的评估治理，风险管理和内部控制流程）;
2. 内部审计人员应遵守的核心原则和职业道德规范专业的独立那客观性，非利益冲突，内部审计师接受并遵守内部审计的适当属性);和
3. 一组标准（简化了IA的方式计划和执行其工作，收集证据，沟通结果，并监测补救行动计划的进展）。

如PLC采用，这种框架将在规范IA覆盖范围的程度上进行漫长的方式，这是IA的方法，并缩小现有的差距，以获得更好的素质IA工作;和

B.审计委员会对其与IA职能相关的作用的持续教育

AC成员应及时了解监管要求的发展，并因此考虑不时参与为交流会员组织的教育会议，以更好地了解他们对公司治理的角色，风险管理和内部控制以及AC如何部署IA功能更有效地成为其“眼睛和耳朵”。还应在这些教育会议上致知AC会员，就如何在其能力，资源可用性，报告质量等方面进行评估，以确保IA功能仍然是在提供保证和建议方面的最前沿交流。