马来西亚上市公司（“PLC”）根据马来西亚证券交易所（“Bursa”）上市要求（“LR”）第15章的规定，有权建立独立的内部审计（“IA”）向审计委员会和PLC董事会保证PLC的治理、风险和控制流程在实现公司目标方面的充分性和运营有效性的职能，无论是内部职能还是外包职能。

作为序言，内部审计的定义如下：“一种独立、客观的保证和咨询活动，旨在增加价值和改进组织的运营。它通过采用系统、严格的方法来评估和改进风险管理、控制和治理流程的有效性，帮助组织实现其目标。”(资料来源:内部审计员协会《国际专业惯例框架》["IPPF"])。

为了评估IA职能的状态及其在PLC中的工作范围，Bursa于2019年与马来西亚内部审计师协会共同委托进行了一项专题研究，重点是IA计划、IA报告（包括后续行动）以及在马来西亚公司治理报告中披露IA职能40个选定的PLC。研究集中于IA功能的7个标准，即：

1. 采用公认的IA框架；
2. 独立性和客观性;
3. 计划审计;
4. IA功能的有效性；
5. 资源管理;
6. 沟通审计结果；以及
7. 监测进展。

这些标准与布尔萨的LR、马来西亚公司治理准则（“MCCG”）、风险管理和内部控制声明：上市发行人董事指南（“SORMIC”）一致以及IPPF。以下简要介绍了IA职能部门在遵守相关要求方面的状态，包括在所审查的40家PLC的年度报告中披露：

1. 采用认可的保险业监督架构

这涉及披露保险业监督职能在其工作中所采用的认可架构-披露的plc不到一半。如果没有披露，读者就不可能了解内部审计职能部门采用的内部审计标准、道德准则和核心原则，包括内部审计的定义。

2. 独立性和客观性

保险业监督必须披露其人员在关系方面的独立性，以及保险业监督人员与有关PLC没有任何利益冲突，以便进行客观评估。

3. 规划审计

该标准涉及采用基于风险的计划，以根据IA职能部门进行的风险评估或其管理层编制的PLC风险状况审查或其组合确定IA覆盖范围。所有40家PLC的IA职能部门都有IA计划，但只有6家提供了其IA准备的指示red制定了基于风险的审计计划。

4. 内部审计职能的有效性

该标准关注的是IA范围是否得到处理治理、风险管理和内部控制流程，包括关联方交易；以及是否进行了根本原因分析，作为内部监督工作的一部分，以便提出针对所指出的弱点的相关建议。

所有PLC均未披露IA范围涵盖治理、风险管理和内部控制流程，包括关联方交易．32家plc披露，内部监督范围仅限于内部控制．尽管这些plc的财务报表披露存在重大的关联方交易，但大多数plc并未在其内部审计范围内审查关联方交易。没有提到IA进行的根本原因分析33 plc (83%)在IA报告中提出建议之前。

5. 资源管理

这与披露有关IA资源数量的信息有关，包括负责IA的人员的姓名和资格。此类信息提供了部署在IA工作中的人员的充分性，包括IA负责人的能力。尽管30 plc (75%)披露了其IA职能的相关信息，10 plc (25%)选择保持沉默。

6. 沟通审计结果

本准则涉及所进行的保险业监督工作的结果，即结论或观点就PLC的管治、风险及控制过程作为一个整体的充分性及运作成效，以及如何将这些结果(包括建议的行动计划)传达给谘询委员会12个PLC（30%)符合这一标准，而其余的28个可编程逻辑控制器(70%)在向管委会传达审计结果时，未能披露任何内部监督的结论或意见。

7. 监测进展

这与内部监督职能部门以前报告的问题的后续行动有关，包括管理层为解决这些问题而商定的行动计划的执行情况。33个plc(83%)没有监测行动计划的进展剩下的7制度(17%)表明已进行了随访，并相应地向AC报告。

这项研究揭示了一个很大的差距，特别是在上述7个标准中的5个方面，关于IA职能的工作，以满足PLC的需求。负责监督IA功能的审计委员会应考虑以下措施，以提高人员的能力、在IA部署的标准和IA的功能。所完成工作的总体质量：

一个。采用认可的架构

马来西亚的IA现状(不包括马来西亚银行监管的金融机构IA):

内部审计师不强制要求成为任何专业机构的成员，也不强制内部审计师在开展工作时采用任何公认的IA标准。这始终允许IA保持其自身的“标准”在开展其工作时，有时，特别是对于外包的IA服务提供商，可能会受到压力，要求其涵盖较小的范围或省略某些重要程序，以保持市场竞争力。这往往导致IA职能形式上没有太多实质内容，只是为了遵守Bursa的LR。

为减轻这种情况，空调应考虑采取以下纠正措施:

1. 定期审查IA职能范围，以确保其足以对SORMIC颁布的上市发行人治理、风险和控制流程的充分性和运营有效性提供相关保证；以及
2. 规定保险业监督职能须采用马来西亚《公司管治守则》所列的国际认可内部审计架构。如内部审计员协会的《国际专业实务框架》所述的整体框架规定如下:
1. 的定义(即，作为最低限度，保险业监督的范围应包括对机构的治理、风险管理和内部控制流程)；
2. 内部审计师应遵守的核心原则和道德规范（以确保职业独立性，客观性，无利益冲突，内部审计人员接受并遵守内部审计的适当属性);和
3. 一套IA标准(简化了IA的运行方式)规划和执行其工作，收集证据，传达结果，并监控补救行动计划的进度)．

该架构如获plc采用，将有助标准化审计的覆盖范围、审计方法及缩小现有差距，以提高审计工作的质量;和

B。就审计委员会与内部监督职能有关的角色进行持续教育

管委会成员应留意规管方面的最新发展，并应考虑不时参加为管委会成员举办的教育活动，以加深了解他们在企业管治方面的角色。风险管理和内部控制，以及审计委员会如何更有效地将审计监督职能部署为其“耳目”。此外，在有关的教育课程中，亦应向谘询委员会成员介绍如何评估保险业监督的能力、资源的可及性、报告的质素等，以确保保险业监督的职能在向谘询委员会提供保证和意见方面保持领先地位。