2025年第一季度内地与香港地区金融行业内部审计相关监管政策与动态_EN
AI智能总结
金融行业内部审计监管政策及活动在内地的香港-2025Q1 2025年4月10日 中国大陆金融业 1 法规 内部审计相关法规的主要议题: 2 中国大陆金融业监管执法与内部审计重点 香港金融业监管更新 3 主要领域: ▪保险公司监管评级 ▪金融租赁公司监管评级 ▪信托公司的风险预防和监管管理 ▪小额贷款公司管理 ▪绿色金融 ▪个人信息保护合规审计 ▪保险集中风险 ▪衍生品交易业务 ▪商业银行代理销售业务 ▪公司治理 ▪证券公司风险管理 ▪产品适用性管理 公司治理与内部控制(整体金融行业)反洗钱(整体金融行业贷款和信贷业务 (银行)投行业务和赞助业务(证券) ) 法规和 监管活动: 关键基础设施(计算机系统 )保护法案稳定币法案提议修订银行条例实施运营弹性框架的良好行业惯例全球虚拟资产枢纽路线图 4 香港金融业执行 5 国际内部审计活动更新 6 大陆内部 审计活动更新 主要领域: 销售行为不端投资产品 内部审计师协会(IIA)发布 网络安全专题要求 网络安全治理 网络安全风险评估和管理 中国原子能科学研究院 内部审计(国际内部审计师协会) 内部控制失效证券保证金交易 网络安全控制 本地审计局活动 2025年第一季度,金融业继续面临复杂多变的宏观经济环境和日益严格的监管要求。内部审计在风险防范、稳定业务运营和合规方面对金融机构发挥着关键作用。 本文旨在就中国大陆和香港金融行业内部审计相关的监管要求及重点提供见解和要点,以及2025年第一季度国际和中国的内部审计协会活动,供首席审计执行官和内部审计团队参考。 1.中国大陆金融业法规 在2025年第一季度,监管机构继续根据中央经济工作会议和国家金融系统工作会议的精神完善监管框架。国务院、国家互联网信息办公室、国家金融监督管理总局(“NFRA”)、中国人民银行(“PBOC”)、中国证券监督管理委员会(“CSRC”)、中国证券业协会(“SAC”)、中国 期货协会(“CFA”)及其他监管机构和自律组织已经发布了新的法规或 银行业、保险业、证券业、期货业、信托业和融资租赁业等的自律规则 与内部审计相关的关键法规以及内部审计在中国大陆需要关注的事项如下: 一月,NFRA发布了《保险公司监管评级办法》,旨在加强对保险公司的差异化监管,合理配置监管资源,推动保险业高质量发展。该办法明确了评级指标和方法、监管评级等级设立、差异化监管原则等。办法明确规定,保险公司应主要负责所提供数据和信息真实性、准确性,并向董事会和高管及时报告监管机构的反馈。监管评级覆盖的领域也是内部审计工作中需要重点强调的要点。 保险公司监管评级 在一月份,NFRA发布了《金融租赁公司监管评级办法》,旨在优化原有评级机制,合理配置监管资源,有效实施差异化监管supervision,促进金融租赁公司高质量发展。主要修订内容包括对评级指标的适当调整、监管评级等级的优化设置,以及评级结果和措施应用方面的明确 ,这些都需要在内部审计工作中重点关注。 金融租赁公司监管评级 在一月份,国务院转发了国家金融监督管理总局发布的《关于加强监管、防范风险、推动信托行业高质量发展的若干意见》,以进一步加强持续性和全流程监管,防范和化解风险,共同促进信托行业的标准化发展。意见明确了信托公司市场准入的监管、差异化监管和现场检查等要求,并强调风险预警和评估、改进早期干预的触发条件和实施程序等。这为内部审计过程中的风险评估提供了参考。 信托公司的风险预防和监管管理 1月,NFRA发布《小额贷款公司监督管理暂行办法》,进一步加强对小额贷款公司的监管制度框架,细化小额贷款业务经营标准,明确小额贷款公司业务范围和贷款集中度要求,强化消费者权益保护,界定退出机制和监管。该办法强调公司治理和风险管理,包括但不限于公司治理结构、资产风险分类和风险准备、资本管理、关联方交易管理、合作机构管理、信息安全、反洗钱和反恐怖融资等,这些都是内部审计工作的关键领域。 小额贷款公司管理 1月,NFRA发布了《银行保险业绿色金融高质量发展实施方案》,旨在引导银行保险业发展绿色金融,加大对绿色、低碳、循环经济的支持力度,防范环境、社会和治理风险,提升环境、社会和治理绩效。该方案为银行和保险公司提供了改进绿色金融、支持绿色和低碳产业发展及绿色金融产品和服务的开发、加强风险管理等指导。内部审计在开展与绿色金融相关的审计时,需要理解上述实施方案的细节。 绿色金融 个人信息保护合规审计 二月份,中国网信办发布了《个人信息保护合规审计管理办法》,旨在规范个人信息保护合规审计活动,保护个人信息权益,详细要求主要如下: 个人信息处理者在合规审计中的义务 职业组织合规审计中的义务 选择合规审计机构 合规审计活动与报告 合规审计频率 监督与管理 违反规定的法律责任 此外,《个人信息保护合规审计指南》作为附件,阐明了个人信息保护合规审计的关键焦点和事项,作为开展个人信息保护合规审计的参考。 保险集中风险 二月份,为进一步强化保险集团的风险管理,促进保险集团的稳定运营,国家金融监督管理总局发布了《保险集团集中度风险管理监管指南》,该指南明确了集中度风险管理的原则、风险管理体系建设、政策与程序、系统与报告等。 具体而言,该指南要求保险集团将集中度风险管理纳入内部审计监督和管理范围,并至少每年开展一次内部审计,以监督集中度风险管理的执行情况,并评估集中度风险管理的运营和效果。 衍生品交易业务 在二月,为进一步加强期货业衍生品交易业务的自律管理,CFA印发并实施了《期货风险管理公司衍生品交易业务管理办法》,在交易员适当性、交易管理、标的物管理、绩效担保管理、内部管理及行为规范等方面提出要求。 它明确指出,期货风险管理公司应当按照协会的要求,在每年年底后四个月内提交衍生品交易业务内部控制审计报告。期货风险管理公司向监管机构报告的信息应当真实、准确、完整。 商业银行代理销售业务 三月份,NFRA发布了《商业银行代理销售业务管理办法》以加强商业银行代理销售业务的监督管理,该办法规范了合作机构的管理、代理销售产品的准入、销售行为和销售渠道。 它明确规定,内部审计、内部控制、合规及业务部门应根据相应的职责,为代理销售业务建立并有效实施内部监督和纠正机制。 未上市公众公司和基金管理公司应当按照法律规定,选择审计委员会或监事会作为内部监督机构。 新《上市公司章程指引》明确要求审计委员会参与对内部审计负责人的绩效考核。 ▪新上市公司章程指引进一步细化了对内部审计的要求,包括但不限于内部审计职责范围、独立性、报告程序、内部控制评估以及与外部审计的关系,并规定内部审计程序须经董事会批准后披露。 ▪上市公司将不再设立监事会,审计委员会将接管监事会的职责和功能。审计委员会的程序规则将相应调整。 三月,为实施《中华人民共和国公司法》(2023年修订),证监会发布《关于修改部分证券期货规章制度的决定》和《关于修改、废止部分证券期货监管文件的决定》,修改了86份文件、废止了2份文件,并发布了修订后的《上市公司章程指引》,其中涉及审计委员会和内部审计的关键调整如下: 公司治理 ▪如果一个证券公司没有设立监事会,则1)行使监事会职权的监管机构或2)董事会下的审计委员会应承担企业风险管理及市场风险管理的监督责任。 ▪证券公司应当将市场风险管理纳入内部审计范围,并对市场风险管理的充分性和有效性开展独立、客观的审查和评估。对于已识别的问题,内部审计应推动相关部门纠正,并跟踪纠正措施的落实情况。 ▪证券公司应将企业风险管理(ERM)纳入内部审计范围。内部审计部门应定期对ERM的充分性和有效性进行独立、客观的审查和评估,并对文化建设建立和发展情况进行评价。ERM的内部审计应至少每三年开展一次。对于已识别的问题,内部审计应协助相关部门进行整改,并跟踪整改落实情况。 三月,证监会发布了《证券公司企业风险管理规定(修订)》和《证券公司市场风险管理指引》,为进一步完善证券行业企业风险管理的发展,以及加强和规范证券公司的市场风险管理。与内部审计和审计委员会相关的具体要求已明确说明: 证券公司风险管理 在3月,为规范金融机构产品适当性管理,保护客户合法权益,NFRA就《金融机构产品适当性管理办法》(征求意见稿)征求了公众意见。该办法规范了金融机构适当性管理全流程的义务,包括但不限于政策、流程和制度的建立,人员资质管理和培训,客户权利保护,客户信息收集和评估,客户信息保护,适当性匹配,特别保护及禁止行为等。该办法还规定了投资产品与保险产品的差异化动态管理,加强了金融机构的监管supervision。内部审计应持续关注该办法,提前为新的监管要求做准备,并在适当性管理相关的审计工作中以该办法为参考。 产品适用性管理 2.中国大陆金融业监管执法与内部审计关注重点 在2025年第一季度,监管机构对银行、保险和证券公司发布了多项处罚,主要领域包括公司治理和内部控制、反洗钱、贷款和信贷业务以及投资银行和赞助业务,这些领域需要在2025年的内部审计活动中重点关注: 公司治理与内部控制(整体金融行业) 员工行为严重违反 谨慎商业运营规则; 从事异常资金的员工与客户的交易; ▪任命资格不符合要求,例如未获批准的高级管理人员职责履行; ▪绩效和薪酬管理不足,例如薪酬延迟支付和绩效评估不符合监管要求。 人力资源管理 罚没原因内部审计重点 ▪风险管理不足,风险度量存在缺陷,以及未能满足大量风险敞口的要求; ▪内部控制严重违反审慎经营规则; ▪对外部和内部审计发现的问题,纠正不足。 员工账户异常和异常资金交易监控机制的有效性 遵守高级管理人员任命的法规 触发条件的适当性以及薪酬延期支付的比率 与绩效评估指标监管指南的一致性 风险管理相关模型设置的适宜性内部控制的有效性对审计发现问题的整改以及持续监控机制 治理与监督 反洗钱(整体金融业) 贷款和信贷 商业(银行) 投资银行业务与赞助业务(证券) 原因 of罚球 ▪客户身份识别不足,例如未按照规定履行客户身份识别义务,未执行重新识别,与身份不明的客户进行交易,未按照规定对高风险客户进行强化尽职调查; ▪统一授信执行不力,例如未对集团客户开展统一授信管理,资产池和资产折让业务亦未纳入统一授信管理; ▪对文件和文件伪造的验证不足,例如,在上市培育企业市场的发行赞助信和申请表中发现了虚假记录,投资项目尽职调查工作底稿缺乏严格的质量控制; 无效的交易监控 和报告机制,例如,did未根据规定报告STR 人工记录期间的原因可疑分析 交易不合理 风险监控系统无法及时采取有效措施可疑交易等; 记录保留并未完全满足监管要求,例如,交易信息是不真实,完整和 可追溯的,且未能保持用户信息和 交易记录。 尽职调查缺失 固定资产贷款调查缺乏谨慎评估 贷款需求,以及贷后缺乏管理; 无效的资本管理例如个人贷款不足支付管理与控制未能管理贷款 按规付款,信用 以及借款人持有的贷款资本解释长期; 风险不合规 管理,如不准确贷款风险分类非授权转移 经营性资产,和资金从非正规贷款收到支付。 尽职调查失败,例如:未谨慎执行 内部验证控制流程,采购合同订阅资格等等。 未能跟进实现评论投资银行业 内部审计部门,提交不合规 投资流程项目材料和评论。 内部 审计专注 及时性与有效性客户重新识别 增强尽职调查高风险客户 及时性和完整性STR报告 处理过程可疑交易和文档 可疑的开发交易监控系统和模型有效性 可追溯性和合规性客户保留期 和交易信息 客户标准化 贷款和信贷流程,以及业务完整性 信用保障 资本流动监测 并跟踪资本的使用情况 监控异常账户的行为 拘留信贷资金 一致性和准确性五级分类 贷款标准 ▪具体针对投资银行文件的特定审查的实施效果 ▪客户提供的文件的真伪验证 ▪跟踪和落实与内部审
