金融业内部审计中国大陆和香港的监管政策和活动——2025年第二季度

2025年7月14日 2025年第二季度，金融监管监督持续加强，发布了一系列新规则，以加强包括但不限于公司治理、数据安全、保险业以及基金和资产管理行业的监管。面对复杂环境和突出风险，如保险业监管违规和基金管理业适宜性管理问题，金融机构内部审计作为关键防线，在风险识别、合规稳定运营以及新法规实施方面发挥着越来越重要的作用。 本文旨在提供关于中国大陆和香港金融行业内部审计的监管要求及相关重点的见解。同时，还涵盖了2025年第二季度国际和中国内部审计协会的活动，为首席审计执行官和内部审计团队提供参考依据。 1 中国大陆金融行业法规 内部审计相关法规的主要内容： 法规和监管活动： .证券出借和保证金融资的内部控制失效.上市公司最终受益所有者的不当行为 5中国内部审计活动更新 中国内部审计研究院 (CIIA) 1. 中国大陆金融业监管 在2025年第二季度，国家金融监督管理总局（NFRA）、中国人民银行（PBOC）、中国证券监督管理委员会（CSRC）、中国资产管理协会（AMAC）、全国金融市场机构投资者协会（NAFMII）等机构发布了银行、保险及其他领域的新的法规或自律规则，以继续完善监管框架。 与大陆内部审计相关的关键法规以及内部审计需要关注的事项 中国显示如下： 公司治理 在四月，NFRA发布了银行金融董事（理事）及高级管理人员任职资格管理办法机构将进一步完善关键人员的资格管理框架，并明确关于资格标准、审批和报告程序、金融机构的管理责任以及监管机构的持续监督的要求。具体而言，《办法》要求，当董事长（理事会主席）和高级管理人员离职时，金融机构应自离职之日起三个月内向监管机构提交绩效审计报告，并进一步明确绩效审计报告的必含内容。 在四月，AMAC发布了关于发布基金运营者及其员工诚信行为修订实施规则的公告为促进基金行业的发展，保护投资者的合法权益，加强对基金机构和人员的自律监督。这些规则明确规定，监事会、监察员或审计委员会应监督董事和高管履行诚信义务。基金机构应采取措施保障监管机构的知情权，并提供其履行监管职责的必要条件。 在五月，为进一步实施新修订的中华人民共和国公司法，国家金融监管局发布了国家金融监督管理总局关于修改部分规章的决定to amend the信托公司行政管理措施 信托公司股权管理临时措施，和银行业金融机构关联交易管理办法. 主要修订包括： -信托公司管理办法在第四十三条中增加了一项新条款：信托公司可以在董事会下设立审计委员会来行使监事会的职能，并且不再强制要求设立监事会或监事。 -信托公司股权管理临时措施在第五十七条中增加了一条新规定：信托公司可以根据其章程，由其董事会下的审计委员会代替监事会的职能。 -银行业金融机构关联交易管理办法在第四十五条增加了一条新条款：明确规定董事、监事、高级管理人员及其相关方与其所服务机构的关联方交易，在提交董事会或股东大会审批前，应当由关联交易控制委员会进行审查。部分豁免条款不再适用。如果交易金额未达到重大交易标准，董事会或股东大会可以通过集体决议予以批准。 内部审计应关注审计委员会代替监事会履行的监督职能、关联方交易批准的合规性以及内部政策与新监管要求的一致性。 在五月，为了落实中华人民共和国公司法，上海证券交易所（SSE）发布了修订的上市公司SSE自律指引第1号——标准操作（2025年5月修订）并与深圳证券交易所（SZSE）发布修订版深圳证券交易所ChiNext上市公司自律指引第2号——标准运营（2025年修订）旨在优化公司治理机制。两项指令均要求上市公司截至2026年1月1日前修订其公司章程，设立董事会审计委员会以取代监事会的职能。在过渡期内，现有的监事会规定仍适用。 银行卡清算机构管理 四月份，为促进银行卡清算市场健康发展、规范机构管理，NFRA出台了银行卡清算机构管理办法. 该办法规范银行卡清算机构的应用和许可程序、变更和终止、运营管理以及监督和管理，并规定相应的法律责任。具体而言，它要求银行卡清算机构应当建立具有健全的组织架构、明确的责任划分以及合理的激励和约束的治理结构，发展内部控制、审计和问责的全面机制，并确保独立运营。 保险集团统一监管 四月，为加强保险集团的综合监管和维护稳定运行，国家金融监督管理总局发布了国家金融监督管理总局关于发布《保险集团综合监管办法》的通知. 这些措施规定了合并管理的范围和组成部分，包括公司治理、全面企业风险管理、集中度风险管理、内部交易管理与风险隔离，以及相应的合并监管要求。 具体而言，要求保险集团公司每两年至少开展一次内部审计，以评估合并管理的合规性和有效性，包括合并管理的范围以及成员公司对重大政策规则的实施情况，并将审计结果报告给董事会。 保险基金管理 在四月，NFRA发布了保险公司关于未上市企业实物股权投资有关事项的通知该通知界定了实质性股权投资的概念，调整了符合条件的行业领域，规范了治理要求和内部控制。它要求保险机构建立具有授权机制的稳健股权投资决策流程，加强股权投资管理体系，强化投后监管和风险隔离措施等。这些要求应被视为内部审计部门开展审计工作时参考的关键点。 终身寿险 在4月，NFRA发布了关于加强终身寿险监管的公告为加强万能保险产品的监管，严格规范其经营活动，保护保险消费者的合法权益。它规范了包括但不限于产品管理、账户管理、资产负债管理、销售行为管理等领域。保险公司开展内部审计时应参照该通知的要求。 数据安全管理 在五月，中国人民银行发布了中国人民银行营业领域数据安全管理措施为了保障财务数据安全，降低数据泄露和误用的相关风险。《措施》要求对业务数据的分类和等级进行标准化，明确数据安全管理责任，规范全业务流程的数据安全管理，提升数据加密、访问控制和数据脱敏等安全技术应用，并完善业务数据安全风险和事件管理机制。 规定数据处理者应当每三年至少进行一次业务数据安全合规性审计，重要数据*处理者应当每年至少进行一次此类合规性审计。发生任何重大或特别重大事件时，应当进行专项审计。《办法》还明确了审计重点，例如业务数据资源目录更新的及时性、相关信息系统账户访问管理的严格性等。 *重要数据：中国人民银行应当编制并最终确定重要数据详细目录，并在国家数据安全协调机制审查批准后，识别重要数据处理器，并通知其相应的 重要数据条目。 上市公司募集资金监管规则 在五月，为实施上市公司募集资金监管规则由中国证监会发布，北京证券交易所（BSE）修订并发布上市公司持续监管指引第9号——募集资金管理，针对上市公司的特点制定了详细的规定，其中明确了募集资金专用账户的管理要求，对资金使用范围设限，完善了闲置资金管理机制，并强化了信息披露义务。 它明确要求上市公司内部审计部门应至少每半年审查筹集资金的存放和使用情况，并及时向审计委员会报告审查结果。如果审计委员会发现内部审计部门违反规定、存在重大风险或未按要求提交结果报告，就必须立即上报董事会。 网络安全事件管理 在五月，中国人民银行发行中国人民银行商业领域网络安全事件报告管理办法,在金融行业建立网络安全事件的分层报告框架,为每个分类级别设定基本标准,同时规范事件报告的内容、方法和责任。它强调及时处理数据泄露和系统中断等风险,并建立与网络安全、公安部门或其他相关部门的协调机制。金融机构在对其业务领域的网络安全事件管理进行内部审计时应特别注意这些要求。 市场风险管理 六月，NFRA发布了商业银行市场风险管理措施，该办法全面规范了商业银行市场风险管理实践。该办法要求商业银行建立覆盖相应风险识别、计量、监控、控制和报告的全流程管理框架。 它规定商业银行的内部审计部门应当至少每年对市场风险管理框架的关键组成部分的准确性、可靠性、充分性和有效性进行独立审核和评价。审计范围应覆盖业务部门和负责市场风险管理的部门，至少应包括市场风险头寸和风险水平、市场风险管理框架相关文件的完整性等十二个要素。 信用风险缓释担保业务 六月，NAFMII修订并发布了信用风险缓释凭证业务操作指引为了规范银行间市场信用风险缓释凭证业务。该指引明确了信用风险缓释凭证的定义、发行机构的资格要求、操作流程以及信息披露义务。它要求发行信用风险缓释凭证的机构必须建立内部操作流程和风险管理体系，包括内部审计机制。 反洗钱和反恐融资管理——适用于贵金属和宝石经销商 六月，中国人民银行发布了贵金属和宝石交易商反洗钱和反恐怖融资管理办法，旨在规范行业反洗钱和反恐怖融资管理。该办法要求国内贵金属和珠宝经销商对任何单笔现金交易或每日累计现金交易超过10万元的现金交易履行反洗钱义务。经销商必须建立涵盖风险识别、评估、控制和报告的全面管理体系。该办法还明确规定了机构应进行客户识别、实益拥有人验证以及大额和可疑交易监控等。 该措施要求机构根据自身的洗钱风险概况合理确定反洗钱相关内部审计和检查的范围，或确保其内部审计和检查包含与其洗钱风险管理需求相匹配的相关内容，以持续提升反洗钱工作的有效性。 2. 中国大陆金融行业监管执法和内部审计重点 2025年第二季度，监管处罚继续集中于公司治理和内部控制、反洗钱、贷款和信贷业务以及投资银行等关键领域。此外，2025年第二季度在以下领域也出现了越来越多的监管处罚，金融机构的内部审计部门应予以更多关注： 保险业务不当行为 .适合性管理缺陷，例如未对投资者的财务状况进行尽职调查、投资者资质审查不足、员工行为管理不善以及投资者适合性管理实施不力； 3. 香港金融业监管更新 关于虚拟资产场外交易和托管服务的咨询 .金融管理局和财政司（FSTB）与证券及期货事务监察委员会（SFC）联合发起一项咨询，以介绍虚拟资产交易和托管服务提供者的监管制度。 .这些监管制度的目的是规范虚拟资产场外交易活动，以保护投资者利益，防止欺诈和市场操纵，让香港能够营造一个安全可靠的虚拟资产交易环境。 两种制度的通用要求包括以下几点： .资格：申请人必须是本地注册公司或根据《公司（清算及杂项条例）》在香港注册为海外公司的外国公司 .任职资格要求：证监会将评估申请牌照个人的诚信度、经验和资质。因素包括洗钱的前科、合规失败以及整体财务诚信度。 .财务资源：最低实缴股本为1000万港元。流动资本要求可能因商业模式而异。 .运营要求：至少指定两名经证监会批准的负责人，负责合规监管要求。实施完善的内部控制，尤其关注网络安全和风险管理。 许可稳定币发行人的监管指南 香港金融管理局（HKMA）就《持牌稳定币发行人监管指引（草案）》展开咨询。 咨询文件涵盖：(i) 储备资产管理，(ii) 稳定币的发行、赎回和分配，(iii) 营业活动，(iv) 金融资源，(v) 风险管理，(vi) 公司治理，以及 (vii) 营业实践和行为。 授权方应定期进行审计，以评估其运营是否符合其发行、赎回和分配政策，以及适用的监管要求，并在要求时向香港证监会提供审计报告和相关证明文件。 对监管稳定币活动的反洗钱/反恐怖融资要求 港金管處就規管穩定幣活動的反洗錢及反恐融资（AML/CFT）要求發出了諮詢。 咨询提出了以下反洗钱/反恐怖融资要求： 通用要求； 与稳定币的发行和赎回相关的具体反洗钱和反恐怖融资要求； 持续监测； 稳定币转账；和 针对二级市场上流通的稳定币的持续监测，采取额外措施。 香港金银业监理局正为发行和赎回以外的活动制定反洗钱及反恐怖融资要求，例如提供稳定币以及为数字资产提供托管服务。香港金银业监理局将在2025年下半年向有关金融界进行咨询。 虚拟资产质押服务 在其《关于虚拟资产交易平台提供质押服务的通知》中，SFC就提供质押服务时向持牌平台提供了指导。为管理对投资者的风险，他们应维持措施以有效防止与服务相关的错误，保护质押的客户虚拟资产，并确保对这类质押资产可能面临的风险进行适当的披露。同时，SFC修订了其《关于SFC授权的涉虚拟资产基金的通知》，以促进其参与质押。这些基金仅能通过持牌虚拟资产交易平台和授权机构进行虚拟资产持有量的质押，