2025年四季度内地与香港地区金融行业内部审计相关监管政策与动态
AI智能总结
2026年1月21日 2025年四季度,监管政策持续细化并加速落地,执法检查与问责力度维持高位,监管环境日趋严格。在此背景下,金融机构内部审计部门可围绕监管重点和关键风险领域,强化监督评价与风险提示职能,支持机构及时落实监管要求,为稳健经营和治理目标的实现提供保障。 本篇文章旨在梳理2025年四季度内地与香港的金融行业内部审计工作相关政策、监管关注重点及国际和中国内部审计协会动态等,供各金融机构首席审计执行官及内部审计职能的团队成员参考。 内地金融行业主要处罚领域及内审关注重点 内地金融行业监管政策 香港金融行业监管最新资讯 香港金融管理局(“金管局”) ▪保费融资业务▪《监管政策手册》单元IB-1修订▪加密资产标准▪打击高端洗钱 ▪跨境征信互通▪跨境数据验证▪气候风险管理▪生成式人工智能沙盒 ▪反洗钱▪资产管理信托业务▪企业可持续披露管理▪金融租赁公司融资租赁业务管理▪商业银行托管业务▪保险公司资产负债管理▪证券公司治理——审计委员会 ▪银行支付结算业务合规性▪不良资产处置▪银行监管数据报送质量控制 证券及期货事务监察委员会(“证监会”) ▪打 击 洗 钱 /恐 怖 分 子 资金筹集▪产品销售 ▪单位信托及互惠基金▪虚拟资产交易▪跨境理财通 保险业监管局(“保监局”) ▪具本地系统重要性保险公司▪保险中介人背景查核计划 国际内部审计动态 证券及期货事务监察委员会 国际内部审计师协会 ▪《全球指南》更新▪《可持续性数据的内部控制》报告发布▪《组织行为专题要求》发布 ▪违反《证券及期货条例》 一、内地金融行业监管政策 2025年四季度,国家金融监督管理总局(简称“金融监管总局”)、中国人民银行、中国证券监督管理委员会、中国证券业协会等机构,针对银行、保险公司、金融租赁公司、证券公司等行业和机构类型的反洗钱、资产管理、融资租赁业务等领域发布了新规或自律规则,持续完善监管体系。 以下是2025年四季度内地内部审计活动相关的政策及内部审计需重点关注的事项: 反洗钱 ▪10月,为落实新反洗钱法,中国人民银行、金融监督总局、中国证券监督管理委员会联合发布《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》,该办法要求金融机构识别客户及受益所有人身份,持续评估客户风险等级。明确金融机构应建立健全客户尽职调查、客户身份资料及交易记录保存等方面的内部控制制度,定期审计、评估内部控制制度是否健全、有效,及时修改和完善相关制度。 ▪同月,中国人民银行反洗钱局发布《关于印发<金融机构洗钱风险自评估指引>的通知》,明确了新一轮自评估工作具体要求。金融机构应根据监管要求及时开展新一轮的自评估,建议内审部门关注新自评工作完成时限、风险场景报送要求、评估工作要求变化以及评估内容变化。 ▪同月,中国人民银行发布《关于落实〈金融机构反洗钱和反恐怖融资监督管理办法〉有关事项的通知》,旨在进一步规范反洗钱监管与金融机构工作要求。《金融机构反洗钱和反恐怖融资监督管理办法(2025修订)》要求金融机构应当通过内部审计或者社会审计等方式,监督反洗钱和反恐怖融资内部控制制度的有效实施。同时,建议内审部门在执行反洗钱审计时,关注通知中关于金融机构工作要求的执行有效性。 ▪12月,中国人民银行发布了《金融机构客户受益所有人识别管理办法》,旨在规范受益所有人识别与核实工作、强化风险管控与信息真实性要求,以建立完善的金融机构受益所有人识别核实体系,为金融机构提供更为明确的制度指引。建议内审部门关注受益所有人识别核实体系与机制建设的有效性与及时性,受益所有人相关数据的完整性与准确性以及存量客户受益所有人识别工作的完成进度。 资产管理信托业务 ▪10月,金融监管总局就《资产管理信托管理办法(征求意见稿)》公开征求意见,要求信托产品在设立、运作、信息披露等环节实现全流程规范化,强化投资者适当性管理、关联交易管控、净值化管理和风险隔离。办法明确要求信托公司应当建立健全涵盖销售人员、宣传销售材料、代理销售机构、客户信息保密等方面的销售管理体系,将销售管理纳入内部考核和审计范围。 企业可持续披露管理 ▪11月,财政局、中国人民银行、金融监管总局等九部门联合发布《企业可持续披露准则第1号——气候(试行)》该准则围绕治理、战略、风险与机遇管理、指标与目标四个维度,系统规范企业气候相关信息的披露要求。准则鼓励企业利用内部审计部门、法律部门或者其他负有监督职责的部门对气候相关风险和机遇进行监督,并聘请独立第三方机构对气候相关信息进行鉴证。 金融租赁公司融资租赁业务管理 ▪12月,金融监管总局发布的《金融租赁公司融资租赁业务管理办法》要求金融租赁公司遵循依法合规、审慎经营原则,建立尽职调查和风险评价体系。法规明确要求建立健全融资租赁业务内部审计制度,内部审计部门应当结合本公司情况对融资租赁业务重点风险领域开展审计,审计频度原则上每年不少于一次,对审计发现的问题提出整改意见,并跟踪检查整改措施完成情况,促进公司合法经营和稳健发展。 商业银行托管业务 ▪12月,金融监管总局发布的《商业银行托管业务监督管理办法(试行)》,旨在规范商业银行托管业务,强化风险防控。办法要求商业银行须具备健全的治理结构、内控机制和专业团队,设立专营部门,配备安全信息系统,并持续满足监管要求。办法明确要求商业银行建立覆盖托管业务的内部审计和外部审计机制,定期对业务经营和风险管理状况开展审计。 保险公司资产负债管理 ▪12月,金融监管总局发布的《保险公司资产负债管理办法(征求意见稿)》以提升保险公司资产负债管理能力、防范错配风险为目标,明确保险公司需建立覆盖资产与负债全链条的管理框架,并将内部审计作为风险防控的核心环节。该办法要求保险公司内部审计部门每年至少对资产负债管理的充分性和有效性进行一次审查评估,审计报告需提交董事会,由董事会督促高级管理层针对发现问题落实整改措施,同时内部审计部门需对整改效果进行跟踪检查。 证券公司治理——审计委员会 ▪12月,为落实新《公司法》中关于“股东大会”机构名称的修改以及董事会审计委员会的相关新增要求,中国证券业协会发布了《关于集中修改部分自律规则的决定》。其中对《证券公司内部审计指引》、《证券公司合规管理实施指引》等18项自律规则中的相关条款进行系统性修改,新增或调整了关于审计委员会或内部审计部门的监督职责,以确保规则体系与现行法律及实践相衔接。 二、内地金融行业主要处罚领域及内审关注重点: 2025年四季度,监管处罚重点领域仍聚焦于反洗钱领域,针对反洗钱领域未按规定履行客户身份识别义务、未按规定保存客户身份资料和交易记录、未按规定报送大额交易报告或者可疑交易报告、与身份不明的客户进行交易等违法行为开具了多张高额罚单,并对反洗钱相关违法行为负有直接责任的多名时任部门责任人处个人罚款。 此外,四季度监管对以下领域的处罚有上升趋势,金融行业内审部门应进一步关注: 银行监管数据报送质量控制 银行支付结算业务合规性 不良资产处置 ▪数据报送违规,如关联方信息档案报送不完整;未按规定时限完成报送▪数据报送内容不准确,如监管数据错报、漏报;财务/业务数据不真实 ▪处置流程违规,如不良资产认定、定价、审批及处置执行流程不符合监管要求▪资产分类违规,如未按规定对不良资产进行分类;资产质量认定不规范▪信息披露不充分,如不良资产处置过程中的风险披露不足、关键信息遗漏 ▪收单及代收业务违规,如违反收单业务管理规定;违反代收业务管理规定▪清算及资金流通管理违规,如清算业务操作不符合监管要求;占压财政存款或者资金;违反反假货币业务管理规定;违反人民币流通管理规定▪账户管理违规,如未严格执行账户开立、变更、撤销管理规定;账户管理流程不规范、控制不到位;信用信息采集、提供、查询不合规 处罚案由 ▪不良资产处置流程合规性▪资产分类与质量认定的准确性▪信息披露的真实性与完整性 ▪监管数据质量控制机制▪数据报送合规性审查流程 ▪收单及代收业务合规▪清算管理▪资金流通管理▪账户全生命周期管理合规性 内审关注重点 三、香港金融行业监管最新资讯 香港金融管理局(“金管局”) 跨境征信互通 ▪金管局于2025年10月27日发出通函,内容包括支持业界实施和扩大跨境征信互通的使用,以推进跨境征信互通计划。 ▪跨境征信互通计划的目标是促进香港与内地之间的信贷数据信息交换,使银行能够在信息充足的情况下更准确地评估客户的信用状况,同时通过提供更便捷、更快速、成本更低的信贷渠道使客户受益。 ▪金管局提出了两种数据传输的合作模式: •直接传输模式:经客户同意,信贷数据信息直接从国内信贷数据服务机构跨境传输至本地信贷数据服务机构,再传输至本地银行。•数据可移植性促成的间接模式:客户通过行使数据可移植性的权利,从国内信贷数据服务机构收集自己的信贷数据信息,并将其跨境传输到本地信贷数据服务机构,再传输至本地银行。 ▪金管局亦制定了指导原则,以协助业界有效实施和使用跨境征信互通作为风险管理工具,及保护所有参与方的利益。其制定的原则包括:(一)从试点过渡到可扩展和市场化的解决方案,(二)积极利用跨境征信互通加强信用风险管理,及(三)消费者教育,以建立公众对跨境征信互通的信任。 ▪金管局强烈鼓励认可机构积极利用跨境征信互通方案,以增强对有跨境融资及其他银行和金融服务需求的客户进行尽职调查和信用审批的流程。 跨境数据验证平台 ▪金管局于2025年10月27日发出通函,内容包括跨境数据验证平台的最新消息,并鼓励认可机构进一步利用深港跨境数据验证平台以释放更多数据驱动的跨境商机。 ▪现时已有超过10家银行和信贷数据服务机构利用数据验证平台的各种服务来验证不同类型的个人和企业数据,包括信用报告、纳税申报表和了解你的客户(“KYC”)文件。 ▪金管局总结了以下几项信用评估试点案例中的良好做法: ▪利用多样化的数据源:数据验证平台的设计使其能够连接到财务和非财务数据源,并且在获得客户同意后,验证通常被认为更敏感的个人数据。▪利用商业数据交换连接:认可机构正在积极利用新的商业数据交换连接,最大限度地减少行政和技术准备工作,从而加快对数据验证平台的访问。这使得它们能够在几周内(而不是几个月)开始使用数据验证平台的验证服务。▪数据安全和隐私设计:一些认可机构已经量身定制了其操作流程,包括将相关流程完全在线化(包含相关的网络安全防御,从而最大限度地减少人工干预,避免无意中暴露给未经授权的人员)。 ▪金管局鼓励认可机构积极考虑利用数据验证平台来支持其运营、风险管理以及产品和服务供应,包括但不限于为个人和企业客户提供的账户开立、贷款和汇款服务。 气候风险管理 ▪金管局于2025年10月27日发出通函,内容包括认可机构有关气候风险管理框架及程序的良好做法。这些良好做法源自金管局近期的监管工作,包括新一轮专题审查及第二轮咨询会议。这些工作主要检视参与认可机构的气候风险管理框架及具体实践的稳健性与充足程度。 ▪认可机构管理气候风险的良好做法可总结为以下三个主题要点: ▪迈向量化为本的气候风险管理框架:认可机构已在气候风险偏好声明中制定量化指标及限额,以有效管理银行整体的气候风险限额架构。认可机构采用一系列工具,包括气候风险重要性评估、资产组合集中度分析及压力测试,以评估气候风险对其业务及营运的潜在影响。▪弥补数据缺口以将气候风险进一步纳入信贷决策:认可机构已建立框架,以助选取合适方法及工具来评估不同交易对手的气候风险。认可机构亦制定了气候或环境、社会及管治问卷,以收集及评估气候相关数据。▪将气候因素更深刻及广泛地融入其他传统风险类别的管理:认可机构已设立相关指标及额度,以监察及汇报气候风险对其他传统风险类别,包括业务操作风险、流动性风险及市场风险的影响。认可机构亦制定了全面的框架及专门的政策与管控措施,以管理气候相关风险因素引起的声誉风险。 生成式人工智能沙盒 ▪金管局于2025年10月31日发布了一份报告,总结了生成式人
