2026年一季度内地与香港地区金融行业内部审计相关监管政策与动态

2026年4月29日 2026年一季度，监管政策持续深化，金融市场规范化进程加速，金融机构内部审计部门可聚焦贷款业务、信息披露、反洗钱、产品适当性等关键领域，进一步强化前瞻性风险识别与监督能力，并重点关注内部审计数智化转型发展。 本篇文章旨在梳理2026年一季度内地与香港的金融行业内部审计工作相关政策、监管关注重点及国际和中国内部审计协会动态等，供各金融机构首席审计执行官及内部审计职能的团队成员参考。 内地金融行业监管政策 ▪反洗钱▪公开募集证券投资基金业绩比较基准▪私募投资基金信息披露▪个人贷款业务明示综合融资成本▪理财公司监管评级▪境内企业境外放款管理▪商业银行产品适当性管理▪保险产品适当性管理 一、内地金融行业监管政策 2026年一季度，国家金融监督管理总局（简称“金融监管总局”）、中国人民银行、中国证券监督管理委员会、国家外汇管理局、中国银行业协会、中国保险业协会等机构，针对银行、保险公司、基金等行业和机构发布了新规或自律规则，持续完善监管体系。 以下是2026年一季度内地内部审计活动相关的政策及内部审计需重点关注的事项： 反洗钱 ▪1月，中国人民银行等八部门联合发布的《反洗钱特别预防措施管理办法》，金融机构应进一步完善反洗钱特别预防措施内控制度建设，健全风险名单核查机制，强化培训宣导与专业能力建设。建议金融机构内审部门在执行反洗钱审计时，重点关注反洗钱特别预防措施制度建设与风险管理有效性、三类名单的完整性和更新及时性、反洗钱特别预防措施执行及时性和有效性、保密义务、特别预防措施解除和异议处理等。 公开募集证券投资基金业绩比较基准 ▪1月，为督促基金管理人完善内部控制和管理机制，保护投资者合法权益，中国证监会制定了《公开募集证券投资基金业绩比较基准指引》，中基协发布了《公开募集证券投资基金业绩比较基准操作细则》。金融机构内审部门在执行相关内审时，可以依据指引要求，审查业绩比较基准应与基金合同约定的核心要素和产品投资风格的匹配程度，业绩比较基准决策流程合规性、内部控制和管理的健全性和有效性、信息披露内容完整性和准确性及投资者教育开展情况等。 私募投资基金信息披露 ▪2月，中国证监会发布《私募投资基金信息披露监督管理办法》，进一步明确私募基金管理人、私募基金托管人信息披露责任，规范私募基金信息披露行为，保护投资者合法权益。私募基金管理人、销售机构及托管人内审部门应重点关注办法中对于定期报告披露内容、频率和时间的要求执行的有效性、临时报告编制情形和披露及时性等。 个人贷款业务明示综合融资成本 ▪3月，金融监管总局、中国人民银行联合发布《个人贷款业务明示综合融资成本规定》，进一步维护个人贷款市场秩序，保护金融消费者合法权益。金融机构内审部门在执行相关业务审计活动时，可以参考该规定中的信息披露要求，包括但不限于个人贷款业务息费信息披露的涵盖范围和内容的完整性和合规性、操作方式和流程的合规性等。 理财公司监管评级 ▪3月，为健全理财公司监管制度体系，推动构建与能力相匹配的差异化发展与监管模式，金融监管总局发布《理财公司监管评级暂行办法》，明确评级要素与评级方法、基本程序、分类监管原则等。监管评级覆盖的领域，包括公司治理、资管能力、风险管理、信息披露、投资者权益保护和信息科技，同时也是内审工作中需重点关注的要点。 境内企业境外放款管理 ▪3月，中国人民银行、国家外汇管理局联合发布《关于印发<境内企业境外放款管理办法>的通知》，进一步支持和规范境内企业开展境外放款业务。办法规定将境内企业人民币和外币境外放款业务纳入统一管理，明确境外放款余额上限与其所有者权益挂钩，明确境内银行、境内企业办理境外放款业务的管理要求和资金使用要求，内审部门在执行相关内审活动时可参考相关要求。 7商业银行产品适当性管理 ▪3月，中国银行业协会发布《商业银行产品适当性管理自律规范》，进一步明确了商业银行适当性管理自律要求，包括产品适用范围、产品风险等级划分及参考标准、产品风险评级总体要求、原则、告知义务、销售人员管理、客户适当性管理、特定产品管理要求、专业投资者审查及适当性管理、客户风险承受能力评估频次、适当性匹配、内控管理、消保审查及产品准入审查要求、系统建设、信息保护义务等。 ▪商业银行内审部门应重点关注客户信息收集、风险承受能力评估、适当性匹配及告知等适当性管理义务履行情况。 保险产品适当性管理 ▪3月，中国保险行业协会发布了《保险产品适当性管理自律规范》，要求涵盖产品分级、销售资质、客户评估、匹配销售、内控管理及自律监督的全流程管理体系，各核心环节均明确具体操作标准，保险机构内审部门在执行相关审计活动时，可以参考自律规范中的要求，审查产品适当性控制流程的设计和执行的有效性。 二、内地金融行业主要处罚领域及内审关注重点： 2026年一季度，监管处罚重点领域仍聚焦于反洗钱、数据治理和信贷业务领域，金融行业内审部门应进一步关注： 数据治理（整体金融行业） 反洗钱（整体金融行业） 信贷业务（银行业） ▪客户尽职调查不到位，如未按规定开展客户身份识别、持续尽职调查、受益所有人穿透识别等▪可疑交易报告不规范，如漏报、迟报可疑交易，或监测机制不健全等▪与身份不明客户交易，如为身份不明的客户提供服务或进行交易，开设匿名或假名账户 ▪信贷资金用途违规，如贷款资金被用于购买房产、偿还房贷或支付首付，贷款资金流入股市、债券市场或用于投资理财产品，未有效落实贷后资金流向监测 ▪数据真实性与完整性缺失，如提供不完整、不真实、不准确的数据，报送虚假数据，人为修改或删除系统原始数据等▪数据治理体系不完善，如未对核心数据、重要数据采取差异化保护措施，数据接口不规范，数据全生命周期管控缺失▪数据安全与合规管理不到位，如未落实数据安全防护措施，未建立数据访问控制机制，未及时上报数据安全事件等 ▪“三查”制度执行未尽职，如贷前调查未核实经营真实性，贷中审查未履行独立审查职责，贷后检查频次不足、未识别企业债务违约等风险信号、未按规定进行贷款风险分类 处罚案由 ▪信贷业务内部控制与合规管理失效，如信贷审批权限设置不合理，未建立有效的信贷岗位分离机制，信贷管理系统存在数据造假、信息篡改、权限滥用等问题 ▪数据治理制度与培训▪数据报送准确性和完整性▪数据系统与平台建设 ▪受益所有人识别及信息管理▪可疑交易报告完整性和及时性▪可疑交易处理流程及留痕▪可疑交易监测系统建设及模型有效性▪高风险客户强化尽职调查 ▪贷前用途审查流程▪审批权限与授权管理▪三查报告质量▪信贷管理系统建设 内审关注重点 三、香港金融行业监管最新资讯 香港金融管理局（“金管局”） 流动性风险管理 ▪香港金管局基于近期对认可机构的监管审查，就流动性风险管理分享了行业良好实践，涵盖以下方面：（一）流动性压力测试；（二）应急计划；（三）监测工具。 ▪认可机构应根据上述监管期望和实践，适时检视并完善其风险管理系统和控制措施。 云端实务指引 ▪金管局发布了新的《云端实务指引》，提供强化指引并分享行业良好实践，协助认可机构释放云技术潜力。内容包括：（一）治理与监督；（二）风险评估与尽职调查；（三）云服务提供商合同安排及相关控制；（四）云韧性及退出策略；（五）云安全与数据保护；（六）事故管理；（七）持续监控；（八）人力资源策略与赋能。 ▪金管局期望采用云技术的认可机构，能够以与云安排的风险特征及关键性相称的方式，应用管理云相关风险的高层原则，并在适合其业务情况下采纳良好实践。 管理与交易活动相关操作风险的良好做法 ▪金管局就交易活动相关操作风险管理分享良好实践，涵盖：(一）风险治理；（二）监督与整体控制框架；（三）交易生命周期控制；（四）持续风险管理；（五）监控与报告；（六）重新估值；（七）监察、关键风险指标、事故管理及其他控制。 ▪认可机构应在适当情况下，不时参照上述实践检视其交易活动的操作风险管理。 香港银行公会发出的无障碍银行服务实务指引（第二版） ▪香港银行公会发布了《无障碍银行服务实务指引》第二版。▪所有银行应实施实务指引中载列的相关措施，其他认可机构亦获鼓励相应加强其无障碍服务安排。▪认可机构应检视无障碍措施，确保其更新且有效实施。▪同时提醒认可机构应为前线员工提供适当的培训及指引，以应对有障碍客户的需要，并与该等客户进行适当沟通。 第2A阶段香港可持续金融分类目录 ▪香港金管局发布第2A阶段《香港可持续金融分类目录》（《香港分类目录》）及咨询总结报告。 ▪鼓励认可机构在产品标识、产品开发、识别、披露、风险管理及投资指引等不同应用中，使用香港分类目录以评估项目及资产的绿色属性及转型属性。 ▪该分类法涵盖：（一）气候变化缓解（能源、运输、建筑、废物、制造业及信息与通信科技）；（二）气候变化适应；（三）相关ISIC行业分类代码。 “置易付”扩展至二手住宅物业买卖 ▪香港银行公会宣布，自2026年2月28日起，将「置易付」扩展至香港二手住宅物业的买卖交易。 ▪在适用情况下，买方的按揭贷款款项将透过结算所自动转账系统，由买方按揭银行直接支付至卖方按揭银行，以即时清偿卖方未偿还的按揭贷款余额，余款可于同日支付至卖方指定账户。 ▪适用于2026年2月28日或之后签署临时买卖合约的二手住宅物业交易。 ▪按揭银行应就以下方面作好实施准备：（一）营运流程、系统及文件，（二）员工就置易付安排与按揭客户沟通的培训，（三）与指定律师的紧密合作，及（四）于电子渠道及分行公开相关信息。 金管局认可指引 ▪香港金管局于2026年2月27日发布九份《认可指引》，涵盖：（一）金管局的监管权力；（二）银行名称的使用；（三）银行名称描述的限制和豁免；（四）最低审慎监管要求；（五）管治和控制标准；（六）申请和文件要求；（七）法律和监管预期；以及（七）数字银行的专属标准，包括所有权、技术风险、资本、客户保护和持续监管。 生成式人工智能沙盒++ ▪金管局、证券及期货事务监察委员会（“证监会”）、保险业监管局（“保监局”）及强制性公积金计划管理局（积金局）联合邀请其监管对象申请参与生成式人工智能沙盒++。 ▪应用重点集中于风险管理、防欺诈及客户体验。▪申请截至2026年6月30日。 数字化转型背景下的业务模式战略审查 ▪金管局期望认可机构透过采用分布式分类帐技术及其他变革性技术，主动评估并调整其长期业务模式，以应对加速发展的科技趋势: ▪认可机构董事会应在通函发布日期起计六个月内，监督并批准一份正式的业务战略计划，以应对相关科技发展，内容涵盖已识别的产品方案机遇、收入模式、客户互动、风险管理及营运安排 ▪认可机构应善用金管局的分布式分类帐技术监管孵化器，以验证相关的新型业务模式；以及 ▪有意拓展新的数字资产业务活动的认可机构，应在推出前与金管局讨论其相关计划 使用替代数据的消费者保障 ▪金管局向认可机构提供了一套有关在银行业务（如信贷风险评估）中使用替代数据的消费者保障指导原则《使用替代数据的消费者保障》。该等原则涵盖：（一）治理及问责；（二）透明度及同意管理；（三）数据质量及公平性；以及（四）数据私隐及保护。 ▪认可机构应审视其现有政策、程序及实践，并在有需要时加以加强，以确保与该等指导原则保持一致。 制裁筛查系统专题评估 ▪金管局分享了其近期开展的专题评估观察结果，该检讨旨在评估认可机构的制裁筛查系统在履行香港制裁制度下的法定责任方面的成效。相关观察结果包括改进领域及良好实践，涵盖：（一）治理及监督；（二）系统测试及验证；（三）制裁名单管理；以及（四）人工智能的应用。 ▪金管局的监管期望包括：（一）认可机构及储值支付工具持牌人应通过差距分析检讨其现有制裁风险控制，并考虑采纳上述良好实践以加强制裁风险管理框架；（二）监管机构可在有需要时要求相关机构向金管局提交制裁筛查系统测试结果；以及（三）相关结果应能展示系统在履行法律及监管要求方面的有效性及效率，并与风险相称。 处置中的流动性及资金（LFIR）实施情况