2026年1月21日 在2025年第四季度,金融监管要求进一步细化,执行加速,而执法检查和问责措施保持在高水平。在这种情况下,建议金融机构内部的审计职能专注于监管重点和关键风险领域,加强监督、评估和风险咨询职能,并支持监管要求的及时执行,以实现稳定运营和治理目标。 本文旨在提供关于中国内地和香港金融行业内部审计相关监管要求及关注领域的见解和重点。同时,也涵盖了2025年第四季度国际和中国内部审计协会的活动,为首席审计官和内部审计专业人士提供参考。 1. 中国大陆金融业监管 在2025年第四季度,国家金融监督管理总局(NFRA)、中国人民银行(PBOC)、中国证券监督管理委员会(CSRC)、中国证券协会(CSA)及其他机构针对银行、保险公司、金融租赁公司、证券公司等行业发布了新的监管规定或自律规则,涵盖反洗钱、资产管理、金融租赁业务等,旨在进一步完善监管框架。 与内部审计相关的关键法规,以及内部审计团队在2025年第四季度在中国大陆应重点关注的领域,如下所示: 反洗钱 (AML) 在10月,为实施新出台的反洗钱法,央行、全国金融监管总局和证监会联合发布了《金融机构客户尽职调查和客户身份信息及交易记录保存办法》,要求金融机构识别客户和实际控制人身份,同时持续评估和分类客户风险等级。该办法规定机构需建立和完善客户尽职调查、身份信息保存及交易记录保存的内部控制体系,并须进行定期审计和评估,以确保这些体系保持稳健、有效并符合监管要求,同时及时修订和完善相关框架。 ▪十月份,人民银行反洗钱局发布了《金融机构反洗钱风险自评估指引》的发布通知,明确了新一轮自评估的具体要求。建议内部审计部门密切关注新评估的完成截止日期、风险场景的申报要求、评估程序的变化以及评估内容更新。 ▪十月份,中国人民银行发布了《金融机构反洗钱和反恐怖融资监督管理措施实施相关事项》,旨在进一步规范反洗钱监管和金融机构的运营要求。《金融机构反洗钱和反恐怖融资监督管理措施(2025年修订)》要求金融机构通过内部审计或社会审计监督反洗钱和反恐怖融资内部控制系统的有效实施。同时,建议内部审计部门在开展反洗钱审计时,重点关注通知中规定的金融机构运营要求的有效落实情况。 ▪在12月,中国人民银行发布了《金融机构客户受益所有人识别管理办法》,旨在规范受益所有人的识别和核实,加强风险管理及信息真实性的要求,并在金融机构内建立完善的受益所有人识别核实制度,提供明确的制度指导。建议内部审计部门关注受益所有人识别核实框架建立的有效性和及时性、受益所有人相关数据的完整性和准确性,以及现有客户受益所有人识别的进展。 资产管理信托业务 在10月,NFRA发布了《资产管理信托管理办法(征求意见稿)》征求公众意见,要求对信托产品的设立、运营和信息披露进行全过程标准化。该办法强调加强投资者适当性管理、强化关联交易控制、净值管理和风险隔离。该办法明确要求信托公司应建立涵盖销售人员、宣传资料、代理分销商和客户信息保密的全面销售管理体系,并将销售管理纳入内部绩效考核和审计范围。 企业可持续发展信息披露管理 11月,财政部、中国人民银行和国家金融监督管理总局等九部门联合发布了《企业可持续信息披露标准 第1号—气候》(试行)。该标准规范了企业披露气候相关信息,重点关注四个关键维度:治理、战略、风险和机遇管理以及指标和目标。该标准鼓励企业利用内部审计、法律或其他监督部门监控气候相关风险和机遇,并聘请独立第三方机构核实气候相关信息。 金融租赁公司金融租赁业务管理 十二月份,金融租赁公司监管部发布了《金融租赁公司金融租赁业务管理办法》,要求金融租赁公司通过建立尽职调查和风险评估体系,遵守合法合规和审慎经营的原则。该办法要求建立健全金融租赁活动的内部审计框架,明确内部审计部门必须根据公司的具体情况,对租赁业务的关键风险领域进行审计。审计频率原则上每年至少一次,审计发现的问题必须提出明确的整改建议,并跟进整改措施的落实情况,以促进公司的合法经营和稳定发展。 商业银行托管业务 ▪在十二月,NFRA发布了《商业银行托管业务监督管理办法(试行)》,旨在规范商业银行的托管业务,加强风险防范和控制。该办法要求银行建立健全治理结构、完善内部控制机制和配备专业团队;设立专门的托管部门,配备安全的信息系统;并持续满足监管要求。该办法还明确要求商业银行建立涵盖托管业务运营的内部和外部审计机制,并定期对业务绩效和风险管理进行审计。 保险公司资产负债管理 十二月份,NFRA发布《保险公司资产负债管理措施(征求意见稿)》,旨在提升保险公司的资产负债管理能力,防范期限错配风险。该措施要求保险公司建立覆盖全流程的资产负债管理框架,将内部审计定位为风险防控的核心环节。措施规定内部审计部门需对资产负债管理的充分性和有效性进行年度评估,审计报告需报送董事会。董事会负责监督高级管理层根据识别出的问题落实整改措施,而内部审计部门则必须跟踪整改效果。 证券公司治理——审计委员会 在十二月,为实施新公司法中关于将“股东会”更名为“股东大会”以及新引入的关于董事会审计委员会的要求,中国证券业协会发布了《关于集中修订部分自律规则的决策》。该决策系统性地修订了18项自律规则中的相关条款,包括《证券公司内部审计指引》和《证券公司合规管理实施指引》。它引入或调整了与审计委员会或内部审计部门的监管职责相关的内容,确保监管框架与现行法律和实务标准保持一致。 2. 中国大陆金融业监管执法和内部审计重点 2025年第四季度,监管执法行动继续高度集中在反洗钱领域。因反洗钱相关违规行为,处以了多笔巨额罚款,包括未按要求执行客户尽职调查、未能妥善保存客户身份信息和交易记录、未按法规提交大额交易报告或可疑交易报告,以及与身份未识别的客户进行交易。此外,当时直接负责反洗钱相关违规行为的几名部门负责人也受到了个人处罚。 3. 香港金融业监管更新 香港金融管理局(“HKMA”) 跨境征信(“CBCR”) 香港金融管理局于2025年10月10日发布了关于支持行业实施和扩展使用CBCR的CBCR倡议通函。 CBCR倡议的目的是促进香港与内地之间信用参考信息的交换,使银行能够对客户的信用状况做出更明智、更准确的评估,并通过提供更便捷、更快、成本更低的信贷接入来使客户受益。 香港金融管理局建议了两种数据传输的合作模式: ▪直接传递模型:经客户同意,信用参考信息直接从国内信用参考机构转移到当地信用参考机构,再转交给当地银行。 ▪通过数据可移植性启用的间接模型:客户通过从信用参考机构收集自己的信用参考信息,并将其跨边界转移到当地信用参考机构,以便当地银行继续转移,从而行使其数据可携带权。 香港金管局还制定了指导原则,以协助行业有效实施和使用CBCR作为风险管理工具,并保护所有参与方的利益,包括 (i) 从试点过渡到可扩展和适合市场的解决方案,(ii) 积极使用CBCR来加强信用风险管理,以及 (iii) 消费者教育以建立公众对CBCR的信任。 香港金管局大力鼓励人工智能积极采用跨境银行与金融服务合作参考框架方案,以加强有跨境融资及其他银行与金融服务需求的客户的客户尽职调查和信贷审批流程。 跨境数据验证平台 香港金融管理局于2025年10月10日发布一份通函,提供更新信息,并鼓励授权机构(“AI”)进一步利用深圳-香港跨境数据验证平台(“数据验证平台”),以解锁更多数据驱动的跨境业务机会。 目前,已有超过10家银行和信用参考机构利用数据验证平台的多样服务来验证不同类型的个人和企业数据,包括信用报告、纳税申报和了解你的客户(“KYC”)文件。 香港金融管理局已从信贷评估试点案例中总结出若干良好实践,具体如下: ▪利用多样化的数据源:按照设计,数据验证平台能够连接金融和非金融数据源,并且可以(在客户同意的情况下)协助验证通常被认为更敏感的个人数据。 利用商业数据交换(“CDI”)连接:人工智能正通过积极利用新的CDI连接,加速其访问数据验证平台的速度,以将行政和技术准备工作降至最低。这使得他们能够在几周内而不是几个月内开始使用数据验证平台的验证服务。 ▪面向数据安全和隐私的设计:一些人工智能已经定制了其操作流程,包括将相关流程完全上线并配合网络安全防御,以保持人工干预最小化,并避免无意中让未授权人员接触到。 鼓励人工智能积极考虑利用数据验证平台来支持其运营、风险管理以及产品和服务提供,包括但不限于为个人和企业客户提供开户、贷款和汇款服务 气候风险管理 港交所于2025年10月27日就人工智能的气候风险管理框架和流程的良好实践发布了通告。这些良好实践源于港交所最新的监管演习,包括一轮新的主题审查和第二系列咨询会议,这些演习重点关注了参与人工智能的气候风险管理框架和实践的稳健性和充分性。 良好实践总结如下: 迈向更以量化为导向的气候风险管理框架:人工智能在气候风险偏好声明中建立了量化指标和限额,以有效管理全行的气候风险限额结构。人工智能已利用多种工具,包括气候风险重要性评估、投资组合集中度分析和压力测试,以评估气候风险对其业务和运营的潜在影响。 ▪弥合数据差距,进一步将气候风险纳入信贷决策:人工智能已经建立了框架来指导为不同的交易对手评估气候风险而选择合适的方案和工具。人工智能还开发了气候/环境、社会和治理问卷调查,以促进气候相关数据的收集和评估。 ▪深化和拓展将气候考量嵌入其他传统风险类型管理中的程度:人工智能已建立衡量指标和限额,以监测和报告气候风险对其他传统风险类型的影响,包括运营风险、流动性风险和市场风险。人工智能还开发了一个整体框架和专门的方针和控制措施,以管理由气候相关风险驱动因素产生的声誉风险。 生成式人工智能(“GenAI”)沙盒 港英金管局于2025年10月31日发布了一份报告,总结了从GenAI沙箱中获得的实践经验,并提供指导,帮助银行应对人工智能实施生命周期中的关键挑战,包括数据准备、模型微调、输出评估以及持续的监控和优化。 GenAI沙盒的首批项目已产生有力证据,证明GenAI对银行业的影响。商业成果包括以下内容: ▪节省时间,保证质量:GenAI在关键银行业务任务中显著减少了时间消耗,同时保持了或提升了质量,例如 Suspicious Transaction Reports 和案例叙述的准备时间减少了 30-80%。 ▪性能足够且节省成本:成功使用其微调的大型语言模型分析了100%的案例叙述,而与传统抽样方法相比,后者仅覆盖了部分案件,从而实现了全面的风险评估。 ▪强大的用户接受度和满意度:收到积极反馈,86%的GenAI输出被用户评为正面评价。超过70%的GenAI生成的信用评估输出被用户评为有价值的参考。 首届GenAI沙盒已最终证明GenAI在重塑银行业方面的变革潜力。它已证明其提供卓越客户体验、提高运营效率、支持风险控制和合规以及在一个不断变化的金融环境中保持可持续竞争优势的能力。 保险保单的优质融资活动 香港金融管理局于2025年11月19日发布了关于人工智能及其子公司从事保费融资活动情况的审查结果。该审查重点关注人工智能及其子公司在处理进入保费融资设施且在保费融资贷款方面遇到财务困难的客户时的做法。 该结果涵盖良好做法,包括提供替代方案以减轻客户的利息负担,以及为逾期还款提供宽限期以缓解客户的财务困境。 结果还涵盖了改进领域,例如提供更清晰的关于高额融资贷款的特点和操作的解释,以及增强与高额融资安排相关的潜在风险的披露。 修订的监管政策手册(\"SPM\")模块IB-1 在咨询银行业之后,金管局根据银行条例第7(3)条以法定指引形式发布修订版的SPM模块IB-1(有效日期2025年11月21日),主要目的为: ▪反映香港金管局和保险业监管局发布的最新监管要求和指引。 ▪重申与公司治理和内部控制相关的监管期望,包括负责官员和高级管理层的责任,涵盖(i)公司治理和内部控制,(ii)适合性,(iii)行为守则,(iv)保险中介的持续专业发展要求,