洞察与超越:《2025年度商业银行内审观察》
《2025年度商业银行内审观察》本期看点:
- 2025年监管新规概览、《商业银行托管业务监督管理办法(试行)》《金融机构产品适当性管理办法》《银行保险机构资产管理产品信息披露管理办法》等重点新规解读
- 2025年度监管处罚态势,监管关注重点及内审应对建议
- 敏捷审计:数字金融时代“黑灰产”的主要特征、典型案例、审计应对思路及实务建议
- 国际动态:国际同业内部审计动态及较佳实践
2025年度监管新规概览
2025年,全国人民代表大会常务委员会、国务院、财政部、人民银行、金融监管总局、证监会、外管局等监管机构、行业自律组织、交易所等共发布295篇重要新规及征求意见稿。从涉及领域和重点规范事项来看,主要影响信贷业务、金融市场业务、代理业务、投行业务、托管业务、支付结算等业务领域,以及公司治理、反洗钱管理、消费者权益保护、征信管理、运营管理、信息披露、数据安全、网络安全等管理领域。此外,为提振经济、促进产业升级,更好地支持“金融五篇大文章”,金融监管机构亦联合多部委发布了诸多经济促进与便民优惠政策,以及多领域的高质量发展行动方案。
从监管立法趋势来看,金融监管法制加快健全,“四级垂管”“五大监管”持续强化,监管协调性进一步增强。预计2026年金融监管将持续聚焦行业高质量发展,监督各类银行保险机构专注主业、错位发展;配套出台的监管新规,亦将通过现场及非现场监管方式,严厉惩治违法违规行为。
重点规则解读:资管业务专题
2025年,金融监管总局在资产管理领域集中发布了多项新规,包括《商业银行代理销售业务管理办法》《商业银行托管业务监督管理办法(试行)》《金融机构产品适当性管理办法》《银行保险机构资产管理产品信息披露管理办法》等,重点从金融消费者/投资权益保护出发,对合作机构管理、销售适当性管理以及信息披露等方面进行了规范,建议内部审计重点关注新规带来的业务流程调整、合同规范、存量业务整改、信息系统功能优化、个人信息保护与数据安全管理等方面。
1.《商业银行托管业务监督管理办法(试行)》
- 新规背景及影响
《办法》是监管部门第一次对商业银行托管业务进行系统性规范,填补了托管业务长期的制度空白。近年来,商业银行为理财产品、资金信托、证券投资基金、证券公司资管产品、保险资管产品、社保基金、养老金等提供托管服务,业务规模稳步扩大、服务种类不断增多、创新活动日趋活跃,但实务中也存在许多争议与纠纷。
从管理框架来看,《办法》对比2022年12月29日发布的《商业银行托管业务监督管理办法(征求意见稿)》在结构上进行了优化调整,尤其在托管产品准入、非标资产托管、对垫资(主要针对快赎货币基金)的规定、信息系统要求以及风险资本计提上,《办法》提出了明确、系统化、精细化的要求。同时,《办法》还为存量业务提供了三年的过渡期。
- 对商业银行影响较大的条款及审计关注建议
二、监管处罚洞察
2025年度监管处罚概览
2025年,监管处罚高压态势持续不减,人民银行、金融监管总局、外管局(含总部及其派出机构)针对银行业金融机构及从业人员下发罚单5,036张,罚没金额共计人民币25.58亿元,从总体监管处罚趋势来看,2025年监管罚单数量较2024年同期基本持平,罚没金额较2024年同期有所上涨。
从处罚涉及领域来看,主要集中在信贷业务、内控合规、国际业务等领域。同时在互联网贷款、个人信息保护、银行账户管理等细分领域强化监管,例如客户信息非法查询与泄露相关罚单数量相较同期大幅攀升,开立匿名/假名账户等违规事项处罚数量同比增幅显著。
从大额罚单来看,2025年三大监管机构共出具千万级大额罚单26张,罚没金额8.05亿元,处罚对象涉及国有大型商业银行、股份制商业银行、城市商业银行、政策性银行等。百万级大额罚单共433张,占罚单总量的9%,罚没金额人民币9.22亿元,占罚单总额的36%,呈现“重罚典型违规,加强行业警示”的监管特征。
图:银行业监管处罚趋势(2021年—2025年 )
图:2025年监管处罚领域分布(按罚单数量)
监管关注重点观察
结合上半年监管处罚特点、典型案例以及监管动态,我们总结了重点领域的典型问题、趋势性、苗头性问题,提示内部审计部门关注:
观察一:信贷领域特殊案由及零售信贷需引起关注
2025年,在经济增长承压、信贷环境整体宽松与银行业存量竞争激烈的大背景下,监管延续“防风险”、支撑国家政策落实、金融支持实体经济防止资金空转等导向,商业银行信贷业务面临政策落实和业绩考核压力。
2025年信贷业务持续为监管机构重点关注领域,监管处罚全面覆盖客户准入、尽职调查、审查审批、放款支付、贷后管理、资金流向监测、风险分类、拨备计提、不良资产处置等全流程环节。同时,监管在关注业务流程中的关键环节之外,更加关注不同业务品类及产品的特殊管理要求,以及各环节的人员履职;并且向前延伸关注基础数据质量,以及向后延伸关注业务评估决策中的模型合理性等,监管检查更加穿透、深入。
观察二:票据业务监管趋严,新规落地规范交易背景审查
2025年,人民银行、金融监管总局累计下发涉及票据业务的罚单207张,占全年罚单总数的4.19%;罚没金额合计人民币5.36亿元,占全年总体罚没金额约21.18%。处罚案由涵盖的违规形态较为多元,主要涉及整体管理、贸易背景真实性、调查与审核、保证金管理、调节规模、循环开票等多个业务环节与事项,其中贸易背景审查不严、保证金相关违规等仍是重点处罚方向。
值得注意的是,为进一步规范商业汇票承兑/贴现业务真实交易材料管理、促进票据市场健康有序发展,2025年4月1日中国支付清算协会组织发布《商业汇票承兑/贴现业务真实交易材料审查指引(试行)》,该指引已于2025年7月1日正式施行。建议各机构内审部门重点关注票据业务领域新规落地执行情况,关注对于交易背景真实性材料简化可能带来的业务问题。
观察三:代理销售监管持续强化,保险代销问题突出
2025年金融监管总局代理销售领域罚单较2025年上半年有所上升。处罚案由覆盖的违规形态较为多样化,综合涉及整体管理、机构及人员资质管理、销售行为合规性、收费管理、合作机构管理、信息系统等多个事项与环节。从违规集中的产品与违规特点来看,代销保险问题较为集中,销售行为合规性已成为监管机构关注与处罚的重点方向。
值得注意的是,为强化商业银行对合作机构和产品准入的管理责任,明确合作机构准入审查和产品尽职调查要求,规范商业银行代理销售行为,金融监管总局于2025年3月21日发布《商业银行代理销售业务管理办法》,该办法已于2025年10月1日正式施行。同时,金融监管总局还发布了《金融机构产品适当性管理办法》《银行保险机构资产管理产品信息披露管理办法》等影响代理销售业务的新规;建议各机构内审部门重点关注实施的配套制度建设与执行有效性,以及结合监管处罚揭示的违规形态,关注代理销售各环节操作的规范性与风险管控措施落实情况。
观察四:收费领域监管持续趋严,处罚力度显著加重
2025年,监管机构持续加强对商业银行服务收费行为的规范与整治,全年共针对该领域出具罚单132张,占罚单总数的2.67%,处罚金额总计人民币1.35亿元,占罚没总额达5.32%,罚单占比与金额占比的显著差异,体现出监管处罚力度整体趋严、惩戒力度加重的态势。从案由分布来看,违规行为主要集中在违规收取费用、收费质价不符、转嫁经营成本等方面,反映出监管机构对收费环节中各类隐性、变相违规行为的识别与查处日趋精准。
国家市场监督管理总局于2025年11月7日发布并实施《关于印发<商业银行收费行为执法指南>的通知》,明确商业银行收费行为执法的适用范围、判定标准与裁量规则,细化收费公示、质价匹配等核心监管要求。内审部门需关注监管政策变化与执法口径的更新,及时调整审计重点与合规评价标准。
三、敏捷审计专题
敏捷审计 (Agile Auditing) 是一种将敏捷软件开发原则和实践应用于审计活动的创新方法,其核心目标是提升审计的效率、响应速度和价值创造。敏捷审计通过将审计工作分解为更小、更频繁的交付单元,以聚焦于特定风险领域或控制要素,将审计资源始终投入到能带来最大价值的地方。敏捷审计的优势在于动态响应业务与环境的变化,通过持续改进与反馈循环帮助组织实现管理提升。
本期专题:数字金融时代“黑灰产”
近期由金融监管总局、公安部等权威部门联合通报的系列典型案例,清晰地揭示了金融“黑灰产”已从零散、偶发的个体欺诈,演变为具有高技术性、强隐蔽性和高度组织化的产业链犯罪。其核心特征可归纳为“产业协同化”“技术赋能化”与“手段精细化”三大方面。
内审应对建议
1.信贷领域欺诈
贷前尽调审计:整合工商、税务、司法、社保、企业关联关系等多维外部数据,构建内审数据分析模型,对申请人工作单位真实性、企业经营异常、关联风险等进行风险提示,特别关注申请人社保缴纳年限较短,企业注册年限较短,企业无真实经营,关联关系复杂,与涉诉涉诈、被失信执行企业或个人存在关联关系等异常风险信号。
资金流向穿透审计:开发资金链路追踪工具,对贷款发放后,经多个关联账户快速分散、集中、再流向禁止性领域的路径进行可视化分析与异常标记。关注是否与存在异常行为的账户存在关联。审计贷款发放后的资金流向监控机制设计是否有效,能否及时识别并预警贷款资金通过复杂交易结构后,违规流入股市、房市等禁止性领域。
合作机构穿透审计:对合作的所有助贷、担保、咨询类公司进行穿透式审计,核查实际控制人关联关系、最终收费构成、客户投诉集中度,企业舆情及司法信息等,评估相关业务实质是否存在非法经营风险。
特定群体客户审计:针对在校大学生、老年等特殊群体,关注客户准入与产品设计是否合理,如资金需求测算与授信额度测算逻辑、还款能力评估逻辑、贷款申请支持性材料、营销及业务办理渠道等,评估业务各环节是否存在欺诈可能性。
2.保险领域欺诈
投诉与退保反欺诈审计:建立投诉文本分析模型,识别话术雷同、代理人集中、短期退保率异常的案件集群。审计退保金支付流程,重点核查大额、短期内由第三方代为申请的退保;
销售品质与佣金穿透审计:追踪高额保单的销售轨迹与资金流向,审计是否存在同一资金来源为多人投保、短期内集中退保的套佣模式,并检视佣金追回机制的有效性;
员工行为管理:重点排查员工(尤其是客户经理、客服人员)与外部中介是否存在非常规资金往来、异常通讯联系,防范内外勾结风险。
3.复合型金融犯罪
生物识别与反欺诈技术审计:不再默认信任技术输出,将人脸识别、声纹验证等技术的防伪测试纳入审计范围,评估其识别伪造攻击的能力;
线上渠道风险:手机银行、线上贷款APP等数字渠道是黑灰产攻击的重点。内部审计需评估反欺诈系统规则是否及时更新,能否有效识别伪冒申请、集中批量申请等自动化攻击。定期评估不良率较高、首贷不良率较高的产品,寻找共性特征,评估业务流程中存在的漏洞;
数据安全与隐私保护:黑灰产犯罪始于非法获取公民个人信息。内部审计需加强对客户信息全保护生命周期管理的审计,检查系统用户设置、权限配置、数据脱敏、外部接口安全等,防止数据泄露成为犯罪源头。
典型案例分析
案例一:以代理退保为由诱骗客户贷款
重庆某保险公司发现有不法分子冒充该司工作人员上门面见客户,利用偏远地区客户对保险知识的匮乏,骗取客户资金。以张某、白某为首的犯罪团伙熟悉保险公司电销及客户退保流程,以非法方式获取保险公司电销客户信息,设计诈骗话术及手法,打着“代理退保”旗号,冒充该保险公司工作人员上门怂恿消费者退保,诱导消费者使用手机下载安装该保险公司某APP,欺骗消费者该APP上的可贷款金额为退保金额,并声称可帮助消费者多获取退保金,让消费者支付多退金额的50%作为服务费。
经公安机关查明,张某、白某等十人(曾从事保险销售工作)利用非法购买的保险公司客户信息,先后在黑龙江、新疆、陕西、重庆等地单独或伙同实施代理退保诈骗,涉案金额共计29万余元。张某、白某等十人因诈骗罪和侵犯公民个人信息罪,被法院判处有期徒刑七个月至三年三个月(或缓刑),并处罚金二千元至一万五千元不等,退缴违法所得、退赔被害人人民币1,500余元至79,000元不等,判令其中犯侵害公民个人信息罪的4人在省级以上新闻媒体对其侵犯公民个人信息的行为公开赔礼道歉。
案例点评与内审关注建议
案例点评:
- 犯罪手法专业化与精准化:犯罪分子利用行业背景知识,精准筛选保险知识薄弱的偏远地区客户,并熟练利用官方业务流程(如APP贷款功能)设计骗局,表明其对保险运营有深入了解,欺诈设计具有高度针对性;
- 暴露核心风控漏洞:案件根源在于客户信息在业务前端环节已遭泄露,同时线上自助业务流程的身份验证与操作确认机制存在缺陷,可被不法分子伪装利用,暴露出信息安全和流程管控的双重短板。
内审关注建议:
- 客户信息安全管理专项审计:重点排查电销等敏感渠道及第三方合作方的数据全生命周期管控,追踪信息泄露源头,并审计数据访问权限设置与日志监控的有效性;
- 重点审计业务流程中的验证环节:全面评估退保、贷款等资金类线上操作的身份认证与二次确认强度。评估是否需要对高风险交易增设人脸识别或人工回访等强化验证措施,并建立异常操作行为监测模型。检查针对偏远地区客户或老年客户的服务流程。是否包含有效的身份核验及业务意愿核实机制。
国际领先银行内部审计关键举措
2025年,国际银行内部审计在夯实基础管理与数智化方面加速发展,主要聚焦数字化转型与智能化审计应用、核心业务合规及专项审计治理、审计治理架构优化、人才技术能力升级等方面。
亮点观察
统一的人工智能驱动的审计平台:将高级分析、AI、机器学习和 NLP 引入审计全生命周期的每个阶段
内审治理重点:ESG专项审计机制、审计委员会独立性、全球数据保护法规遵循的数据安全审计
重点关注领域:长期不断强化客户资产安全、投资合规、信息披露审计等领域
人才结构优化:内审团队新增数据科学家,AI专家占比增加
刊物简介
毕马威“内审观察季刊”系列为商业银行内部审计服务专题报告。我们持续跟踪国内外内部审计理论发展、银行业重要法规及监管政策变化、监管检查与处罚动态、市场变化及舆情信息等,运用毕马威专家团队丰富的行业经验及专业解读,及时与您分享内部审计相关的风险洞察与应对建议。
本文内容仅供一般参考用,并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料,但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。
©2026毕马威华振会计师事务所(特殊普通合伙)、毕马威企业咨询(中国)有限公司及毕马威会计师事务所,均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。毕马威国际及其关联实体不提供任何客户服务。各成员所均为各自独立的法律主体,其对自身描述亦是如此。毕马威华振会计师事务所(特殊普通合伙)——中国合伙制会计师事务所;毕马威企业咨询(中国)有限公司——中国有限责任公司;毕马威会计师事务所——香港合伙制事务所。版权所有,不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。