商业银行内审观察（2024年第四季度）

2024年四季度，全国人民代表大会常务委员会、国务院、财政部、人民银行、金融监管总局、证监会、外管局等监管机构、行业自律组织、交易所等共发布75篇新规及征求意见稿，从涉及领域和重点规范事项来看，主要影响 “五篇大文章”、公司治理、债券业务、信息披露、合规管理、信贷业务等业务及管理领域。建议内部审计部门及时关注监管要求变化、业务管理调整以及宏观政策落实等。

四季度，监管处罚高压态势持续不减，人民银行、金融监管总局、外管局（含总部及其派出机构）针对银行业金融机构及从业人员共下发1,352张罚单，涉及罚没金额总计达人民币4.73亿元，虽然罚单数量较上一季度有所上升，但罚没金额有所下降。从处罚涉及领域来看，主要集中在信贷业务、内控合规、存款业务、代理业务等领域。四季度人民币100万以上大额罚单共85张，罚没金额人民币2.57亿元，占四季度罚没总额的54.3%，处罚行业典型加强警示效应的监管特征较为显著。其中，最大罚单由人民银行向某国有大型银行出具，由于违反账户管理规定等多项案由，共计罚没人民币5,161万元。

通过综合分析本季度及近期监管处罚特点、典型案例以及数据变化，我们观察到以下领域典型问题，提示内部审计部门关注：

2024年四季度人民银行、金融监管总局等共下发259张涉及反洗钱领域罚单，占罚单总数的19%，罚没金额合计达人民币1.72亿元，占四季度总体罚没金额约36%，较三季度大幅上升。处罚案由及违规形态总结涉及整体管理、客户身份识别、洗钱风险评估、交易监测与报告、记录保存等多个领域与环节。从特点来看，既关注整体机制建设，亦深入具体操作细节。

值得注意的是2024年11月8日第十四届全国人民代表大会常务委员会对《中华人民共和国反洗钱法》进行了第12次修订，新法已于2025年1月1日正式实施。结合近年来国际国内对于反洗钱管理的高度重视，预计未来人民银行将持续强化反洗钱监管，并将依据更新要求持续关注商业银行反洗钱管理的有效性，建议内部审计予以关注。

2024年四季度外管局共出具47张国际业务相关罚单，罚没金额达人民币2,893万元，占四季度总体罚没金额的约6.1%，体现出国际业务仍为监管关注重点。主要违规形态总结如下。

随着近期中国企业“出海”步伐加快，部分金融机构积极布局国际业务谋求新的业务增长点，叠加金融扩大开放等背景，预计未来国际业务仍将面临快速增长与变化，建议内部审计予以关注。

2024年监管机构高度关注商业银行董监高任职履职管理，全年共下发52张涉及该领域的罚单罚单，尽管只占全年罚单总量约1%，处罚金额却高达1.68亿元，占总体处罚金额的9%，处罚较为严厉。从监管处罚涉及的主要事由来看，广泛涉及专门委员会组建、董事与高级管理人员任职资格审查、履职管理、报告义务履行等方面，其中任职资格审查相关处罚最为集中。

值得关注的是，2024年12月26日，金融监管总局就《银行业金融机构董事（理事）和高级管理人员任职资格管理办法（征求意见稿）》公开征求意见，预计新规即将出台。未来董事、高级管理人员任职资格将更加严格，建议内部审计关注本机构相关管理机制建设与运行的有效性。

近年来，随着金融体系改革和中小机构化险的持续推进，股东股权管理一直是监管机构的密切关注领域。2024年监管部门持续加强对商业银行股东股权的监管，进一步细化完善了相关政策法规，加大对违法违规股东的处罚力度。2024年监管机构共下发涉及该领域罚单227张，占全年罚单总数的5%，处罚金额总计3.79亿元，占全年罚没总额高达21%，由此可见监管处罚力度之大。

我们综合分析了2022年以来股东股权管理相关的处罚案由，从违规事项来看，呈现问题多、类型广、违规形态丰富的特征，典型问题包括股东以非自有资金入股、违规质押股权、股东违规融资、股东持股管理及变更管理不到位等方面。建议内部审计部门重点关注，并将相关问题提交治理层予以综合治理。

数字化浪潮影响下，商业银行不断强化数据应用和网络安全管理，相关监管规则持续强化，而随着数字金融的加速布局发展，未来数据要素的作用将进一步发挥，数据管理和网络安全方面压力会持续抬升。我们关注到2024年四季度公布的罚单中，涉及网络安全领域的罚单共计14张，约占第四季度罚单的1%；罚没金额为886万元，占季度总体罚没金额的2%。此外，数据治理和数据管理方面亦识别到新兴案由，建议内部审计前瞻性地予以关注。

国际内部审计师协会于2024年发布了《内部审计：2035年愿景—共同创造我们的未来》，预测2035年内部审计行业变化，并以目标为导向阐述了实现美好愿景的关键步骤以及克服困难的方法。未来十年，内部审计行业将经历一场由技术加速进步、重大颠覆性趋势和新兴风险共同驱动的重大变革。如果内部审计行业不主动选择面对挑战，只专注于传统职责，或者变革进展缓慢，将无法跟上快速变化的全球形势，内部审计行业也将变得无关紧要。未来成功的内部审计不仅需要内部审计师的热情与专业度，更需要利益相关者的支持，共创内部审计行业的美好未来。

2024年6月，国际内部审计师协会发布了《关于人工智能治理的关键注意事项》报告，讨论审计师在人工智能广泛运用背景下的责任变化，提示了一些不为人熟知的人工智能风险以及董事会和审计委员会需要关注的问题。随着信息时代快速发展，以及人工智能技术的广泛推广，组织所面临的风险也在增加。本篇报告特别指出应当注意不常见的人工智能风险，包括影子IT环境、AI信息缺乏透明度、网络安全风险等，并列举了董事会在人工智能治理中需要关注并考虑的系列问题，同时强调了内部审计师在应对风险时发挥的作用，对于未来人工智能治理和风险应对具有很强的参考意义。