2004年巴塞爾銀行監(jiān)管委員會發(fā)布了《統(tǒng)一資本計量和資本標準的國際協(xié)議：修訂框架》，簡稱新巴塞爾資本協(xié)議，該協(xié)議于2005年進行了一次修訂。2006年巴塞爾委員會將1988年舊協(xié)議未改動部分、1996年關(guān)于市場風(fēng)險的修訂協(xié)定以及2005年關(guān)于新資本協(xié)議如何運用于實務(wù)的修訂相結(jié)合，頒布了新資本協(xié)議的綜合版本。新協(xié)議的設(shè)計目標是要提高銀行對風(fēng)險的敏感程度，利用最低資本要求、監(jiān)督檢查和市場紀律(資本充足率要求、外部監(jiān)管和市場約束)促進銀行提高風(fēng)險管理能力，增進金融體系的安全與穩(wěn)健。2005年巴塞爾委員會的13個成員國和25個歐盟成員國已經(jīng)承諾于2007年初實施新資本協(xié)議。

　　2007年是我國金融業(yè)對外資全面開放的第一年，面對“與狼共舞”的時代，中資機構(gòu)的風(fēng)險管理能力面臨著巨大的挑戰(zhàn)和考驗。2007年中國銀行監(jiān)督委員會發(fā)布了《中國銀行業(yè)實施新資本協(xié)議指導(dǎo)意見》，提出了實施新資本協(xié)議的范圍、方法和時間表。實施新資本協(xié)議的號角已經(jīng)吹響，如何運用新協(xié)議提出的全面風(fēng)險管理理念，確保商業(yè)銀行風(fēng)險管理體系合理有效運行，使商業(yè)銀行在競爭中立于不敗之地，是我國商業(yè)銀行內(nèi)部審計面臨的重大課題。

　　一、新資本協(xié)議框架對商業(yè)銀行內(nèi)部審計的要求

　　新巴塞爾資本協(xié)議全文826條，涉及內(nèi)部審計的有9條，分別是：165條、410條、443條、498條、620條、662條、666條、718條、744條。為了強調(diào)董事會、高管層以及內(nèi)部審計師在內(nèi)部控制、風(fēng)險計量和合規(guī)性方面的責(zé)任，巴塞爾銀行監(jiān)管委員會還頒布了一份極具操作性的文件一《銀行內(nèi)部審計師、監(jiān)管當(dāng)局與審計師的關(guān)系》(以下簡稱關(guān)系報告)。該報告突出強調(diào)了銀行機構(gòu)內(nèi)部審計工作的重要性。以及銀行監(jiān)管者與銀行內(nèi)、外部審計師進行合作的必要性。為配合新資本協(xié)議的順利實施，指導(dǎo)銀行改革進程，巴塞爾銀行監(jiān)管委員會與各國銀行監(jiān)管部門合作修訂了銀行健全謹慎監(jiān)管的標準——《有效銀行監(jiān)管的核心原則》(以下簡稱新核心原則)。新核心原則規(guī)定了有效監(jiān)管體系應(yīng)遵循的二十五條原則，充分體現(xiàn)了自1997年《核心原則》頒布以來金融市場和監(jiān)管實踐的變化，以及在不同國家的進展?fàn)顩r、水平不一的現(xiàn)實，得到大多數(shù)國家的認可。截至2006年10月，已經(jīng)有100多個國家采用了新核心原則的評價方法。新核心原則對商業(yè)銀行內(nèi)部審計也提出了詳細的要求，它與新資本協(xié)議、關(guān)系文件相配合構(gòu)成新巴塞爾協(xié)議框架，共同指導(dǎo)內(nèi)部審計在銀行風(fēng)險管理實務(wù)中發(fā)揮應(yīng)有的作用。新巴塞爾資本協(xié)議的主要精神在于健全銀行風(fēng)險管理，而非局限于資本計提，故銀行必須建立良好的風(fēng)險管理制度，并發(fā)展更具效率的風(fēng)險管理技術(shù)來監(jiān)督及管理其風(fēng)險。內(nèi)部審計亦須提升其自身專業(yè)素養(yǎng)，并擬定有效的審查措施促進銀行提高風(fēng)險管理水平。

　　(一)內(nèi)部審計范圍擴展至風(fēng)險管理領(lǐng)域

　　自1999年國際內(nèi)部審計師協(xié)會(IIA)頒布內(nèi)部審計新定義之后，人們開始關(guān)注內(nèi)部審計在風(fēng)險管理方面的作用。內(nèi)部審計如何參與風(fēng)險管理活動，實現(xiàn)價值增值成為人們關(guān)注的焦點。商業(yè)銀行與一般企業(yè)相比具有更高的風(fēng)險，更需要內(nèi)部審計范圍從傳統(tǒng)財務(wù)審計擴展至風(fēng)險管理領(lǐng)域。新巴塞爾協(xié)議將資本充足率與銀行有效管理各類風(fēng)險的能力相掛鉤，使之更全面、敏感地反映商業(yè)銀行面臨的各種風(fēng)險。為有效發(fā)揮資本充足率在風(fēng)險監(jiān)管中的作用。激勵商業(yè)銀行改進風(fēng)險管理水平，需要內(nèi)部審計參與資本充足的評估活動，確保銀行持有與其風(fēng)險管理水平相對應(yīng)的資本。新協(xié)議在第744條提到，銀行內(nèi)部控制是資本評估程序的基礎(chǔ)，在適當(dāng)?shù)那闆r下內(nèi)部審計應(yīng)參與資本評估程序的獨立檢查。

　　與新巴塞爾協(xié)議相呼應(yīng)，新核心原則也對風(fēng)險管理審計提出了要求。在“原則7：風(fēng)險管理程序”中提到，監(jiān)管者要求較大或綜合性較強的銀行設(shè)置專門的部門來負責(zé)風(fēng)險評估、風(fēng)險監(jiān)督、控制或降低實質(zhì)性風(fēng)險；監(jiān)管者要證實這些部門定期接受內(nèi)部審計檢查；而內(nèi)部審計部門須采用適當(dāng)?shù)姆椒ㄗR別銀行的實質(zhì)性風(fēng)險，并以風(fēng)險評估來制定審計計劃和配置審計資源。“關(guān)系報告”中明確內(nèi)部審計的范圍包括：檢查和評價內(nèi)控體系的適當(dāng)性和有效性；審查風(fēng)險管理流程和風(fēng)險評估方法的適用性和有效性；審查與預(yù)期風(fēng)險相關(guān)的銀行資本評估系統(tǒng)；測試各種交易及其內(nèi)控程序的運行情況；審查應(yīng)合規(guī)要求和政策程序的執(zhí)行要求而建立的各項制度；監(jiān)測向監(jiān)管當(dāng)局提交報告的可靠性和及時性等。新資本協(xié)議框架已要求內(nèi)部審計的觸角延伸至風(fēng)險識別、評估、控制等諸多領(lǐng)域。我國銀監(jiān)會印發(fā)的《銀行業(yè)金融機構(gòu)內(nèi)部審計指引》也明確提出內(nèi)部審計須通過系統(tǒng)化和規(guī)范化的方法審查評價并改善銀行業(yè)金融機構(gòu)經(jīng)營活動、風(fēng)險狀況、內(nèi)部控制和公司治理效果，促進銀行業(yè)金融機構(gòu)穩(wěn)健發(fā)展。

　　(二)加強與監(jiān)管者、外部審計間的交流與合作

　　新巴塞爾資本協(xié)議為銀行提供了多種計算風(fēng)險加權(quán)資產(chǎn)的方法，在為銀行提供更大選擇空間、鼓勵銀行采用更加敏感的風(fēng)險衡量方式的同時，也加大了監(jiān)管成本與審計成本。由于監(jiān)管當(dāng)局和外部審計師對銀行的風(fēng)險管理狀況了解有限，若缺乏全面了解銀行的風(fēng)險管理水平，僅從賬面的資本充足率很難判斷銀行的健康與否。為此巴塞爾委員會頒布了《銀行內(nèi)部審計、監(jiān)管當(dāng)局與審計師的關(guān)系》以及《關(guān)于銀行內(nèi)部審計及監(jiān)管者與審計師關(guān)系的調(diào)查》兩份報告，旨在監(jiān)管者、外部審計與內(nèi)部審計之間形成有效的對話機制，以便及時發(fā)現(xiàn)問題，采取果斷措施降低風(fēng)險或補充資本。

　　“關(guān)系報告：原則18”要求，監(jiān)管者、外部審計師和內(nèi)部審計師相互合作，定期舉行三方會議，能提高各方的工作效率和效果。巴塞爾委員會認為，在有些國家，這種合作建立在監(jiān)管當(dāng)局和內(nèi)、外部審計師之間舉行定期會議的基礎(chǔ)上；監(jiān)管者可以考慮讓高管層適當(dāng)?shù)貐⒓舆@些會議，會上，每一方都會提供共同感興趣領(lǐng)域的信息，并對將要檢查的領(lǐng)域和工作時限給予特別關(guān)注；而且，所有三方都會討論機構(gòu)對內(nèi)、外部審計師整改建議的執(zhí)行情況。

　　在與銀行監(jiān)管者的交流合作方面，“關(guān)系報告：原則13”認為，銀行內(nèi)部審計師的工作有助于銀行監(jiān)管者，因此監(jiān)管者應(yīng)當(dāng)評價內(nèi)審部門的工作，如果滿意，即可信賴該部門來識別潛在的風(fēng)險領(lǐng)域。具體說，監(jiān)管者可能采取許多方法來評價內(nèi)部控制的質(zhì)量。其中包括評價內(nèi)審的質(zhì)量，如果監(jiān)管者對內(nèi)審工作滿意。就可采納內(nèi)部審計報告作為識別銀行的控制問題、或識別審計師最近未審查的潛在風(fēng)險領(lǐng)域的主要途徑。“關(guān)系報告：原則14和15”認為，銀行監(jiān)管者應(yīng)與每家銀行的內(nèi)部審計師定期進行磋商。來討論已識別的風(fēng)險領(lǐng)域和已采取的措施，并提倡監(jiān)管者與被監(jiān)管銀行內(nèi)審部門負責(zé)人就政策問題經(jīng)常展開討論。如各家銀行內(nèi)審部門負責(zé)人一起，就共同關(guān)心的問題與監(jiān)管當(dāng)局進行磋商。

　　在與外部審計的交流合作方面，“關(guān)系報告：原則14和16”提倡監(jiān)管當(dāng)局鼓勵內(nèi)、外部審計師進行磋商，以使合作盡可能有效率、有效果，監(jiān)管當(dāng)局也會與內(nèi)部審計討論銀行內(nèi)審部門和外部審計師間的合作范圍：(1)通常內(nèi)部審計對外部審計在決定審計程序的特征、時間和范圍方面有所幫助，但外部審計師對財務(wù)報告的審計意見承擔(dān)完全責(zé)任。外部審計師應(yīng)當(dāng)獲知相關(guān)內(nèi)部審計情況。并通過一定的渠道接觸相關(guān)內(nèi)部審計報告，了解內(nèi)部審計師發(fā)現(xiàn)的、可能影響外部審計師工作的重大事項。同理，外部審計師通常會告知內(nèi)部審計師任何可能影響內(nèi)部審計的重大事項。(2)內(nèi)審部門負責(zé)人應(yīng)確保內(nèi)部審計工作不會與外部審計工作發(fā)生不必要的重復(fù)。雙方審計工作協(xié)調(diào)的內(nèi)容包括定期召開會議討論共同關(guān)心的問題，交換審計報告和管理建議書，在審計技巧、審計方法和審計術(shù)語方面達成共識。

　　(三)強化與董事會、高管層的協(xié)調(diào)與溝通

　　在風(fēng)險管理體系中，銀行高管層、董事會、內(nèi)部審計承擔(dān)著不同的責(zé)任。高管層應(yīng)負責(zé)建立一套流程，用于識別、計量、監(jiān)督、控制銀行承擔(dān)的風(fēng)險。高管層應(yīng)至少每年向董事會報告一次內(nèi)部控制體系和資本評價程序的覆蓋范圍與運行情況(關(guān)系報告：原則2)。董事會對確保高管層建立和維護充分有效的內(nèi)部控制體系、風(fēng)險評估計量體系、風(fēng)險資本體系、合規(guī)監(jiān)控體系承擔(dān)最終責(zé)任。董事會應(yīng)至少每年對內(nèi)控體系和資本評估程序進行一次審查(關(guān)系報告：原則1)。內(nèi)部。審計可以為銀行制定的政策及流程是否適當(dāng)與合規(guī)提供獨立的評估，因此內(nèi)部審計是持續(xù)監(jiān)控銀行內(nèi)控體系及內(nèi)部資本評估程序的一部分。這樣內(nèi)部審計才能支持高管層和董事會高效地履行上述職責(zé)并取得成效(關(guān)系報告：原則3)。

　　盡管內(nèi)部審計與高管層、董事會在風(fēng)險管理中的職能和責(zé)任不同，但工作領(lǐng)域和范圍卻有所交叉和重復(fù)。巴塞爾委員會2002年的調(diào)查報告顯示，被調(diào)查銀行的審計章程由董事會制定，內(nèi)部審計的年度審計計劃由董事會或高管層審查和批準。為確保銀行所有關(guān)鍵風(fēng)險能被識別與控制，提高工作效率，巴塞爾委員會在關(guān)系報告中提出多項措施加強內(nèi)部審計與高管層、董事會間的協(xié)調(diào)溝通：(1)內(nèi)審部門負責(zé)人應(yīng)有權(quán)根據(jù)各家銀行在其審計章程中界定的規(guī)則，自主地決定在合適的時候直接與董事會、董事會主席、審計委員會(如果有的話)成員進行溝通；(2)高管層應(yīng)保證內(nèi)審部門能完全了解銀行最新發(fā)展情況、業(yè)務(wù)創(chuàng)新以及產(chǎn)品和操作方面的變化，以確保盡早識別所有相關(guān)的風(fēng)險；(3)內(nèi)部審計應(yīng)將所發(fā)現(xiàn)問題記錄審計報告，并將其遞交給高管層與董事會或?qū)徲嬑瘑T會，高管層應(yīng)確保內(nèi)審部門關(guān)注的問題得到恰當(dāng)?shù)奶幚砗吐鋵崳?4)內(nèi)審部門應(yīng)追蹤檢查所提整改建議是否得到執(zhí)行，根據(jù)公司治理結(jié)構(gòu)的不同，整改情況應(yīng)至少每半年與高管層、董事會或者審計委員會(如果有的話)進行一次溝通。

　　二、全面風(fēng)險管理(overall risk management)審計

　　2004年COSO委員會提出了《企業(yè)風(fēng)險管理的整體框架》(簡稱ERM框架)，從企業(yè)的四個目標、八大要素、各個層級三個維度為全面風(fēng)險管理構(gòu)建了立體的框架。如果說ERM框架是企業(yè)全面風(fēng)險管理的里程碑，那么新協(xié)議的頒布則為銀行業(yè)的全面風(fēng)險管理翻開了嶄新的一頁。與舊協(xié)議相比，新巴塞爾協(xié)議拓展了風(fēng)險的范疇，將市場風(fēng)險和操作風(fēng)險納入資本充足率的計算公式中，更加注重對各種風(fēng)險進行全面管理。銀行風(fēng)險管理水平不同，所需最低監(jiān)管資本也不同，這就提高了監(jiān)管資本對風(fēng)險的敏感度，促使商業(yè)銀行在資本金的硬約束下加強全面風(fēng)險管理，提高基于風(fēng)險的決策。

　　國務(wù)院國有資產(chǎn)監(jiān)督管理委員會于2006年頒布的《中央企業(yè)全面風(fēng)險管理指引》明確規(guī)定，具備條件的企業(yè)可建立風(fēng)險管理三道防線，即各有關(guān)職能部門和業(yè)務(wù)單位為第一道防線；風(fēng)險管理職能部門和董事會下設(shè)的風(fēng)險管理委員會為第二道防線；內(nèi)部審計部門和董事會下設(shè)的審計委員會為第三道防線。內(nèi)部審計部門作為全面風(fēng)險管理的最后一道防線，面臨著巨大的挑戰(zhàn)：如何將全面風(fēng)險管理理念貫穿于風(fēng)險管理審計的全過程。對銀行內(nèi)各個業(yè)務(wù)層次、各種類型風(fēng)險進行通盤審查監(jiān)督，同時考慮到銀行不同經(jīng)營單位和產(chǎn)品線風(fēng)險的相關(guān)性，統(tǒng)一地而不是分離地對風(fēng)險進行監(jiān)控。

　　全面風(fēng)險管理是指銀行圍繞總體經(jīng)營目標，對整個銀行內(nèi)各種風(fēng)險納入統(tǒng)一管理的范疇，并將承擔(dān)這些風(fēng)險的各業(yè)務(wù)單元納入到統(tǒng)一的管理體系中，對各類風(fēng)險進行統(tǒng)一的控制和管理。它主要包括三層含義：(1)全方位的風(fēng)險管理，即全面風(fēng)險管理要涵蓋全部的風(fēng)險因素，包括信用、市場、操作風(fēng)險等，并對這些風(fēng)險因素從機構(gòu)整體的角度進行整合；(2)全面的風(fēng)險管理過程，即全面風(fēng)險管理是一個過程，不是一項獨立的管理活動，是滲透到銀行經(jīng)營管理活動中的一系列行為；(3)全組織上下的風(fēng)險管理，即全面風(fēng)險管理是一個由企業(yè)的董事會、管理層和其他員工共同參與的活動，須在全組織上下達成一致認識，明確各部門在風(fēng)險管理中的職責(zé)，強調(diào)全員風(fēng)險管理。相應(yīng)地，全面風(fēng)險管理審計可從全方位風(fēng)險管理審計、風(fēng)險管理過程審計和風(fēng)險責(zé)任審計三個方面進行。

　　(一)全方位風(fēng)險管理審計

　　新巴塞爾協(xié)議首次將由內(nèi)部程序、人員、系統(tǒng)或外部事件引致的操作風(fēng)險納入到資本要求框架，這使得巴塞爾協(xié)議所覆蓋的風(fēng)險范圍由1988年的信用風(fēng)險和1996年的交易賬戶市場風(fēng)險進一步擴展到金融機構(gòu)全面風(fēng)險。新協(xié)議將資本充足率與信用風(fēng)險、市場風(fēng)險及操作風(fēng)險掛鉤，構(gòu)建了資本充足率指標與銀行風(fēng)險管理水平之間的有機聯(lián)系，該聯(lián)系表現(xiàn)為：在其他因素不變的前提下，風(fēng)險管理水平越高，風(fēng)險加權(quán)資產(chǎn)越小，資本充足率越高。但銀行的風(fēng)險遠不止信用風(fēng)險、市場風(fēng)險和操作風(fēng)險，還有資本充足率涉及但沒有完全覆蓋的風(fēng)險(如貸款集中風(fēng)險)；資本充足率未考慮的風(fēng)險如流動性風(fēng)險、戰(zhàn)略風(fēng)險、聲譽風(fēng)險及經(jīng)營風(fēng)險等；此外銀行的外部因素如經(jīng)濟周期的交替變更，利率、匯率的波動等都會影響銀行的風(fēng)險。全方位的風(fēng)險管理要求將銀行面臨的所有風(fēng)險納入管理范疇。作為內(nèi)部審計不僅要審查銀行監(jiān)管資本充足率是否滿足新協(xié)議的規(guī)定，更重要的是確保銀行風(fēng)險輪廓勾勒的完整性，保證所有可能發(fā)生的重大風(fēng)險均已被識別與管理。

　　為便于計算與監(jiān)管，新協(xié)議中資本充足率的分母是風(fēng)險資產(chǎn)的簡單加權(quán)平均，其隱含的假設(shè)是風(fēng)險之間是線性相關(guān)的，這不符合銀行實際情況，難以準確反映銀行風(fēng)險的數(shù)量特征，也難以從中判斷銀行真實的風(fēng)險管理狀況。全方位的風(fēng)險管理要求銀行對風(fēng)險進行整合，即考慮各類風(fēng)險之間的相關(guān)性，從銀行整體層面對風(fēng)險進行整合。巴塞爾委員會在關(guān)系報告中提到：內(nèi)審部門應(yīng)將銀行在其所有實體中的活動作為一個整體來檢查和評價，因此內(nèi)部審計不應(yīng)受銀行內(nèi)部業(yè)務(wù)部門劃分、風(fēng)險分類的局限，應(yīng)充分考慮風(fēng)險事件之間的相關(guān)性，以風(fēng)險組合的觀念審查銀行是否從機構(gòu)整體的角度全盤考慮、統(tǒng)一規(guī)劃各種風(fēng)險，整合風(fēng)險的技術(shù)與工具使用是否恰當(dāng)，整合后的總風(fēng)險是否在銀行的風(fēng)險偏好范圍內(nèi)。以風(fēng)險組合的觀點進行全方位風(fēng)險管理審計可以防止兩種傾向：一是業(yè)務(wù)單元、分支機構(gòu)的風(fēng)險處于風(fēng)險偏好可承受 能力之內(nèi)，但總體風(fēng)險水平超出銀行的風(fēng)險承受限度；二是個別投資組合、業(yè)務(wù)單元、分支機構(gòu)的風(fēng)險暴露超過其限度，但總體風(fēng)險水平還未超出銀行的承受范圍，因為風(fēng)險之間的相關(guān)性可能產(chǎn)生抵消的效果，此時還有進一步承受風(fēng)險爭取更高回報與成長的空間。

　　(二)風(fēng)險管理過程審計

　　在coso委員會的ERM框架中提到，全面風(fēng)險管理是一個過程，這個過程受董事會、管理層和其他員工的影響，從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，用于識別可能影響企業(yè)的潛在事件并管理風(fēng)險，使之在企業(yè)的風(fēng)險偏好范圍內(nèi)，從而合理保證企業(yè)目標的實現(xiàn)。全面風(fēng)險管理有八個要素，涵蓋了風(fēng)險管理過程的每個階段，即內(nèi)部環(huán)境、目標設(shè)定、事件識別、風(fēng)險評估、風(fēng)險對策、控制活動、信息與溝通以及監(jiān)控。這八個要素是相互聯(lián)系的。風(fēng)險管理環(huán)境是風(fēng)險管理其他要素的基礎(chǔ)，它造就了一個組織的氣氛，影響著一個組織中人員的風(fēng)險意識；目標設(shè)定是銀行有效進行事件識別、評估風(fēng)險、應(yīng)對風(fēng)險的前提，全面風(fēng)險管理的八個要素都是為目標服務(wù)的；風(fēng)險識別是風(fēng)險評估與風(fēng)險控制的依據(jù)，風(fēng)險識別的完整性與風(fēng)險評估的精確性決定著風(fēng)險對策選擇的準確性；控制活動是保證風(fēng)險對策有效實施的政策和程序；風(fēng)險信息處理和報告是保障銀行全面實施風(fēng)險管理的媒介，風(fēng)險管理的各項活動都要形成風(fēng)險信息并通過風(fēng)險報告機制在組織上下傳遞；監(jiān)控是對企業(yè)風(fēng)險管理的整個過程的監(jiān)督，是風(fēng)險管理目標實現(xiàn)和風(fēng)險管理流程有效運行的保障。

　　在全面風(fēng)險管_理審計中，內(nèi)部審計須跳出風(fēng)險管理部門之外，以獨立角度審查風(fēng)險管理八要素的運作，對風(fēng)險管理過程進行較為全面的評價。首先分析風(fēng)險管理環(huán)境，判斷銀行價值取向、風(fēng)險偏好、管理風(fēng)格、風(fēng)險管理組織結(jié)構(gòu)、風(fēng)險管理文化等的合理性；接著審查管理者設(shè)定的目標與企業(yè)的風(fēng)險偏好是否一致；而后識別影響企業(yè)目標實現(xiàn)的內(nèi)外部事件，包括正面事件與負面事件，即機會與風(fēng)險。對于機會。分析管理者是否及時利用，并據(jù)以調(diào)整策略，以達到經(jīng)營和獲利目標。對于風(fēng)險，審查管理者是否已準確識別、合理評估并采取了適當(dāng)?shù)娘L(fēng)險對策將風(fēng)險控制在風(fēng)險容忍度內(nèi)。此外內(nèi)部審計可根據(jù)風(fēng)險的重要性，有選擇地抽取幾筆業(yè)務(wù)，按照風(fēng)險管理的程序進行穿行測試，并將其結(jié)果與風(fēng)險管理部門的結(jié)果相比較，以判斷風(fēng)險管理八要素的合理性與有效性。

　　(三)風(fēng)險責(zé)任審計

　　雖然新巴塞爾協(xié)議將銀行風(fēng)險分為信用風(fēng)險、市場風(fēng)險及操作風(fēng)險三大類，但這三類風(fēng)險不是互不相關(guān)的，而是具有一定的互動關(guān)系。如市場利率匯率的提高可能增加企業(yè)的債務(wù)負擔(dān)，引發(fā)信用風(fēng)險；信用風(fēng)險中的貸放損失可能是由于核貸過程中缺乏嚴謹?shù)膬?nèi)部控制程序?qū)е碌?。信用風(fēng)險、利率風(fēng)險和操作風(fēng)險往往夾雜在一起，共同影響銀行的經(jīng)營。許多金融機構(gòu)陷入經(jīng)營困境的主要原因，不再是信用風(fēng)險或者市場風(fēng)險等單一風(fēng)險，而是由信用風(fēng)險和市場風(fēng)險等聯(lián)合造成(巴曙松，2003)，因此全面風(fēng)險管理需要組織從上到下的共同配合與參與。內(nèi)部審計應(yīng)通過風(fēng)險責(zé)任審計，審查風(fēng)險管理過程中職責(zé)劃分是否明確：哪些部門負責(zé)制定計劃，哪些部門負責(zé)決策，哪些部門負責(zé)將計劃決策貫徹落實，是否都有明確的規(guī)定；審查職責(zé)劃分是否合理：是否在銀行的總體戰(zhàn)略規(guī)劃指導(dǎo)下進行職責(zé)劃分，風(fēng)險管理過程中是否存在真空地帶與重復(fù)管理地帶；審查各層級員工在風(fēng)險管理過程中是否清楚理解其承擔(dān)的職責(zé)，選擇正確、有效的風(fēng)險管理策略；評價銀行的績效考核體系是否有利于部門之間的協(xié)調(diào)與配合，促進全面風(fēng)險管理模式的貫徹實施，避免政出各門，各處為政的現(xiàn)象。

　　三、信用風(fēng)險管理審計

　　信用風(fēng)險是指因交易對手無法履行義務(wù)致使銀行遭受損失的風(fēng)險。在計量信用風(fēng)險時，新資本協(xié)議允許銀行在兩種方法中任選一種。一種是標準法，根據(jù)外部信用評估如標準作為信用評級的結(jié)果來計量信用風(fēng)險。另一種是內(nèi)部評級法，允許銀行用內(nèi)部信用評級系統(tǒng)來計量信用風(fēng)險，但必須經(jīng)過銀行監(jiān)管當(dāng)局的明確批準(新資本協(xié)議第50、51條)。

　　標準法的全面使用需要有合格的外部評級機構(gòu)為基礎(chǔ)。短期內(nèi)國內(nèi)評級機構(gòu)尚達不到新資本協(xié)議第91條規(guī)定的六條標準，而擁有國際三大評級機構(gòu)評級(包括主動評級和被動評級)的國內(nèi)企業(yè)(包括銀行)不足百家(羅平、馮文博，2006)。絕大多數(shù)借款人沒有外部評級的現(xiàn)狀為標準法在我國的推廣實施增加了一定的困難。新資本協(xié)議最主要創(chuàng)新之一就是提出了信用風(fēng)險的內(nèi)部評級法，符合條件的銀行可以根據(jù)自身對風(fēng)險要素包括對違約概率(PD)、違約損失率(LGD)、違約風(fēng)險暴露(EAD)及期限(M)的估計來決定特定暴露的資本要求(第211條)。我國的金融市場是“銀行為中心，資本市場、保險市場為輔”的格局。在銀行主導(dǎo)型金融體系下，銀行在發(fā)放貸款的過程中掌握了大量的企業(yè)內(nèi)部信息，相對市場而言，銀行在內(nèi)部評級方面具有較強的信息優(yōu)勢(巴曙松等，2006)。我國銀監(jiān)會明確提出現(xiàn)階段應(yīng)以信貸業(yè)務(wù)為重點推進內(nèi)部評級體系建設(shè)，達到監(jiān)管要求并經(jīng)銀監(jiān)會批準的銀行應(yīng)采用內(nèi)部評級法計算信用風(fēng)險資本。

　　內(nèi)部評級法中風(fēng)險要素的估計需要加入大量的主觀判斷和經(jīng)驗法則，在判斷的過程中帶有一定的主觀因素和個人偏好，因此需要內(nèi)部審計對內(nèi)部評級系統(tǒng)的合理性加以評價，以保證信用風(fēng)險管理的有效性。新協(xié)議第443條要求：在內(nèi)部評級法下，內(nèi)部審計或與其功能相當(dāng)?shù)莫毩⒉块T至少每年必須檢查一次銀行信用評級體系及其運行狀況，包括信用功能的運作和對違約概率、違約損失率及違約風(fēng)險暴露的估計；檢查是否所有領(lǐng)域都已遵守適用的最低要求：內(nèi)審必須記錄檢查的結(jié)果。

　　內(nèi)部評級法的實施對內(nèi)部審計提出了新的挑戰(zhàn)。內(nèi)部審計要了解內(nèi)部評級系統(tǒng)的設(shè)計與操作，并對信用評級模型加以驗證。受限于專業(yè)領(lǐng)域，內(nèi)部審計要完全了解內(nèi)部評級模型并非易事，尤其許多銀行的內(nèi)部評級模型仍在發(fā)展中，這增加了內(nèi)部審計審核的難度。而不同銀行在業(yè)務(wù)范圍、數(shù)據(jù)來源、TT架構(gòu)、信用風(fēng)險管理流程、信用風(fēng)險量化技術(shù)等方面都有很大的不同，內(nèi)部審計很難完全照搬另外一家銀行的成功經(jīng)驗。審查信用評級體系，驗證評級系統(tǒng)所使用模型與數(shù)據(jù)的合理性是對內(nèi)部審計的一大考驗。

　　(一)內(nèi)部模型審計

　　使用內(nèi)部評級法評估信用風(fēng)險需借助各種模型。新協(xié)議在“采用內(nèi)部評級法的最低要求”中規(guī)定，可以由內(nèi)部審計負責(zé)對內(nèi)部模型所有要素進行定期獨立的評審，包括模型修改的審批、模型參數(shù)的檢查、模型結(jié)果的評審(如對風(fēng)險計算結(jié)果的直接驗證)。應(yīng)評估模型參數(shù)與結(jié)果的準確性、完整性和適當(dāng)性，發(fā)現(xiàn)并減少與已知缺陷相關(guān)的潛在誤差，識別模型的未知缺陷(新協(xié)議第528條(b))。從內(nèi)部評級模型在業(yè)務(wù)領(lǐng)域的全面運用到內(nèi)部評級模型較為穩(wěn)定、準確地預(yù)測未來需要較長的時間。隨著內(nèi)外部經(jīng)營環(huán)境的變化，模型可能變得不再適用。因此除了上述新協(xié)議規(guī)定的評審程序外，內(nèi)部審計還要審查銀行是否 建立有效機制，保證模型隨著環(huán)境的變化及時更新與調(diào)整。

　　(二)內(nèi)部數(shù)據(jù)審計

　　在內(nèi)部評級法中要使用大量的內(nèi)部數(shù)據(jù)，內(nèi)部數(shù)據(jù)的準確性與完整性直接影響著信用風(fēng)險評級的結(jié)果。新協(xié)議第417條規(guī)定，銀行必須建立有效的程序，審查輸入違約或損失統(tǒng)計預(yù)測模型的數(shù)據(jù)，程序還包括對已經(jīng)評級數(shù)據(jù)準確性、完整性和適當(dāng)性的評估。由獨立的內(nèi)部審計部門審查內(nèi)部數(shù)據(jù)，即能滿足巴塞爾委員會的要求。

　　內(nèi)部審計可從以下方面開展內(nèi)部數(shù)據(jù)審計：審查數(shù)據(jù)規(guī)模是否足夠大，觀察期足夠長，是否覆蓋一個經(jīng)濟周期；管理人員是否對內(nèi)部損失事件數(shù)據(jù)進行跟蹤收集與記錄；除了搜集借款人的財務(wù)數(shù)據(jù)，是否還有非財務(wù)數(shù)據(jù)，同一借款人的財務(wù)數(shù)據(jù)與非財務(wù)數(shù)據(jù)有無矛盾等。

　　四、操作風(fēng)險管理審計

　　新巴塞爾協(xié)議首次將操作風(fēng)險引入到風(fēng)險管理框架中，這引起了國際銀行業(yè)的廣泛關(guān)注。操作風(fēng)險是指由于不恰當(dāng)或者失效的內(nèi)部程序、人員、系統(tǒng)或外部事件所導(dǎo)致?lián)p失的風(fēng)險。該定義包括法律風(fēng)險，但不包括戰(zhàn)略風(fēng)險與聲譽風(fēng)險(新協(xié)議第644條)，不僅涵蓋了業(yè)務(wù)操作方面的風(fēng)險，而且包括了操作之外的系統(tǒng)風(fēng)險；不僅考慮了內(nèi)部程序、人員、系統(tǒng)等內(nèi)部因素引發(fā)的操作風(fēng)險，還考慮了外部事件所引發(fā)的操作風(fēng)險以及法律風(fēng)險。美聯(lián)儲(2005)調(diào)查問卷顯示，操作風(fēng)險管理狀況不容樂觀，在調(diào)查的23家銀行中共發(fā)生了150萬起操作風(fēng)險損失事件，損失額高達259億美元，平均每家銀行一年的操作風(fēng)險損失金額高達11.26億美元。在這150萬起事件中，大額損失事件(金額超過10000美元的事件)占1／3以上。此外不同銀行在操作風(fēng)險管理方面的能力存在著較大的差距，23家銀行中有6家銀行的大額損失事件數(shù)在250件以下，風(fēng)險相對集中在4家銀行，這4家銀行的大額損失事件數(shù)超過2500件，占大額事件總數(shù)的71％，占大額損失金額的67％。

　　現(xiàn)階段我國金融機構(gòu)多將重點放在逾貸問題的處理與呆賬沖銷上，對操作風(fēng)險的認識不足。不少銀行將操作風(fēng)險等同于內(nèi)部控制風(fēng)險，對操作風(fēng)險的識別與控制能力不能適應(yīng)業(yè)務(wù)發(fā)展的問題比較突出。為此銀監(jiān)會將防范操作風(fēng)險提上日程，于2005年發(fā)布了《中國銀行業(yè)監(jiān)督管理委員會關(guān)于加大防范操作風(fēng)險工作力度的通知》，要求各銀監(jiān)局高度關(guān)注銀行業(yè)金融機構(gòu)的操作風(fēng)險問題，從多方面有效防范和控制銀行操作風(fēng)險。在通知中明確提出要“切實加強稽核建設(shè)，完善稽核體制，充實稽核力量”，可見內(nèi)部審計在操作風(fēng)險管理中的重要作用已得到了銀監(jiān)會的關(guān)注和認可。

　　(一)操作風(fēng)險因素與操作風(fēng)險監(jiān)管原則

　　實務(wù)中導(dǎo)致操作風(fēng)險增大的因素較多。在交易事項大量計算機化的情況下，若無嚴格的監(jiān)控，可能會使手工處理的程序性錯誤轉(zhuǎn)化為計算系統(tǒng)錯誤風(fēng)險；網(wǎng)絡(luò)交易的廣泛應(yīng)用，會引出許多新的難以完全監(jiān)控的風(fēng)險，如外部欺詐與系統(tǒng)安全問題；大規(guī)模的購并活動和跨組織戰(zhàn)略聯(lián)盟的建立，會導(dǎo)致銀行系統(tǒng)的整合出現(xiàn)新的不適應(yīng)；銀行提供多種類、多產(chǎn)品的大量服務(wù)，需有一個堅強的內(nèi)部控制系統(tǒng)和支援系統(tǒng)作后續(xù)維護；銀行通常會采取降低風(fēng)險技術(shù)來降低風(fēng)險暴露，但可能派生出其他風(fēng)險；銀行外包作業(yè)的增加雖會降低部分作業(yè)的操作風(fēng)險，但可能會派生出其他風(fēng)險；銀行內(nèi)部控制、內(nèi)部作業(yè)規(guī)范未能徹底貫徹落實，遂產(chǎn)生風(fēng)險。針對這些因素，巴塞爾委員會提出監(jiān)控操作風(fēng)險的十項原則，其內(nèi)容體現(xiàn)在建立健全有效操作風(fēng)險管理的環(huán)境(三項原則)；風(fēng)險管理的定義、評估、監(jiān)督和控制(四項原則)；監(jiān)督者在風(fēng)險管理中所扮演的角色(一項原則)；充分披露相關(guān)的風(fēng)險管理信息(一項原則)。

　　(二)操作風(fēng)險識別審計

　　操作風(fēng)險的識別是操作風(fēng)險評估與控制的依據(jù)，操作風(fēng)險識別的準確性與完整性決定著銀行操作風(fēng)險管理程序的順利實施和操作風(fēng)險的有效控制。巴塞爾委員會(2003)將操作風(fēng)險事件分為七大類：內(nèi)部欺詐(Intemal Fraud)，外部欺詐(External Fraud)，雇員活動和工作場所的安全問題(Employment Practices＆Workspaee Safety)，客戶、產(chǎn)品以及經(jīng)營活動(Client，Products＆Business Practices)，實物資產(chǎn)的損害(Dam－age to Physical Assets)，經(jīng)營中斷和系統(tǒng)出錯(Business Disruption＆System failures)。涉及執(zhí)行、交割以及流程管理的風(fēng)險事件(Ex－ecution Delivery＆Process Management)。如何確保上述各類操作風(fēng)險均已被識別，保證操作風(fēng)險輪廓勾勒的完整性是銀行內(nèi)部審計面臨的重大難題。Hare認為，為了從總體上管理企業(yè)風(fēng)險，有必要完整列出企業(yè)(或部門)所面臨的風(fēng)險，只有完整列出潛在重要風(fēng)險的清單，管理層才能確信那些威脅目標實現(xiàn)的因素已經(jīng)得到了充分評估、合理抑制以及經(jīng)濟有效地管理。Andrew D.Bailey，Jr.(2002)等人認為，管理層及內(nèi)部審計人員在確定任何有關(guān)風(fēng)險的完整表單時，要富有創(chuàng)新精神?？梢圆捎弥T如依靠具有不同背景及專業(yè)技術(shù)的各種人員的“頭腦風(fēng)暴法”、猜想可能存在威脅的“情景假定”(Scenario building)之類的方法。筆者認為，在操作風(fēng)險識別審計中可以風(fēng)險管理人員制作的操作風(fēng)險識別清單為基礎(chǔ)，審查各類可能面臨的重大操作風(fēng)險是否列于操作風(fēng)險識別清單上；評價操作風(fēng)險識別清單的“超前性、預(yù)見性”，能否為預(yù)測銀行操作風(fēng)險提供依據(jù)。以操作風(fēng)險識別清單為基礎(chǔ)。便于內(nèi)部審計順藤摸瓜，查找潛在的操作風(fēng)險是否均已識別。避免類似事件再次發(fā)生。

　　(三)操作風(fēng)險計量審計

　　在新巴塞爾協(xié)議征求意見的過程中，操作風(fēng)險的引入曾引起各國激烈的爭論。每個金融機構(gòu)面臨的操作風(fēng)險以及采用的操作風(fēng)險管理策略與程序因機構(gòu)特性與業(yè)務(wù)的不同而有相當(dāng)大的差異。操作風(fēng)險損失數(shù)據(jù)的缺乏為操作風(fēng)險的量化增加了困難。新協(xié)議提供了三類操作風(fēng)險計量方法，即基本指標法、標準法和高級計量法。其中高級計量法的風(fēng)險敏感度最強，復(fù)雜程度最高，該計量方法的審計難度也最大。

　　高級計量法是指銀行用定量和定性標準，通過內(nèi)部操作風(fēng)險計量系統(tǒng)計算法定監(jiān)管資本(新協(xié)議第655條)。在高級計量法的穩(wěn)健標準中指出，鑒于操作風(fēng)險計量方法處于不斷演進之中。巴塞爾委員會不規(guī)定用于操作風(fēng)險計量和計算監(jiān)管資本所需的具體方法和統(tǒng)計分布假設(shè)，但銀行必須標明所采用的方法考慮到潛在嚴重的“尾部”損失事件(新協(xié)議第667條)。高級計量法賦予銀行相當(dāng)大的靈活空間，為了讓高級計量法合理計量銀行的操作風(fēng)險，避免人為操縱，在采用高級計量法的定性標準中，新協(xié)議第666條(e)規(guī)定，銀行的操作風(fēng)險管理流程和計量系統(tǒng)必須定期接受內(nèi)部和，或外部審計師的審查，且審查必須涵蓋業(yè)務(wù)部門的活動和獨立的操作風(fēng)險管理職能。

　　高級計量法使用的數(shù)據(jù)可來源于內(nèi)部也可來源于外部。多數(shù)采用高級計量法的銀行將內(nèi)部數(shù)據(jù)直接輸入風(fēng)險計量模型(美聯(lián)儲，2005)。用于計算監(jiān)管資本的內(nèi)部操作風(fēng)險計量方法，必須以至少五年觀測的內(nèi)部損失數(shù)據(jù)為基礎(chǔ)。如果是初次使用高級計量法，也可以使用三年的歷史數(shù)據(jù)(新協(xié)議第672條)。但內(nèi)部歷史數(shù)據(jù)的適用性值得內(nèi)部審計考證。我國正處于經(jīng)濟轉(zhuǎn)軌時期，整體經(jīng)濟結(jié)構(gòu)和法律制度都在發(fā)生變化，收集的歷史數(shù)據(jù)是基于當(dāng)時的環(huán)境背景，能否跟上環(huán)境的變化，能否適用于風(fēng)險計量模型，作為預(yù)測未來的基礎(chǔ)都值得內(nèi)部審計人員關(guān)注。然而大多數(shù)銀行面臨著內(nèi)部數(shù)據(jù)不足的問題，特別對于內(nèi)部控制較好的大銀行，低頻高危事件的歷史數(shù)據(jù)較少，必須用外部數(shù)據(jù)加以補充。大約有一半的機構(gòu)在模型中直接采用外部數(shù)據(jù)，特別當(dāng)一個特殊類型事件或產(chǎn)品線的數(shù)據(jù)庫中沒有足夠的內(nèi)部損失數(shù)據(jù)來為低頻高強度的“尾部事件”建模時。就將外部數(shù)據(jù)引入模型(美聯(lián)儲，2005)。外部數(shù)據(jù)可以來自行業(yè)數(shù)據(jù)庫以及監(jiān)管部門的相關(guān)統(tǒng)計數(shù)據(jù)等。但操作風(fēng)險損失在很大程度上是內(nèi)生的，外部數(shù)據(jù)能否直接用于銀行操作風(fēng)險管理，外部數(shù)據(jù)與本銀行潛在損失的相關(guān)性等問題值得內(nèi)部審計深入研究。

　　新巴塞爾資本協(xié)議的頒發(fā)，擴展了銀行風(fēng)險管理的廣度和深度，積極有效的風(fēng)險管理遂成為創(chuàng)造企業(yè)價值的重要資產(chǎn)。商業(yè)銀行內(nèi)部審計面臨著前所未有的機遇與挑戰(zhàn)。一方面，原則導(dǎo)向的新協(xié)議為風(fēng)險管理增添了“藝術(shù)”成分，這需要內(nèi)部審計除了審核評價內(nèi)部控制，還要在信用風(fēng)險、市場風(fēng)險、操作風(fēng)險以及全面風(fēng)險管理中扮演不可缺少的角色。另一方面，新協(xié)議在避免一刀切缺陷的同時，也加大了“人為操縱”的空間，內(nèi)部審計須發(fā)揮職業(yè)判斷，避免風(fēng)險管理中帶有過多的主觀因素和個人偏好。面對各種復(fù)雜而先進的風(fēng)險管理技術(shù)與復(fù)雜多變的銀行風(fēng)險狀況，內(nèi)部審計任重道遠。在新巴塞爾協(xié)議時代，內(nèi)部審計不能局限于傳統(tǒng)的查錯糾弊功能，而應(yīng)積極施展建設(shè)或咨詢服務(wù)功能，了解全面風(fēng)險管理流程、掌握風(fēng)險管理技術(shù)，尤其要掌握新金融產(chǎn)品和新風(fēng)險管理技術(shù)的結(jié)合應(yīng)用，這不僅能為銀行創(chuàng)造更多的價值增值，而且可以提高銀行的競爭力，實現(xiàn)銀行邁向國際化、全球化的發(fā)展戰(zhàn)略。