2004年巴塞爾銀行監(jiān)管委員會發(fā)布了《統(tǒng)一資本計量和資本標準的國際協(xié)議：修訂框架》，簡稱新巴塞爾資本協(xié)議，該協(xié)議于2005年進行了一次修訂。2006年巴塞爾委員會將1988年舊協(xié)議未改動部分、1996年關于市場風險的修訂協(xié)定以及2005年關于新資本協(xié)議如何運用于實務的修訂相結合，頒布了新資本協(xié)議的綜合版本。新協(xié)議的設計目標是要提高銀行對風險的敏感程度，利用最低資本要求、監(jiān)督檢查和市場紀律(資本充足率要求、外部監(jiān)管和市場約束)促進銀行提高風險管理能力，增進金融體系的安全與穩(wěn)健。2005年巴塞爾委員會的13個成員國和25個歐盟成員國已經承諾于2007年初實施新資本協(xié)議。

　　2007年是我國金融業(yè)對外資全面開放的第一年，面對“與狼共舞”的時代，中資機構的風險管理能力面臨著巨大的挑戰(zhàn)和考驗。2007年中國銀行監(jiān)督委員會發(fā)布了《中國銀行業(yè)實施新資本協(xié)議指導意見》，提出了實施新資本協(xié)議的范圍、方法和時間表。實施新資本協(xié)議的號角已經吹響，如何運用新協(xié)議提出的全面風險管理理念，確保商業(yè)銀行風險管理體系合理有效運行，使商業(yè)銀行在競爭中立于不敗之地，是我國商業(yè)銀行內部審計面臨的重大課題。

　　一、新資本協(xié)議框架對商業(yè)銀行內部審計的要求

　　新巴塞爾資本協(xié)議全文826條，涉及內部審計的有9條，分別是：165條、410條、443條、498條、620條、662條、666條、718條、744條。為了強調董事會、高管層以及內部審計師在內部控制、風險計量和合規(guī)性方面的責任，巴塞爾銀行監(jiān)管委員會還頒布了一份極具操作性的文件一《銀行內部審計師、監(jiān)管當局與審計師的關系》(以下簡稱關系報告)。該報告突出強調了銀行機構內部審計工作的重要性。以及銀行監(jiān)管者與銀行內、外部審計師進行合作的必要性。為配合新資本協(xié)議的順利實施，指導銀行改革進程，巴塞爾銀行監(jiān)管委員會與各國銀行監(jiān)管部門合作修訂了銀行健全謹慎監(jiān)管的標準——《有效銀行監(jiān)管的核心原則》(以下簡稱新核心原則)。新核心原則規(guī)定了有效監(jiān)管體系應遵循的二十五條原則，充分體現(xiàn)了自1997年《核心原則》頒布以來金融市場和監(jiān)管實踐的變化，以及在不同國家的進展狀況、水平不一的現(xiàn)實，得到大多數國家的認可。截至2006年10月，已經有100多個國家采用了新核心原則的評價方法。新核心原則對商業(yè)銀行內部審計也提出了詳細的要求，它與新資本協(xié)議、關系文件相配合構成新巴塞爾協(xié)議框架，共同指導內部審計在銀行風險管理實務中發(fā)揮應有的作用。新巴塞爾資本協(xié)議的主要精神在于健全銀行風險管理，而非局限于資本計提，故銀行必須建立良好的風險管理制度，并發(fā)展更具效率的風險管理技術來監(jiān)督及管理其風險。內部審計亦須提升其自身專業(yè)素養(yǎng)，并擬定有效的審查措施促進銀行提高風險管理水平。

　　(一)內部審計范圍擴展至風險管理領域

　　自1999年國際內部審計師協(xié)會(IIA)頒布內部審計新定義之后，人們開始關注內部審計在風險管理方面的作用。內部審計如何參與風險管理活動，實現(xiàn)價值增值成為人們關注的焦點。商業(yè)銀行與一般企業(yè)相比具有更高的風險，更需要內部審計范圍從傳統(tǒng)財務審計擴展至風險管理領域。新巴塞爾協(xié)議將資本充足率與銀行有效管理各類風險的能力相掛鉤，使之更全面、敏感地反映商業(yè)銀行面臨的各種風險。為有效發(fā)揮資本充足率在風險監(jiān)管中的作用。激勵商業(yè)銀行改進風險管理水平，需要內部審計參與資本充足的評估活動，確保銀行持有與其風險管理水平相對應的資本。新協(xié)議在第744條提到，銀行內部控制是資本評估程序的基礎，在適當的情況下內部審計應參與資本評估程序的獨立檢查。

　　與新巴塞爾協(xié)議相呼應，新核心原則也對風險管理審計提出了要求。在“原則7：風險管理程序”中提到，監(jiān)管者要求較大或綜合性較強的銀行設置專門的部門來負責風險評估、風險監(jiān)督、控制或降低實質性風險；監(jiān)管者要證實這些部門定期接受內部審計檢查；而內部審計部門須采用適當的方法識別銀行的實質性風險，并以風險評估來制定審計計劃和配置審計資源。“關系報告”中明確內部審計的范圍包括：檢查和評價內控體系的適當性和有效性；審查風險管理流程和風險評估方法的適用性和有效性；審查與預期風險相關的銀行資本評估系統(tǒng)；測試各種交易及其內控程序的運行情況；審查應合規(guī)要求和政策程序的執(zhí)行要求而建立的各項制度；監(jiān)測向監(jiān)管當局提交報告的可靠性和及時性等。新資本協(xié)議框架已要求內部審計的觸角延伸至風險識別、評估、控制等諸多領域。我國銀監(jiān)會印發(fā)的《銀行業(yè)金融機構內部審計指引》也明確提出內部審計須通過系統(tǒng)化和規(guī)范化的方法審查評價并改善銀行業(yè)金融機構經營活動、風險狀況、內部控制和公司治理效果，促進銀行業(yè)金融機構穩(wěn)健發(fā)展。

　　(二)加強與監(jiān)管者、外部審計間的交流與合作

　　新巴塞爾資本協(xié)議為銀行提供了多種計算風險加權資產的方法，在為銀行提供更大選擇空間、鼓勵銀行采用更加敏感的風險衡量方式的同時，也加大了監(jiān)管成本與審計成本。由于監(jiān)管當局和外部審計師對銀行的風險管理狀況了解有限，若缺乏全面了解銀行的風險管理水平，僅從賬面的資本充足率很難判斷銀行的健康與否。為此巴塞爾委員會頒布了《銀行內部審計、監(jiān)管當局與審計師的關系》以及《關于銀行內部審計及監(jiān)管者與審計師關系的調查》兩份報告，旨在監(jiān)管者、外部審計與內部審計之間形成有效的對話機制，以便及時發(fā)現(xiàn)問題，采取果斷措施降低風險或補充資本。

　　“關系報告：原則18”要求，監(jiān)管者、外部審計師和內部審計師相互合作，定期舉行三方會議，能提高各方的工作效率和效果。巴塞爾委員會認為，在有些國家，這種合作建立在監(jiān)管當局和內、外部審計師之間舉行定期會議的基礎上；監(jiān)管者可以考慮讓高管層適當地參加這些會議，會上，每一方都會提供共同感興趣領域的信息，并對將要檢查的領域和工作時限給予特別關注；而且，所有三方都會討論機構對內、外部審計師整改建議的執(zhí)行情況。

　　在與銀行監(jiān)管者的交流合作方面，“關系報告：原則13”認為，銀行內部審計師的工作有助于銀行監(jiān)管者，因此監(jiān)管者應當評價內審部門的工作，如果滿意，即可信賴該部門來識別潛在的風險領域。具體說，監(jiān)管者可能采取許多方法來評價內部控制的質量。其中包括評價內審的質量，如果監(jiān)管者對內審工作滿意。就可采納內部審計報告作為識別銀行的控制問題、或識別審計師最近未審查的潛在風險領域的主要途徑。“關系報告：原則14和15”認為，銀行監(jiān)管者應與每家銀行的內部審計師定期進行磋商。來討論已識別的風險領域和已采取的措施，并提倡監(jiān)管者與被監(jiān)管銀行內審部門負責人就政策問題經常展開討論。如各家銀行內審部門負責人一起，就共同關心的問題與監(jiān)管當局進行磋商。

　　在與外部審計的交流合作方面，“關系報告：原則14和16”提倡監(jiān)管當局鼓勵內、外部審計師進行磋商，以使合作盡可能有效率、有效果，監(jiān)管當局也會與內部審計討論銀行內審部門和外部審計師間的合作范圍：(1)通常內部審計對外部審計在決定審計程序的特征、時間和范圍方面有所幫助，但外部審計師對財務報告的審計意見承擔完全責任。外部審計師應當獲知相關內部審計情況。并通過一定的渠道接觸相關內部審計報告，了解內部審計師發(fā)現(xiàn)的、可能影響外部審計師工作的重大事項。同理，外部審計師通常會告知內部審計師任何可能影響內部審計的重大事項。(2)內審部門負責人應確保內部審計工作不會與外部審計工作發(fā)生不必要的重復。雙方審計工作協(xié)調的內容包括定期召開會議討論共同關心的問題，交換審計報告和管理建議書，在審計技巧、審計方法和審計術語方面達成共識。

　　(三)強化與董事會、高管層的協(xié)調與溝通

　　在風險管理體系中，銀行高管層、董事會、內部審計承擔著不同的責任。高管層應負責建立一套流程，用于識別、計量、監(jiān)督、控制銀行承擔的風險。高管層應至少每年向董事會報告一次內部控制體系和資本評價程序的覆蓋范圍與運行情況(關系報告：原則2)。董事會對確保高管層建立和維護充分有效的內部控制體系、風險評估計量體系、風險資本體系、合規(guī)監(jiān)控體系承擔最終責任。董事會應至少每年對內控體系和資本評估程序進行一次審查(關系報告：原則1)。內部。審計可以為銀行制定的政策及流程是否適當與合規(guī)提供獨立的評估，因此內部審計是持續(xù)監(jiān)控銀行內控體系及內部資本評估程序的一部分。這樣內部審計才能支持高管層和董事會高效地履行上述職責并取得成效(關系報告：原則3)。

　　盡管內部審計與高管層、董事會在風險管理中的職能和責任不同，但工作領域和范圍卻有所交叉和重復。巴塞爾委員會2002年的調查報告顯示，被調查銀行的審計章程由董事會制定，內部審計的年度審計計劃由董事會或高管層審查和批準。為確保銀行所有關鍵風險能被識別與控制，提高工作效率，巴塞爾委員會在關系報告中提出多項措施加強內部審計與高管層、董事會間的協(xié)調溝通：(1)內審部門負責人應有權根據各家銀行在其審計章程中界定的規(guī)則，自主地決定在合適的時候直接與董事會、董事會主席、審計委員會(如果有的話)成員進行溝通；(2)高管層應保證內審部門能完全了解銀行最新發(fā)展情況、業(yè)務創(chuàng)新以及產品和操作方面的變化，以確保盡早識別所有相關的風險；(3)內部審計應將所發(fā)現(xiàn)問題記錄審計報告，并將其遞交給高管層與董事會或審計委員會，高管層應確保內審部門關注的問題得到恰當的處理和落實；(4)內審部門應追蹤檢查所提整改建議是否得到執(zhí)行，根據公司治理結構的不同，整改情況應至少每半年與高管層、董事會或者審計委員會(如果有的話)進行一次溝通。

　　二、全面風險管理(overall risk management)審計

　　2004年COSO委員會提出了《企業(yè)風險管理的整體框架》(簡稱ERM框架)，從企業(yè)的四個目標、八大要素、各個層級三個維度為全面風險管理構建了立體的框架。如果說ERM框架是企業(yè)全面風險管理的里程碑，那么新協(xié)議的頒布則為銀行業(yè)的全面風險管理翻開了嶄新的一頁。與舊協(xié)議相比，新巴塞爾協(xié)議拓展了風險的范疇，將市場風險和操作風險納入資本充足率的計算公式中，更加注重對各種風險進行全面管理。銀行風險管理水平不同，所需最低監(jiān)管資本也不同，這就提高了監(jiān)管資本對風險的敏感度，促使商業(yè)銀行在資本金的硬約束下加強全面風險管理，提高基于風險的決策。

　　國務院國有資產監(jiān)督管理委員會于2006年頒布的《中央企業(yè)全面風險管理指引》明確規(guī)定，具備條件的企業(yè)可建立風險管理三道防線，即各有關職能部門和業(yè)務單位為第一道防線；風險管理職能部門和董事會下設的風險管理委員會為第二道防線；內部審計部門和董事會下設的審計委員會為第三道防線。內部審計部門作為全面風險管理的最后一道防線，面臨著巨大的挑戰(zhàn)：如何將全面風險管理理念貫穿于風險管理審計的全過程。對銀行內各個業(yè)務層次、各種類型風險進行通盤審查監(jiān)督，同時考慮到銀行不同經營單位和產品線風險的相關性，統(tǒng)一地而不是分離地對風險進行監(jiān)控。

　　全面風險管理是指銀行圍繞總體經營目標，對整個銀行內各種風險納入統(tǒng)一管理的范疇，并將承擔這些風險的各業(yè)務單元納入到統(tǒng)一的管理體系中，對各類風險進行統(tǒng)一的控制和管理。它主要包括三層含義：(1)全方位的風險管理，即全面風險管理要涵蓋全部的風險因素，包括信用、市場、操作風險等，并對這些風險因素從機構整體的角度進行整合；(2)全面的風險管理過程，即全面風險管理是一個過程，不是一項獨立的管理活動，是滲透到銀行經營管理活動中的一系列行為；(3)全組織上下的風險管理，即全面風險管理是一個由企業(yè)的董事會、管理層和其他員工共同參與的活動，須在全組織上下達成一致認識，明確各部門在風險管理中的職責，強調全員風險管理。相應地，全面風險管理審計可從全方位風險管理審計、風險管理過程審計和風險責任審計三個方面進行。

　　(一)全方位風險管理審計

　　新巴塞爾協(xié)議首次將由內部程序、人員、系統(tǒng)或外部事件引致的操作風險納入到資本要求框架，這使得巴塞爾協(xié)議所覆蓋的風險范圍由1988年的信用風險和1996年的交易賬戶市場風險進一步擴展到金融機構全面風險。新協(xié)議將資本充足率與信用風險、市場風險及操作風險掛鉤，構建了資本充足率指標與銀行風險管理水平之間的有機聯(lián)系，該聯(lián)系表現(xiàn)為：在其他因素不變的前提下，風險管理水平越高，風險加權資產越小，資本充足率越高。但銀行的風險遠不止信用風險、市場風險和操作風險，還有資本充足率涉及但沒有完全覆蓋的風險(如貸款集中風險)；資本充足率未考慮的風險如流動性風險、戰(zhàn)略風險、聲譽風險及經營風險等；此外銀行的外部因素如經濟周期的交替變更，利率、匯率的波動等都會影響銀行的風險。全方位的風險管理要求將銀行面臨的所有風險納入管理范疇。作為內部審計不僅要審查銀行監(jiān)管資本充足率是否滿足新協(xié)議的規(guī)定，更重要的是確保銀行風險輪廓勾勒的完整性，保證所有可能發(fā)生的重大風險均已被識別與管理。

　　為便于計算與監(jiān)管，新協(xié)議中資本充足率的分母是風險資產的簡單加權平均，其隱含的假設是風險之間是線性相關的，這不符合銀行實際情況，難以準確反映銀行風險的數量特征，也難以從中判斷銀行真實的風險管理狀況。全方位的風險管理要求銀行對風險進行整合，即考慮各類風險之間的相關性，從銀行整體層面對風險進行整合。巴塞爾委員會在關系報告中提到：內審部門應將銀行在其所有實體中的活動作為一個整體來檢查和評價，因此內部審計不應受銀行內部業(yè)務部門劃分、風險分類的局限，應充分考慮風險事件之間的相關性，以風險組合的觀念審查銀行是否從機構整體的角度全盤考慮、統(tǒng)一規(guī)劃各種風險，整合風險的技術與工具使用是否恰當，整合后的總風險是否在銀行的風險偏好范圍內。以風險組合的觀點進行全方位風險管理審計可以防止兩種傾向：一是業(yè)務單元、分支機構的風險處于風險偏好可承受 能力之內，但總體風險水平超出銀行的風險承受限度；二是個別投資組合、業(yè)務單元、分支機構的風險暴露超過其限度，但總體風險水平還未超出銀行的承受范圍，因為風險之間的相關性可能產生抵消的效果，此時還有進一步承受風險爭取更高回報與成長的空間。

　　(二)風險管理過程審計

　　在coso委員會的ERM框架中提到，全面風險管理是一個過程，這個過程受董事會、管理層和其他員工的影響，從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，用于識別可能影響企業(yè)的潛在事件并管理風險，使之在企業(yè)的風險偏好范圍內，從而合理保證企業(yè)目標的實現(xiàn)。全面風險管理有八個要素，涵蓋了風險管理過程的每個階段，即內部環(huán)境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通以及監(jiān)控。這八個要素是相互聯(lián)系的。風險管理環(huán)境是風險管理其他要素的基礎，它造就了一個組織的氣氛，影響著一個組織中人員的風險意識；目標設定是銀行有效進行事件識別、評估風險、應對風險的前提，全面風險管理的八個要素都是為目標服務的；風險識別是風險評估與風險控制的依據，風險識別的完整性與風險評估的精確性決定著風險對策選擇的準確性；控制活動是保證風險對策有效實施的政策和程序；風險信息處理和報告是保障銀行全面實施風險管理的媒介，風險管理的各項活動都要形成風險信息并通過風險報告機制在組織上下傳遞；監(jiān)控是對企業(yè)風險管理的整個過程的監(jiān)督，是風險管理目標實現(xiàn)和風險管理流程有效運行的保障。

　　在全面風險管_理審計中，內部審計須跳出風險管理部門之外，以獨立角度審查風險管理八要素的運作，對風險管理過程進行較為全面的評價。首先分析風險管理環(huán)境，判斷銀行價值取向、風險偏好、管理風格、風險管理組織結構、風險管理文化等的合理性；接著審查管理者設定的目標與企業(yè)的風險偏好是否一致；而后識別影響企業(yè)目標實現(xiàn)的內外部事件，包括正面事件與負面事件，即機會與風險。對于機會。分析管理者是否及時利用，并據以調整策略，以達到經營和獲利目標。對于風險，審查管理者是否已準確識別、合理評估并采取了適當的風險對策將風險控制在風險容忍度內。此外內部審計可根據風險的重要性，有選擇地抽取幾筆業(yè)務，按照風險管理的程序進行穿行測試，并將其結果與風險管理部門的結果相比較，以判斷風險管理八要素的合理性與有效性。

　　(三)風險責任審計

　　雖然新巴塞爾協(xié)議將銀行風險分為信用風險、市場風險及操作風險三大類，但這三類風險不是互不相關的，而是具有一定的互動關系。如市場利率匯率的提高可能增加企業(yè)的債務負擔，引發(fā)信用風險；信用風險中的貸放損失可能是由于核貸過程中缺乏嚴謹的內部控制程序導致的。信用風險、利率風險和操作風險往往夾雜在一起，共同影響銀行的經營。許多金融機構陷入經營困境的主要原因，不再是信用風險或者市場風險等單一風險，而是由信用風險和市場風險等聯(lián)合造成(巴曙松，2003)，因此全面風險管理需要組織從上到下的共同配合與參與。內部審計應通過風險責任審計，審查風險管理過程中職責劃分是否明確：哪些部門負責制定計劃，哪些部門負責決策，哪些部門負責將計劃決策貫徹落實，是否都有明確的規(guī)定；審查職責劃分是否合理：是否在銀行的總體戰(zhàn)略規(guī)劃指導下進行職責劃分，風險管理過程中是否存在真空地帶與重復管理地帶；審查各層級員工在風險管理過程中是否清楚理解其承擔的職責，選擇正確、有效的風險管理策略；評價銀行的績效考核體系是否有利于部門之間的協(xié)調與配合，促進全面風險管理模式的貫徹實施，避免政出各門，各處為政的現(xiàn)象。

　　三、信用風險管理審計

　　信用風險是指因交易對手無法履行義務致使銀行遭受損失的風險。在計量信用風險時，新資本協(xié)議允許銀行在兩種方法中任選一種。一種是標準法，根據外部信用評估如標準作為信用評級的結果來計量信用風險。另一種是內部評級法，允許銀行用內部信用評級系統(tǒng)來計量信用風險，但必須經過銀行監(jiān)管當局的明確批準(新資本協(xié)議第50、51條)。

　　標準法的全面使用需要有合格的外部評級機構為基礎。短期內國內評級機構尚達不到新資本協(xié)議第91條規(guī)定的六條標準，而擁有國際三大評級機構評級(包括主動評級和被動評級)的國內企業(yè)(包括銀行)不足百家(羅平、馮文博，2006)。絕大多數借款人沒有外部評級的現(xiàn)狀為標準法在我國的推廣實施增加了一定的困難。新資本協(xié)議最主要創(chuàng)新之一就是提出了信用風險的內部評級法，符合條件的銀行可以根據自身對風險要素包括對違約概率(PD)、違約損失率(LGD)、違約風險暴露(EAD)及期限(M)的估計來決定特定暴露的資本要求(第211條)。我國的金融市場是“銀行為中心，資本市場、保險市場為輔”的格局。在銀行主導型金融體系下，銀行在發(fā)放貸款的過程中掌握了大量的企業(yè)內部信息，相對市場而言，銀行在內部評級方面具有較強的信息優(yōu)勢(巴曙松等，2006)。我國銀監(jiān)會明確提出現(xiàn)階段應以信貸業(yè)務為重點推進內部評級體系建設，達到監(jiān)管要求并經銀監(jiān)會批準的銀行應采用內部評級法計算信用風險資本。

　　內部評級法中風險要素的估計需要加入大量的主觀判斷和經驗法則，在判斷的過程中帶有一定的主觀因素和個人偏好，因此需要內部審計對內部評級系統(tǒng)的合理性加以評價，以保證信用風險管理的有效性。新協(xié)議第443條要求：在內部評級法下，內部審計或與其功能相當的獨立部門至少每年必須檢查一次銀行信用評級體系及其運行狀況，包括信用功能的運作和對違約概率、違約損失率及違約風險暴露的估計；檢查是否所有領域都已遵守適用的最低要求：內審必須記錄檢查的結果。

　　內部評級法的實施對內部審計提出了新的挑戰(zhàn)。內部審計要了解內部評級系統(tǒng)的設計與操作，并對信用評級模型加以驗證。受限于專業(yè)領域，內部審計要完全了解內部評級模型并非易事，尤其許多銀行的內部評級模型仍在發(fā)展中，這增加了內部審計審核的難度。而不同銀行在業(yè)務范圍、數據來源、TT架構、信用風險管理流程、信用風險量化技術等方面都有很大的不同，內部審計很難完全照搬另外一家銀行的成功經驗。審查信用評級體系，驗證評級系統(tǒng)所使用模型與數據的合理性是對內部審計的一大考驗。

　　(一)內部模型審計

　　使用內部評級法評估信用風險需借助各種模型。新協(xié)議在“采用內部評級法的最低要求”中規(guī)定，可以由內部審計負責對內部模型所有要素進行定期獨立的評審，包括模型修改的審批、模型參數的檢查、模型結果的評審(如對風險計算結果的直接驗證)。應評估模型參數與結果的準確性、完整性和適當性，發(fā)現(xiàn)并減少與已知缺陷相關的潛在誤差，識別模型的未知缺陷(新協(xié)議第528條(b))。從內部評級模型在業(yè)務領域的全面運用到內部評級模型較為穩(wěn)定、準確地預測未來需要較長的時間。隨著內外部經營環(huán)境的變化，模型可能變得不再適用。因此除了上述新協(xié)議規(guī)定的評審程序外，內部審計還要審查銀行是否 建立有效機制，保證模型隨著環(huán)境的變化及時更新與調整。

　　(二)內部數據審計

　　在內部評級法中要使用大量的內部數據，內部數據的準確性與完整性直接影響著信用風險評級的結果。新協(xié)議第417條規(guī)定，銀行必須建立有效的程序，審查輸入違約或損失統(tǒng)計預測模型的數據，程序還包括對已經評級數據準確性、完整性和適當性的評估。由獨立的內部審計部門審查內部數據，即能滿足巴塞爾委員會的要求。

　　內部審計可從以下方面開展內部數據審計：審查數據規(guī)模是否足夠大，觀察期足夠長，是否覆蓋一個經濟周期；管理人員是否對內部損失事件數據進行跟蹤收集與記錄；除了搜集借款人的財務數據，是否還有非財務數據，同一借款人的財務數據與非財務數據有無矛盾等。

　　四、操作風險管理審計

　　新巴塞爾協(xié)議首次將操作風險引入到風險管理框架中，這引起了國際銀行業(yè)的廣泛關注。操作風險是指由于不恰當或者失效的內部程序、人員、系統(tǒng)或外部事件所導致?lián)p失的風險。該定義包括法律風險，但不包括戰(zhàn)略風險與聲譽風險(新協(xié)議第644條)，不僅涵蓋了業(yè)務操作方面的風險，而且包括了操作之外的系統(tǒng)風險；不僅考慮了內部程序、人員、系統(tǒng)等內部因素引發(fā)的操作風險，還考慮了外部事件所引發(fā)的操作風險以及法律風險。美聯(lián)儲(2005)調查問卷顯示，操作風險管理狀況不容樂觀，在調查的23家銀行中共發(fā)生了150萬起操作風險損失事件，損失額高達259億美元，平均每家銀行一年的操作風險損失金額高達11.26億美元。在這150萬起事件中，大額損失事件(金額超過10000美元的事件)占1／3以上。此外不同銀行在操作風險管理方面的能力存在著較大的差距，23家銀行中有6家銀行的大額損失事件數在250件以下，風險相對集中在4家銀行，這4家銀行的大額損失事件數超過2500件，占大額事件總數的71％，占大額損失金額的67％。

　　現(xiàn)階段我國金融機構多將重點放在逾貸問題的處理與呆賬沖銷上，對操作風險的認識不足。不少銀行將操作風險等同于內部控制風險，對操作風險的識別與控制能力不能適應業(yè)務發(fā)展的問題比較突出。為此銀監(jiān)會將防范操作風險提上日程，于2005年發(fā)布了《中國銀行業(yè)監(jiān)督管理委員會關于加大防范操作風險工作力度的通知》，要求各銀監(jiān)局高度關注銀行業(yè)金融機構的操作風險問題，從多方面有效防范和控制銀行操作風險。在通知中明確提出要“切實加強稽核建設，完善稽核體制，充實稽核力量”，可見內部審計在操作風險管理中的重要作用已得到了銀監(jiān)會的關注和認可。

　　(一)操作風險因素與操作風險監(jiān)管原則

　　實務中導致操作風險增大的因素較多。在交易事項大量計算機化的情況下，若無嚴格的監(jiān)控，可能會使手工處理的程序性錯誤轉化為計算系統(tǒng)錯誤風險；網絡交易的廣泛應用，會引出許多新的難以完全監(jiān)控的風險，如外部欺詐與系統(tǒng)安全問題；大規(guī)模的購并活動和跨組織戰(zhàn)略聯(lián)盟的建立，會導致銀行系統(tǒng)的整合出現(xiàn)新的不適應；銀行提供多種類、多產品的大量服務，需有一個堅強的內部控制系統(tǒng)和支援系統(tǒng)作后續(xù)維護；銀行通常會采取降低風險技術來降低風險暴露，但可能派生出其他風險；銀行外包作業(yè)的增加雖會降低部分作業(yè)的操作風險，但可能會派生出其他風險；銀行內部控制、內部作業(yè)規(guī)范未能徹底貫徹落實，遂產生風險。針對這些因素，巴塞爾委員會提出監(jiān)控操作風險的十項原則，其內容體現(xiàn)在建立健全有效操作風險管理的環(huán)境(三項原則)；風險管理的定義、評估、監(jiān)督和控制(四項原則)；監(jiān)督者在風險管理中所扮演的角色(一項原則)；充分披露相關的風險管理信息(一項原則)。

　　(二)操作風險識別審計

　　操作風險的識別是操作風險評估與控制的依據，操作風險識別的準確性與完整性決定著銀行操作風險管理程序的順利實施和操作風險的有效控制。巴塞爾委員會(2003)將操作風險事件分為七大類：內部欺詐(Intemal Fraud)，外部欺詐(External Fraud)，雇員活動和工作場所的安全問題(Employment Practices＆Workspaee Safety)，客戶、產品以及經營活動(Client，Products＆Business Practices)，實物資產的損害(Dam－age to Physical Assets)，經營中斷和系統(tǒng)出錯(Business Disruption＆System failures)。涉及執(zhí)行、交割以及流程管理的風險事件(Ex－ecution Delivery＆Process Management)。如何確保上述各類操作風險均已被識別，保證操作風險輪廓勾勒的完整性是銀行內部審計面臨的重大難題。Hare認為，為了從總體上管理企業(yè)風險，有必要完整列出企業(yè)(或部門)所面臨的風險，只有完整列出潛在重要風險的清單，管理層才能確信那些威脅目標實現(xiàn)的因素已經得到了充分評估、合理抑制以及經濟有效地管理。Andrew D.Bailey，Jr.(2002)等人認為，管理層及內部審計人員在確定任何有關風險的完整表單時，要富有創(chuàng)新精神。可以采用諸如依靠具有不同背景及專業(yè)技術的各種人員的“頭腦風暴法”、猜想可能存在威脅的“情景假定”(Scenario building)之類的方法。筆者認為，在操作風險識別審計中可以風險管理人員制作的操作風險識別清單為基礎，審查各類可能面臨的重大操作風險是否列于操作風險識別清單上；評價操作風險識別清單的“超前性、預見性”，能否為預測銀行操作風險提供依據。以操作風險識別清單為基礎。便于內部審計順藤摸瓜，查找潛在的操作風險是否均已識別。避免類似事件再次發(fā)生。

　　(三)操作風險計量審計

　　在新巴塞爾協(xié)議征求意見的過程中，操作風險的引入曾引起各國激烈的爭論。每個金融機構面臨的操作風險以及采用的操作風險管理策略與程序因機構特性與業(yè)務的不同而有相當大的差異。操作風險損失數據的缺乏為操作風險的量化增加了困難。新協(xié)議提供了三類操作風險計量方法，即基本指標法、標準法和高級計量法。其中高級計量法的風險敏感度最強，復雜程度最高，該計量方法的審計難度也最大。

　　高級計量法是指銀行用定量和定性標準，通過內部操作風險計量系統(tǒng)計算法定監(jiān)管資本(新協(xié)議第655條)。在高級計量法的穩(wěn)健標準中指出，鑒于操作風險計量方法處于不斷演進之中。巴塞爾委員會不規(guī)定用于操作風險計量和計算監(jiān)管資本所需的具體方法和統(tǒng)計分布假設，但銀行必須標明所采用的方法考慮到潛在嚴重的“尾部”損失事件(新協(xié)議第667條)。高級計量法賦予銀行相當大的靈活空間，為了讓高級計量法合理計量銀行的操作風險，避免人為操縱，在采用高級計量法的定性標準中，新協(xié)議第666條(e)規(guī)定，銀行的操作風險管理流程和計量系統(tǒng)必須定期接受內部和，或外部審計師的審查，且審查必須涵蓋業(yè)務部門的活動和獨立的操作風險管理職能。

　　高級計量法使用的數據可來源于內部也可來源于外部。多數采用高級計量法的銀行將內部數據直接輸入風險計量模型(美聯(lián)儲，2005)。用于計算監(jiān)管資本的內部操作風險計量方法，必須以至少五年觀測的內部損失數據為基礎。如果是初次使用高級計量法，也可以使用三年的歷史數據(新協(xié)議第672條)。但內部歷史數據的適用性值得內部審計考證。我國正處于經濟轉軌時期，整體經濟結構和法律制度都在發(fā)生變化，收集的歷史數據是基于當時的環(huán)境背景，能否跟上環(huán)境的變化，能否適用于風險計量模型，作為預測未來的基礎都值得內部審計人員關注。然而大多數銀行面臨著內部數據不足的問題，特別對于內部控制較好的大銀行，低頻高危事件的歷史數據較少，必須用外部數據加以補充。大約有一半的機構在模型中直接采用外部數據，特別當一個特殊類型事件或產品線的數據庫中沒有足夠的內部損失數據來為低頻高強度的“尾部事件”建模時。就將外部數據引入模型(美聯(lián)儲，2005)。外部數據可以來自行業(yè)數據庫以及監(jiān)管部門的相關統(tǒng)計數據等。但操作風險損失在很大程度上是內生的，外部數據能否直接用于銀行操作風險管理，外部數據與本銀行潛在損失的相關性等問題值得內部審計深入研究。

　　新巴塞爾資本協(xié)議的頒發(fā)，擴展了銀行風險管理的廣度和深度，積極有效的風險管理遂成為創(chuàng)造企業(yè)價值的重要資產。商業(yè)銀行內部審計面臨著前所未有的機遇與挑戰(zhàn)。一方面，原則導向的新協(xié)議為風險管理增添了“藝術”成分，這需要內部審計除了審核評價內部控制，還要在信用風險、市場風險、操作風險以及全面風險管理中扮演不可缺少的角色。另一方面，新協(xié)議在避免一刀切缺陷的同時，也加大了“人為操縱”的空間，內部審計須發(fā)揮職業(yè)判斷，避免風險管理中帶有過多的主觀因素和個人偏好。面對各種復雜而先進的風險管理技術與復雜多變的銀行風險狀況，內部審計任重道遠。在新巴塞爾協(xié)議時代，內部審計不能局限于傳統(tǒng)的查錯糾弊功能，而應積極施展建設或咨詢服務功能，了解全面風險管理流程、掌握風險管理技術，尤其要掌握新金融產品和新風險管理技術的結合應用，這不僅能為銀行創(chuàng)造更多的價值增值，而且可以提高銀行的競爭力，實現(xiàn)銀行邁向國際化、全球化的發(fā)展戰(zhàn)略。