2004年巴塞爾銀行監管委員會發布了《統一資本計量和資本標準的國際協議：修訂框架》，簡稱新巴塞爾資本協議，該協議于2005年進行了一次修訂。2006年巴塞爾委員會將1988年舊協議未改動部分、1996年關于市場風險的修訂協定以及2005年關于新資本協議如何運用于實務的修訂相結合，頒布了新資本協議的綜合版本。新協議的設計目標是要提高銀行對風險的敏感程度，利用最低資本要求、監督檢查和市場紀律(資本充足率要求、外部監管和市場約束)促進銀行提高風險管理能力，增進金融體系的安全與穩健。2005年巴塞爾委員會的13個成員國和25個歐盟成員國已經承諾于2007年初實施新資本協議。

　　2007年是我國金融業對外資全面開放的第一年，面對“與狼共舞”的時代，中資機構的風險管理能力面臨著巨大的挑戰和考驗。2007年中國銀行監督委員會發布了《中國銀行業實施新資本協議指導意見》，提出了實施新資本協議的范圍、方法和時間表。實施新資本協議的號角已經吹響，如何運用新協議提出的全面風險管理理念，確保商業銀行風險管理體系合理有效運行，使商業銀行在競爭中立于不敗之地，是我國商業銀行內部審計面臨的重大課題。

　　一、新資本協議框架對商業銀行內部審計的要求

　　新巴塞爾資本協議全文826條，涉及內部審計的有9條，分別是：165條、410條、443條、498條、620條、662條、666條、718條、744條。為了強調董事會、高管層以及內部審計師在內部控制、風險計量和合規性方面的責任，巴塞爾銀行監管委員會還頒布了一份極具操作性的文件一《銀行內部審計師、監管當局與審計師的關系》(以下簡稱關系報告)。該報告突出強調了銀行機構內部審計工作的重要性。以及銀行監管者與銀行內、外部審計師進行合作的必要性。為配合新資本協議的順利實施，指導銀行改革進程，巴塞爾銀行監管委員會與各國銀行監管部門合作修訂了銀行健全謹慎監管的標準——《有效銀行監管的核心原則》(以下簡稱新核心原則)。新核心原則規定了有效監管體系應遵循的二十五條原則，充分體現了自1997年《核心原則》頒布以來金融市場和監管實踐的變化，以及在不同國家的進展狀況、水平不一的現實，得到大多數國家的認可。截至2006年10月，已經有100多個國家采用了新核心原則的評價方法。新核心原則對商業銀行內部審計也提出了詳細的要求，它與新資本協議、關系文件相配合構成新巴塞爾協議框架，共同指導內部審計在銀行風險管理實務中發揮應有的作用。新巴塞爾資本協議的主要精神在于健全銀行風險管理，而非局限于資本計提，故銀行必須建立良好的風險管理制度，并發展更具效率的風險管理技術來監督及管理其風險。內部審計亦須提升其自身專業素養，并擬定有效的審查措施促進銀行提高風險管理水平。

　　(一)內部審計范圍擴展至風險管理領域

　　自1999年國際內部審計師協會(IIA)頒布內部審計新定義之后，人們開始關注內部審計在風險管理方面的作用。內部審計如何參與風險管理活動，實現價值增值成為人們關注的焦點。商業銀行與一般企業相比具有更高的風險，更需要內部審計范圍從傳統財務審計擴展至風險管理領域。新巴塞爾協議將資本充足率與銀行有效管理各類風險的能力相掛鉤，使之更全面、敏感地反映商業銀行面臨的各種風險。為有效發揮資本充足率在風險監管中的作用。激勵商業銀行改進風險管理水平，需要內部審計參與資本充足的評估活動，確保銀行持有與其風險管理水平相對應的資本。新協議在第744條提到，銀行內部控制是資本評估程序的基礎，在適當的情況下內部審計應參與資本評估程序的獨立檢查。

　　與新巴塞爾協議相呼應，新核心原則也對風險管理審計提出了要求。在“原則7：風險管理程序”中提到，監管者要求較大或綜合性較強的銀行設置專門的部門來負責風險評估、風險監督、控制或降低實質性風險；監管者要證實這些部門定期接受內部審計檢查；而內部審計部門須采用適當的方法識別銀行的實質性風險，并以風險評估來制定審計計劃和配置審計資源。“關系報告”中明確內部審計的范圍包括：檢查和評價內控體系的適當性和有效性；審查風險管理流程和風險評估方法的適用性和有效性；審查與預期風險相關的銀行資本評估系統；測試各種交易及其內控程序的運行情況；審查應合規要求和政策程序的執行要求而建立的各項制度；監測向監管當局提交報告的可靠性和及時性等。新資本協議框架已要求內部審計的觸角延伸至風險識別、評估、控制等諸多領域。我國銀監會印發的《銀行業金融機構內部審計指引》也明確提出內部審計須通過系統化和規范化的方法審查評價并改善銀行業金融機構經營活動、風險狀況、內部控制和公司治理效果，促進銀行業金融機構穩健發展。

　　(二)加強與監管者、外部審計間的交流與合作

　　新巴塞爾資本協議為銀行提供了多種計算風險加權資產的方法，在為銀行提供更大選擇空間、鼓勵銀行采用更加敏感的風險衡量方式的同時，也加大了監管成本與審計成本。由于監管當局和外部審計師對銀行的風險管理狀況了解有限，若缺乏全面了解銀行的風險管理水平，僅從賬面的資本充足率很難判斷銀行的健康與否。為此巴塞爾委員會頒布了《銀行內部審計、監管當局與審計師的關系》以及《關于銀行內部審計及監管者與審計師關系的調查》兩份報告，旨在監管者、外部審計與內部審計之間形成有效的對話機制，以便及時發現問題，采取果斷措施降低風險或補充資本。

　　“關系報告：原則18”要求，監管者、外部審計師和內部審計師相互合作，定期舉行三方會議，能提高各方的工作效率和效果。巴塞爾委員會認為，在有些國家，這種合作建立在監管當局和內、外部審計師之間舉行定期會議的基礎上；監管者可以考慮讓高管層適當地參加這些會議，會上，每一方都會提供共同感興趣領域的信息，并對將要檢查的領域和工作時限給予特別關注；而且，所有三方都會討論機構對內、外部審計師整改建議的執行情況。

　　在與銀行監管者的交流合作方面，“關系報告：原則13”認為，銀行內部審計師的工作有助于銀行監管者，因此監管者應當評價內審部門的工作，如果滿意，即可信賴該部門來識別潛在的風險領域。具體說，監管者可能采取許多方法來評價內部控制的質量。其中包括評價內審的質量，如果監管者對內審工作滿意。就可采納內部審計報告作為識別銀行的控制問題、或識別審計師最近未審查的潛在風險領域的主要途徑。“關系報告：原則14和15”認為，銀行監管者應與每家銀行的內部審計師定期進行磋商。來討論已識別的風險領域和已采取的措施，并提倡監管者與被監管銀行內審部門負責人就政策問題經常展開討論。如各家銀行內審部門負責人一起，就共同關心的問題與監管當局進行磋商。

　　在與外部審計的交流合作方面，“關系報告：原則14和16”提倡監管當局鼓勵內、外部審計師進行磋商，以使合作盡可能有效率、有效果，監管當局也會與內部審計討論銀行內審部門和外部審計師間的合作范圍：(1)通常內部審計對外部審計在決定審計程序的特征、時間和范圍方面有所幫助，但外部審計師對財務報告的審計意見承擔完全責任。外部審計師應當獲知相關內部審計情況。并通過一定的渠道接觸相關內部審計報告，了解內部審計師發現的、可能影響外部審計師工作的重大事項。同理，外部審計師通常會告知內部審計師任何可能影響內部審計的重大事項。(2)內審部門負責人應確保內部審計工作不會與外部審計工作發生不必要的重復。雙方審計工作協調的內容包括定期召開會議討論共同關心的問題，交換審計報告和管理建議書，在審計技巧、審計方法和審計術語方面達成共識。

　　(三)強化與董事會、高管層的協調與溝通

　　在風險管理體系中，銀行高管層、董事會、內部審計承擔著不同的責任。高管層應負責建立一套流程，用于識別、計量、監督、控制銀行承擔的風險。高管層應至少每年向董事會報告一次內部控制體系和資本評價程序的覆蓋范圍與運行情況(關系報告：原則2)。董事會對確保高管層建立和維護充分有效的內部控制體系、風險評估計量體系、風險資本體系、合規監控體系承擔最終責任。董事會應至少每年對內控體系和資本評估程序進行一次審查(關系報告：原則1)。內部。審計可以為銀行制定的政策及流程是否適當與合規提供獨立的評估，因此內部審計是持續監控銀行內控體系及內部資本評估程序的一部分。這樣內部審計才能支持高管層和董事會高效地履行上述職責并取得成效(關系報告：原則3)。

　　盡管內部審計與高管層、董事會在風險管理中的職能和責任不同，但工作領域和范圍卻有所交叉和重復。巴塞爾委員會2002年的調查報告顯示，被調查銀行的審計章程由董事會制定，內部審計的年度審計計劃由董事會或高管層審查和批準。為確保銀行所有關鍵風險能被識別與控制，提高工作效率，巴塞爾委員會在關系報告中提出多項措施加強內部審計與高管層、董事會間的協調溝通：(1)內審部門負責人應有權根據各家銀行在其審計章程中界定的規則，自主地決定在合適的時候直接與董事會、董事會主席、審計委員會(如果有的話)成員進行溝通；(2)高管層應保證內審部門能完全了解銀行最新發展情況、業務創新以及產品和操作方面的變化，以確保盡早識別所有相關的風險；(3)內部審計應將所發現問題記錄審計報告，并將其遞交給高管層與董事會或審計委員會，高管層應確保內審部門關注的問題得到恰當的處理和落實；(4)內審部門應追蹤檢查所提整改建議是否得到執行，根據公司治理結構的不同，整改情況應至少每半年與高管層、董事會或者審計委員會(如果有的話)進行一次溝通。

　　二、全面風險管理(overall risk management)審計

　　2004年COSO委員會提出了《企業風險管理的整體框架》(簡稱ERM框架)，從企業的四個目標、八大要素、各個層級三個維度為全面風險管理構建了立體的框架。如果說ERM框架是企業全面風險管理的里程碑，那么新協議的頒布則為銀行業的全面風險管理翻開了嶄新的一頁。與舊協議相比，新巴塞爾協議拓展了風險的范疇，將市場風險和操作風險納入資本充足率的計算公式中，更加注重對各種風險進行全面管理。銀行風險管理水平不同，所需最低監管資本也不同，這就提高了監管資本對風險的敏感度，促使商業銀行在資本金的硬約束下加強全面風險管理，提高基于風險的決策。

　　國務院國有資產監督管理委員會于2006年頒布的《中央企業全面風險管理指引》明確規定，具備條件的企業可建立風險管理三道防線，即各有關職能部門和業務單位為第一道防線；風險管理職能部門和董事會下設的風險管理委員會為第二道防線；內部審計部門和董事會下設的審計委員會為第三道防線。內部審計部門作為全面風險管理的最后一道防線，面臨著巨大的挑戰：如何將全面風險管理理念貫穿于風險管理審計的全過程。對銀行內各個業務層次、各種類型風險進行通盤審查監督，同時考慮到銀行不同經營單位和產品線風險的相關性，統一地而不是分離地對風險進行監控。

　　全面風險管理是指銀行圍繞總體經營目標，對整個銀行內各種風險納入統一管理的范疇，并將承擔這些風險的各業務單元納入到統一的管理體系中，對各類風險進行統一的控制和管理。它主要包括三層含義：(1)全方位的風險管理，即全面風險管理要涵蓋全部的風險因素，包括信用、市場、操作風險等，并對這些風險因素從機構整體的角度進行整合；(2)全面的風險管理過程，即全面風險管理是一個過程，不是一項獨立的管理活動，是滲透到銀行經營管理活動中的一系列行為；(3)全組織上下的風險管理，即全面風險管理是一個由企業的董事會、管理層和其他員工共同參與的活動，須在全組織上下達成一致認識，明確各部門在風險管理中的職責，強調全員風險管理。相應地，全面風險管理審計可從全方位風險管理審計、風險管理過程審計和風險責任審計三個方面進行。

　　(一)全方位風險管理審計

　　新巴塞爾協議首次將由內部程序、人員、系統或外部事件引致的操作風險納入到資本要求框架，這使得巴塞爾協議所覆蓋的風險范圍由1988年的信用風險和1996年的交易賬戶市場風險進一步擴展到金融機構全面風險。新協議將資本充足率與信用風險、市場風險及操作風險掛鉤，構建了資本充足率指標與銀行風險管理水平之間的有機聯系，該聯系表現為：在其他因素不變的前提下，風險管理水平越高，風險加權資產越小，資本充足率越高。但銀行的風險遠不止信用風險、市場風險和操作風險，還有資本充足率涉及但沒有完全覆蓋的風險(如貸款集中風險)；資本充足率未考慮的風險如流動性風險、戰略風險、聲譽風險及經營風險等；此外銀行的外部因素如經濟周期的交替變更，利率、匯率的波動等都會影響銀行的風險。全方位的風險管理要求將銀行面臨的所有風險納入管理范疇。作為內部審計不僅要審查銀行監管資本充足率是否滿足新協議的規定，更重要的是確保銀行風險輪廓勾勒的完整性，保證所有可能發生的重大風險均已被識別與管理。

　　為便于計算與監管，新協議中資本充足率的分母是風險資產的簡單加權平均，其隱含的假設是風險之間是線性相關的，這不符合銀行實際情況，難以準確反映銀行風險的數量特征，也難以從中判斷銀行真實的風險管理狀況。全方位的風險管理要求銀行對風險進行整合，即考慮各類風險之間的相關性，從銀行整體層面對風險進行整合。巴塞爾委員會在關系報告中提到：內審部門應將銀行在其所有實體中的活動作為一個整體來檢查和評價，因此內部審計不應受銀行內部業務部門劃分、風險分類的局限，應充分考慮風險事件之間的相關性，以風險組合的觀念審查銀行是否從機構整體的角度全盤考慮、統一規劃各種風險，整合風險的技術與工具使用是否恰當，整合后的總風險是否在銀行的風險偏好范圍內。以風險組合的觀點進行全方位風險管理審計可以防止兩種傾向：一是業務單元、分支機構的風險處于風險偏好可承受 能力之內，但總體風險水平超出銀行的風險承受限度；二是個別投資組合、業務單元、分支機構的風險暴露超過其限度，但總體風險水平還未超出銀行的承受范圍，因為風險之間的相關性可能產生抵消的效果，此時還有進一步承受風險爭取更高回報與成長的空間。

　　(二)風險管理過程審計

　　在coso委員會的ERM框架中提到，全面風險管理是一個過程，這個過程受董事會、管理層和其他員工的影響，從企業戰略制定一直貫穿到企業的各項活動中，用于識別可能影響企業的潛在事件并管理風險，使之在企業的風險偏好范圍內，從而合理保證企業目標的實現。全面風險管理有八個要素，涵蓋了風險管理過程的每個階段，即內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通以及監控。這八個要素是相互聯系的。風險管理環境是風險管理其他要素的基礎，它造就了一個組織的氣氛，影響著一個組織中人員的風險意識；目標設定是銀行有效進行事件識別、評估風險、應對風險的前提，全面風險管理的八個要素都是為目標服務的；風險識別是風險評估與風險控制的依據，風險識別的完整性與風險評估的精確性決定著風險對策選擇的準確性；控制活動是保證風險對策有效實施的政策和程序；風險信息處理和報告是保障銀行全面實施風險管理的媒介，風險管理的各項活動都要形成風險信息并通過風險報告機制在組織上下傳遞；監控是對企業風險管理的整個過程的監督，是風險管理目標實現和風險管理流程有效運行的保障。

　　在全面風險管_理審計中，內部審計須跳出風險管理部門之外，以獨立角度審查風險管理八要素的運作，對風險管理過程進行較為全面的評價。首先分析風險管理環境，判斷銀行價值取向、風險偏好、管理風格、風險管理組織結構、風險管理文化等的合理性；接著審查管理者設定的目標與企業的風險偏好是否一致；而后識別影響企業目標實現的內外部事件，包括正面事件與負面事件，即機會與風險。對于機會。分析管理者是否及時利用，并據以調整策略，以達到經營和獲利目標。對于風險，審查管理者是否已準確識別、合理評估并采取了適當的風險對策將風險控制在風險容忍度內。此外內部審計可根據風險的重要性，有選擇地抽取幾筆業務，按照風險管理的程序進行穿行測試，并將其結果與風險管理部門的結果相比較，以判斷風險管理八要素的合理性與有效性。

　　(三)風險責任審計

　　雖然新巴塞爾協議將銀行風險分為信用風險、市場風險及操作風險三大類，但這三類風險不是互不相關的，而是具有一定的互動關系。如市場利率匯率的提高可能增加企業的債務負擔，引發信用風險；信用風險中的貸放損失可能是由于核貸過程中缺乏嚴謹的內部控制程序導致的。信用風險、利率風險和操作風險往往夾雜在一起，共同影響銀行的經營。許多金融機構陷入經營困境的主要原因，不再是信用風險或者市場風險等單一風險，而是由信用風險和市場風險等聯合造成(巴曙松，2003)，因此全面風險管理需要組織從上到下的共同配合與參與。內部審計應通過風險責任審計，審查風險管理過程中職責劃分是否明確：哪些部門負責制定計劃，哪些部門負責決策，哪些部門負責將計劃決策貫徹落實，是否都有明確的規定；審查職責劃分是否合理：是否在銀行的總體戰略規劃指導下進行職責劃分，風險管理過程中是否存在真空地帶與重復管理地帶；審查各層級員工在風險管理過程中是否清楚理解其承擔的職責，選擇正確、有效的風險管理策略；評價銀行的績效考核體系是否有利于部門之間的協調與配合，促進全面風險管理模式的貫徹實施，避免政出各門，各處為政的現象。

　　三、信用風險管理審計

　　信用風險是指因交易對手無法履行義務致使銀行遭受損失的風險。在計量信用風險時，新資本協議允許銀行在兩種方法中任選一種。一種是標準法，根據外部信用評估如標準作為信用評級的結果來計量信用風險。另一種是內部評級法，允許銀行用內部信用評級系統來計量信用風險，但必須經過銀行監管當局的明確批準(新資本協議第50、51條)。

　　標準法的全面使用需要有合格的外部評級機構為基礎。短期內國內評級機構尚達不到新資本協議第91條規定的六條標準，而擁有國際三大評級機構評級(包括主動評級和被動評級)的國內企業(包括銀行)不足百家(羅平、馮文博，2006)。絕大多數借款人沒有外部評級的現狀為標準法在我國的推廣實施增加了一定的困難。新資本協議最主要創新之一就是提出了信用風險的內部評級法，符合條件的銀行可以根據自身對風險要素包括對違約概率(PD)、違約損失率(LGD)、違約風險暴露(EAD)及期限(M)的估計來決定特定暴露的資本要求(第211條)。我國的金融市場是“銀行為中心，資本市場、保險市場為輔”的格局。在銀行主導型金融體系下，銀行在發放貸款的過程中掌握了大量的企業內部信息，相對市場而言，銀行在內部評級方面具有較強的信息優勢(巴曙松等，2006)。我國銀監會明確提出現階段應以信貸業務為重點推進內部評級體系建設，達到監管要求并經銀監會批準的銀行應采用內部評級法計算信用風險資本。

　　內部評級法中風險要素的估計需要加入大量的主觀判斷和經驗法則，在判斷的過程中帶有一定的主觀因素和個人偏好，因此需要內部審計對內部評級系統的合理性加以評價，以保證信用風險管理的有效性。新協議第443條要求：在內部評級法下，內部審計或與其功能相當的獨立部門至少每年必須檢查一次銀行信用評級體系及其運行狀況，包括信用功能的運作和對違約概率、違約損失率及違約風險暴露的估計；檢查是否所有領域都已遵守適用的最低要求：內審必須記錄檢查的結果。

　　內部評級法的實施對內部審計提出了新的挑戰。內部審計要了解內部評級系統的設計與操作，并對信用評級模型加以驗證。受限于專業領域，內部審計要完全了解內部評級模型并非易事，尤其許多銀行的內部評級模型仍在發展中，這增加了內部審計審核的難度。而不同銀行在業務范圍、數據來源、TT架構、信用風險管理流程、信用風險量化技術等方面都有很大的不同，內部審計很難完全照搬另外一家銀行的成功經驗。審查信用評級體系，驗證評級系統所使用模型與數據的合理性是對內部審計的一大考驗。

　　(一)內部模型審計

　　使用內部評級法評估信用風險需借助各種模型。新協議在“采用內部評級法的最低要求”中規定，可以由內部審計負責對內部模型所有要素進行定期獨立的評審，包括模型修改的審批、模型參數的檢查、模型結果的評審(如對風險計算結果的直接驗證)。應評估模型參數與結果的準確性、完整性和適當性，發現并減少與已知缺陷相關的潛在誤差，識別模型的未知缺陷(新協議第528條(b))。從內部評級模型在業務領域的全面運用到內部評級模型較為穩定、準確地預測未來需要較長的時間。隨著內外部經營環境的變化，模型可能變得不再適用。因此除了上述新協議規定的評審程序外，內部審計還要審查銀行是否 建立有效機制，保證模型隨著環境的變化及時更新與調整。

　　(二)內部數據審計

　　在內部評級法中要使用大量的內部數據，內部數據的準確性與完整性直接影響著信用風險評級的結果。新協議第417條規定，銀行必須建立有效的程序，審查輸入違約或損失統計預測模型的數據，程序還包括對已經評級數據準確性、完整性和適當性的評估。由獨立的內部審計部門審查內部數據，即能滿足巴塞爾委員會的要求。

　　內部審計可從以下方面開展內部數據審計：審查數據規模是否足夠大，觀察期足夠長，是否覆蓋一個經濟周期；管理人員是否對內部損失事件數據進行跟蹤收集與記錄；除了搜集借款人的財務數據，是否還有非財務數據，同一借款人的財務數據與非財務數據有無矛盾等。

　　四、操作風險管理審計

　　新巴塞爾協議首次將操作風險引入到風險管理框架中，這引起了國際銀行業的廣泛關注。操作風險是指由于不恰當或者失效的內部程序、人員、系統或外部事件所導致損失的風險。該定義包括法律風險，但不包括戰略風險與聲譽風險(新協議第644條)，不僅涵蓋了業務操作方面的風險，而且包括了操作之外的系統風險；不僅考慮了內部程序、人員、系統等內部因素引發的操作風險，還考慮了外部事件所引發的操作風險以及法律風險。美聯儲(2005)調查問卷顯示，操作風險管理狀況不容樂觀，在調查的23家銀行中共發生了150萬起操作風險損失事件，損失額高達259億美元，平均每家銀行一年的操作風險損失金額高達11.26億美元。在這150萬起事件中，大額損失事件(金額超過10000美元的事件)占1／3以上。此外不同銀行在操作風險管理方面的能力存在著較大的差距，23家銀行中有6家銀行的大額損失事件數在250件以下，風險相對集中在4家銀行，這4家銀行的大額損失事件數超過2500件，占大額事件總數的71％，占大額損失金額的67％。

　　現階段我國金融機構多將重點放在逾貸問題的處理與呆賬沖銷上，對操作風險的認識不足。不少銀行將操作風險等同于內部控制風險，對操作風險的識別與控制能力不能適應業務發展的問題比較突出。為此銀監會將防范操作風險提上日程，于2005年發布了《中國銀行業監督管理委員會關于加大防范操作風險工作力度的通知》，要求各銀監局高度關注銀行業金融機構的操作風險問題，從多方面有效防范和控制銀行操作風險。在通知中明確提出要“切實加強稽核建設，完善稽核體制，充實稽核力量”，可見內部審計在操作風險管理中的重要作用已得到了銀監會的關注和認可。

　　(一)操作風險因素與操作風險監管原則

　　實務中導致操作風險增大的因素較多。在交易事項大量計算機化的情況下，若無嚴格的監控，可能會使手工處理的程序性錯誤轉化為計算系統錯誤風險；網絡交易的廣泛應用，會引出許多新的難以完全監控的風險，如外部欺詐與系統安全問題；大規模的購并活動和跨組織戰略聯盟的建立，會導致銀行系統的整合出現新的不適應；銀行提供多種類、多產品的大量服務，需有一個堅強的內部控制系統和支援系統作后續維護；銀行通常會采取降低風險技術來降低風險暴露，但可能派生出其他風險；銀行外包作業的增加雖會降低部分作業的操作風險，但可能會派生出其他風險；銀行內部控制、內部作業規范未能徹底貫徹落實，遂產生風險。針對這些因素，巴塞爾委員會提出監控操作風險的十項原則，其內容體現在建立健全有效操作風險管理的環境(三項原則)；風險管理的定義、評估、監督和控制(四項原則)；監督者在風險管理中所扮演的角色(一項原則)；充分披露相關的風險管理信息(一項原則)。

　　(二)操作風險識別審計

　　操作風險的識別是操作風險評估與控制的依據，操作風險識別的準確性與完整性決定著銀行操作風險管理程序的順利實施和操作風險的有效控制。巴塞爾委員會(2003)將操作風險事件分為七大類：內部欺詐(Intemal Fraud)，外部欺詐(External Fraud)，雇員活動和工作場所的安全問題(Employment Practices＆Workspaee Safety)，客戶、產品以及經營活動(Client，Products＆Business Practices)，實物資產的損害(Dam－age to Physical Assets)，經營中斷和系統出錯(Business Disruption＆System failures)。涉及執行、交割以及流程管理的風險事件(Ex－ecution Delivery＆Process Management)。如何確保上述各類操作風險均已被識別，保證操作風險輪廓勾勒的完整性是銀行內部審計面臨的重大難題。Hare認為，為了從總體上管理企業風險，有必要完整列出企業(或部門)所面臨的風險，只有完整列出潛在重要風險的清單，管理層才能確信那些威脅目標實現的因素已經得到了充分評估、合理抑制以及經濟有效地管理。Andrew D.Bailey，Jr.(2002)等人認為，管理層及內部審計人員在確定任何有關風險的完整表單時，要富有創新精神。可以采用諸如依靠具有不同背景及專業技術的各種人員的“頭腦風暴法”、猜想可能存在威脅的“情景假定”(Scenario building)之類的方法。筆者認為，在操作風險識別審計中可以風險管理人員制作的操作風險識別清單為基礎，審查各類可能面臨的重大操作風險是否列于操作風險識別清單上；評價操作風險識別清單的“超前性、預見性”，能否為預測銀行操作風險提供依據。以操作風險識別清單為基礎。便于內部審計順藤摸瓜，查找潛在的操作風險是否均已識別。避免類似事件再次發生。

　　(三)操作風險計量審計

　　在新巴塞爾協議征求意見的過程中，操作風險的引入曾引起各國激烈的爭論。每個金融機構面臨的操作風險以及采用的操作風險管理策略與程序因機構特性與業務的不同而有相當大的差異。操作風險損失數據的缺乏為操作風險的量化增加了困難。新協議提供了三類操作風險計量方法，即基本指標法、標準法和高級計量法。其中高級計量法的風險敏感度最強，復雜程度最高，該計量方法的審計難度也最大。

　　高級計量法是指銀行用定量和定性標準，通過內部操作風險計量系統計算法定監管資本(新協議第655條)。在高級計量法的穩健標準中指出，鑒于操作風險計量方法處于不斷演進之中。巴塞爾委員會不規定用于操作風險計量和計算監管資本所需的具體方法和統計分布假設，但銀行必須標明所采用的方法考慮到潛在嚴重的“尾部”損失事件(新協議第667條)。高級計量法賦予銀行相當大的靈活空間，為了讓高級計量法合理計量銀行的操作風險，避免人為操縱，在采用高級計量法的定性標準中，新協議第666條(e)規定，銀行的操作風險管理流程和計量系統必須定期接受內部和，或外部審計師的審查，且審查必須涵蓋業務部門的活動和獨立的操作風險管理職能。

　　高級計量法使用的數據可來源于內部也可來源于外部。多數采用高級計量法的銀行將內部數據直接輸入風險計量模型(美聯儲，2005)。用于計算監管資本的內部操作風險計量方法，必須以至少五年觀測的內部損失數據為基礎。如果是初次使用高級計量法，也可以使用三年的歷史數據(新協議第672條)。但內部歷史數據的適用性值得內部審計考證。我國正處于經濟轉軌時期，整體經濟結構和法律制度都在發生變化，收集的歷史數據是基于當時的環境背景，能否跟上環境的變化，能否適用于風險計量模型，作為預測未來的基礎都值得內部審計人員關注。然而大多數銀行面臨著內部數據不足的問題，特別對于內部控制較好的大銀行，低頻高危事件的歷史數據較少，必須用外部數據加以補充。大約有一半的機構在模型中直接采用外部數據，特別當一個特殊類型事件或產品線的數據庫中沒有足夠的內部損失數據來為低頻高強度的“尾部事件”建模時。就將外部數據引入模型(美聯儲，2005)。外部數據可以來自行業數據庫以及監管部門的相關統計數據等。但操作風險損失在很大程度上是內生的，外部數據能否直接用于銀行操作風險管理，外部數據與本銀行潛在損失的相關性等問題值得內部審計深入研究。

　　新巴塞爾資本協議的頒發，擴展了銀行風險管理的廣度和深度，積極有效的風險管理遂成為創造企業價值的重要資產。商業銀行內部審計面臨著前所未有的機遇與挑戰。一方面，原則導向的新協議為風險管理增添了“藝術”成分，這需要內部審計除了審核評價內部控制，還要在信用風險、市場風險、操作風險以及全面風險管理中扮演不可缺少的角色。另一方面，新協議在避免一刀切缺陷的同時，也加大了“人為操縱”的空間，內部審計須發揮職業判斷，避免風險管理中帶有過多的主觀因素和個人偏好。面對各種復雜而先進的風險管理技術與復雜多變的銀行風險狀況，內部審計任重道遠。在新巴塞爾協議時代，內部審計不能局限于傳統的查錯糾弊功能，而應積極施展建設或咨詢服務功能，了解全面風險管理流程、掌握風險管理技術，尤其要掌握新金融產品和新風險管理技術的結合應用，這不僅能為銀行創造更多的價值增值，而且可以提高銀行的競爭力，實現銀行邁向國際化、全球化的發展戰略。