【中华财税网2008/11/7信息】  三、信用风险管理审计

　　信用风险是指因交易对手无法履行义务致使银行遭受损失的风险。在计量信用风险时，新资本协议允许银行在两种方法中任选一种。一种是标准法，根据外部信用评估如标准作为信用评级的结果来计量信用风险。另一种是内部评级法，允许银行用内部信用评级系统来计量信用风险，但必须经过银行监管当局的明确批准(新资本协议第50、51条)。

　　标准法的全面使用需要有合格的外部评级机构为基础。短期内国内评级机构尚达不到新资本协议第91条规定的六条标准，而拥有国际三大评级机构评级(包括主动评级和被动评级)的国内企业(包括银行)不足百家(罗平、冯文博，2006)。绝大多数借款人没有外部评级的现状为标准法在我国的推广实施增加了一定的困难。新资本协议最主要创新之一就是提出了信用风险的内部评级法，符合条件的银行可以根据自身对风险要素包括对违约概率(PD)、违约损失率(LGD)、违约风险暴露(EAD)及期限(M)的估计来决定特定暴露的资本要求(第211条)。我国的金融市场是“银行为中心，资本市场、保险市场为辅”的格局。在银行主导型金融体系下，银行在发放贷款的过程中掌握了大量的企业内部信息，相对市场而言，银行在内部评级方面具有较强的信息优势(巴曙松等，2006)。我国银监会明确提出现阶段应以信贷业务为重点推进内部评级体系建设，达到监管要求并经银监会批准的银行应采用内部评级法计算信用风险资本。

　　内部评级法中风险要素的估计需要加入大量的主观判断和经验法则，在判断的过程中带有一定的主观因素和个人偏好，因此需要内部审计对内部评级系统的合理性加以评价，以保证信用风险管理的有效性。新协议第443条要求：在内部评级法下，内部审计或与其功能相当的独立部门至少每年必须检查一次银行信用评级体系及其运行状况，包括信用功能的运作和对违约概率、违约损失率及违约风险暴露的估计；检查是否所有领域都已遵守适用的最低要求：内审必须记录检查的结果。

　　内部评级法的实施对内部审计提出了新的挑战。内部审计要了解内部评级系统的设计与操作，并对信用评级模型加以验证。受限于专业领域，内部审计要完全了解内部评级模型并非易事，尤其许多银行的内部评级模型仍在发展中，这增加了内部审计审核的难度。而不同银行在业务范围、数据来源、TT架构、信用风险管理流程、信用风险量化技术等方面都有很大的不同，内部审计很难完全照搬另外一家银行的成功经验。审查信用评级体系，验证评级系统所使用模型与数据的合理性是对内部审计的一大考验。 


　　(一)内部模型审计　使用内部评级法评估信用风险需借助各种模型。新协议在“采用内部评级法的最低要求”中规定，可以由内部审计负责对内部模型所有要素进行定期独立的评审，包括模型修改的审批、模型参数的检查、模型结果的评审(如对风险计算结果的直接验证)。应评估模型参数与结果的准确性、完整性和适当性，发现并减少与已知缺陷相关的潜在误差，识别模型的未知缺陷(新协议第528条(b))。从内部评级模型在业务领域的全面运用到内部评级模型较为稳定、准确地预测未来需要较长的时间。随着内外部经营环境的变化，模型可能变得不再适用。因此除了上述新协议规定的评审程序外，内部审计还要审查银行是否　　建立有效机制，保证模型随着环境的变化及时更新与调整。

　　(二)内部数据审计　在内部评级法中要使用大量的内部数据，内部数据的准确性与完整性直接影响着信用风险评级的结果。新协议第417条规定，银行必须建立有效的程序，审查输入违约或损失统计预测模型的数据，程序还包括对已经评级数据准确性、完整性和适当性的评估。由独立的内部审计部门审查内部数据，即能满足巴塞尔委员会的要求。

　　内部审计可从以下方面开展内部数据审计：审查数据规模是否足够大，观察期足够长，是否覆盖一个经济周期；管理人员是否对内部损失事件数据进行跟踪收集与记录；除了搜集借款人的财务数据，是否还有非财务数据，同一借款人的财务数据与非财务数据有无矛盾等。

　　四、操作风险管理审计

　　新巴塞尔协议首次将操作风险引入到风险管理框架中，这引起了国际银行业的广泛关注。操作风险是指由于不恰当或者失效的内部程序、人员、系统或外部事件所导致损失的风险。该定义包括法律风险，但不包括战略风险与声誉风险(新协议第644条)，不仅涵盖了业务操作方面的风险，而且包括了操作之外的系统风险；不仅考虑了内部程序、人员、系统等内部因素引发的操作风险，还考虑了外部事件所引发的操作风险以及法律风险。美联储(2005)调查问卷显示，操作风险管理状况不容乐观，在调查的23家银行中共发生了150万起操作风险损失事件，损失额高达259亿美元，平均每家银行一年的操作风险损失金额高达11.26亿美元。在这150万起事件中，大额损失事件(金额超过10000美元的事件)占1／3以上。此外不同银行在操作风险管理方面的能力存在着较大的差距，23家银行中有6家银行的大额损失事件数在250件以下，风险相对集中在4家银行，这4家银行的大额损失事件数超过2500件，占大额事件总数的71％，占大额损失金额的67％。

　　现阶段我国金融机构多将重点放在逾贷问题的处理与呆账冲销上，对操作风险的认识不足。不少银行将操作风险等同于内部控制风险，对操作风险的识别与控制能力不能适应业务发展的问题比较突出。为此银监会将防范操作风险提上日程，于2005年发布了《中国银行业监督管理委员会关于加大防范操作风险工作力度的通知》，要求各银监局高度关注银行业金融机构的操作风险问题，从多方面有效防范和控制银行操作风险。在通知中明确提出要“切实加强稽核建设，完善稽核体制，充实稽核力量”，可见内部审计在操作风险管理中的重要作用已得到了银监会的关注和认可。

　　(一)操作风险因素与操作风险监管原则　实务中导致操作风险增大的因素较多。在交易事项大量计算机化的情况下，若无严格的监控，可能会使手工处理的程序性错误转化为计算系统错误风险；网络交易的广泛应用，会引出许多新的难以完全监控的风险，如外部欺诈与系统安全问题；大规模的购并活动和跨组织战略联盟的建立，会导致银行系统的整合出现新的不适应；银行提供多种类、多产品的大量服务，需有一个坚强的内部控制系统和支援系统作后续维护；银行通常会采取降低风险技术来降低风险暴露，但可能派生出其他风险；银行外包作业的增加虽会降低部分作业的操作风险，但可能会派生出其他风险；银行内部控制、内部作业规范未能彻底贯彻落实，遂产生风险。针对这些因素，巴塞尔委员会提出监控操作风险的十项原则，其内容体现在建立健全有效操作风险管理的环境(三项原则)；风险管理的定义、评估、监督和控制(四项原则)；监督者在风险管理中所扮演的角色(一项原则)；充分披露相关的风险管理信息(一项原则)。

　　(二)操作风险识别审计　操作风险的识别是操作风险评估与控制的依据，操作风险识别的准确性与完整性决定着银行操作风险管理程序的顺利实施和操作风险的有效控制。巴塞尔委员会(2003)将操作风险事件分为七大类：内部欺诈(Intemal Fraud)，外部欺诈(External Fraud)，雇员活动和工作场所的安全问题(Employment Practices＆Workspaee Safety)，客户、产品以及经营活动(Client，Products＆Business Practices)，实物资产的损害(Dam－age to Physical Assets)，经营中断和系统出错(Business Disruption＆System failures)。涉及执行、交割以及流程管理的风险事件(Ex－ecution Delivery＆Process Management)。如何确保上述各类操作风险均已被识别，保证操作风险轮廓勾勒的完整性是银行内部审计面临的重大难题。Hare认为，为了从总体上管理企业风险，有必要完整列出企业(或部门)所面临的风险，只有完整列出潜在重要风险的清单，管理层才能确信那些威胁目标实现的因素已经得到了充分评估、合理抑制以及经济有效地管理。Andrew D.Bailey，Jr.(2002)等人认为，管理层及内部审计人员在确定任何有关风险的完整表单时，要富有创新精神。可以采用诸如依靠具有不同背景及专业技术的各种人员的“头脑风暴法”、猜想可能存在威胁的“情景假定”(Scenario building)之类的方法。笔者认为，在操作风险识别审计中可以风险管理人员制作的操作风险识别清单为基础，审查各类可能面临的重大操作风险是否列于操作风险识别清单上；评价操作风险识别清单的“超前性、预见性”，能否为预测银行操作风险提供依据。以操作风险识别清单为基础。便于内部审计顺藤摸瓜，查找潜在的操作风险是否均已识别。避免类似事件再次发生。

　　(三)操作风险计量审计　在新巴塞尔协议征求意见的过程中，操作风险的引入曾引起各国激烈的争论。每个金融机构面临的操作风险以及采用的操作风险管理策略与程序因机构特性与业务的不同而有相当大的差异。操作风险损失数据的缺乏为操作风险的量化增加了困难。新协议提供了三类操作风险计量方法，即基本指标法、标准法和高级计量法。其中高级计量法的风险敏感度最强，复杂程度最高，该计量方法的审计难度也最大。 

　　高级计量法是指银行用定量和定性标准，通过内部操作风险计量系统计算法定监管资本(新协议第655条)。在高级计量法的稳健标准中指出，鉴于操作风险计量方法处于不断演进之中。巴塞尔委员会不规定用于操作风险计量和计算监管资本所需的具体方法和统计分布假设，但银行必须标明所采用的方法考虑到潜在严重的“尾部”损失事件(新协议第667条)。高级计量法赋予银行相当大的灵活空间，为了让高级计量法合理计量银行的操作风险，避免人为操纵，在采用高级计量法的定性标准中，新协议第666条(e)规定，银行的操作风险管理流程和计量系统必须定期接受内部和，或外部审计师的审查，且审查必须涵盖业务部门的活动和独立的操作风险管理职能。

　　高级计量法使用的数据可来源于内部也可来源于外部。多数采用高级计量法的银行将内部数据直接输入风险计量模型(美联储，2005)。用于计算监管资本的内部操作风险计量方法，必须以至少五年观测的内部损失数据为基础。如果是初次使用高级计量法，也可以使用三年的历史数据(新协议第672条)。但内部历史数据的适用性值得内部审计考证。我国正处于经济转轨时期，整体经济结构和法律制度都在发生变化，收集的历史数据是基于当时的环境背景，能否跟上环境的变化，能否适用于风险计量模型，作为预测未来的基础都值得内部审计人员关注。然而大多数银行面临着内部数据不足的问题，特别对于内部控制较好的大银行，低频高危事件的历史数据较少，必须用外部数据加以补充。大约有一半的机构在模型中直接采用外部数据，特别当一个特殊类型事件或产品线的数据库中没有足够的内部损失数据来为低频高强度的“尾部事件”建模时。就将外部数据引入模型(美联储，2005)。外部数据可以来自行业数据库以及监管部门的相关统计数据等。但操作风险损失在很大程度上是内生的，外部数据能否直接用于银行操作风险管理，外部数据与本银行潜在损失的相关性等问题值得内部审计深入研究。

　　新巴塞尔资本协议的颁发，扩展了银行风险管理的广度和深度，积极有效的风险管理遂成为创造企业价值的重要资产。商业银行内部审计面临着前所未有的机遇与挑战。一方面，原则导向的新协议为风险管理增添了“艺术”成分，这需要内部审计除了审核评价内部控制，还要在信用风险、市场风险、操作风险以及全面风险管理中扮演不可缺少的角色。另一方面，新协议在避免一刀切缺陷的同时，也加大了“人为操纵”的空间，内部审计须发挥职业判断，避免风险管理中带有过多的主观因素和个人偏好。面对各种复杂而先进的风险管理技术与复杂多变的银行风险状况，内部审计任重道远。在新巴塞尔协议时代，内部审计不能局限于传统的查错纠弊功能，而应积极施展建设或咨询服务功能，了解全面风险管理流程、掌握风险管理技术，尤其要掌握新金融产品和新风险管理技术的结合应用，这不仅能为银行创造更多的价值增值，而且可以提高银行的竞争力，实现银行迈向国际化、全球化的发展战略。