基于新巴塞尔资本协议的商业银行风险管理审计研究

刘 静 高 翔

（1、吉林财经大学会计学院 吉林 长春 130117；2、中国重汽集团山东分公司 山东 济南 250000）

由美国次贷危机而导致的华尔街金融系统像多米诺骨牌倒下，并导致全球性金融危机，其影响之深刻，破坏之严重，超过1927年、1987年、1997年的经济危机。从美国最初的投行贝尔斯登的破产到最后五大投行的雷曼、美林、高盛、摩根士丹利无一幸免于难；从房利美、房地美被接管，到AIG集团被国有化，从美国最大储蓄银行互惠银行被联邦存款保险公司接管，到富国银行收购美联银行…从美国华尔街的金融动荡再到全球金融恐慌：哈利法克斯被莱斯银行收购，英格兰皇家银行申请政府保护，德国第二大贷款机构HRE申请救援，冰岛宣布三家银行国有化…我国几家中资金融机构共持有雷曼兄弟债券7亿元左右，损失的绝对数额可谓巨大。这次金融危机是我国商业银行强化风险管理审计的一次重要契机，强化商业银行风险管理审计，提高企业风险管理水平，确保我国商业银行健康发展。

一、商业银行风险管理审计选择与要求

（一）商业银行风险管理审计选择 强化商业银行风险管理审计是内部审计的现实选择。21世纪初，以毕马威为代表的国际四大会计师事务所联合学术界对审计基本方法进行研究，开发出风险管理审计，它不仅关注传统的内部控制，而且更加关注有效的风险管理机制。风险管理成为组织中的关键流程，很多优秀企业的内部审计已经把“为支持企业风险管理提供独立的评价和建议服务”作为自己的职责，从风险管理的视角持续不断地审视公司治理和企业各个领域的管理工作，促进风险管理有效性的增强。我们认为风险管理审计是以企业全面风险管理过程为审计对象的内部审计，将内部审计业务嵌入到企业实施的全面风险管理的框架中，对机构的种种风险管理程序、方法和结果进行鉴定、评价，帮助企业实现其目标。风险管理审计试图从企业全面风险管理着眼，审计人员根据企业全面风险管理的方针和政策，采用系统化、规范化的方法，测试企业风险管理系统、各业务循环及相关部门的风险识别、分析、评价、管理及处理，并对全面风险管理进行动态评价，以确认和预警，进而提高企业风险管理的效率、效果。因此，风险管理审计凸显评价和咨询功能，是审计人员执行内部控制评价和管理审计的合理拓展，即站在风险管理全过程和战略层面的视角，对企业风险管理进行的审计。在当今复杂多变的经营环境下，现代企业面临着诸多不确定性，如何防范风险成为企业管理的核心问题，风险管理审计开展是内部审计的一大进步，对我国商业银行应对金融风险和危机有着重大现实意义。（1）公司治理外部环境的变化要求企业内部审计转向风险管理审计。当前公司治理外部环境正在发生着深刻变化。全球经济一体化，企业业务循环打破了地域、部门、行业以及国家的界限而在世界范围内运行，由此便对公司治理外部环境带来了诸多影响，如企业规模国际化、资本运营国际化、风险因素国际化；电子商务和网络经济等高科技在经济领域的运用，极大地改变了经营管理方式和公司治理中心；知识经济时代即将取代工业经济时代等。这些变化，必然会给公司内部审计提出更高的要求，尤其在风险极高的商业银行里。首先，人们应该改变传统的内部审计理念，将内部审计的目标定位提高，从保证经营者更好地履行其职责到帮助公司增加价值和提高经营效率。因此，内部审计的传统保证功能将被扩展到保证与咨询功能并存的范畴。其次，审计方法和技术应相应地得以完善，制度基础审计因其本身固有的局限性受到质疑，风险管理审计正在悄然兴起，其能帮助企业评价、控制风险。IIA主席杰奎特指出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理和公司治理，我们正开始认识风险管理是我们事业的推动力。”（2）公司战略管理要求企业开展风险管理审计。管理学家约翰伯恩认为，战略管理是当今最为重要的管理问题。战略管理趋向于动态战略和弹性战略，没有哪一个战略能拥有长期竞争优势。企业必须及时分析可能的机遇，消除可能的风险，不断改变其战略。而战略决策本身就是最大的风险因素，战略决策出现错误，对公司来说将是灾难性的。风险管理审计介入到战略管理层面，可以为决策提供可靠的信息和建议，增加信息源的宽度和质量，以支持公司战略决策的有效性。同时，由于公司的战略管理层的董事会工作重心从雇用、监督高级管理者转向支持有效的决策和纠正错误的决策上来，但须以全面、准确的信息为依托，由于董事会和经理之间存在信息不对称，因此仅靠管理层提供的信息是不可行的，那么，风险管理审计机构就应承担起向战略设计者反馈真实信息的责任和义务。（3）“增加价值”服务理念要求塑造企业风险管理审计模式。由于世界经济环境的变化，科技的飞速发展都给企业带来了挑战，传统的企业运行机制和组织体制难以适应市场环境变化，出现了效率低下、组织僵化、机构臃肿、缺乏弹性的“大企业病”。在此背景下“企业流程再造”理论应运而生。从业务层面重新审视现有的管理实践，提出“面向未来，着眼于创造价值的管理”。原来的内部审计所进行的仅仅是事后的评价和反馈，不能满足时代要求，需要变革。将内部审计的审计对象与企业目标直接联系，并将事后反馈延伸到事前和事中。通过开展咨询性服务帮助企业控制风险为企业增加价值服务。风险管理审计目的就是帮助管理当局解决在经营管理过程中遇到的问题，评估经营风险，控制或降低风险，提供实现企业目标的各种可行建议。（4）满足新巴塞尔资本协议，商业银行需强化风险管理审计。风险管理审计要改变内部审计人员对于控制与风险的思考，使内部审计人员关心企业的目标和风险，使审计报告的重点移到目前和未来的规划，把目前的经营管理控制同计划、策略和风险评估结合起来。风险管理审计属于开放式模型，审计人员在开始一项审计业务时，必须首先评估审计风险，并把它作为审计质量要求的出发点和归宿点，做审计过程控制的依据。在新巴塞尔资本协议下，面对复杂的国内外金融环境，每个商业银行首先要规范经营，内部审计有责任进行风险管理审计，使商业银行满足银行业的监管要求。其次，通过内部审计有价值的咨询活动，促进银行提高风险管理能力，控制或减少金融危机，才能实现企业的价值增值。

（二）新巴塞尔资本协议对商业银行风险管理审计的要求 国际清算银行（BIS）于1988年首次引入了面向金融服务行业的监管资本标准。1988年的巴塞尔资本协议获得10大工业国中央银行的一致同意，从而将通用最低资本标准应用到其各个银行。2004年巴塞尔银行监管委员会发布了《统一资本计量和资本标准的国际协议：修订框架》，2006年巴塞尔委员会将1988年旧协议未改动部分、1996年关于市场风险的修订协定以及2005年关于新资本协议如何运用于实务的修订相结合，颁布了新资本协议。新资本协议的设计目标是要提高银行对风险的敏感程度，利用最低资本要求、监督检查和市场纪律（包括资本充足率要求、外部监管和市场约束）促进银行提高风险管理能力，增进金融体系的安全与稳健。其实质是为了完善与补充单个国家对商业银行监管体制的不足，减轻银行倒闭的风险与代价，是国际商业银行联合监管的最主要形式，具有很强的约束力。新巴塞尔协议了提出具体可行的监管标准，使之更加适合银行业的监管实践，被誉为国际金融风险环境下世界各国银行所遵循的“神圣条约”。新巴塞尔资本协议的出台标志着全面风险管理理念和方法在商业银行的引进和实施。2005年巴塞尔委员会的13个成员国和25个欧盟成员国已经承诺于2007年初实施新资本协议。目前包括中国银行、工商银行、建设银行等大型国有商业银行和业务活跃、国际业务比较大的交通银行、浦发行等7家银行已经被我国银监会选定作为2010年首批合规的银行，必须在2010年开始符合巴塞尔资本协议的新要求。根据银监会的规定，上述银行在经批准的情况下，可暂缓实施新资本协议，但最晚不得迟于2013年底。实施新资本协议的号角已经吹响，如何运用新协议提出的全面风险管理理念，确保我国商业银行风险管理体系合理有效运行，使其在竞争中立于不败之地，是我国商业银行风险管理审计面临的重大课题。新资本协议涉及到具体内部审计的有6条，主要内容简列如下：NO.136.在银行内部的审计的程序中，应经常对风险计量系统进行独立评估。NO.461.如果依赖监督和控制系统来限制信用风险，银行应该有一个有效的内部过程来评估是否遵守所有关键的政策和程序。NO.463.银行必须有一个健全的体系发挥作用，来验证评级体系、过程和估计所有相关风险要素的准确性和一致性。NO.620.为具备使用标准法和高级计量法的资格，银行必须至少符合监管当局以下规定：银行的董事会和高级管理层适当积极参与操作风险管理框架的管理；银行的风险管理系统概念稳健，执行正确有效；有充足的资源…NO.689.健全的资本评估应包括以下基本要素：确保银行识别、计量和报告所有实质性风险的政策和程序；将风险水平与资本联系在一起的程序；根据银行的战略重点和业务计划，设定与风险轮廓相符的资本充足率目标的程序…NO.702.银行内部控制结构是资本评估程序的基础。对资本评估程序的有效控制，包括独立检查和在适当情况下安排内部或外部审计。这六点明确要求我们必须完善和强化商业银行风险管理审计。

二、我国商业银行风险管理审计体系构建

（一）加强商业银行风险管理文化建设 加强商业银行风险管理文化建设，完善风险管理组织机构设置，构建风险管理审计环境。有效风险管理体系必须以先进风险管理文化培育为先导。风险管理审计部门需要确认风险管理部门是否通过持续宣传、培训、研讨，引导员工充分认识“银行经营风险的企业属性”，树立“风险管理本身寓于发展内涵”的科学发展观，确立“以资本对风险的约束为基础、业务增长与风险控制相适应、风险成本与风险收入相匹配”的风险管理基本原则。风险管理审计部门应协助风险管理部门让整个银行更新观念和认识，为科学风险管理机制的建立和有效运行做好思想和舆论准备，调动全体员工的积极性，能动参与风险管理。国有商业银行风险管理机构设置是风险管理审计环境不可忽视的内容，机构设置的合理性会直接影响到风险挖掘、控制的效率和效果。西方商业银行在风险管理机构设置方面基本上都是采用的类似“矩阵式”的、全面、分层次的风险管理模式。针对我国国有商业银行风险管理部门，可在总行设首席风险经理，由副行长或副行长级高级管理人员担任，负责对全行各种风险的通盘控制和管理，监控各种可能对全行业务发展有重大影响的风险。在首席风险经理领导下，各主要业务领域也都设有一个首席风险经理，并设一个称为首席风险经理办公室来支持其工作。各地区和业务部门可设自己的高级风险经理，在业务领域的首席风险经理领导下开展工作，再往下依此类推。风险经理和业务经理平行作业，各司其职，互相支持。为便于集体决策，总行和大区分行一般都会设风险管理委员会，总行的风险委员会由总行的首席风险经理任委员会主任，成员包括行长、副行长、财务总监、营运总监和各主要业务领域的负责人。

（二）构建商业银行风险管理审计机构 风险管理审计是内部控制和风险管理运行的制度要求，构建我国商业银行风险管理审计组织机构。对于一个现代企业来讲，内部控制和风险管理是企业治理层的工具，属于公司治理机制的核心。无论按照“内部控制整体框架”或是“全面风险管理整合框架”来构建自身的内部控制和风险管理框架，都内生存在“监督”环节。监督是对内部控制和风险管理系统有效性进行评估的过程，可以通过持续性监督、独立评估来实现，但都可能会出现“不识庐山真面目，只缘身在此山中”的情况，因此，需要特设的一个制度安排——风险管理审计，由直接隶属于董事会的审计部门组织实施，以落实内部控制和风险管理的各个环节的自我评价为基础的专门的审计活动，并且利用咨询意见，在战略层面上为董事会提供发现、防范并纠正自身战略风险的意见。因此，在公司内部治理框架中，风险管理审计成为内部控制和风险管理运行中的内生和外生相协调的制度安排，其内生性表现在风险管理审计本身是内部控制和风险管理中“监督”环节所要求的独立评估部分；其外生性体现在风险管理审计是特设的制度安排，直接隶属于董事会的内部审计部门实施，来保证内部控制和风险管理在不断修正中有效运行。所以，内部风险管理审计必须以企业内部控制和风险管理的自我持续评估为基础，站在战略高度，把握全面风险，来对整个公司内部治理的全过程以及各个层面实施监督。

（三）构建商业银行风险管理审计队伍 发挥风险管理审计的作用必须依靠高素质的内部审计人员。因此，加强审计队伍的建设，提高风险管理审计人员的素质，是提高商业银行内部风险管理审计工作的水平，发挥商业银行风险管理审计职能的重要保障措施。首先，提高内部风险管理审计人员的思想道德素质和职业道德素质，各商业银行应严格按照中国内部审计师协会发布的《内部审计人员职业道德规范》来要求本行的内部审计人员，并根据商业银行本身经营业务的特殊性，设立专门针对商业银行内部审计人员的职业道德准则；建立激励约束机制，对内部审计人员的工作和业绩进行监督、考评，充分调动内部审计人员的积极性，激发内部审计人员的责任感，从而自觉地约束自己的行为，自觉地提高自身的思想道德素质和职业能力素质。其次，要提高内部风险管理审计人员的业务素质，积极推行内部审计人员持证上岗制度，提高行业准入资格门槛，提高内部审计队伍的专业化程度，在保证内部审计人员专业素质的同时，要扩大内部审计队伍，吸收更多的专业人才；最后，提高沟通技巧，与被审计者进行有效的沟通，改善商业银行的内部风险管理审计的人际关系环境，使商业银行内部风险管理审计充分发挥它的“服务者”角色。

（四）构建商业银行风险管理审计流程 对于银行风险管理部门来说，必须完善企业风险管理过程，这个管理过程越顺畅，细节构造越完善，全面风险管理体系的效率就越高。一般来说，我国商业银行可将风险管理过程划分为七大模块，即风险文化、风险管理目标设定、风险识别、风险综合评估、风险处理、风险及管理信息披露、风险管理评价。那么，内部审计师为在从总体上对风险管理过程适当性发表意见，参考IIA实务公告，我国商业银行风险管理审计流程可以这样构建：第一，风险管理环境分析，评价商业银行考虑到所面临的风险环境的各个方面是否完整、考虑到风险环境因素的变化发展是否充分、对风险环境的分析是否恰当；第二，风险管理目标设定评价，各类目标在设定时所依据的数据及报告经营业绩、盈利能力、财务报表及附注等是否可靠、相关部门对它们的理解是否准确，各类目标的设定是否合理；第三，全面风险识别评价，新巴塞尔资本协议将资本充足率与信用风险、市场风险及操作风险挂钩，构建了资本充足率指标与银行风险管理水平之间的有机联系。风险管理审计不仅要审查银行监管资本充足率是否满足新协议的规定，更重要的是确保银行风险轮廓勾勒的完整性，保证所有可能发生的重大风险均已被识别与管理；第四，综合风险评估方法评价，风险管理审计需要对风险评估结果的恰当性进行再检验，如评价风险评估所依赖的数据是否准确可靠、评价对风险的可能性和影响的估计是否合理等等；第五，风险应对策略评价；第六，风险及管理信息披露评价，确定风险管理部门是否对已识别风险在整个银行内部进行恰当的通报传递、是否完整的披露了应引起银行各个部门重点关注的潜在风险；第七，风险管理评价，对银行规章制度、风险识别、评估及处置情况进行总体衡量，对其执行情况和达到的效果进行评价，并监测整个过程中是否存在问题，对存在问题的部门和环节集合成风险管理审计报告，送交风险管理部门、审计委员会及董事会。

［1］巴曙松、牛播坤、向坤：《巴塞尔新资本协议实施路径的国际差异比较及其发展趋势》，《国际金融研究》2006年第4期。

［2］党均章、王庆华：《次贷危机中重新审视银行风险管理》，《银行家》2008年第11期。

［3］李晓慧：《风险管理审计：一个重要的制度安排》，《现代会计与审计》2007年第12期。