2004年巴塞尔银行监管委员会发布了《统一资本计量和资本标准的国际协议：修订框架》，简称新巴塞尔资本协议，该协议于2005年进行了一次修订。2006年巴塞尔委员会将1988年旧协议未改动部分、1996年关于市场风险的修订协定以及2005年关于新资本协议如何运用于实务的修订相结合，颁布了新资本协议的综合版本。新协议的设计目标是要提高银行对风险的敏感程度，利用最低资本要求、监督检查和市场纪律(资本充足率要求、外部监管和市场约束)促进银行提高风险管理能力，增进金融体系的安全与稳健。2005年巴塞尔委员会的13个成员国和25个欧盟成员国已经承诺于2007年初实施新资本协议。

　　2007年是我国金融业对外资全面开放的第一年，面对“与狼共舞”的时代，中资机构的风险管理能力面临着巨大的挑战和考验。2007年中国银行监督委员会发布了《中国银行业实施新资本协议指导意见》，提出了实施新资本协议的范围、方法和时间表。实施新资本协议的号角已经吹响，如何运用新协议提出的全面风险管理理念，确保商业银行风险管理体系合理有效运行，使商业银行在竞争中立于不败之地，是我国商业银行内部审计面临的重大课题。

　　一、新资本协议框架对商业银行内部审计的要求

　　新巴塞尔资本协议全文826条，涉及内部审计的有9条，分别是：165条、410条、443条、498条、620条、662条、666条、718条、744条。为了强调董事会、高管层以及内部审计师在内部控制、风险计量和合规性方面的责任，巴塞尔银行监管委员会还颁布了一份极具操作性的文件一《银行内部审计师、监管当局与审计师的关系》(以下简称关系报告)。该报告突出强调了银行机构内部审计工作的重要性。以及银行监管者与银行内、外部审计师进行合作的必要性。为配合新资本协议的顺利实施，指导银行改革进程，巴塞尔银行监管委员会与各国银行监管部门合作修订了银行健全谨慎监管的标准——《有效银行监管的核心原则》(以下简称新核心原则)。新核心原则规定了有效监管体系应遵循的二十五条原则，充分体现了自1997年《核心原则》颁布以来金融市场和监管实践的变化，以及在不同国家的进展状况、水平不一的现实，得到大多数国家的认可。截至2006年10月，已经有100多个国家采用了新核心原则的评价方法。新核心原则对商业银行内部审计也提出了详细的要求，它与新资本协议、关系文件相配合构成新巴塞尔协议框架，共同指导内部审计在银行风险管理实务中发挥应有的作用。新巴塞尔资本协议的主要精神在于健全银行风险管理，而非局限于资本计提，故银行必须建立良好的风险管理制度，并发展更具效率的风险管理技术来监督及管理其风险。内部审计亦须提升其自身专业素养，并拟定有效的审查措施促进银行提高风险管理水平。

　　(一)内部审计范围扩展至风险管理领域

　　自1999年国际内部审计师协会(IIA)颁布内部审计新定义之后，人们开始关注内部审计在风险管理方面的作用。内部审计如何参与风险管理活动，实现价值增值成为人们关注的焦点。商业银行与一般企业相比具有更高的风险，更需要内部审计范围从传统财务审计扩展至风险管理领域。新巴塞尔协议将资本充足率与银行有效管理各类风险的能力相挂钩，使之更全面、敏感地反映商业银行面临的各种风险。为有效发挥资本充足率在风险监管中的作用。激励商业银行改进风险管理水平，需要内部审计参与资本充足的评估活动，确保银行持有与其风险管理水平相对应的资本。新协议在第744条提到，银行内部控制是资本评估程序的基础，在适当的情况下内部审计应参与资本评估程序的独立检查。

　　与新巴塞尔协议相呼应，新核心原则也对风险管理审计提出了要求。在“原则7：风险管理程序”中提到，监管者要求较大或综合性较强的银行设置专门的部门来负责风险评估、风险监督、控制或降低实质性风险；监管者要证实这些部门定期接受内部审计检查；而内部审计部门须采用适当的方法识别银行的实质性风险，并以风险评估来制定审计计划和配置审计资源。“关系报告”中明确内部审计的范围包括：检查和评价内控体系的适当性和有效性；审查风险管理流程和风险评估方法的适用性和有效性；审查与预期风险相关的银行资本评估系统；测试各种交易及其内控程序的运行情况；审查应合规要求和政策程序的执行要求而建立的各项制度；监测向监管当局提交报告的可靠性和及时性等。新资本协议框架已要求内部审计的触角延伸至风险识别、评估、控制等诸多领域。我国银监会印发的《银行业金融机构内部审计指引》也明确提出内部审计须通过系统化和规范化的方法审查评价并改善银行业金融机构经营活动、风险状况、内部控制和公司治理效果，促进银行业金融机构稳健发展。

　　(二)加强与监管者、外部审计间的交流与合作

　　新巴塞尔资本协议为银行提供了多种计算风险加权资产的方法，在为银行提供更大选择空间、鼓励银行采用更加敏感的风险衡量方式的同时，也加大了监管成本与审计成本。由于监管当局和外部审计师对银行的风险管理状况了解有限，若缺乏全面了解银行的风险管理水平，仅从账面的资本充足率很难判断银行的健康与否。为此巴塞尔委员会颁布了《银行内部审计、监管当局与审计师的关系》以及《关于银行内部审计及监管者与审计师关系的调查》两份报告，旨在监管者、外部审计与内部审计之间形成有效的对话机制，以便及时发现问题，采取果断措施降低风险或补充资本。

　　“关系报告：原则18”要求，监管者、外部审计师和内部审计师相互合作，定期举行三方会议，能提高各方的工作效率和效果。巴塞尔委员会认为，在有些国家，这种合作建立在监管当局和内、外部审计师之间举行定期会议的基础上；监管者可以考虑让高管层适当地参加这些会议，会上，每一方都会提供共同感兴趣领域的信息，并对将要检查的领域和工作时限给予特别关注；而且，所有三方都会讨论机构对内、外部审计师整改建议的执行情况。

　　在与银行监管者的交流合作方面，“关系报告：原则13”认为，银行内部审计师的工作有助于银行监管者，因此监管者应当评价内审部门的工作，如果满意，即可信赖该部门来识别潜在的风险领域。具体说，监管者可能采取许多方法来评价内部控制的质量。其中包括评价内审的质量，如果监管者对内审工作满意。就可采纳内部审计报告作为识别银行的控制问题、或识别审计师最近未审查的潜在风险领域的主要途径。“关系报告：原则14和15”认为，银行监管者应与每家银行的内部审计师定期进行磋商。来讨论已识别的风险领域和已采取的措施，并提倡监管者与被监管银行内审部门负责人就政策问题经常展开讨论。如各家银行内审部门负责人一起，就共同关心的问题与监管当局进行磋商。

　　在与外部审计的交流合作方面，“关系报告：原则14和16”提倡监管当局鼓励内、外部审计师进行磋商，以使合作尽可能有效率、有效果，监管当局也会与内部审计讨论银行内审部门和外部审计师间的合作范围：(1)通常内部审计对外部审计在决定审计程序的特征、时间和范围方面有所帮助，但外部审计师对财务报告的审计意见承担完全责任。外部审计师应当获知相关内部审计情况。并通过一定的渠道接触相关内部审计报告，了解内部审计师发现的、可能影响外部审计师工作的重大事项。同理，外部审计师通常会告知内部审计师任何可能影响内部审计的重大事项。(2)内审部门负责人应确保内部审计工作不会与外部审计工作发生不必要的重复。双方审计工作协调的内容包括定期召开会议讨论共同关心的问题，交换审计报告和管理建议书，在审计技巧、审计方法和审计术语方面达成共识。

　　(三)强化与董事会、高管层的协调与沟通

　　在风险管理体系中，银行高管层、董事会、内部审计承担着不同的责任。高管层应负责建立一套流程，用于识别、计量、监督、控制银行承担的风险。高管层应至少每年向董事会报告一次内部控制体系和资本评价程序的覆盖范围与运行情况(关系报告：原则2)。董事会对确保高管层建立和维护充分有效的内部控制体系、风险评估计量体系、风险资本体系、合规监控体系承担最终责任。董事会应至少每年对内控体系和资本评估程序进行一次审查(关系报告：原则1)。内部。审计可以为银行制定的政策及流程是否适当与合规提供独立的评估，因此内部审计是持续监控银行内控体系及内部资本评估程序的一部分。这样内部审计才能支持高管层和董事会高效地履行上述职责并取得成效(关系报告：原则3)。

　　尽管内部审计与高管层、董事会在风险管理中的职能和责任不同，但工作领域和范围却有所交叉和重复。巴塞尔委员会2002年的调查报告显示，被调查银行的审计章程由董事会制定，内部审计的年度审计计划由董事会或高管层审查和批准。为确保银行所有关键风险能被识别与控制，提高工作效率，巴塞尔委员会在关系报告中提出多项措施加强内部审计与高管层、董事会间的协调沟通：(1)内审部门负责人应有权根据各家银行在其审计章程中界定的规则，自主地决定在合适的时候直接与董事会、董事会主席、审计委员会(如果有的话)成员进行沟通；(2)高管层应保证内审部门能完全了解银行最新发展情况、业务创新以及产品和操作方面的变化，以确保尽早识别所有相关的风险；(3)内部审计应将所发现问题记录审计报告，并将其递交给高管层与董事会或审计委员会，高管层应确保内审部门关注的问题得到恰当的处理和落实；(4)内审部门应追踪检查所提整改建议是否得到执行，根据公司治理结构的不同，整改情况应至少每半年与高管层、董事会或者审计委员会(如果有的话)进行一次沟通。

　　二、全面风险管理(overall risk management)审计

　　2004年COSO委员会提出了《企业风险管理的整体框架》(简称ERM框架)，从企业的四个目标、八大要素、各个层级三个维度为全面风险管理构建了立体的框架。如果说ERM框架是企业全面风险管理的里程碑，那么新协议的颁布则为银行业的全面风险管理翻开了崭新的一页。与旧协议相比，新巴塞尔协议拓展了风险的范畴，将市场风险和操作风险纳入资本充足率的计算公式中，更加注重对各种风险进行全面管理。银行风险管理水平不同，所需最低监管资本也不同，这就提高了监管资本对风险的敏感度，促使商业银行在资本金的硬约束下加强全面风险管理，提高基于风险的决策。

　　国务院国有资产监督管理委员会于2006年颁布的《中央企业全面风险管理指引》明确规定，具备条件的企业可建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。内部审计部门作为全面风险管理的最后一道防线，面临着巨大的挑战：如何将全面风险管理理念贯穿于风险管理审计的全过程。对银行内各个业务层次、各种类型风险进行通盘审查监督，同时考虑到银行不同经营单位和产品线风险的相关性，统一地而不是分离地对风险进行监控。

　　全面风险管理是指银行围绕总体经营目标，对整个银行内各种风险纳入统一管理的范畴，并将承担这些风险的各业务单元纳入到统一的管理体系中，对各类风险进行统一的控制和管理。它主要包括三层含义：(1)全方位的风险管理，即全面风险管理要涵盖全部的风险因素，包括信用、市场、操作风险等，并对这些风险因素从机构整体的角度进行整合；(2)全面的风险管理过程，即全面风险管理是一个过程，不是一项独立的管理活动，是渗透到银行经营管理活动中的一系列行为；(3)全组织上下的风险管理，即全面风险管理是一个由企业的董事会、管理层和其他员工共同参与的活动，须在全组织上下达成一致认识，明确各部门在风险管理中的职责，强调全员风险管理。相应地，全面风险管理审计可从全方位风险管理审计、风险管理过程审计和风险责任审计三个方面进行。

　　(一)全方位风险管理审计

　　新巴塞尔协议首次将由内部程序、人员、系统或外部事件引致的操作风险纳入到资本要求框架，这使得巴塞尔协议所覆盖的风险范围由1988年的信用风险和1996年的交易账户市场风险进一步扩展到金融机构全面风险。新协议将资本充足率与信用风险、市场风险及操作风险挂钩，构建了资本充足率指标与银行风险管理水平之间的有机联系，该联系表现为：在其他因素不变的前提下，风险管理水平越高，风险加权资产越小，资本充足率越高。但银行的风险远不止信用风险、市场风险和操作风险，还有资本充足率涉及但没有完全覆盖的风险(如贷款集中风险)；资本充足率未考虑的风险如流动性风险、战略风险、声誉风险及经营风险等；此外银行的外部因素如经济周期的交替变更，利率、汇率的波动等都会影响银行的风险。全方位的风险管理要求将银行面临的所有风险纳入管理范畴。作为内部审计不仅要审查银行监管资本充足率是否满足新协议的规定，更重要的是确保银行风险轮廓勾勒的完整性，保证所有可能发生的重大风险均已被识别与管理。

　　为便于计算与监管，新协议中资本充足率的分母是风险资产的简单加权平均，其隐含的假设是风险之间是线性相关的，这不符合银行实际情况，难以准确反映银行风险的数量特征，也难以从中判断银行真实的风险管理状况。全方位的风险管理要求银行对风险进行整合，即考虑各类风险之间的相关性，从银行整体层面对风险进行整合。巴塞尔委员会在关系报告中提到：内审部门应将银行在其所有实体中的活动作为一个整体来检查和评价，因此内部审计不应受银行内部业务部门划分、风险分类的局限，应充分考虑风险事件之间的相关性，以风险组合的观念审查银行是否从机构整体的角度全盘考虑、统一规划各种风险，整合风险的技术与工具使用是否恰当，整合后的总风险是否在银行的风险偏好范围内。以风险组合的观点进行全方位风险管理审计可以防止两种倾向：一是业务单元、分支机构的风险处于风险偏好可承受 能力之内，但总体风险水平超出银行的风险承受限度；二是个别投资组合、业务单元、分支机构的风险暴露超过其限度，但总体风险水平还未超出银行的承受范围，因为风险之间的相关性可能产生抵消的效果，此时还有进一步承受风险争取更高回报与成长的空间。

　　(二)风险管理过程审计

　　在coso委员会的ERM框架中提到，全面风险管理是一个过程，这个过程受董事会、管理层和其他员工的影响，从企业战略制定一直贯穿到企业的各项活动中，用于识别可能影响企业的潜在事件并管理风险，使之在企业的风险偏好范围内，从而合理保证企业目标的实现。全面风险管理有八个要素，涵盖了风险管理过程的每个阶段，即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通以及监控。这八个要素是相互联系的。风险管理环境是风险管理其他要素的基础，它造就了一个组织的气氛，影响着一个组织中人员的风险意识；目标设定是银行有效进行事件识别、评估风险、应对风险的前提，全面风险管理的八个要素都是为目标服务的；风险识别是风险评估与风险控制的依据，风险识别的完整性与风险评估的精确性决定着风险对策选择的准确性；控制活动是保证风险对策有效实施的政策和程序；风险信息处理和报告是保障银行全面实施风险管理的媒介，风险管理的各项活动都要形成风险信息并通过风险报告机制在组织上下传递；监控是对企业风险管理的整个过程的监督，是风险管理目标实现和风险管理流程有效运行的保障。

　　在全面风险管_理审计中，内部审计须跳出风险管理部门之外，以独立角度审查风险管理八要素的运作，对风险管理过程进行较为全面的评价。首先分析风险管理环境，判断银行价值取向、风险偏好、管理风格、风险管理组织结构、风险管理文化等的合理性；接着审查管理者设定的目标与企业的风险偏好是否一致；而后识别影响企业目标实现的内外部事件，包括正面事件与负面事件，即机会与风险。对于机会。分析管理者是否及时利用，并据以调整策略，以达到经营和获利目标。对于风险，审查管理者是否已准确识别、合理评估并采取了适当的风险对策将风险控制在风险容忍度内。此外内部审计可根据风险的重要性，有选择地抽取几笔业务，按照风险管理的程序进行穿行测试，并将其结果与风险管理部门的结果相比较，以判断风险管理八要素的合理性与有效性。

　　(三)风险责任审计

　　虽然新巴塞尔协议将银行风险分为信用风险、市场风险及操作风险三大类，但这三类风险不是互不相关的，而是具有一定的互动关系。如市场利率汇率的提高可能增加企业的债务负担，引发信用风险；信用风险中的贷放损失可能是由于核贷过程中缺乏严谨的内部控制程序导致的。信用风险、利率风险和操作风险往往夹杂在一起，共同影响银行的经营。许多金融机构陷入经营困境的主要原因，不再是信用风险或者市场风险等单一风险，而是由信用风险和市场风险等联合造成(巴曙松，2003)，因此全面风险管理需要组织从上到下的共同配合与参与。内部审计应通过风险责任审计，审查风险管理过程中职责划分是否明确：哪些部门负责制定计划，哪些部门负责决策，哪些部门负责将计划决策贯彻落实，是否都有明确的规定；审查职责划分是否合理：是否在银行的总体战略规划指导下进行职责划分，风险管理过程中是否存在真空地带与重复管理地带；审查各层级员工在风险管理过程中是否清楚理解其承担的职责，选择正确、有效的风险管理策略；评价银行的绩效考核体系是否有利于部门之间的协调与配合，促进全面风险管理模式的贯彻实施，避免政出各门，各处为政的现象。

　　三、信用风险管理审计

　　信用风险是指因交易对手无法履行义务致使银行遭受损失的风险。在计量信用风险时，新资本协议允许银行在两种方法中任选一种。一种是标准法，根据外部信用评估如标准作为信用评级的结果来计量信用风险。另一种是内部评级法，允许银行用内部信用评级系统来计量信用风险，但必须经过银行监管当局的明确批准(新资本协议第50、51条)。

　　标准法的全面使用需要有合格的外部评级机构为基础。短期内国内评级机构尚达不到新资本协议第91条规定的六条标准，而拥有国际三大评级机构评级(包括主动评级和被动评级)的国内企业(包括银行)不足百家(罗平、冯文博，2006)。绝大多数借款人没有外部评级的现状为标准法在我国的推广实施增加了一定的困难。新资本协议最主要创新之一就是提出了信用风险的内部评级法，符合条件的银行可以根据自身对风险要素包括对违约概率(PD)、违约损失率(LGD)、违约风险暴露(EAD)及期限(M)的估计来决定特定暴露的资本要求(第211条)。我国的金融市场是“银行为中心，资本市场、保险市场为辅”的格局。在银行主导型金融体系下，银行在发放贷款的过程中掌握了大量的企业内部信息，相对市场而言，银行在内部评级方面具有较强的信息优势(巴曙松等，2006)。我国银监会明确提出现阶段应以信贷业务为重点推进内部评级体系建设，达到监管要求并经银监会批准的银行应采用内部评级法计算信用风险资本。

　　内部评级法中风险要素的估计需要加入大量的主观判断和经验法则，在判断的过程中带有一定的主观因素和个人偏好，因此需要内部审计对内部评级系统的合理性加以评价，以保证信用风险管理的有效性。新协议第443条要求：在内部评级法下，内部审计或与其功能相当的独立部门至少每年必须检查一次银行信用评级体系及其运行状况，包括信用功能的运作和对违约概率、违约损失率及违约风险暴露的估计；检查是否所有领域都已遵守适用的最低要求：内审必须记录检查的结果。

　　内部评级法的实施对内部审计提出了新的挑战。内部审计要了解内部评级系统的设计与操作，并对信用评级模型加以验证。受限于专业领域，内部审计要完全了解内部评级模型并非易事，尤其许多银行的内部评级模型仍在发展中，这增加了内部审计审核的难度。而不同银行在业务范围、数据来源、TT架构、信用风险管理流程、信用风险量化技术等方面都有很大的不同，内部审计很难完全照搬另外一家银行的成功经验。审查信用评级体系，验证评级系统所使用模型与数据的合理性是对内部审计的一大考验。

　　(一)内部模型审计

　　使用内部评级法评估信用风险需借助各种模型。新协议在“采用内部评级法的最低要求”中规定，可以由内部审计负责对内部模型所有要素进行定期独立的评审，包括模型修改的审批、模型参数的检查、模型结果的评审(如对风险计算结果的直接验证)。应评估模型参数与结果的准确性、完整性和适当性，发现并减少与已知缺陷相关的潜在误差，识别模型的未知缺陷(新协议第528条(b))。从内部评级模型在业务领域的全面运用到内部评级模型较为稳定、准确地预测未来需要较长的时间。随着内外部经营环境的变化，模型可能变得不再适用。因此除了上述新协议规定的评审程序外，内部审计还要审查银行是否 建立有效机制，保证模型随着环境的变化及时更新与调整。

　　(二)内部数据审计

　　在内部评级法中要使用大量的内部数据，内部数据的准确性与完整性直接影响着信用风险评级的结果。新协议第417条规定，银行必须建立有效的程序，审查输入违约或损失统计预测模型的数据，程序还包括对已经评级数据准确性、完整性和适当性的评估。由独立的内部审计部门审查内部数据，即能满足巴塞尔委员会的要求。

　　内部审计可从以下方面开展内部数据审计：审查数据规模是否足够大，观察期足够长，是否覆盖一个经济周期；管理人员是否对内部损失事件数据进行跟踪收集与记录；除了搜集借款人的财务数据，是否还有非财务数据，同一借款人的财务数据与非财务数据有无矛盾等。

　　四、操作风险管理审计

　　新巴塞尔协议首次将操作风险引入到风险管理框架中，这引起了国际银行业的广泛关注。操作风险是指由于不恰当或者失效的内部程序、人员、系统或外部事件所导致损失的风险。该定义包括法律风险，但不包括战略风险与声誉风险(新协议第644条)，不仅涵盖了业务操作方面的风险，而且包括了操作之外的系统风险；不仅考虑了内部程序、人员、系统等内部因素引发的操作风险，还考虑了外部事件所引发的操作风险以及法律风险。美联储(2005)调查问卷显示，操作风险管理状况不容乐观，在调查的23家银行中共发生了150万起操作风险损失事件，损失额高达259亿美元，平均每家银行一年的操作风险损失金额高达11.26亿美元。在这150万起事件中，大额损失事件(金额超过10000美元的事件)占1／3以上。此外不同银行在操作风险管理方面的能力存在着较大的差距，23家银行中有6家银行的大额损失事件数在250件以下，风险相对集中在4家银行，这4家银行的大额损失事件数超过2500件，占大额事件总数的71％，占大额损失金额的67％。

　　现阶段我国金融机构多将重点放在逾贷问题的处理与呆账冲销上，对操作风险的认识不足。不少银行将操作风险等同于内部控制风险，对操作风险的识别与控制能力不能适应业务发展的问题比较突出。为此银监会将防范操作风险提上日程，于2005年发布了《中国银行业监督管理委员会关于加大防范操作风险工作力度的通知》，要求各银监局高度关注银行业金融机构的操作风险问题，从多方面有效防范和控制银行操作风险。在通知中明确提出要“切实加强稽核建设，完善稽核体制，充实稽核力量”，可见内部审计在操作风险管理中的重要作用已得到了银监会的关注和认可。

　　(一)操作风险因素与操作风险监管原则

　　实务中导致操作风险增大的因素较多。在交易事项大量计算机化的情况下，若无严格的监控，可能会使手工处理的程序性错误转化为计算系统错误风险；网络交易的广泛应用，会引出许多新的难以完全监控的风险，如外部欺诈与系统安全问题；大规模的购并活动和跨组织战略联盟的建立，会导致银行系统的整合出现新的不适应；银行提供多种类、多产品的大量服务，需有一个坚强的内部控制系统和支援系统作后续维护；银行通常会采取降低风险技术来降低风险暴露，但可能派生出其他风险；银行外包作业的增加虽会降低部分作业的操作风险，但可能会派生出其他风险；银行内部控制、内部作业规范未能彻底贯彻落实，遂产生风险。针对这些因素，巴塞尔委员会提出监控操作风险的十项原则，其内容体现在建立健全有效操作风险管理的环境(三项原则)；风险管理的定义、评估、监督和控制(四项原则)；监督者在风险管理中所扮演的角色(一项原则)；充分披露相关的风险管理信息(一项原则)。

　　(二)操作风险识别审计

　　操作风险的识别是操作风险评估与控制的依据，操作风险识别的准确性与完整性决定着银行操作风险管理程序的顺利实施和操作风险的有效控制。巴塞尔委员会(2003)将操作风险事件分为七大类：内部欺诈(Intemal Fraud)，外部欺诈(External Fraud)，雇员活动和工作场所的安全问题(Employment Practices＆Workspaee Safety)，客户、产品以及经营活动(Client，Products＆Business Practices)，实物资产的损害(Dam－age to Physical Assets)，经营中断和系统出错(Business Disruption＆System failures)。涉及执行、交割以及流程管理的风险事件(Ex－ecution Delivery＆Process Management)。如何确保上述各类操作风险均已被识别，保证操作风险轮廓勾勒的完整性是银行内部审计面临的重大难题。Hare认为，为了从总体上管理企业风险，有必要完整列出企业(或部门)所面临的风险，只有完整列出潜在重要风险的清单，管理层才能确信那些威胁目标实现的因素已经得到了充分评估、合理抑制以及经济有效地管理。Andrew D.Bailey，Jr.(2002)等人认为，管理层及内部审计人员在确定任何有关风险的完整表单时，要富有创新精神。可以采用诸如依靠具有不同背景及专业技术的各种人员的“头脑风暴法”、猜想可能存在威胁的“情景假定”(Scenario building)之类的方法。笔者认为，在操作风险识别审计中可以风险管理人员制作的操作风险识别清单为基础，审查各类可能面临的重大操作风险是否列于操作风险识别清单上；评价操作风险识别清单的“超前性、预见性”，能否为预测银行操作风险提供依据。以操作风险识别清单为基础。便于内部审计顺藤摸瓜，查找潜在的操作风险是否均已识别。避免类似事件再次发生。

　　(三)操作风险计量审计

　　在新巴塞尔协议征求意见的过程中，操作风险的引入曾引起各国激烈的争论。每个金融机构面临的操作风险以及采用的操作风险管理策略与程序因机构特性与业务的不同而有相当大的差异。操作风险损失数据的缺乏为操作风险的量化增加了困难。新协议提供了三类操作风险计量方法，即基本指标法、标准法和高级计量法。其中高级计量法的风险敏感度最强，复杂程度最高，该计量方法的审计难度也最大。

　　高级计量法是指银行用定量和定性标准，通过内部操作风险计量系统计算法定监管资本(新协议第655条)。在高级计量法的稳健标准中指出，鉴于操作风险计量方法处于不断演进之中。巴塞尔委员会不规定用于操作风险计量和计算监管资本所需的具体方法和统计分布假设，但银行必须标明所采用的方法考虑到潜在严重的“尾部”损失事件(新协议第667条)。高级计量法赋予银行相当大的灵活空间，为了让高级计量法合理计量银行的操作风险，避免人为操纵，在采用高级计量法的定性标准中，新协议第666条(e)规定，银行的操作风险管理流程和计量系统必须定期接受内部和，或外部审计师的审查，且审查必须涵盖业务部门的活动和独立的操作风险管理职能。

　　高级计量法使用的数据可来源于内部也可来源于外部。多数采用高级计量法的银行将内部数据直接输入风险计量模型(美联储，2005)。用于计算监管资本的内部操作风险计量方法，必须以至少五年观测的内部损失数据为基础。如果是初次使用高级计量法，也可以使用三年的历史数据(新协议第672条)。但内部历史数据的适用性值得内部审计考证。我国正处于经济转轨时期，整体经济结构和法律制度都在发生变化，收集的历史数据是基于当时的环境背景，能否跟上环境的变化，能否适用于风险计量模型，作为预测未来的基础都值得内部审计人员关注。然而大多数银行面临着内部数据不足的问题，特别对于内部控制较好的大银行，低频高危事件的历史数据较少，必须用外部数据加以补充。大约有一半的机构在模型中直接采用外部数据，特别当一个特殊类型事件或产品线的数据库中没有足够的内部损失数据来为低频高强度的“尾部事件”建模时。就将外部数据引入模型(美联储，2005)。外部数据可以来自行业数据库以及监管部门的相关统计数据等。但操作风险损失在很大程度上是内生的，外部数据能否直接用于银行操作风险管理，外部数据与本银行潜在损失的相关性等问题值得内部审计深入研究。

　　新巴塞尔资本协议的颁发，扩展了银行风险管理的广度和深度，积极有效的风险管理遂成为创造企业价值的重要资产。商业银行内部审计面临着前所未有的机遇与挑战。一方面，原则导向的新协议为风险管理增添了“艺术”成分，这需要内部审计除了审核评价内部控制，还要在信用风险、市场风险、操作风险以及全面风险管理中扮演不可缺少的角色。另一方面，新协议在避免一刀切缺陷的同时，也加大了“人为操纵”的空间，内部审计须发挥职业判断，避免风险管理中带有过多的主观因素和个人偏好。面对各种复杂而先进的风险管理技术与复杂多变的银行风险状况，内部审计任重道远。在新巴塞尔协议时代，内部审计不能局限于传统的查错纠弊功能，而应积极施展建设或咨询服务功能，了解全面风险管理流程、掌握风险管理技术，尤其要掌握新金融产品和新风险管理技术的结合应用，这不仅能为银行创造更多的价值增值，而且可以提高银行的竞争力，实现银行迈向国际化、全球化的发展战略。