《新巴塞尔资本协议下银行风险管理审计》由会员分享,可在线阅读,更多相关《新巴塞尔资本协议下银行风险管理审计(9页珍藏版)》请在金锄头文库上搜索。
1、2004年巴塞尔银行监管委员会发布了统一资本计量和资本标准的国际协议:修订框架,简称新巴塞尔资本协议,该协议于2005年进行了一次修订。2006年巴塞尔委员会将1988年旧协议未改动部分、1996年关于市场风险的修订协定以及2005年关于新资本协议如何运用于实务的修订相结合,颁布了新资本协议的综合版本。新协议的设计目标是要提高银行对风险的敏感程度,利用最低资本要求、监督检查和市场纪律(资本充足率要求、外部监管和市场约束)促进银行提高风险管理能力,增进金融体系的安全与稳健。2005年巴塞尔委员会的13个成员国和25个欧盟成员国已经承诺于2007年初实施新资本协议。2007年是我国金融业对外资全面
2、开放的第一年,面对“与狼共舞”的时代,中资机构的风险管理能力面临着巨大的挑战和考验。2007年中国银行监督委员会发布了中国银行业实施新资本协议指导意见,提出了实施新资本协议的范围、方法和时间表。实施新资本协议的号角已经吹响,如何运用新协议提出的全面风险管理理念,确保商业银行风险管理体系合理有效运行,使商业银行在竞争中立于不败之地,是我国商业银行内部审计面临的重大课题。一、新资本协议框架对商业银行内部审计的要求新巴塞尔资本协议全文826条,涉及内部审计的有9条,分别是:165条、410条、443条、498条、620条、662条、666条、718条、744条。为了强调董事会、高管层以及内部审计师在
3、内部控制、风险计量和合规性方面的责任,巴塞尔银行监管委员会还颁布了一份极具操作性的文件一银行内部审计师、监管当局与审计师的关系(以下简称关系报告)。该报告突出强调了银行机构内部审计工作的重要性。以及银行监管者与银行内、外部审计师进行合作的必要性。为配合新资本协议的顺利实施,指导银行改革进程,巴塞尔银行监管委员会与各国银行监管部门合作修订了银行健全谨慎监管的标准有效银行监管的核心原则(以下简称新核心原则)。新核心原则规定了有效监管体系应遵循的二十五条原则,充分体现了自1997年核心原则颁布以来金融市场和监管实践的变化,以及在不同国家的进展状况、水平不一的现实,得到大多数国家的认可。截至2006年
4、10月,已经有100多个国家采用了新核心原则的评价方法。新核心原则对商业银行内部审计也提出了详细的要求,它与新资本协议、关系文件相配合构成新巴塞尔协议框架,共同指导内部审计在银行风险管理实务中发挥应有的作用。新巴塞尔资本协议的主要精神在于健全银行风险管理,而非局限于资本计提,故银行必须建立良好的风险管理制度,并发展更具效率的风险管理技术来监督及管理其风险。内部审计亦须提升其自身专业素养,并拟定有效的审查措施促进银行提高风险管理水平。(一)内部审计范围扩展至风险管理领域自1999年国际内部审计师协会(IIA)颁布内部审计新定义之后,人们开始关注内部审计在风险管理方面的作用。内部审计如何参与风险管
5、理活动,实现价值增值成为人们关注的焦点。商业银行与一般企业相比具有更高的风险,更需要内部审计范围从传统财务审计扩展至风险管理领域。新巴塞尔协议将资本充足率与银行有效管理各类风险的能力相挂钩,使之更全面、敏感地反映商业银行面临的各种风险。为有效发挥资本充足率在风险监管中的作用。激励商业银行改进风险管理水平,需要内部审计参与资本充足的评估活动,确保银行持有与其风险管理水平相对应的资本。新协议在第744条提到,银行内部控制是资本评估程序的基础,在适当的情况下内部审计应参与资本评估程序的独立检查。与新巴塞尔协议相呼应,新核心原则也对风险管理审计提出了要求。在“原则7:风险管理程序”中提到,监管者要求较
6、大或综合性较强的银行设置专门的部门来负责风险评估、风险监督、控制或降低实质性风险;监管者要证实这些部门定期接受内部审计检查;而内部审计部门须采用适当的方法识别银行的实质性风险,并以风险评估来制定审计计划和配置审计资源。“关系报告”中明确内部审计的范围包括:检查和评价内控体系的适当性和有效性;审查风险管理流程和风险评估方法的适用性和有效性;审查与预期风险相关的银行资本评估系统;测试各种交易及其内控程序的运行情况;审查应合规要求和政策程序的执行要求而建立的各项制度;监测向监管当局提交报告的可靠性和及时性等。新资本协议框架已要求内部审计的触角延伸至风险识别、评估、控制等诸多领域。我国银监会印发的银行
7、业金融机构内部审计指引也明确提出内部审计须通过系统化和规范化的方法审查评价并改善银行业金融机构经营活动、风险状况、内部控制和公司治理效果,促进银行业金融机构稳健发展。(二)加强与监管者、外部审计间的交流与合作新巴塞尔资本协议为银行提供了多种计算风险加权资产的方法,在为银行提供更大选择空间、鼓励银行采用更加敏感的风险衡量方式的同时,也加大了监管成本与审计成本。由于监管当局和外部审计师对银行的风险管理状况了解有限,若缺乏全面了解银行的风险管理水平,仅从账面的资本充足率很难判断银行的健康与否。为此巴塞尔委员会颁布了银行内部审计、监管当局与审计师的关系以及关于银行内部审计及监管者与审计师关系的调查两份
8、报告,旨在监管者、外部审计与内部审计之间形成有效的对话机制,以便及时发现问题,采取果断措施降低风险或补充资本。“关系报告:原则18”要求,监管者、外部审计师和内部审计师相互合作,定期举行三方会议,能提高各方的工作效率和效果。巴塞尔委员会认为,在有些国家,这种合作建立在监管当局和内、外部审计师之间举行定期会议的基础上;监管者可以考虑让高管层适当地参加这些会议,会上,每一方都会提供共同感兴趣领域的信息,并对将要检查的领域和工作时限给予特别关注;而且,所有三方都会讨论机构对内、外部审计师整改建议的执行情况。在与银行监管者的交流合作方面,“关系报告:原则13”认为,银行内部审计师的工作有助于银行监管者
9、,因此监管者应当评价内审部门的工作,如果满意,即可信赖该部门来识别潜在的风险领域。具体说,监管者可能采取许多方法来评价内部控制的质量。其中包括评价内审的质量,如果监管者对内审工作满意。就可采纳内部审计报告作为识别银行的控制问题、或识别审计师最近未审查的潜在风险领域的主要途径。“关系报告:原则14和15”认为,银行监管者应与每家银行的内部审计师定期进行磋商。来讨论已识别的风险领域和已采取的措施,并提倡监管者与被监管银行内审部门负责人就政策问题经常展开讨论。如各家银行内审部门负责人一起,就共同关心的问题与监管当局进行磋商。在与外部审计的交流合作方面,“关系报告:原则14和16”提倡监管当局鼓励内、
10、外部审计师进行磋商,以使合作尽可能有效率、有效果,监管当局也会与内部审计讨论银行内审部门和外部审计师间的合作范围:(1)通常内部审计对外部审计在决定审计程序的特征、时间和范围方面有所帮助,但外部审计师对财务报告的审计意见承担完全责任。外部审计师应当获知相关内部审计情况。并通过一定的渠道接触相关内部审计报告,了解内部审计师发现的、可能影响外部审计师工作的重大事项。同理,外部审计师通常会告知内部审计师任何可能影响内部审计的重大事项。(2)内审部门负责人应确保内部审计工作不会与外部审计工作发生不必要的重复。双方审计工作协调的内容包括定期召开会议讨论共同关心的问题,交换审计报告和管理建议书,在审计技巧
11、、审计方法和审计术语方面达成共识。(三)强化与董事会、高管层的协调与沟通在风险管理体系中,银行高管层、董事会、内部审计承担着不同的责任。高管层应负责建立一套流程,用于识别、计量、监督、控制银行承担的风险。高管层应至少每年向董事会报告一次内部控制体系和资本评价程序的覆盖范围与运行情况(关系报告:原则2)。董事会对确保高管层建立和维护充分有效的内部控制体系、风险评估计量体系、风险资本体系、合规监控体系承担最终责任。董事会应至少每年对内控体系和资本评估程序进行一次审查(关系报告:原则1)。内部。审计可以为银行制定的政策及流程是否适当与合规提供独立的评估,因此内部审计是持续监控银行内控体系及内部资本评
12、估程序的一部分。这样内部审计才能支持高管层和董事会高效地履行上述职责并取得成效(关系报告:原则3)。尽管内部审计与高管层、董事会在风险管理中的职能和责任不同,但工作领域和范围却有所交叉和重复。巴塞尔委员会2002年的调查报告显示,被调查银行的审计章程由董事会制定,内部审计的年度审计计划由董事会或高管层审查和批准。为确保银行所有关键风险能被识别与控制,提高工作效率,巴塞尔委员会在关系报告中提出多项措施加强内部审计与高管层、董事会间的协调沟通:(1)内审部门负责人应有权根据各家银行在其审计章程中界定的规则,自主地决定在合适的时候直接与董事会、董事会主席、审计委员会(如果有的话)成员进行沟通;(2)
13、高管层应保证内审部门能完全了解银行最新发展情况、业务创新以及产品和操作方面的变化,以确保尽早识别所有相关的风险;(3)内部审计应将所发现问题记录审计报告,并将其递交给高管层与董事会或审计委员会,高管层应确保内审部门关注的问题得到恰当的处理和落实;(4)内审部门应追踪检查所提整改建议是否得到执行,根据公司治理结构的不同,整改情况应至少每半年与高管层、董事会或者审计委员会(如果有的话)进行一次沟通。二、全面风险管理(overall risk management)审计2004年COSO委员会提出了企业风险管理的整体框架(简称ERM框架),从企业的四个目标、八大要素、各个层级三个维度为全面风险管理构
14、建了立体的框架。如果说ERM框架是企业全面风险管理的里程碑,那么新协议的颁布则为银行业的全面风险管理翻开了崭新的一页。与旧协议相比,新巴塞尔协议拓展了风险的范畴,将市场风险和操作风险纳入资本充足率的计算公式中,更加注重对各种风险进行全面管理。银行风险管理水平不同,所需最低监管资本也不同,这就提高了监管资本对风险的敏感度,促使商业银行在资本金的硬约束下加强全面风险管理,提高基于风险的决策。国务院国有资产监督管理委员会于2006年颁布的中央企业全面风险管理指引明确规定,具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道
15、防线;内部审计部门和董事会下设的审计委员会为第三道防线。内部审计部门作为全面风险管理的最后一道防线,面临着巨大的挑战:如何将全面风险管理理念贯穿于风险管理审计的全过程。对银行内各个业务层次、各种类型风险进行通盘审查监督,同时考虑到银行不同经营单位和产品线风险的相关性,统一地而不是分离地对风险进行监控。全面风险管理是指银行围绕总体经营目标,对整个银行内各种风险纳入统一管理的范畴,并将承担这些风险的各业务单元纳入到统一的管理体系中,对各类风险进行统一的控制和管理。它主要包括三层含义:(1)全方位的风险管理,即全面风险管理要涵盖全部的风险因素,包括信用、市场、操作风险等,并对这些风险因素从机构整体的
16、角度进行整合;(2)全面的风险管理过程,即全面风险管理是一个过程,不是一项独立的管理活动,是渗透到银行经营管理活动中的一系列行为;(3)全组织上下的风险管理,即全面风险管理是一个由企业的董事会、管理层和其他员工共同参与的活动,须在全组织上下达成一致认识,明确各部门在风险管理中的职责,强调全员风险管理。相应地,全面风险管理审计可从全方位风险管理审计、风险管理过程审计和风险责任审计三个方面进行。(一)全方位风险管理审计新巴塞尔协议首次将由内部程序、人员、系统或外部事件引致的操作风险纳入到资本要求框架,这使得巴塞尔协议所覆盖的风险范围由1988年的信用风险和1996年的交易账户市场风险进一步扩展到金融机构全面风险。新协议将资本充足率与信用风险、市场风险及操作风险挂钩,构建了资本充足率指标与银行风险管理水平之间的有机联系,该联系表现为:在其他因素不变的前提下,风险管理水平越高,风险加权资
