第一部分：本文的目的与背景审计的发展主要经历了账项基础审计、制度基础审计、风险导向审计三个阶段。目前，风险基础审计（即风险导向审计）已成为主流的审计方法。对于风险导向审计来说，审计计划阶段需对固有风险进行量化评估，识别重要的风险领域，从而决定重要的审计范围。换句话说，在风险导向的审计模式下，应按照风险水平的高低确定审计资源分配的优先级。因此，各审计对象领域风险水平的量化和评估在风险导向审计中至为重要，这是风险导向审计的基础和前提。然而，据笔者了解，对于银行内部审计来说，目前审计计划和风险评估尚停留在主要为定性分析的水平上。定性分析的方法存在以下不足之处：方法过程与模型逻辑缺乏支持依据；涉及到大量的个人判断，在很大程度上依赖于个人的经验和估计，甚至是直觉。不同内审人员完全可能得出不同的结论，无法标准化；对于整体风险水平评估结果相同的审计对象领域，无法继续比较和确定审计资源分配的优先级。本文拟在内部审计的审计计划和风险评估阶段引入操作风险计量的概念和方法，在操作风险事件历史数据库的基础上建立风险评估模型，得出量化评估结果。当然，在建模过程中会存在一定的定性因素，但模型建立之后，风险评估和审计计划过程将能够实现可计算、可比较、标准化，甚至自动化。本文之所以关注操作风险计量，而非其他风险或风险集合，是由于内部审计与操作风险的特性。操作风险与信用风险和市场风险相比，具有内生性和可控性的特点。根据国际内部审计协会的实务公告，内部审计的对象是“流程”和“控制”。若组织设立的流程和控制失效，风险将由此而生。换句话说，内部审计只能面向可以通过完善“流程”和“控制”而降低的风险。由于操作风险具有内生性和可控性的特点，而信用风险和市场风险更多来自外部，因而内审人员应重点关注操作风险，尤其是因控制缺失而可能导致损失的风险。这并不意味着，内审人员无视信用风险和市场风险。对于内审人员来说，其审计目标为对于特定风险是否存在控制流程，及有关控制流程是否被有效执行，其中包括信用风险和市场风险，但落脚点始终在于具体操作。此外，本文在数据的收集和模型的建立过程中亦已将操作风险以外的其他风险考虑在内。本文采用内部审计发现数据库作为操作风险事件历史数据库，该数据库含有其他风险信息，例如未按照银行信贷政策审查与批准贷款将使银行面对比预期为高的信贷风险。第二部分：操作风险计量方法的介绍巴塞尔银行监管委员会（“巴塞尔委员会”）推荐了三种操作风险计量方法，主要用于要求银行根据计量结果配置经济资本，提高抵御风险的能力。这三种方法的复杂性和风险灵敏度依次递增：分别为基本指标法（BasicIndicator Approach）、标准法（Standardized Approach）和高级测量方法（Advanced Measurement Approach）。基本指标法的基本概念为，操作风险资本等于三年总收入的平均值乘以固定比例α（巴塞尔委员会根据行业平均水平规定为15%）。在标准法下，银行业务被分为8个业务条线，分别为公司金融，交易与销售，零售银行，商业银行，支付与清算，代理服务，资产管理和零售经纪。银行应对各个业务条线分别计算操作风险资本，计算的方法与基本指标法大致相同，再将各业务条线操作风险资本加总。类似于α，巴塞尔委员会为每个业务条线均分别规定了一个乘数比例β，以反映操作风险损失经验值与该业务类别总收入之间的关系。若采用高级计量法，银行可根据其业务性质、规模、产品的复杂性和风险管理能力自行决定拟使用的计量模型。常见的计量模型包括内部衡量法（Internal Measurement Approach），损失分布法（Loss DistributionApproach），记分卡法（Scorecard Approach）及其他。记分卡法在很大程度上仍然是一种定性分析的方法，本文将介绍内部衡量法、损失分布法以及蒙特卡罗模拟法。1）内部衡量法巴塞尔委员会将操作风险损失事件分为7种类型，分别为1）内部欺诈、2）外部欺诈、3）就业政策和工作场所安全、4）客户、产品和业务操作、5）实物资产损坏、6）营业中断和系统失败、以及7）执行、交付和流程管理。对于每一个业务条线/损失事件类型的组合（即8×7=56个组合），银行需基于自身收集的操作风险损失事件数据库估计损失概率（PE）、损失程度（LGE）以及风险暴露指标（EI）；将PE、LGE、EI相乘，得出单个业务条线/损失事件类型组合的操作风险资本；再将56个组合的计算结果相加，从而得出全行应配置的操作风险资本。2）损失分布法对于每一业务条线/损失事件类型的组合，银行基于操作风险损失事件数据库分别拟合损失事件发生频率及损失程度的分布（例如，发生频率服从泊松分布，损失程度服从对数正态分布）并估计参数，进一步计算损失频率与损失程度的联合分布，并在一定的置信水平下预测各个组合需配置的操作风险资本，最后加总。3）蒙特卡罗模拟法蒙特卡罗模拟法的基础与损失分布法相同，区别在于蒙特卡罗模拟法无需计算损失频率与损失程度的联合分布，而是根据分布拟合与参数估计的结果产生大量随机数，从而确定在特定分位值（亦即置信水平）上的风险价值（Value atRisk），亦即需配置的操作风险资本。第三部分：操作风险计量在内部审计中的应用具体到操作风险计量在内部审计中的应用，基本指标法虽然简单，但对于内部审计来说无法利用，因为基本指标法仅能提供整个银行所面对的操作风险价值，不能为内审人员在不同审计对象领域之间分配审计资源优先级提供额外信息。标准法提供了更多的信息，至少使内审人员可以在8个业务条线之间评估风险水平的相对高低。然而，若需获得各业务条线的总收入，需要会计核算方法和相关业务/财务信息系统的大力支持。由于银行原先未必按照监管机构对于业务条线的划分方法核算收入，现阶段而言，银行可能需要进行相当程度上的制度、流程改革和系统改造才能满足标准法的要求。当然，符合监管机构的资本管理要求是必须的，只是时间和进度的问题。由于标准法在准确性和复杂程度上介于基本指标法和高级计量法之间，多数银行可能会选择这种方法，并促成配套制度、流程和信息系统的建设。届时，内审人员将能够较为容易地获得操作风险计量所需数据，甚或直接获得计量结果，为内部审计风险评估所用。高级计量法能够最为准确地反映风险，亦最为复杂，对于数据收集和模型建立的要求最高。对于高级计量法来说，银行必须跟踪内外部损失数据，建立自己的操作风险损失事件数据库。只有在充分、有效的数据基础上，才可能实现比较准确的操作风险定量分析。然而，操作风险管理的研究仍处于起步阶段。相对于市场风险和信用风险的损失数据收集，操作风险损失数据的收集远远落后。与国际活跃银行相比，中国商业银行的操作风险管理更为稚嫩，出于传统意识、隐藏动机、收集困难等原因，无论在单个银行或是在整个银行业的层面上都缺乏一个成熟、可靠的操作风险损失事件数据库，更谈不上业务条线/损失事件类型组合划分与度量模型的建立。鉴于此，本文将采用内部审计发现数据作为一种变通方法，而非利用银行操作风险管理部门应建立的操作风险损失事件数据库。其原因和优势如下：一、巴塞尔委员会要求银行根据操作风险计量结果配置经济资本，其主要目的在于保护银行不因操作风险损失而破产，因而其作为计算基础的数据库仅记录已发生实际损失的事件。然而，内部审计的目的与此不同。内审人员从预防和控制出发，侧重于对于银行流程和控制的健全性和有效性的审计，即“审在事前”，而非“审在事后”。从这个角度来说，内部审计发现数据库记录了不同对象领域内部控制的缺失，更能反映操作风险，而不仅是操作风险损失，更能满足内部审计对于风险评估的要求。二、内部审计发现数据库包括了所有的风险事件，而不仅仅是操作风险事件。根据监管机构对于操作风险的定义，操作风险仅包括导致直接损失的操作风险事件，而不包括可能导致间接损失的战略风险和声誉风险，这不利于全面的操作风险管理。战略风险和声誉风险很可能使银行损失巨大，理应包含在数据库中。因此，内部审计发现数据库能够提供更完整的覆盖面。三、对于内审人员，内部审计发现数据库更易于获得与方便处理，这点亦非常重要。在高级计量法中，本文将特别讨论蒙特卡罗模拟法，因为该方法与其他高级计量法相比，具有以下明显的优势：一、通过有效模拟，可以克服数据不足的缺点。虽然本文以内部审计发现数据库替代操作风险损失事件数据库，但仍仅有1297条记录，分布在20个业务领域。二、在分别拟合损失频率和损失金额的概率分布函数之后，若按照损失分布法计算联合分布的解析形式可能会非常困难，因为其联合分布有可能呈现厚尾的特性。蒙特卡罗模拟法可以较好地解决这个问题。三、直接提供了单个周期内所有可能的损失金额，易于得到一定置信水平下的风险价值。四、易于对模拟结果进行压力测试。五、可由计算机程序自动运行，大大节约处理时间。第四部分：蒙特卡罗模拟法在内部审计风险评估中的应用1）数据收集及清理笔者所使用的内部审计发现数据库包括2008年至2011年期间的分支机构层面上的1267条记录，并将其按照20个业务领域进行了归类。长远来看，较好的选择是按照巴塞尔委员会的方法按业务条线和损失事件类型的组合进行分类，但目前来说无法实施。若将1267条记录分布于56个组合，平均每个组合为23条记录。如需合理地估计操作风险事件的发生频率分布，笔者应至少需要20个周期的发生数量。显然，23条记录分布于20个周期，将无法支持有效的分布拟合。此外，笔者重新检查了1267条记录，逐一修订和规范了各个项目的所有信息。2）建立“等值损失”模型为使蒙特卡罗模拟法能够应用，每条操作风险事件的记录必须有一个对应的损失值。然而，在绝大多数情况下，内部审计发现的控制缺失并未形成实际损失。为解决此问题，笔者将创建一个新的概念——“等值损失”。区别于传统的为审计发现评定“高风险”、“中风险”和“低风险”的方式，笔者将为每条审计发现分配一个等值损失数值，代表其“风险”水平。模型建立过程如下：首先，对于每个业务领域，以下等式应能成立：潜在损失（衡量风险水平）=（年化的控制缺失数量）*（有关控制缺失导致实际损失的概率）*（每个损失事件的平均损失金额）=（内部审计发现的控制缺失数量/内部审计识别控制缺失的概率）*（有关控制缺失导致实际损失的概率）*（每个损失事件的平均损失金额）内部审计识别控制缺失的概率：假设对于不同业务领域，内审人员所接受的审计风险相同，则“内部审计识别（或无法识别）控制缺失的概率”相等，并可忽略不计。因为对于风险评估与比较及审计优先级确定来说，笔者仅需考虑不同业务领域潜在损失的相对性，而无需计算其绝对值。忽略一个相等的除数，能够使计算与比较更为简单。内部审计发现的控制缺失数量：可以从内部审计发现数据库中获得，用于估计控制缺失的频率分布；有关控制缺失导致实际损失的概率笔者在初步模型中假设，若有关控制缺失与案件防控有关，导致实际损失的概率将上升，该因子设为10；若无关，则设为1。每个损失事件的平均损失金额（风险暴露水平）在初步模型中，笔者根据经验为每个业务领域的损失事件设定了平均损失金额，以反映相关风险暴露水平。这已包含了操作风险以外的可能引起间接潜在损失的风险，例如声誉风险，并考虑了银行的业务性质等。这并非真实的损失金额，而仅反映不同领域损失事件平均损失金额的相对性。除上述外，笔者还假设，若有关审计发现控制缺失与监管要求的合规性有关，则风险暴露水平上升，因其有可能导致监管处罚及/或造成负面影响。笔者设定一个单独的参数以反映与合规的相关性，若不相关，则为1；若为间接相关，则为10；若为直接相关，则为100。平均损失金额（风险暴露水平）应根据内外部环境变化及对风险水平的认识等因素动态调整。综上，笔者为每个审计发现的等值损失确定了三个模型参数：1）控制缺失是否与案件防控相关，以（A）表示，可取值1或10；2）平均损失金额，以（B）表示，可取值在上文列示;3）控制缺失是否与合规性相关，以（C）表示，可取值为1，10或100。等值损失=A*（B+C）。笔者重新审查了1267条审计发现，依次赋值，并得出了所有审计发现的等值损失。3）执行蒙特卡罗模拟一般来说，蒙特卡洛模拟法需对损失频率和损失金额分别进行分布拟合。在损失频率方面，笔者所在银行每两个月发布一批内部审计报告，即一个周期为两个月，因此4年的观察期内共有24个批次（周期）的报告，能够满足分布拟合对周期数的最低要求。根据以往的研究文献，操作风险事件的频率通常服从泊松分布。为简化计算过程，笔者应用了非参数方法进行分布拟合并获得参数（均值）估计。根据SPSS软件的分布拟合结果，除“银行卡收单”业务外，其他19个业务领域的审计发现频率可被认为服从泊松分布，检验P值均大于0.05。笔者暂时未对“银行卡收单”业务进行特殊处理，因拟合质量可能受到数据不足的影响，但未来应对其进行进一步观察。在损失金额方面，通过以上等值损失模型的建立，可获得20个关于等值损失的不同结果。由于等值损失为人为设定，按照其服从离散分布处理，不再进行进一步的分布拟合。等值损失的不同结果列示如下：然后，对于每个业务领域，进行10000个周期的模拟，产生每个周期的损失事件数量及每个事件的等值损失。在95％置信水平下，各业务领域在一个周期内的等值损失（即操作风险度量结果）如下表所列，并相应确定4个级别的审计资源分配优先级：根据笔者的经验，以上结果基本合理。读者可能产生疑问，为什么“IT与业务连续性”和“资金与清算”的排名如此之低，这两个领域应当非常重要。需要指出的是，笔者所使用的是分支机构层面上的内部审计发现数据库，对于笔者所在银行，IT、资金、清算的主要职能和相应风险都集中在总行层面，而分支机构在这些领域的角色和责任非常有限。4）对于蒙特卡罗模拟法的补充银行很可能缺乏低频/高损的操作风险事件记录。实际上，高频/低损和低频/高损事件的并存是操作风险的一个特点，从而很可能使操作风险事件的分布呈现厚尾特征。内部审计发现数据亦不包含低频/高损事件信息。在此情况下，银行需注重收集外部操作风险（损失）数据作为补充。在学术界和业界存在一些处理分布厚尾特征的理论，例如极值理论（EVT）。极值理论可用于处理极大偏离中值的情形，分析极为罕见的事件，例如百年一遇的地震或洪水，被广泛用于保险精算。然而，对于内审人员来说，抛弃复杂的计算过程，直接将可能存在低频/高损事件的业务领域纳入审计范围，可能是一个更为经济和实际的做法。对于低频/高损事件的处理，相较于EVT，情景模拟是一个更可借鉴的方法。设定一定的情景，利用专业人员的经验和判断，估计可能发生的损失，这与笔者所建立的等值损失模型完全可以兼容。至此，笔者已基本完整建立了蒙特卡罗模拟法在内部审计风险评估中的应用方法和有关模型，但仍有一个较大的缺陷——采用内部审计发现数据库作为风险评估基础的做法很可能导致负循环，即审计发现越多的领域将接受更多检查，从而导致更多审计发现，反之亦然。在此情况下，笔者拟引入风险控制自我评估（Risk Control SelfAssessment，“RCSA”）以完善以上方法。风险控制自我评估是操作风险管理的三大工具之一，另两大工具是损失数据收集（Loss Data Collection）和关键风险指标（Key Risk Indicator）。风险控制自我评估鼓励全体员工参与风险识别、评估及控制完善。内审人员可通过以下方式利用风险控制自我评估的成果，1）在估计“等值损失”时参考风险控制自我评估的风险评估结果；2）无论蒙特卡罗模拟的结果如何，始终将风险控制自我评估中所认定为高风险的领域纳入审计范围。如此，可以保持对于银行风险状况的跟踪，确保对于高风险业务领域的覆盖。一段时间后，内部审计发现的数量和性质会达到/回归合理水平，操作风险测量的暂时偏离将被消除，蒙特卡罗模拟的结果也将更加可靠。第五部分：改进方向上述过程完全可以通过编制计算机程序实现自动化，从而大大减少人工干预，提高效率，节约人力资源。若能够由计算机程序提供支持，亦可以方便内审人员从不同维度进行分析，例如哪些审计单位或哪些损失事件类型需要更多审计关注。此外，在数据充分的前提条件下，内审人员可以对数据进行更为精细的分类，从而为数据挖掘提供更多可能性。巴塞尔委员会提供了三个层次的业务条线分类及三个层次的损失事件类型分类，已经非常细致。但内审人员可以根据中国银行业的特性和内部审计的特点对巴塞尔委员会的分类方法予以进一步改进，以适应自身需求。例如，巴塞尔委员会的分类基于已经发生的损失，其出发点为出于监管目的要求银行据此配置经济资本。然而，本文或内部审计研究的对象为操作风险的计量，风险为可能发生的损失，并非实际发生的损失。因此，内审人员应在巴塞尔委员会的基础上改良损失事件分类框架，以更好体现对于操作风险事件的关注。