2023年2月18日,银保监会、央行就《商业银行资本管理办法(征求意见稿)》(以下简称“征求意见稿”)向社会公开征求意见。为积极应对国内外经济金融形势新变化和商业银行经营管理中面临的新情况和新问题,推动银行提升风险管理水平,提升银行服务实体经济的质效,银保监会、央行立足于我国银行业实际,结合国际监管改革最新成果,针对风险加权资产计量规则、监督检查规定、信息披露标准和内容进行全面修订,旨在保持银行业整体稳健的前提下,构建差异化资本监管体系,不断提升精细化风险管理能力。
内部审计作为银行风险管理的第三道防线,对商业银行实现监管合规达标、完善资本管理与风险管理体系具有重大意义。
在银行业积极筹备“操作风险标准法采用自身损失数据计算内部损失乘数”达标申请的背景下,商业银行需提交内部审计报告作为主要评估验收材料之一,相关审计工作的开展势在必行。
一、资本新规对银行内部审计的要求
征求意见稿保留了2012年《商业银行资本管理办法(试行)》中有关内部审计架构的要求,即商业银行需针对第一支柱三大风险、第二支柱内部资本充足评估和各单一风险,及第三支柱信息披露开展定期审计。征求意见稿对审计内容的具体要求体现在以下方面:
第一支柱
信用风险方面,商业银行应定期对权重法风险暴露分类实施情况、内部评级法风险暴露分类实施情况、内部评级体系及风险参数估值开展内部审计;
市场风险方面,商业银行应每年针对市场风险计量体系及银行账簿和交易账簿的划分政策和程序进行独立审查;
操作风险方面,商业银行应独立审查损失数据的全面性和准确性,自行计算内部损失乘数的商业银行,定期对损失数据相关程序和流程进行内外部审计。
第二支柱
商业银行内部审计部门应至少每年一次检查及评估资本管理、内部资本充足评估程序执行情况和资本计量高级方法管理情况。
此外,针对各单一风险的审计要求体现在,对银行账簿利率风险计量模型及其验证进行独立审查;定期开展流动性风险管理的内部审计,审查和评价流动性风险管理体系的充分性和有效性;定期对估值控制流程进行内部审计等。
第三支柱
商业银行应对信息披露内容进行合理审查,确保第三支柱披露信息真实、可靠。
二、资本新规对内部审计工作的影响
相比2012年《商业银行资本管理办法(试行)》,征求意见稿围绕构建差异化资本监管体系,修订重构了第一支柱下风险加权资产计量规则,完善调整了第二支柱监督检查规定,并对第三支柱信息披露标准和内容进行了全面提升,深刻影响商业银行资本新规下实施内部审计工作。同时,日趋严格的并表管理要求,也在一定程度上影响银行对于子公司的审计管理。
因此,商业银行在开展资本新规实施内部审计工作时,需在审计架构、审计制度、审计资源投入、审计方案、审计程序、审计模型等方面进行同步更新调整,以充分适应资本新规变革。
在具体实施中,建议商业银行重点关注第一支柱三大风险计量规则的变化、第二支柱中从资本充足率扩大到资本管理的审计要求,以及第三支柱信息披露中新增表单所引起的审计范围的扩充与更新。
三、资本新规实施后的审计方案建议
资本新规实施后,相关的内部审计治理架构及职责分工有待明确,政策制度有待制订,系统全面的资本新规内部审计体系有待建立,审计方案有待进一步升级。
同时在审计范围方面,目前多数商业银行内部审计部门更关注单一风险在专项风险领域实施的审计,在全面风险和并表管理(资本并表、风险并表)领域的审计方案成熟度有待提升,审计关注点尚未满足资本新规内部审计与合规达标的要求。
为此,安永基于对资本新规的深刻理解与丰富的同业实践情况提供以下审计方案任务建议:
短期方案建议
任务一:配合推进监管合规评估验收准备工作
2012年《商业银行资本管理办法(试行)》颁布后,6家银行通过开展资本计量高级方法实施准备工作,提交专项审计报告等评估材料,申请实施资本计量高级方法并获核准。因此,合规专项审计工作是银行申请验收通过的必要内容。
我们建议商业银行可结合自身申请计划安排与资本新规附件21《资本计量高级方法监督检查》的有关规定,自行选择开展信用风险内评法、市场风险内模法和操作风险标准法的审计,规划本次审计范围,按需设计审计方案,以满足资本计量高级方法的实施准备、申请和达标的要求。
通过对资本新规中第二支柱有关规定的分析,可以看出监管对于用好用活第二支柱、强化监督检查,进一步提升监管有效性的决心。在此情况下,我们认为商业银行可以此为契机,逐步加强行内第二支柱监督检查工作,更加关注内部资本充足评估程序与单一风险的审计安排。
资本新规对于第三支柱的修订主要体现在提高信息披露标准,通过引入70余张披露模板,要求银行详细披露风险相关定性和定量信息。面对监管新增信息披露标准与内容的升级,银行应积极完善第三支柱信息披露内部审计体系,为监管日益趋严的要求做好准备。
任务二:提升银行整体全面风险领域内部审计能力建设
从完善全行整体全面风险领域内部审计体系出发,以监管机构对资本管理、全面风险管理及各单一风险管理指引要求为审计依据,商业银行可开展全面审计工作。
具体的审计范围将覆盖三大支柱及各单一风险管理的全部领域,并结合并表管理相关要求,实施并表口径的审计,增加海外分行、子公司相关审计内容。
从各领域的治理架构、政策制度、管理流程、方法论、报告与披露、文档、数据及IT系统八大维度开展内部审计工作,重点关注方法论的优化,例如风险计量方法的选择、风险管理工具的选择和运用、资本计量方法的选择、模型的参数及假设、模型的应用及验证等,以实现合规达标和提升全行资本管理、风险管理审计监督的双重目标。
后续发展中,商业银行可将资本新规实施内部审计融入自身日常专项审计工作中,全面提升银行整体风险管理能力,提高资本管理效率。
中长期方案建议
值得注意的是,资本新规内部审计工作不是一蹴而就的,无论何种方案,都不是针对资本新规实施后开展的短期且“一次性”的内部审计工作。后续发展中,商业银行需针对新规中的重点,重新规划审计方案,建立资本新规实施的常态化审计工作机制,有效发挥内部审计作为风险管理第三道防线的职能。
落实常态化审计工作,需要配合清晰的规划方案。结合银保监会对资本管理、全面风险管理及各单一风险管理领域的明确要求,我们梳理了各风险领域审计工作的开展内容和频次,具体总结如下。
审计领域 | 审计内容 | 频率 |
信用风险 | 审计权重法风险暴露分类实施情况、内部评级法风险暴露分类实施情况和内部评级体系及风险参数估值 | 定期 |
市场风险 | 独立审查市场风险计量体系、管理体系与银行账簿和交易账簿的划分政策和程序 | 年度 |
操作风险 | 审计和评价操作风险管理体系 | 定期 |
全面风险 | 审查和评价全面风险管理的充分性和有效性 | 定期 |
内部资本充足评估 | 审计资本管理、内部资本充足评估程序执行情况、资本计量高级方法管理 | 年度 |
集中度风险 | 审查集中度风险的风险状况 | 定期 |
银行账簿利率风险 | 审计银行账簿利率风险管理与计量模型 | 定期 |
流动性风险 | 审查和评价流动性风险管理的充分性和有效性 | 定期 |
声誉风险 | 审查和评价声誉风险管理的规范性和有效性 | 定期 |
估值 | 审计估值控制流程 | 定期 |
国别风险 | 独立审查国别风险管理体系的有效性 | 定期 |
信息科技风险 | 审计信息科技整个生命周期和重大事件等 | 每三年进行一次全面审计 |
四、资本新规实施内部审计优势
安永通过过去10年的工作积累,已形成了成熟且卓越的新资本协议内部审计服务方案,曾为众多商业银行提供内部审计咨询服务。
目前,安永已完成与资本新规改革高度匹配的全面专项审计方案的升级,重点升级内容覆盖整个审计框架体系,如现场审计程序与标准、审计案例库、审计模型等,方案特点与本次合规达标要求高度契合,全面有效地助力银行业,实现资本新规实施内部审计的全新飞跃。
目前我们已承接国内首家大型商业银行的最新的资本新规实施专项内部审计项目,已为两家大型股份制银行进行审计程序、审计方案的升级,为其后续开展资本新规实施审计工作提供咨询建议。
此外,随着金融业加快推进审计向数字科技驱动的数字化转型,我们的方案也紧跟这一发展趋势,具有数字化特点。我们将在资本新规实施内部审计方案中引入各风险领域的数字化审计模型,逐步承载传统审计工作内容,实现对各领域审计目标、审计关注点、审计所需资料处理、分析性审查等审计步骤的自动化实现。同时,协助商业银行逐步拓展非现场审计模式覆盖范围,灵活处理审计任务,旨在提高审计质量和审计成果价值,落实数字化审计战略要求,为非现场审计工作的开展提供有力支撑。
【安永新资本协议工作组】
张超
大中华区金融服务管理咨询主管合伙人
安永(中国)企业咨询有限公司
+86 138 0102 1284
jason.c.zhang@cn.ey.com
叶晓蓉
大中华区金融服务风险管理合伙人
安永(中国)企业咨询有限公司
+86 135 0118 2733
christine.ye@cn.ey.com
丁公一
大中华区金融服务风险管理咨询合伙人
安永(中国)企业咨询有限公司
+86 186 6592 7069
finnerty.ding@cn.ey.com
孙苏勇
安永大中华区金融科技与创新合伙人
安永(中国)企业咨询有限公司
+86 186 1019 8733
su-yong.sun@cn.ey.com
黄亮
大中华区金融服务风险管理合伙人
安永(中国)企业咨询有限公司
+86 152 2101 8262
henry-l.huang@cn.ey.com
