【新规新视界】系列文章从多个视角对操作风险计量与管理新规进行剖析，本篇是其中的“验证审计篇”，对新规要求的操作风险相关验证及内外审计要求进行解析，为金融机构管理者提供有益参考。

操作风险计量与管理中的验证及内外部审计的实施解析

一、操作风险相关验证与审计的监管要求

国家金融监督管理总局于2023年12月27日发布的《银行保险机构操作风险管理办法》（简称“《操风办法》”）、于2023年10月26日发布的《商业银行资本管理办法》（简称“《资本办法》”）以及于2024年11月1日发布的《商业银行实施资本计量高级方法申请及验收规定》（简称“《验收规定》”）均提出操作风险相关验证与内外部审计要求。对于规模较大的银行保险机构需定期委托第三方机构对其操作风险管理情况进行审计和评价，并向监管部门提交外部审计报告；而对于申请采用内部损失数据自行计算内部损失乘数的商业银行，申请验收前必须实施操作风险损失数据相关验证、内部审计及外部审计并出具报告，持续监管期还需对操作风险损失数据持续验证，并定期进行内外部审计，独立审查损失数据的全面性和准确性。

1.《商业银行实施资本计量高级方法申请及验收规定》相关要求：

“附件：商业银行实施资本计量高级方法验收材料清单”要求：“（一）申请验收阶段。商业银行申请采用内部损失数据自行计算内部损失乘数，应提交以下评估申请材料：（8）操作风险损失数据相关验证报告、内外部审计报告。”“（三）持续监管阶段。持续监管阶段应提交的材料包括但不限于：3.操作风险损失数据相关持续验证及审计情况。”明确了采用内部损失数据自行计算内部损失乘数所需“验证、内部审计、外部审计”相关工作及材料。

“第三章 申请验收”要求：“商业银行提交的资本计量高级方法评估申请材料应至少包括以下内容：（五）验证报告。投产前全面验证、所有定期监控、投产后全面验证，包括但不限于：对计量模型和支持体系进行验证的方法、过程、验证结论、优化建议，以及对操作风险标准法下识别、收集和处理损失数据的相关程序和流程的验证情况等。（六）审计报告。包括内部审计部门对验证政策、管理架构、组织流程、实施重要环节和报告机制等的适用性、独立性和有效性的评估结论。”此处明确了“验证报告、审计报告”的申请材料基本要求。

“第五章 评估及验收原则”要求：“监管部门对商业银行资本计量高级方法的实施进行评估验收，核查商业银行治理结构、政策流程、计量模型、数据和信息系统、验证和审计、应用、信息披露等是否满足《商业银行资本管理办法》中相关的监管要求。”“存在下列情形之一的商业银行，不宜实施资本计量高级方法，操作风险标准法也不宜采用自行计算的内部损失乘数：（四）未建立有效验证体系和独立验证团队；未对高级方法及其支持体系开展有效验证，或未对识别、收集和处理损失数据的程序、流程进行有效验证。（五）内部审计部门未对资本计量高级方法实施工作或损失数据开展有效审计。”“申请采用自身损失数据自行计算内部损失乘数的银行法人或附属机构，存在下列情形之一的，不宜在操作风险标准法中采用自身损失数据自行计算内部损失乘数：（四）未有效满足损失数据的识别、收集和处理要求，包括但不限于：损失数据的收集未全面覆盖所有业务活动，未充分反映银行的操作风险；未书面规定识别、收集和处理损失数据的程序和流程，数据收集不完整；未书面规定损失事件类型映射规则；未建立完善的损失数据库及相关政策程序；未按要求进行验证、内外部审计，或验证、内外部审计存在重大缺陷；高质量损失数据不足5年。”此处明确了“验证、内部审计、外部审计”相关验收原则。

“第六章 持续监管”要求：“对验收通过或有条件验收通过实施资本计量高级方法或采用自身损失数据自行计算内部损失乘数的商业银行，监管部门实施持续监管，确保商业银行持续满足《商业银行资本管理办法》中相关的监管要求。”、“持续监管内容包括但不限于：（一）验收通过或有条件验收通过实施高级方法或采用自身损失数据自行计算内部损失乘数相关运行情况。包括但不限于：计量模型的表现及其有效性、模型运行环境变化对模型结果的影响和支持体系的运作状况等，以及操作风险标准法损失数据收集程序、流程和系统的运行情况等。（四）审计情况。包括内部审计部门对验证政策、管理架构、组织流程、实施重要环节和报告机制等的适用性、独立性和有效性的评估结论。”此处衔接《商业银行资本管理办法》中有关验证及内外审计要求。

2.《商业银行资本管理办法》相关要求：

附件18《操作风险资本计量监管要求》中“损失数据的识别、收集和处理要求”要求：“（3）商业银行应书面规定识别、收集和处理损失数据的程序和流程。自行计算内部损失乘数的商业银行，在使用损失数据前，应对相关程序和流程进行验证，并定期进行内外部审计，将审计中发现的重大问题及时报告国家金融监督管理总局或其派出机构。”“（9）商业银行应定期进行内外部审计，独立审查损失数据的全面性和准确性。”

附件21《资本计量高级方法监督检查》中“一、实施申请”要求：“商业银行应当按照本办法的要求开展资本计量高级方法实施准备工作，适时向国家金融监督管理总局或其派出机构提交实施申请，经验收通过后进入实施阶段。资本计量高级方法实施申请和评估验收包括银行集团和商业银行单一法人层面实施的申请和评估验收。操作风险标准法申请采用自身损失数据自行计算内部损失乘数适用本部分规定。”“商业银行提交的评估申请材料应包括验证报告、内部审计报告和信息披露管理情况。”需注意的是，后发布的《验收规定》增加了外部审计报告要求。

3.《银行保险机构操作风险管理办法》相关要求：

该办法明确要求开展操作风险管理情况的外部审计：“规模较大的银行保险机构应当定期委托第三方机构对其操作风险管理情况进行审计和评价，并向国家金融监督管理总局或其派出机构报送外部审计报告。”该办法还提出另一种“验证”：“（四）基准比较分析。基准比较分析，一方面是指将内外部监督检查结果、同业操作风险状况与本机构的操作风险识别、评估结果进行比对，对于偏离度较大的，需重启操作风险识别、评估工作。另一方面是指操作风险管理工具之间互相验证，例如，将操作风险损失数据与操作风险自评估结果进行比较,确定管理工具是否有效运行。”

此外，国家金融监督管理总局办公厅关于印发《银行保险机构操作风险管理办法》实施问答的通知进一步解释：“规模较大的银行机构可以每3年进行审计和评价，规模较大的保险机构可以每5年进行审计和评价。其中，关于损失数据的审计频率，应当按照《商业银行资本管理办法》附件18的相关要求定期进行内外部审计。”

二、验证、内部审计及外部审计的实施主体、范围与形式

上述与操作风险相关的验证、内部审计和外部审计三者既相互独立，又紧密关联。

验证工作不能替代审计职能，内部审计亦不能替代外部审计。内部审计和外部审计均应审阅验证报告，评估验证工作的实施情况，并可根据需要参考验证过程中发现的问题及其整改进展；同时，外部审计在开展工作时，宜充分参考内部审计报告及相关整改落实情况，以提升审计效率与协同性，避免重复工作，形成监督合力。

下表对验证、内部审计及外部审计的实施内容、范围、频率、主体、形式进行了概要对比：

《资本办法》与《验收规定》所要求的外部审计，涉及操作风险资本要求计量结果这一财务数据的监管报送与信息披露，其功能在一定程度上具有向监管机构及金融市场提供“独立核验”的作用。因此，承担此类审计工作的主体必须依法具备从事法定审计业务所需的资质，即应为经财政部门批准设立、持有执业许可的会计师事务所，并按审计准则采用由注册会计师签字的相关业务，同时保证在操作风险数据及计量方面的专业性。

相比之下，《操风办法》所要求的第三方审计，更侧重于“问题识别”与“整改推动”，旨在促进银行保险机构持续优化操作风险管理体系。此类审计对实施主体的专业能力要求主要体现在操作风险管理领域的实务经验和专业判断，可由具备丰富操作风险管理经验的独立第三方专业机构承担。尽管如此，相关机构在选定审计主体前，仍应主动征询并充分尊重属地监管机构的意见，确保合规性和监管一致性。

三、商业银行应开展的工作及必要规划

对于拟申请采用内部损失数据自行计算内部损失乘数的商业银行，投产前所需的全面验证、内部审计及外部审计通常分别需耗时约2至3个月。建议根据计划提交申请材料的时间节点，提前统筹安排上述三项工作的实施顺序。一般应优先启动验证工作；待验证完成、相关条件具备后，内部审计与外部审计应尽早同步或依次开展，以确保整体进度衔接顺畅。

对于按照《操风办法》相关要求开展操作风险管理情况外部审计的银行机构，则可以参照每三年一次的频率择机选择拥有相当操作风险管理经验的第三方机构开展。

安永（中国）企业咨询有限公司和安永华明会计师事务所（特殊普通合伙）同属于安永品牌在中国境内经营的两个法人实体。安永（中国）企业咨询有限公司下设金融咨询服务部门，拥有数十个为金融机构提供操作风险管理咨询服务的成功案例，能够为商业银行及保险机构提供操作风险管理咨询、操作风险管理第三方评估或审计、操作风险损失数据及计量方法验证、合规与内控管理咨询等相关服务。安永华明会计师事务所（特殊普通合伙）下设金融审计服务部门，依法具备从事法定审计业务所需的资质，能够为商业银行提供操作风险损失数据与资本计量相关独立审计服务。

往期精彩

新规新视界 | 银行保险机构操作风险管理新规视点：总摘篇

新规新视界 | 银行保险机构操作风险管理新规视点：变化篇

新规新视界｜商业银行资本管理办法大修深度解析系列（三）：操作风险

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。