3.內部約束不力、規章製度不夠健全或執行不力。

（1）製度建設的滯後，前幾年出現的盲目投資、炒作證券期貨、辦公司經商以及由此造成的巨大損失，很多都與沒有現成明確的製度規定有關。

（2）規章製度的漏洞很多，許多製度多是從方便自己工作的角度考慮，而從方便客戶和防範風險的角度考慮卻很少。

（3）有章不循，各項規章製度在實踐中也沒有得到認真執行，有的甚至是上有政策，下有對策。近年來，有關銀行多次對分支行會計科目的使用情況進行檢查，發現普遍存在科目隨意使用、賬戶核算混亂、會計統計信息嚴重失真的現象。

（四）銀行管理人員的素質不高

銀行內部的管理人員由於受傳統專業銀行體製的影響，部分管理人員對現代銀行管理理論與方法缺乏係統的了解，對體現銀行管理水平的內控係統認識不足，沒有把內控這種自我調節、自我製約、自我控製的自律行為係統作為管理工作的重要組成部分，缺乏強化內控的自覺性和主動性。加之隨著金融創新業務不斷增多、服務領域不斷拓展、銀行內部隊伍素質不高，有些操作人員的業務素質滯後於日益發展的銀行業務，這已成為操作風險發生的原因之一。

（五）外部監管不力和稽核審計部門缺乏應有的權威性

1.外部監督機製不健全，中央銀行監管不力。首先，我國中央銀行獨立性不高，貨幣政策主要是配合政府的宏觀調控目標，而執行結果事實上是損害了國有銀行的利益，使風險處於不斷擴大之中。其次，中央銀行監管不力，對違規違法行為查處不力，導致金融秩序混亂，必然形成銀行風險。最後，中央銀行監管手段落後，對新業務包括金融創新監管滯後，形成金融業務監管失控，每一次國有銀行業務創新，必然會伴隨著新的操作風險出現。

2.稽核審計部門缺乏應有的權威性、獨立性、超脫性、製衡性和全麵性。稽核部門對已發生的經營行為進行監督，是事後監督，沒有滲入到經營管理的開始與過程中進行監督，稽核手段落後，工作效率低下，內部稽核人員數量不足，素質偏低，知識結構不合理，且得不到及時培訓與更新，內部審計有時留於形式。查出來的問題也不一定得到應有的處理。監察係統對近年來銀行各種案件的分析結果也表明，有章不循、檢查監督不力是案件居高不下的重要原因。

三、對我國商業銀行操作風險管理模式的探討

（一）我國商業銀行操作風險管理模式分析

我國商業銀行操作風險管理模式，可借鑒國際經驗，建立完整的操作風險管理體係。

這個體係應基本覆蓋操作風險的識別、評估、檢測、稀釋、控製和報告等程序和環節，並在此基礎上建立覆蓋整個銀行的操作風險管理戰略和政策。具體可從以下三個方麵展開：

1.操作風險管理組織結構。為了確保操作風險管理活動被很好地理解和執行，管理層應該為操作風險管理確定一個組織結構，設定個人在風險管理過程中的任務和責任，並使每個人清楚地了解自己的任務和責任。

在這個管理架構中，首先，關於高級管理層（董事會或同等的機構）的任務。操作風險管理的最終責任應由高級管理層承擔，這種責任要求高級管理層對本銀行的產品、業務過程和相關風險有全麵的了解。實踐表明，高級管理層應該設立一個委員會（或適當的機製），負責操作風險管理實施過程中的授權和日常決策工作，同時確保操作風險管理過程正常運行。此外，操作風險管理委員會要加強部門之間的溝通協作，定期不定期召開操作風險管理聯席會議，分析內外部操作風險形勢，評估風險暴露程度，研究製訂防範措施。其次，關於操作風險管理職能部門。應建立獨立的操作風險管理職能部門，其任務是輔助高級管理層完成其操作風險管理責任。這一任務將通過兩方麵完成，一方麵是評估、監控和報告銀行整體的操作風險，另一方麵是評定風險管理是否按照操作風險管理戰略和政策執行了。最後，設立操作風險經理崗。操作風險經理既對本部門負責，又要向上一級操作風險管理部門負責，從而形成一個以操作風險管理委員會為中心，橫向拓展到相關部門，縱向延伸到基層營業網點的操作風險全麵管理體係。扁平化改革成熟後，可實行操作風險經理派駐製或下管一級。

2.操作風險管理戰略和政策。①就操作風險管理戰略而言，為了使操作風險管理框架有效運行，一家銀行需要識別其利益相關人，並了解他們的要求和銀行對他們的義務，這有助於在決定操作風險管理戰略時識別關鍵業務的驅動者和相關目標。明確了這些目標後，銀行應該考慮它在實現這些目標的過程中麵臨的挑戰，以及不去實現這些目標的後果，從而建立起一套操作風險管理戰略。②就操作風險管理政策而言，操作風險管理政策是為所有關鍵業務及其支持過程製訂操作風險管理標準和目標，操作風險管理的方法內含於這些政策之中。這些政策應該能夠建立起一種機製，使得銀行能識別、測量和監控所有重大的操作風險。

3.操作風險管理過程。

（1）風險識別。操作風險識別過程應該以當前和未來潛在的操作風險兩方麵為重點。這個過程應該考慮到以下六方麵的因素：①潛在操作風險的整體情況；②銀行運行所處的內外部環境；③銀行的戰略目標；④銀行提供的產品和服務；⑤銀行的獨特環境因素；⑥內外部的變化以及變化的速度。識別操作風險的過程中，應該考慮到風險的所有潛在原因，包括交易過程、銷售活動、管理過程、人力資源、賣方、技術、外部環境、災害、越權／非法行為等等。

（2）風險評估和量化。操作風險被識別出來之後就應當加以評估，決定哪些風險具有不可接受的性質，哪些應該作為風險緩解的目標。風險評估和量化的作用在於，它使管理層可以將操作風險與風險管理戰略和政策進行比較，識別銀行不能接受或超出機構風險偏好的那些風險暴露點，選擇合適的緩解機製並對需要緩解的風險進行優先排序。銀行應該選擇或開發適當的模型，以適應每一種風險的量化需要。

（3）風險管理和風險的緩解措施。銀行應該設計並實施具有成本效益的風險緩解措施，使操作風險降低至能夠接受的水平。在風險管理和緩解的步驟中，重要的一點是要將實施措施的責任明確地分配下去，並確保責任人有實施措施的動力。

風險管理和內部控製程序應該由各個業務單元建立，但可能需要風險管理職能部門的指導。

盡管對每一家銀行來說，適用的緩解措施的範圍和性質可能有所不同，但適當的緩解措施都需要考慮以下領域：外部責任（例如外部監管、法律或其他要求）；變革管理；新的交易對手和客戶；內部控製；責任的界定；協調；信息係統管理；為附屬或參股的第三方提供服務；專業人員和人力資源；業務連續性規劃；內部審計和風險管理職能部門的責任；保險。在上述過程中，尤其應強調的是，應當將內部審計從以平級審計轉向以自上而下的垂直審計為主，並且審計部門出具的結果應該直接向總行董事會彙報並落實相應的改進措施。

（4）風險監控。高級管理層應該建立一套操作風險監控程序，以實現以下目標：①對銀行麵臨的所有類型操作風險的定性和定量評估進行監控；②評估緩解活動是否有效和適當，包括可識別的風險能在多大程度上被轉移至銀行外部；③確保控製充分、風險管理係統正常運行。應該為操作風險建立風險衡量標準或“關鍵風險指標”，以確保重大風險事件的相關信息被傳遞至適當的管理層級。內部審計部門或其他有資格的部門應該實施定期的檢查，分析控製環境、檢測已實施的控製的有效性，從而確保業務運作在有效的控製下展開。

（5）風險報告。操作風險報告過程應該涵蓋諸如銀行麵臨的關鍵操作風險或潛在操作風險、風險事件以及有意識的補救措施、已實施措施的有效性、管理風險暴露的詳細計劃、操作風險即將明確發生的壓力領域、為管理操作風險而采取步驟的狀態等方麵的信息。並且這些信息應該滿足以下要求：①使高級管理層和經營者能夠確定風險管理職責的委派是有效的，並且他們對操作風險管理的要求得到了滿足；②使整體風險預測能夠與銀行的風險戰略和偏好相比較，得到評定；③使關鍵風險指標得到監控，可以判斷出采取措施的需要；④使業務單元能夠確定對關鍵風險的控製已被成功地實施，有關信息也得到傳遞；⑤風險管理過程的重複。以上所述的風險管理過程是一個不斷重複的過程。風險管理職能部門應該確保關鍵操作風險管理活動以適當的頻率重複進行，例如每年、每半年甚至是每季度一次。