银行业的内部控制与其他行业存在较显著的差异，这是由于银行的客户结构决定的，客户决定了银行的经营模式，经营模式决定了风险管理体系。尤其是中小银行，产品同质化严重，业务流程简单而高度重复，营销活动基本上发生在基层一线，且主要依赖于情商而非产品优势，风险控制以类别风险管理体系为主，内部控制的作用主要是为风险管理体系提供支持，内部控制的工具性特征更加明显，内控工具的熟练掌握是对内控部门的基本要求。

（一）内控体系成熟度评价

内部控制体系成熟度评价通常是指对一个企业的内部控制体系效能的评价标准，包括内部控制的触发机制、作用领域、管理工具、管理目标等，是一项实务性的有效性管理工具，使企业能够对自身的内部控制体系缺陷有清醒认识，为体系改善明确方向。

虽然理论界和实务界都没有一个普遍认同的银行内部控制体系成熟度模型。就中小银行而言，成熟度标准可以为不同规模、层级的机构建设适合的内部控制体系以及风险控制体系提供了一种可行的思路。参照其他行业的实践，从低成熟度到高成熟度可分为5级：基于损失的体系、基于规则的体系、基于成效的体系、基于偏好的体系、基于战略的体系。

1．基于损失的体系

这一层级内部控制体系活动通常是针对已发生的风险损失事件而展开，是整个内部控制体系的基础。特征是随时触发，强调对事件快速处置、对人员问责，比较依赖于相关员工的职业能力。同时，这也是处于一道防线的基层营业机构的主要内部控制管理模式。

2．基于规则的体系

这一层级内部控制体系已经有意识地从流程、管理环境等内部控制要素角度来开展工作，“见事见人见制度”是这一层级主要行为特征。通常会按年度设定工作计划，在前一层级工作成果基础上，以检查为主要方式、基于流程主动展开，能使用多种内部控制的工具，比如风险矩阵等，成熟度较低。

3．基于成效的体系

这一层级的内部控制体系是基于第一道防线运行成效来展开，是建立在前两个层级工作成果基础上，从结果出发回溯作业流程、审查作业规则，通过原因分析查找根源性问题，对内部控制体系有效性作出评价，对内部控制技术运用能力要求高，成熟度中等。应该说，目前中小银行的内部控制体系成熟度基本上都处于二、三级之间。

4．基于偏好的体系

这一层级是在内部控制体系有效性评价基础上展开，目标是将内部控制水平和风险损失控制在既定的风险偏好范围内，以实现财务、资本管理目标。风险偏好是企业为实现发展目标所愿意承担的风险类型和数量，这一层次的内部控制体系主要工作手段是风险的定量监测，以监控风险水平的变化趋势，重点关注实际和可能的风险损失。相对而言，对内部控制技术运用能力要求相对较低，对IT技术应用要求比较高，需具备较为成熟的系统，能够即时定量统计风险总量，是风险管理工作重要组成部分，成熟度较高。

5．基于战略的体系

以促进业务高质量发展为目标，将内部管理融合到企业的发展战略中，服务于战略，主要管理工具是考核评价等，归为风险管理工作范畴，对内部控制技术要求低，成熟度高。

建设一个高成熟度的内部控制体系，有助于内部控制工作能够更好地服务于企业的战略目标，为企业的经营目标实现保驾护航。成熟度通常是一个体系发展的演进过程，前一级体系能为后一级体系提供优化的基础。也就是说，成熟度并不是越高越好，需要一步一个台阶依次推进，才能发挥出最佳效用。

成熟度的高低并不必然意味着内部控制体系效用的高低，更像是基于不同管理层级的场景应用，后一层级体系在前一层级较高的工作成效基础上才能有效发挥应有的作用。对于银行而言，这5个层级大致可理解为依次适用于支行、分行和总行职能部门、内部控制管理部门、总行高级管理层、董事会。