随着COSO-ERM成功推出，COSO体系大有与全面风险管理体系、合规管理体系三足鼎立趋势。国资委也在央企全面推行COSO体系，金融监管部门也有跟进趋势。但BCBS的巴塞尔协议Ⅲ风险管理架构是以类别风险管理为主体，通过强化资本管理、风险覆盖和内部控制要求，构建了银行稳健运营的监管框架。中小银行因其规模、客户结构等，既不能象大银行那样建设超脱的内控体系和内控部门，又不能象小银行那样可以长期采用简化规则，要限期完成与第一档规则的过渡。因此，面临的挑战也更大。

随着IT技术进步，经济活动信息实时反馈成为可能，通过大模型开展风险排查、预测已成为实用技术，因此，在中小银行，内部控制的作用出现了新的变化。

（一）从“控制导向”向“风险为本”转型

内部控制从“控制导向”向“风险为本”转型是必然趋势，这不仅是应对复杂内外部环境的需要，更是企业实现可持续发展的战略选择。从“控制导向”到“风险为本”的转型，本质是企业管理范式的升级，从“合规合规再合规”的机械执行，转向“风险识别—价值平衡—战略实现”的动态管理，以内部控制的确定性应对风险不确定性，实现风险可控下的效率最优，为经营目标的实现提供充分的保障。

传统的“控制导向”以合规性为核心，强调流程规范和制度执行，侧重“堵漏洞”，难以应对动态风险（如市场风险、国别风险），缺乏灵活性；忽视价值创造，忽略通过风险识别与应对创造机会。比如，以全面合规为目标，可能导致冗余流程和成本增加，却无法聚焦高优先级风险。以“风险为本”的内部控制强调事前预防，前置风险识别，避免“救火式管理”，通过持续监测和敏捷调整机制，提升动态响应能力，增强运营韧性，支持业务增长与价值创造，聚焦高风险领域，通过差异化管控来提升效率。

传统的内部控制技术，往往是通过事后的信息获取来对体系运行情况进行评价。随着IT技术的发展，内部控制技术有了显著进步，企业经营管理活动绝大部分信息在组织内部传递已接近零时滞，大数据模型技术的发展使得事先预测有了实用的可能，基本上实现了风险管控效果的实时、量化统计，并据此纳入考核，避免“重业务增长、轻风险管控”，推动了内部控制持续改进和流程自动化。

随着COSO框架日趋成熟，新工具持续升级，在流程再造与组织重构中，重点将内部控制要求嵌入业务流程，简化冗余控制。敏捷响应机制也日趋成熟，通过大数据建模，合理设定风险预警阈值，将流程节点的执行过程和结果及时统计分析，定期对极端情景开展压力测试，在风险与效率之间达成动态平衡，使得内部控制摆脱事后诸葛亮的尴尬，夯实风险管理基础。在银行业内部控制体系建设实务中，已开始从内部控制制度体系建设，转向构建覆盖“缺陷识别—评估—应对—监控”的闭环体系，预示着内部控制技术将迎来新的发展阶段，从业人员的职业判断与大数据技术的有机结合，将成为今后一段时期的技术发展方向。

（二）标准化流程与需求即时响应的矛盾

普惠金融服务客体大多资产规模小、经营领域分散，这就决定了中小银行很难以标准化的产品与服务流程来契合细粒化的服务需求，需要缩短决策链并下移，以迅速对市场作出反应，更好地贴合客户需求，容错、容缺受理业务现象不可避免且更为普遍。

内部控制的关键在于对各项经营管理行为的全流程受控，中小银行经营环境比较复杂，规则与效率矛盾突出。加上内部控制评价机制不够完备，产品、服务开发及优化的风险评审流程执行不到位，难以制定统一的操作规程和作业标准，控制措施不能被落实到位问题会显得更为突出。

内部控制机制要强化对基层营业机构的高频决策行为实施有效控制，才能发挥应有的作用，这就需要上级管理部门有强有力的控制手段及时发现并干预。但中小银行的客户结构又决定了这个体系要能容纳更多的弹性，不可能是高标准化的，尤其不能过度控制。灵活性流程简便、执行高效也就意味着内部控制机制的刚性被削弱，导致员工作业行为瑕疵多。强控制与高弹性的矛盾对于中小银行的内部控制体系是一个挑战。

这就决定了，内控部门不应该把眼光只盯在制度条文上，只关注制度的健全性、符合性，这是一种偷懒或者说是渎职的表现。内控部门职责不仅仅是发现问题，更要协调业务全流程、各层级相关部门，通过第二道防线的工作成果，组织相关部门共同来梳理流程，研究如何简化控制点、合并控制规则，以此来促进业务增长。而不是自以为是地越俎代庖为业务立规，毕竟当前中小银行的内控部门大部分都面临资源投入、能力建设与业务发展差距大等困境，资深的内控人员也会因为与一线业务脱离太久，对基层一线的业务发展环境存在不小的隔膜。在这种背景下，为业务立规只能是闭门造车。比如，有银行试图把客户准入、开户时涉及的反诈、反洗钱以及信用风险、支付结算风险、制裁风险等各种规则揉合到开户时客户需要提供的资料清单、柜员和客户经理尽调内容中，由内控部门主导制定了相关调查表和制度。这种想当然的规则，不出意料地给支行的正常客户开户造成巨大麻烦，毕竟客户不一定都有贷款需求，也不是所有外汇业务都会涉及制裁风险，且不同的监管部门的要求也不尽相同。过于完善的风险控制规则本质上是一种以上级的想象来代替支行的思考，属于典型的过度、超前的控制，是一种向基层推卸责任的行为。

（三）基层营业机构内部控制能力与客户行为复杂性的矛盾

从中小银行的现状来看，有限的管理资源毫无异议地向业务发展倾斜，规则设计者与执行者的信息鸿沟有加大趋势，规则设计偏差难以及时通过正常的信息采集、沟通渠道被发现并纠正，这就很容易导致控制过度与控制不足同时出现，内部控制体系健全性的缺失程度要明显高于大型银行。在就容易导致上级行的产品设计瑕疵会在支行一线被放大。而支行面对竞争压力，技术动作容易变形，内部控制制度执行严谨性明显降低。

给第一道防线尤其是基层营业机构赋能，是内控部门有效履职的重要内容。发现问题是履职的第一步，分析根源性原因并提出整改建议是第二步，跟踪问题的整改成效是第三步，为第一道防线赋能是最后一步，也将内控部门工作形成闭环的关键。但实务中，内控部门的赋能基本上就是做培训，讲问题讲危害讲整改，很少去站基层角度体谅他们为何要选择主动违规，如何控制违规行为的风险程度，更谈不上启发他们去思考如何在风险偏好与业务冲动之间，找到属于自己的业务策略。纸上谈兵式的伪赋能很难在基层一线形成共鸣，最终会沦为内控部门的自娱自乐。

当然，赋能不力也与内控部门自身能力不足有关。内部控制体系运行固然可以通过IT等管理工具辅助实现有效管理，但管理成效往往还需要依靠从事内部控制岗位员工的履职能力来保障，相关人员的职业判断目前尚无法被各类工具所取代。

要拥有良好的职业判断，内控人员不仅要熟练掌握风险管理、内部控制前沿理论和各项技能，更重要的是要熟悉各项产品、服务流程，有较宽阔的管理视野，非常熟悉本行的企业文化、控制环境，才能抓住问题核心，发现问题背后的原因，提出切实可行的改善建议。中小银行符合此要求的人员比较紧缺，且会首先被充实到业务一线，很少优先考虑属于中后台的内控部门。因年龄原因从一线退下来的员工又会因观念滞后等，无法及时跟进前沿技术的应用。这不是学历教育、在岗培训等就能解决的，需要有充分的实践，及时总结，才能逐步提升。人员的成长需要时间，优秀的管理能够大大缩短这一过程，但总归是无法跨越这一阶段。

当前，中小银行普遍缺乏既懂业务又懂风险管理的内部控制专业人才，管理主要依赖内部控制人员的责任心，缺乏IT工具和系统的有效支持。高级管理层、业务管理部门、基层营业机构，还是内部控制部门自己，都把发现、纠正制度执行中存在的问题作为内部控制目标，难以有效完成各业务规则在流程层面的整合，难以及时将风险特征、操作习惯等数据化、标准化，更难以完成对操作失误、员工舞弊、外部攻击等常见的风险成因应对策略的有效性评估，内部控制体系成熟度仍普遍处于较低水平，赋能第一道防线自然也无从谈起。

（四）内部控制体系作用边界不清晰

内部控制体系关注的焦点在于过程，包括作业过程所体现的内外规一致性和遵循性、有效性，但不能防范决策层面的风险，这也是出现大案时，都会出现内部控制失灵的主要原因。内控的边界是困扰中小银行内控部门的难点，一管理层对内控功效寄于期待，希望通过内控体系的完善，最大程度防范风险。而内控部门既要克服自身的蠢蠢欲动，不越界，又要在职责框架做出边界外的成效，这种既要又要让内控部门找不准自己的定位。

任正非的“不能把业务部门逼上梁山”观点，就是在表达内控部门决不能成为另一个业务指挥中心，要多到一线去解决业务发展中出现的问题。但这里又有一个问题，二道防线与一道防线的职能如何区分，最终又是回到本原的问题，内部控制到底应该做什么。

第一道防线应承担起内部控制的主要职责，在本领域内建立政策、流程、管理工具来识别、评估、监测、缓释风险，至少90%以上的包括内部控制在内的各类风险应当在第一道防线中被识别、处置。内控部门过度介入到第一道防线工作，会因失去独立性造成第二道防线形同虚设。第二道防线的主要职能是通过检查、监督，为第一道防线赋能，通过协调来解决全流程、跨部门、系统性的内控问题等，而非就事论事的检查辅导。当然，第一道防线与第二道防线的职责难免会有一些合理交叉，关键在于度的把握。实践中比较常见的是，内控部门总是控制不住自己的蠢蠢欲动，试图凌驾于业务部门之上来为经营活动立规。

让内控部门做纯粹的内部控制，不符合大多数中小银行实际。实行操作风险、合规、内部控制“三位一体”的管理模式，是银行内部控制发展趋势，但对大多数中小银行而言，目前还很少有成功的实践。内部控制条线应该做什么的问题，还值得探索。