检查是中小银行风险控制工作的基础和核心，不能独立完成内部控制检查项目的，不是合格的内部控制专业人员。

对于任何风险管理人员，检查技术是基本功，没有检查就不会有风控。不过，第一道防线的常规检查辅导与第二道防线的内部控制检查，在工作目标、实施方式、报告结构、结果运用等方面存在明显差异，两者朝不同方向发力，相辅相成，共同构成内部控制管理闭环，但这个差异在当前中小银行内部控制实务中似未被充分体现，内控检查多被混同于常规检查辅导模式。

（一）工作目标

常规检查辅导的主要目标是验证设定的业务规则执行效果，以及基层一线在执行过程中存在的偏差，使业务政策更好地适应业务发展需要。其执行依据是既定的业务规则，包括制度、系统设定、业务指导书（含会议纪要、邮件、表单等）。

内部控制检查的工作目标是通过业务规则的执行偏差，发现业务全流程中存在的不合理和风控薄弱点，以督促第一道防线完善业务政策中有关风险控制的规则。其执行依据是内部控制的技术体系，既定的业务规则本身就是内控检查对象，而非实施依据。

这种差异是由风险控制第一道防线与第二道防线对业务发展的作用不同决定的。第一道防线职能由业务主管部门负责，业务发展是他们的工作重心，风险控制职能是确保两者均衡发展。由于各部门之间职责不同，业务条线的主管部门很难对跨条线的风控职能直接发挥作用，其工作边界往往是封闭的。也就是说，可以在自身的职责边界内实现精细化管理，而对跨边界的风险策略往往很难采取行动以发现并解决问题。第二道防线属综合部门，与业务条线相对隔离，具有独立性，尤其是对业务流程中跨条线节点采取有效措施来发现问题、提出解决问题的建议，并以跟踪晾晒等机制形成闭环，来推动问题的解决。这种职责分工的差异决定了第二道防线能够从全局角度来推动内部控制体系的优化，不只是就事论事，把自身的工作局限在解决风险点上，而是放在如何防范风险的持续出现上。

要完成这一目标，内控部门应能从全流程入手，把业务规则作为检查对象而非检查依据和工作成果，把根源性问题而不是违规现象当作检查目标。但从当前中小银行内部控制管理实务来看，还很难做到这一点。毕竟，发现违规等具体风险点并提出解决方案，内控人员更有成就感，效果能直接显现，容易引起管理层和业务部门的关注。而系统优化作用的发挥高度依赖于业务主管部门的配合意愿，对自身的工作能力要求高，且效果不明显。毕竟，接受过内部控制专业训练而不是理论学习，熟悉本行运行机制而不只是业务流程，能够开展原因分析而不只是找到违规现象，能够针对根源性原因提出整改意见而不是只能提一些问责、完善制度、加强培训、做好检查这种泛泛的“四件套”等，这样的内部控制专业人员对于中小银行是一种奢侈。

（二）实施方式

工作目标的差异决定了内部控制检查与常规检查辅导具有不同的检查实施方式。

与风险管理相关的检查通常要从健全性、符合性、有效性、合理性等4个维度进行。健全性是指内规是否已体现外规的要求的相关规则，是否已覆盖全领域、全流程。符合性是指组织架构、权限分配、操作过程等全部环节是否符合制度要求。有效性是指经营管理的结果是否符合预定的风险控制目标，特别是各类风险（包括内生的、外来的）是否能够在正常的控制环境中而不是依赖于内部控制、稽核等第二、三道防线被及时、有效识别。合理性是指内部控制政策对于业务发展的作用程度，评价风险策略成本与收益的平衡程度，既不能太超前，更不能过于滞后。

工作目标不同使得在执行不同的检查项目时，这4个维度上会有不同的侧重。通常，常规检查辅导关注的重点在符合性上，健全性、有效性、合理性评估是后检查阶段的主要工作，在现场、非现场检查基础上分析产生问题的原因，对业务规则进行优化。而内部控制检查的重点在于健全性、符合性、有效性评价，通常不涉及合理性评价。

内部控制检查客体是风险事件，而非一个个违规、风险事项。风险事件检查会涉及到前因后果，关注纵向时间轴上的演化过程，能讲出情节的是事件，有情节才能勾勒出因果链。常规检查辅导一般不关注前因后果，只讲事实、结果，重点是发现风险事项，很少在检查阶段去理清因果链。这就是常规检查辅导与内部控制检查的核心区别。

常规检查辅导由业务主管部门专人负责，定期开展巡查。内部控制检查一般会以检查项目方式实施，通常会以全面检查、专项检查方式组织实施：

1．全面检查

内部控制部门应每年组织一至两次的全面检查，对某一或多个业务条线、分支机构开展检查。通过检查，可以对某一业务领域或分支机构的内部控制状况有全面、清晰的了解。

这种检查涉及面广、对业务要求高，因此以与业务主管部门联合开展为宜，由内部控制部门牵头，各职能部门落实，检查重点可包括上一年度的监管处罚和意见书、行内检查中已发现的问题等不易引起争议的内容，通常在上半年组织现场检查，使参与的职能部门、机构对如何对接可能的监管检查有合理的了解程度。

下半年的全面检查可由内部控制部门独立组织实施，将上半年的检查结果整改计划的跟踪情况作为重点，对监管的各类意见形成闭环，防范问题的屡查屡犯。

全面检查由于涉及面广、工作量大，完成整个检查项目需数月时间，并还要抽调大量的人员，就中小银行而言，很难在一年内多次组织，每年开展两次，上半年做检查，下半年做跟踪，每年至少对一项业务开展全流程检查，是较为合适的。

2．专项检查

专项检查是中小银行内控部门实施检查的常规做法，以流程为基础，选择一个或多个业务流程，或流程中几个关键控制节点开展检查。内控部门应独立开展，必要时亦可与业务主管部门联合进行。

检查的重点应以流程中跨部门之间信息流转控制措施执行有效性为重点，即，当一个业务流程节点上下节点为不同部门时，该节点应列为检查重点。跟踪项目原则上不应局限于原检查发现问题所在机构，应扩大检查范围，以观察全行层面、分支机构层面举一反三落实情况。以案倒查项目重点在于追溯事件发生的全过程，原则上应当追溯到事件涉及的客户、员工等办理的全过程，并对管理责任进行初步界定，但一般不宜对具体人员应当承担的责任进行界定。

穿行测试、回溯检查是常用的检查方法，穿行测试是按业务操作流程顺序开展的检查，是现场检查的主要方式。回溯检查是经常使用的技术，应能根据操作结果追溯至业务办理场景，包括所有节点的操作时间，若不能则应被视为重大缺陷。以案倒查时，回溯检查更容易发现问题。

流程图、时间轴是用以定位问题、核查事实对结果影响的基本技术，检查人员应熟练掌握。流程图有助于识别控制节点以及一个事件可能引发的一系列后果。时间轴有助于识别现有证据是否已完整描述全部事实、判断各事件之间因果关系，以及判断相关人员陈述的真实性。

检查过程要做好作业记录和工作底稿，应足以支持追溯、再现检查过程。问题的定位应参考内部控制体系各要素来确定，原因分析从人的因素、技术因素（包括软硬件等）、客户配合程度及提供资料、规则体系等方向展开分析，最终将会归结到管理环境，以确定根源性原因。

检查技术和经验需要大量实践才能积累，每年保持合理的检查频率是提升水平、积累经验的主要方式。

（三）报告结构

一般来说，常规的检查辅导不需要形成专门的报告，而是以部门名义形成汇总的定期报告。而内部控制检查一般在项目结束后要形成检查报告，报告的内容、流程都与第一道防线和第三道防线的检查报告有所不同。

内部控制检查报告通常包括检查组工作情况、被检查单位的基本情况、总体结论、发现的主要问题、原因分析、整改意见和建议等6个部分。其中，原因分析部分通常在第一道防线和第三道防线的检查报告中很少出现。实务中，检查报告初稿可在检查方案基础上形成，也就是说，检查方案需要按最终报告的要求来编制。报告在检查组内部讨论，与被检查单位就事实部分进行核对后，应与相关业务主管部门交流，对于双方意见存在分歧的可以在报告中如实陈述，以便上级领导能更全面地了解情况。原因分析部分是否需要一并征求主管部门意见，视报告内容及管理环境来确定，以减少不必要的争议。形成最终报告报上级领导审核同意后，再将报告中除原因分析之外的部分制作整改意见书，发送相关业务主管部门和被检查单位。

常规检辅通常不需要复杂的流程，现场检辅结束后就可以发出检辅记录之类的结论和整改要求，这就意味着检辅所依据的规则比较明确，结论应是就事论事，不需要进行容易引起争议的原因分析，以避免引发争议。

（四）结果应用

对结果应用的重视程度是区别常规检辅与内控检查的最明显特征，也是内控工作能否得到上级领导重视和其他部门配合的关键，内控部门应当引起高度重视，宁可少做，也要把这项工作做到位，做成实效。

常规检辅是定期、循环开展的，结果应用及评价是纳入日常职责履行中，一般不需要组织开展专项的跟踪检查。而内部控制检查的成效很大程度上决定于检查结果是否被采纳和有效应用，跟踪检查是十分必要且十分重要的。

问题的整改最忌就事论事，只对问题的本身进行纠正，而不去思考如何预防，这与内控检查目标相背离。结果应用的跟踪宜以问题整改情况晾晒为主，全面或专项跟踪检查等方式为辅。

晾晒的问题应当与业务主管部门就整改方式等达成一致，必要时可组织相关业务专家进行会商，以形成各方都能接受的实施方案，不宜完全以整改通知书中提出的要求为标准。实施方案以对问题进行纠正为主，适当涉及对问题的预防，毕竟预防是一项持续开展的工作，阶段性的晾晒不是推进问题预防措施取得成效的好方法。实施方案应符合SMART原则，是具体的、可计量的、可达成的、与目标有相关性的、有明确时限的，否则在晾晒时内控部门与业务主管部门容易各执一词，引发无谓的争议，影响晾晒的权威性。跟踪检查时，除整改意见书中已明示的范围和问题外，还应举一反三，扩大检查面，检查相关问题是否在其他机构同样开展了整改。

检辅工作直接服务于业务发展，常态化高频度的检查、监督能够及时、准确地反映出当前业务体系中存在的内控问题，为第二道防线的内控检查指明了方向、提供了依据，内控检查成果的应用也依赖于检辅工作的推动才能落地。虽然常规检辅与内控检查在实施主体以及运行机制上存在诸多差异，两者相辅相成，共同构成了内部控制体系的运行机制。