非营利组织的内部控制研究

顾艳辉 朱海涛

一、引 言

2008年以来，财政部等五部委陆续发布了《企业内部控制基本规范》及其配套指引，标志着以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、层次分明、衔接有序、方法科学、体系完备的企业内部控制规范体系基本建成。除了营利性企业之外，我国还存在大量的医疗机构、学校、科研院所、基金会、专业协会、工会等非营利性组织，它们在建设中国特色的社会主义事业中发挥着日益重要的作用。这些非营利组织在管理和运营过程中，或多或少地存在财务收支混乱、会计信息失真、预算执行不力、资金使用效益低、资产流失、浪费严重、行政效率和社会效率低下等问题，舞弊作假、贪污腐败、以权谋私等违法乱纪行为也时有发生，如近期发生的原武汉大学副校长贪腐案、“郭美美”事件引发的红十字会信任危机等。

近年来我国一些非营利组织为适应科学化精细化管理要求，积极开展了内部控制建设的探索，但普遍存在以下问题：内部控制环境不理想，内部控制意识不强，组织结构不合理，权责分配不合理；风险意识薄弱，应对风险能力差；控制活动存在诸多问题，岗位设置不够合理，预算控制缺乏科学性，实物资产管理不到位；信息化建设滞后，沟通不顺畅；监督乏力。之所以会出现这些问题，是因为对于我国的非营利组织来说，在理论上尚缺乏系统的内部控制概念，在实务中也缺乏适用的内部控制规范。因此，本文尝试定义非营利组织的内部控制基本概念，探索我国非营利组织内部控制建设的路径，为当前我国非营利组织内部控制规范制定提供理论依据，为我国非营利组织构建科学的内部控制制度作出贡献。

二、非营利组织的界定和特征

当代在描述国家与社会的关系上，常将一国之内划分为“公领域”的政府部门或政府组织、“私领域”的市场部门或企业组织，以及在此两个部门之外的志愿性非营利或非政府组织所构成的所谓“第三部门”。由于世界各国的政治、文化、历史等背景不同，对非营利组织的定义方法有较大差别。在美国，非营利组织包括文化与休闲、教育与研究、卫生、社会服务、环境、发展与住房、法律、民权推促与政治、慈善中介与志愿行为鼓动、国际性活动、宗教活动和组织、商会、专业协会和工会等12类组织。在我国，通常所说的非营利组织主要是指在民政部门登记注册的社会团体、基金会和民办非营利单位，也称为民间非营利组织或私立非营利组织。我国的事业单位和人民团体由各级政府批准设立，由国务院及各级编制委员会办公室审查登记，其机构设置、人员编制和经费来源均主要由政府决定和财政供给，在现实生活中属于依赖于国家拨款的准政府组织。但是，从广义上和发展趋势来看，这两类组织也可以看作是非营利组织，可称之为国有非营利组织或公立非营利组织。

营利性企业的资源主要来源为投资者的出资及其增值，营运主要目标是通过向市场提供竞争性产品而获取利润。与营利性企业相比，非营利组织在诸多方面体现出与营利性企业不同的特征：

1.组织目标不同

营利性企业的目标是获取利润，它们尽可能多地去筹集可用资源的目的，是为了增加其自身的财富。所以，营利性企业可以用利润或每股收益等客观的指标来衡量其目标的实现程度。非营利组织的目标则是在其财力允许的范围内向公民提供尽可能多的产品或服务。非营利组织每年尽可能多地去筹集可用资源的目的，是为了能够向其公民提供更多更好的产品或服务，而不是为了增加组织自身的财富。非营利组织财务管理的重点是资源的取得和使用过程，而不是净利润或每股收益这样的事后目标。

2.资源来源不同

营利性企业资源典型的来源是投资者的出资及其增值。非营利组织资源的来源有所差异。宗教组织和慈善组织通常依赖于捐赠收入。我国的大多数高等院校和医院主要依靠政府的拨款以及收费收人来维持运行，它们所收到的捐赠收入也越来越多。

3.运行方式不同

营利性企业向消费者提供的产品或服务如果不能获利就会被调整或退出市场。在营利性企业和消费者之间，营利性企业向消费者提产品或服务，与此同时，消费者向营利性企业提供相应的财务资源，两者之间存在着直接的对应关系。非营利组织向消费者提供的许多产品或服务具有垄断性，许多消费者在获取非营利组织提供的产品或服务时，不需要付费或只需要象征性地付一部分费用。这些消费者无法用“货币选票”来表示他们对非营利组织提供产品或服务的满意程度。

4.诚信责任不同

当市场经济对人们的道德、价值观念带来巨大冲击的时候，社会要通过非营利组织的诚信精神来弥补市场经济的不足，这样社会才能稳定发展，良性运行。非营利组织在建设社会主义和谐社会中，肩负塑造诚信精神的主要责任。一旦非营利组织的公共责任和道德缺失，不仅会影响非营利组织功能的正常发挥，相反还会加剧人们道德的沦丧。

三、非营利组织内部控制的目标

内部控制目标是指组织的内部控制系统可以帮助组织实现的目标。美国COSO委员会于1992年公布了的第一份研究报告《内部控制—整合框架》（以下简称COSO1992报告）提出，企业内部控制是为了实现三大目标：财务报告的可靠性、经营活动的效率和效果、相关法律的遵循性。2004年，COSO委员会结合《萨班斯——奥克斯法案》（Sarbanes——Oxley Act）在报告方面的要求，将《内部控制——整合框架》发展为《企业风险管理——整合框架》（以下简称COSO2004报告），该报告认为，企业风险管理的目标包括四类目标：战略目标、运营目标、报告目标、合规目标。在借鉴COSO两份报告的基础上，我国《企业内部控制基本规范》规定，内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

企业内控目标与非营利组织内控目标有融合，但同时也存有差异，这种差异的原因是由于企业部门与非营利组织的组织目标、资金来源及运行方式不同而要求的。非营利组织内部控制的具体目标应包括以下五个方面：

1.保证非营利组织目标的充分实现程度。目标是一定时期非营利组织运行的方向，非营利组织目标的制定受宏观与微观环境的影响，目标实现的过程也一定会面临各种情况的考验，而一个完善的非营利组织的内部控制制度要能够保证其目标的充分实现程度。

2.保证非营利组织信息的可靠性和完整性。非营利组织信息系统主要包括两大部分：一是资金运行信息系统，其主要功能是提供管理中资金运行过程中的预算报告等一系列财务会计报告；二是管理信息系统，其主要功能是收集管理过程中各方面有关的信息并生成各个层次的管理活动报告和责任报告等。非营利组织内部控制目标之一就是要保证这两个系统所生成的各种信息的可靠性和完整性。

3.保证非营利组织资源运行的经济性、安全性及完整性。非营利组织的资源一般体现为公共资金，其使用的公共效益一般会被特别关注，所以，资源的经济性，安全性及完整性对于非营利组织来说非常重要。在内部控制制度的设计过程中，一定要把运行成本最小化与支出效益最大化的理念纳入其中，减少有限资源的过度消费及改变其低效率的运作模式；而账簿、凭证和记录资源是非营利组织履行责任并提高办公透明度的关键，内部控制同样应该注意保护其安全。

4.保证非营利组织的产品和服务的质量。非营利组织提供的产品和服务为公共产品，消费者无法用“货币选票”来决定产品和服务的质量，通过内部控制的有效监控，保证非营利组织能够提供与非营利组织使命相符的产品和服务，提高产品和服务的质量。

5.保证非营利组织的公信力。对非营利组织的资源配置、各职能机构的运行以及内部各项活动进行约束和调节，使之按照设定的轨迹和目标运行的过程，可以较好地压缩个人自由裁量权存在的空间；非营利组织内控制度中的信息循环反馈及不断修正机制的设计，将会使各非营利组织的绩效评价体系不断得以完善，提升非营利组织职能的公信力。

COSO1992报告提出了企业内部控制由控制环境、风险评估、控制活动、信息与沟通、监控五个要素构成，COSO2004报告提出企业风险管理由包括内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督八个要素构成。企业风险管理八要素，只是对五要素的拓展，增加的目标制定、事件识别、风险反应三个要素加上原有的风险评估，统称为风险要素，目的是为了更清楚的表达风险管理过程。在借鉴COSO两份报告的基础上，我国《企业内部控制基本规范》认为，企业内部控制应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督五要素。

借鉴企业内部控制要素的框架，非营利组织内部控制的要素包括控制环境、风险管理、控制活动、信息与沟通、监督与检查，与企业内部控制的要素本质上是一致的，但是其内涵是不同的。

1.控制环境

内部控制环境既是推动内部控制工作的发动机，也是决定其他内部控制框架的基础。COSO1992报告指出，企业内部控制的控制环境包括诚信的原则和道德价值观、评定员工的能力、董事会和审计委员会、管理哲学和经营风格、组织结构、责任的分配与授权、人力资源政策及实务。COSO2004报告指出，内部环境包括风险管理理念、组织的风险偏好、组织的风险文化、企业风险管理和董事会、诚信和道德价值、企业风险管理胜任能力承诺、管理的理念和经营风格、组织结构、权责划分、人力资源政策和程序。我国《企业内部控制基本规范》结合我国的实际情况指出，内部环境一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

非营利组织的内部控制环境是对非营利组织建立和实施控制的特定政策和程序效率产生重要影响的各种因素的统称，它是非营利组织内部控制的基础，主要功能是设定组织管理的基调、影响着管理人员的控制管理意识、提供控制纪律和结构。非营利组织是以管理社会公共事务、提供公共产品和公共服务、维护和实现社会公共利益为目的，非营利组织的控制环境建设应该有利于实现其特定的组织目的和职能。因此，非营利组织的控制环境主要包括非营利组织管理的理念、诚信原则和道德标准；管理人员的业务素养以及工作的胜任能力；组织机构的设置；内部责任的分配与授权；管理人员资源政策；组织文化与社会责任。

2.风险管理

风险是未来各种事件的影响力及其发生的概率。非营利组织在运作过程中面临的风险是多方面的，一般而言，非营利组织风险可以分为制度环境风险、业务流程风险与决策行为风险三大类。制度环境风险主要是指由于体制、政策制定与执行等方面的不健全与失误导致的非营利组织拥有的各种形态的资源不足以能履行承担的职责，从而给它的稳定与发展及信用造成不良后果的可能性；业务流程风险是指非营利组织在具体执行业务流程时，由于业务流程设计的不科学性、管理人员执行中的失误、业务执行过程中缺乏监管等因素的存在，使业务执行结果不符合预期目标并带来资源损失的不确定性；决策行为风险是指非营利组织决策有时会科室化，缺

四、非营利组织内部控制的要素

乏理论根据与实地调研，使决策实践难免会失败的不确定性，又加之一些管理人员的道德资源缺乏，徇私舞弊行为的存在使公共职责无法有效实现的不确定性。

非营利组织应该树立现代风险管理的观念，通过风险识别、风险评估、风险预警、风险应对等过程对风险进行全面管理。风险识别是科学地运用各种风险识别工具来对非营利组织的制度环境风险、业务模块及流程风险及决策行为风险进行辨识、定位及描述的过程。风险评估是在对非营利组织业务模块中的关键风险点进行充分识别的基础上，依据可能性与影响力对这些关键风险点的相关元素进行计量、分析、判断、排序的过程，并设立清晰并完整的辨别和处理风险的程序。风险预警是通过收集非营利组织运作过程相关的资料信息，监控风险因素的变动趋势，评价各种风险状态偏离预警线的强弱程度，向决策层及时发出预警信号并提前采取预控对策的程序。风险应对是非营利组织在确定了其运作过程中面临的风险，并分析出风险概率及其风险影响程度的基础上，根据风险性质和风险容忍度而制定的回避、承受、降低或者分担风险等相应防范计划。

3.控制活动

内部控制的本质是什么，就是内部控制的政策和程序，也就是控制活动。具体而言，控制活动是根据风险评估结果，针对关键控制点，采用相应的控制措施，将风险控制在可承受度之内。企业内部控制常用的控制措施有：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。无论对于营利性企业，还是对于非营利组织，所采用的控制措施应该是同样适用的，所不同的只是所要控制的业务和业务的关键控制点。非营利组织同样可以使用责权分离、授权审批、预算管理、财产保护、会计系统、内部报告、绩效考评和信息系统等内部控制程序。

4.信息与沟通

非营利组织应该从内部和外部获取相关的信息，获取和利用支持有效的履行职责和风险管理所需要的历史和当前数据，然后，非营利组织的信息基础机构把这些数据转换成帮助非营利组织履行相关职责和实施风险管理的相关信息，同时，根据识别、评估和应对风险的需要把信息以可追溯的、可充分利用的及相关联的深度、形式和时机予以提供。

非营利组织应当将相关信息在非营利组织内部各管理级次、下级单位、业务环节之间，以及非营利组织与上级部门、同级其他非营利组织、服务对象、社会公众等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决，重要信息应当及时传递给上级部门。在各种突发事件和问题的应急管理工作中，有效地与各相关方和社会公众进行沟通，是维护非营利组织声誉、形象的必要途径。

5.监督与检查

为了能够提高我国各级非营利组织内控框架、运行过程及结果的质量，我国亟需建立完整的非营利组织内部控制监督与检查体系，使各级非营利组织的内控实践能得以不断地修正。非营利组织监督和检查体系应该包括日常的、内部的监督和检查，也应当包括专项的、外部的监督和检查。日常监督是指非营利组织对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在非营利组织职能职责、组织结构、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查；内部监督是指非营利组织内部审计机构或内部纪检机构对本组织内部控制的日常监督和专项监督；外部监督是指会计师事务所、国家审计机构和国家纪检部门对非营利组织内部控制的监督和检查。

五、关于加强我国非营利组织内部控制建设的建议

非营利组织内部控制的建设是动态的，它会经历由简单到复杂、由元素缺少到元素丰富的过程，这一切将得益于对该领域的不断深入研究。在探索我国非营利组织内部控制建设的道路上，可以从以下几方面入手：

1.循序推进非营利组织内部控制规范的制定

为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，财政部等五部委已经相继发布了《企业内部控制基本规范》及其配套指引，对于我国非营利组织内部控制规范的制定，也应该循序进行。从内部控制规范的层次来说，很多学者认为也由基本规范和配套指引等构成，但是非营利组织的内控基本概念与企业本质上是一致的，非营利组织的内部控制规范应该重在具体指引，所以可以直接发布非营利组织内部控制具体指引；从内部控制规范的内容来说，可以将非企业组织的业务活动分为两大类，第一类是组织层面的业务活动，如人力资源、组织文化、社会责任、内部审计、风险评估、信息系统等方面，第二类是业务层面的业务活动，包括预算活动、资金活动、资产管理、采购活动、基建项目、财务报告等方面，第三类是特殊业务的业务活动。

2.有效发挥内审机构在非营利组织内控建设中的作用

在我国，内部审计受到各单位重视并越来越发挥着重要作用。由于审计与会计的天然联系，传统的内部审计重在财务会计领域内查错防弊。随着经济、社会实践的发展，人们期望内部审计不仅发挥监督功能，而且希望内部审计发挥服务功能。当然，可以预计，在相当长的一段时间里，内部审计的服务功能，仍将立足于财务会计这一基础平台。内部审计功能要实现新的转变，必须要在内部控制上下功夫，因为内部审计既是内部控制的一环，又是内部控制实施效果的最为理想和现实的监督者和评价者。从国外许多非营利组织、企业组织的实际运作情况看，内部审计在内部控制中大都发挥穿针引线、承上启下的重要作用，可以为我国非营利组织的内部审计提供借鉴。

3.积极探索非营利组织负责人对内部控制的法定责任

《企业内部控制基本规范》明确规定，企业的董事会负责内部控制的建立健全和有效实施。对于非营利组织来说，同样应该建立起非营利组织负责人在建立健全内控机制中的责任制度。首先应该在有关法律中明确非营利组织负责人在内控制度建设中的地位、作用和责任。其次，在有关行政管理规定中，将公立非营利组织负责人建立并执行内控制度情况作为其述职报告的重要内容。第三，结合反腐倡廉，全面深入研究强化非营利组织负责人内控责任的机制和制度问题。反腐倡廉工作的重点在于预防，内部控制实质上是预防和应对风险，包括腐败风险的制度安排，因此，关注并强调内部控制，尤其是非营利组织负责人的内控责任和责任追究问，应当进入反腐倡廉的视野。

4.逐步引入外部审计对非营利组织内部控制的评价制度

财政部等五部委要求执行《企业内部控制基本规范》及配套指引的上市公司和非上市大中型企业应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。对于非营利组织来说，同样应该具有类似的制度安排，对于民间非营利组织，可以制定类似上市公司之类的制度安排，即要求其每个年度末都要委托会计师事务所对其内部控制有效性进行审计，会计师事务所审计后出具内部控制审计报告。对于公立非营利组织，可以明确国家审计机关对其内部控制有效性进行监督评价的责任，将公立非营利组织的内部控制有效性纳入国家审计机关的常规监督领域。

［1］（美）厄尔·R·威尔逊，苏珊·C·卡特鲁斯，里昂·E·海.政府与非营利组织会计[M].北京：中国人民大学出版社.2005.1-5

［2］常丽，何东平.政府与非营利组织会计[M].大连.东北财经大学出版社.2009.9-10

［3］（美）COSO.内部控制——整合框架[M].大连：东北财经大学出版社，2008.

［4］（美）COSO.企业风险管理——整合框架[M].大连：东北财经大学出版社，2005.

［5］财政部企业内部控制标准委员会.企业内部控制基本规范[S].2008