研究与开发内部控制设计实务（上）

　　目前，业界对于研究与开发内部控制设计的概念还没有统一的定义。中天恒3C框架认为，研究与开发内部控制设计，是在遵循国家和企业研究与开发相关法规制度的基础上，以国家监管部门制定的内部控制规范及其应用指引为依据，结合企业的研究与开发实际情况，用系统控制的技术和方法，构建企业自身研究与开发内部控制体系的动态过程。研究与开发内控设计，是研究与开发内控建设的首要环节。

　　研究与开发内部控制设计范围与基本流程

　　《企业内部控制应用指引第10号———研究与开发》（以下简称《第10号应用指引》）第二条规定：“本指引所称研究与开发，是指企业为获取新产品、新技术、新工艺等所开展的各种研发活动。”本指引将研发定义为一项企业为创新所开展的各种研发活动。

　　研究与开发内部控制设计是个复杂的系统工程，基本流程包括设计准备、设计实施、试行及完善等。中天恒认为，描述现状、风险评估、设计控制是研究与开发内部控制设计的关键方面。同时，根据研究与开发内部控制设计操作需要，在基本流程的基础上，还要有多层次具体的流程，每个具体流程中需明确工作内容、方法、步骤以及相应的表单等，要突出研究与开发内控设计的特色。

　　《第10号应用指引》界定了研究与开发的定义，描述了研究与开发中的风险，明确了立项与研究、开发与保护方面的控制措施，对优化企业研究与开发制度具有重要意义。企业应当根据《第10号应用指引》的要求，通过设计内部控制手册，使有关部门和员工掌握立项评审、研究过程管理、验收以及研发人员管理等基本规范，明确权责分配，正确行使管理职权。

　　描述现状

　　描述现状，就是梳理企业研究与开发方面的内部管理制度或相关文件，以及业务流程，编制研究与开发内部管理制度或相关文件情况表、研究与开发业务流程目录、绘制研究与开发业务流程图等研究与开发内部控制设计的基础性工作。

　　1、梳理描述制度文件。梳理描述制度文件，就是梳理描述企业研究与开发方面的管理制度或文件，重点关注有无研究与开发方面的相关制度，如有是否完善、是否执行；有无具体可控的操作文件或表单等等。

　　2、梳理描述现状业务流程。梳理企业研究与开发现行的业务流程情况，包括哪些环节，是否能有效控制研究与开发风险，并要将企业研究与开发方面的现行业务流程用图表的形式描绘出来。

　　3、确定业务流程目录。在梳理研究与开发管理制度和业务流程现状的基础上，设计者根据《第10号应用指引》的要求，编制研究与开发业务流程目录，绘制研究与开发业务流程图。

　　一般来说，研究与开发的基本流程包括：立项、研发过程管理、结题验收、研究成果的开发和保护等。

　　当然，研究与开发复杂多样，研究与开发内部管理制度、业务流程千差万别，因此，本阶段的设计在总体上体现指引要求的基础上，在具体的业务流程的设计上一定要体现不同企业研究与开发的自身特点，不能简单照抄照搬。

　　本阶段的设计工作成果是，形成《研究与开发内部管理制度或相关文件情况表》、《研究与开发流程目录》、《研究与开发业务流程图》等。

　　风险评估

　　研究与开发内部控制的风险评估基本程序为：识别研究与开发风险，并进行具体描述；分析研究与开发风险，编制研究与开发风险分析表；评价研究与开发风险，编制研究与开发风险评价表；确定研究与开发风险应对策略；提出研究与开发重大风险解决方案。需要说明的是，研究与开发重大风险解决方案要看企业是否需要，也可以在研究与开发内部控制设计完成后单独进行。

　　1、识别并描述风险。评估研究与开发风险，首先，要把研究与开发具体风险识别出来，然后整理出整体层面的风险。研究与开发具体风险是多种多样的，也因企业的不同而不同。关于研究与开发风险，按照《第10号应用指引》的要求，在评估研究与开发风险时，设计人员至少应当关注下列风险：研究项目未经科学论证或论证不充分，可能导致创新不足或资源浪费；研发人员配备不合理或研发过程管理不善，可能导致研发成本过高、舞弊或研发失败；研究成果转化应用不足、保护措施不力，可能导致企业利益受损。

　　在研究与开发内部控制构建与实施过程中，企业应根据《第10号应用指引》中有关研究与开发风险的提示，结合研究与开发的实际情况，识别并具体描述研究与开发方面存在的风险，以便完善研究与开发的内部控制，以有效地控制研究与开发风险。

　　2、分析风险。研究与开发风险分析的内容很多，一般应从成因和结果两个方面进行，并编制研究与开发风险分析表。

　　3、评价风险。研究与开发风险评价应从可能性和影响程度两个维度进行，根据评价结果进行风险排序、划分风险等级，并编制研究与开发风险评价表。

　　4、选择风险应对策略。研究与开发风险应对是根据风险评价的结果，针对不同等级风险选择研究与开发风险应对策略的过程。不同等级的研究与开发风险采取的应对策略不一样，一般有规避、降低、转移、接受等策略。不论选择哪种策略应对研究与开发风险，都需要编制研究与开发风险应对表。

　　5、编制风险数据库或绘制风险图谱。依据研究与开发风险评估的结果编制研究与开发层面的风险数据库或绘制风险图谱。研究与开发层面数据基本要素包括业务流程、风险描述、风险分析、风险排序、应对策略、剩余风险等，也可以加上内部控制设计完成后控制措施、控制部门或岗位等等。风险图谱一般适用于公司层面的风险描述。

　　本阶段研究与开发内部控制设计的工作成果是，形成《研究与开发风险及其描述表》、《研究与开发整体层面风险清单》、《研究与开发风险分析表》、《研究与开发风险评价表》、《研究与开发风险应对策略表》、《研究与开发风险解决方案》等。

　　研究与开发内部控制设计实务（下）