目前，業(yè)界對于研究與開發(fā)內(nèi)部控制設計的概念還沒有統(tǒng)一的定義。中天恒3C框架認為，研究與開發(fā)內(nèi)部控制設計，是在遵循國家和企業(yè)研究與開發(fā)相關(guān)法規(guī)制度的基礎(chǔ)上，以國家監(jiān)管部門制定的內(nèi)部控制規(guī)范及其應用指引為依據(jù)，結(jié)合企業(yè)的研究與開發(fā)實際情況，用系統(tǒng)控制的技術(shù)和方法，構(gòu)建企業(yè)自身研究與開發(fā)內(nèi)部控制體系的動態(tài)過程。研究與開發(fā)內(nèi)控設計，是研究與開發(fā)內(nèi)控建設的首要環(huán)節(jié)。

　　研究與開發(fā)內(nèi)部控制設計范圍與基本流程

　　《企業(yè)內(nèi)部控制應用指引第10號———研究與開發(fā)》（以下簡稱《第10號應用指引》）第二條規(guī)定：“本指引所稱研究與開發(fā)，是指企業(yè)為獲取新產(chǎn)品、新技術(shù)、新工藝等所開展的各種研發(fā)活動。”本指引將研發(fā)定義為一項企業(yè)為創(chuàng)新所開展的各種研發(fā)活動。

　　研究與開發(fā)內(nèi)部控制設計是個復雜的系統(tǒng)工程，基本流程包括設計準備、設計實施、試行及完善等。中天恒認為，描述現(xiàn)狀、風險評估、設計控制是研究與開發(fā)內(nèi)部控制設計的關(guān)鍵方面。同時，根據(jù)研究與開發(fā)內(nèi)部控制設計操作需要，在基本流程的基礎(chǔ)上，還要有多層次具體的流程，每個具體流程中需明確工作內(nèi)容、方法、步驟以及相應的表單等，要突出研究與開發(fā)內(nèi)控設計的特色。

　　《第10號應用指引》界定了研究與開發(fā)的定義，描述了研究與開發(fā)中的風險，明確了立項與研究、開發(fā)與保護方面的控制措施，對優(yōu)化企業(yè)研究與開發(fā)制度具有重要意義。企業(yè)應當根據(jù)《第10號應用指引》的要求，通過設計內(nèi)部控制手冊，使有關(guān)部門和員工掌握立項評審、研究過程管理、驗收以及研發(fā)人員管理等基本規(guī)范，明確權(quán)責分配，正確行使管理職權(quán)。

　　描述現(xiàn)狀

　　描述現(xiàn)狀，就是梳理企業(yè)研究與開發(fā)方面的內(nèi)部管理制度或相關(guān)文件，以及業(yè)務流程，編制研究與開發(fā)內(nèi)部管理制度或相關(guān)文件情況表、研究與開發(fā)業(yè)務流程目錄、繪制研究與開發(fā)業(yè)務流程圖等研究與開發(fā)內(nèi)部控制設計的基礎(chǔ)性工作。

　　1、梳理描述制度文件。梳理描述制度文件，就是梳理描述企業(yè)研究與開發(fā)方面的管理制度或文件，重點關(guān)注有無研究與開發(fā)方面的相關(guān)制度，如有是否完善、是否執(zhí)行；有無具體可控的操作文件或表單等等。

　　2、梳理描述現(xiàn)狀業(yè)務流程。梳理企業(yè)研究與開發(fā)現(xiàn)行的業(yè)務流程情況，包括哪些環(huán)節(jié)，是否能有效控制研究與開發(fā)風險，并要將企業(yè)研究與開發(fā)方面的現(xiàn)行業(yè)務流程用圖表的形式描繪出來。

　　3、確定業(yè)務流程目錄。在梳理研究與開發(fā)管理制度和業(yè)務流程現(xiàn)狀的基礎(chǔ)上，設計者根據(jù)《第10號應用指引》的要求，編制研究與開發(fā)業(yè)務流程目錄，繪制研究與開發(fā)業(yè)務流程圖。

　　一般來說，研究與開發(fā)的基本流程包括：立項、研發(fā)過程管理、結(jié)題驗收、研究成果的開發(fā)和保護等。

　　當然，研究與開發(fā)復雜多樣，研究與開發(fā)內(nèi)部管理制度、業(yè)務流程千差萬別，因此，本階段的設計在總體上體現(xiàn)指引要求的基礎(chǔ)上，在具體的業(yè)務流程的設計上一定要體現(xiàn)不同企業(yè)研究與開發(fā)的自身特點，不能簡單照抄照搬。

　　本階段的設計工作成果是，形成《研究與開發(fā)內(nèi)部管理制度或相關(guān)文件情況表》、《研究與開發(fā)流程目錄》、《研究與開發(fā)業(yè)務流程圖》等。

　　風險評估

　　研究與開發(fā)內(nèi)部控制的風險評估基本程序為：識別研究與開發(fā)風險，并進行具體描述；分析研究與開發(fā)風險，編制研究與開發(fā)風險分析表；評價研究與開發(fā)風險，編制研究與開發(fā)風險評價表；確定研究與開發(fā)風險應對策略；提出研究與開發(fā)重大風險解決方案。需要說明的是，研究與開發(fā)重大風險解決方案要看企業(yè)是否需要，也可以在研究與開發(fā)內(nèi)部控制設計完成后單獨進行。

　　1、識別并描述風險。評估研究與開發(fā)風險，首先，要把研究與開發(fā)具體風險識別出來，然后整理出整體層面的風險。研究與開發(fā)具體風險是多種多樣的，也因企業(yè)的不同而不同。關(guān)于研究與開發(fā)風險，按照《第10號應用指引》的要求，在評估研究與開發(fā)風險時，設計人員至少應當關(guān)注下列風險：研究項目未經(jīng)科學論證或論證不充分，可能導致創(chuàng)新不足或資源浪費；研發(fā)人員配備不合理或研發(fā)過程管理不善，可能導致研發(fā)成本過高、舞弊或研發(fā)失敗；研究成果轉(zhuǎn)化應用不足、保護措施不力，可能導致企業(yè)利益受損。

　　在研究與開發(fā)內(nèi)部控制構(gòu)建與實施過程中，企業(yè)應根據(jù)《第10號應用指引》中有關(guān)研究與開發(fā)風險的提示，結(jié)合研究與開發(fā)的實際情況，識別并具體描述研究與開發(fā)方面存在的風險，以便完善研究與開發(fā)的內(nèi)部控制，以有效地控制研究與開發(fā)風險。

　　2、分析風險。研究與開發(fā)風險分析的內(nèi)容很多，一般應從成因和結(jié)果兩個方面進行，并編制研究與開發(fā)風險分析表。

　　3、評價風險。研究與開發(fā)風險評價應從可能性和影響程度兩個維度進行，根據(jù)評價結(jié)果進行風險排序、劃分風險等級，并編制研究與開發(fā)風險評價表。

　　4、選擇風險應對策略。研究與開發(fā)風險應對是根據(jù)風險評價的結(jié)果，針對不同等級風險選擇研究與開發(fā)風險應對策略的過程。不同等級的研究與開發(fā)風險采取的應對策略不一樣，一般有規(guī)避、降低、轉(zhuǎn)移、接受等策略。不論選擇哪種策略應對研究與開發(fā)風險，都需要編制研究與開發(fā)風險應對表。

　　5、編制風險數(shù)據(jù)庫或繪制風險圖譜。依據(jù)研究與開發(fā)風險評估的結(jié)果編制研究與開發(fā)層面的風險數(shù)據(jù)庫或繪制風險圖譜。研究與開發(fā)層面數(shù)據(jù)基本要素包括業(yè)務流程、風險描述、風險分析、風險排序、應對策略、剩余風險等，也可以加上內(nèi)部控制設計完成后控制措施、控制部門或崗位等等。風險圖譜一般適用于公司層面的風險描述。

　　本階段研究與開發(fā)內(nèi)部控制設計的工作成果是，形成《研究與開發(fā)風險及其描述表》、《研究與開發(fā)整體層面風險清單》、《研究與開發(fā)風險分析表》、《研究與開發(fā)風險評價表》、《研究與開發(fā)風險應對策略表》、《研究與開發(fā)風險解決方案》等。

　　研究與開發(fā)內(nèi)部控制設計實務（下）