研究与开发内部控制设计实务
目前,业界对于研究与开发内部控制设计的概念还没有统一的定义。中天恒3C框架认为,研究与开发内部控制设计,是在遵循国家和企业研究与开发相关法规制度的基础上,以国家监管部门制定的内部控制规范及其应用指引为依据,结合企业的研究与开发实际情况,用系统控制的技术和方法,构建企业自身研究与开发内部控制体系的动态过程。研究与开发内控设计,是研究与开发内控建设的首要环节。
研究与开发内部控制设计范围与基本流程
《企业内部控制应用指引第10号——研究与开发》(以下简称《第10号应用指引》)第二条规定:“本指引所称研究与 开发,是指企业为获取新产品、新技术、新工艺等所开展的各种研发活动。”本指引将研发定义为一项企业为创新所开展的各种研发活动。
研究与开发内部控制设计是个复杂的系统工程,基本流程包括设计准备、设计实施、试行及完善等。中天恒认为,描述现状、风险评估、设计控制是研究与开发内部控制设计的关键方面。同时,根据研究与开发内部控制设计操作需要,在基本流程的基础上,还要有多层次具体的流程,每个具体流程中需明确工作内容、方法、步骤以及相应的表单等,要突出研究与开发内控设计的特色。
《第10号应用指引》界定了研究与开发的定义,描述了研究与开发中的风险,明确了立项与研究、开发与保护方面的控制措施,对优化企业研究与开发制度具有重要意义。企业应当根据《第10号应用指引》的要求,通过设计内部控制手册,使有关部门和员工掌握立项评审、研究过程管理、验收以及研发人员管理等基本规范,明确权责分配,正确行使管理职权。
描述现状
描述现状,就是梳理企业研究与开发方面的内部管理制度或相关文件,以及业务流程,编制研究与开发内部管理制度或相关文件情况表、研究与开发业务流程目录、绘制研究与开发业务流程图等研究与开发内部控制设计的基础性工作。
1、梳理描述制度文件。梳理描述制度文件,就是梳理描述企业研究与开发方面的管理制度或文件,重点关注有无研究与开发方面的相关制度,如有是否完善、是否执行;有无具体可控的操作文件或表单等等。
2、梳理描述现状业务流程。梳理企业研究与开发现行的业务流程情况,包括哪些环节,是否能有效控制研究与开发风险,并要将企业研究与开发方面的现行业务流程用图表的形式描绘出来。
3、确定业务流程目录。在梳理研究与开发管理制度和业务流程现状的基础上,设计者根据《第10号应用指引》的要求,编制研究与开发业务流程目录,绘制研究与开发业务流程图。
一般来说,研究与开发的基本流程包括:立项、研发过程管理、结题验收、研究成果的开发和保护等。
当然,研究与开发复杂多样,研究与开发内部管理制度、业务流程千差万别,因此,本阶段的设计在总体上体现指引要求的基础上,在具体的业务流程的设计上一定要体现不同企业研究与开发的自身特点,不能简单照抄照搬。
本阶段的设计工作成果是,形成《研究与开发内部管理制度或相关文件情况表》、《研究与开发流程目录》、《研究与开发业务流程图》等。
风险评估
研究与开发内部控制的风险评估基本程序为:识别研究与开发风险,并进行具体描述;分析研究与开发风险,编制研究与开发风险分析表;评价研究与开发风险,编制研究与开发风险评价表;确定研究与开发风险应对策略;提出研究与开发重大风险解决方案。需要说明的是,研究与开发重大风险解决方案要看企业是否需要,也可以在研究与开发内部控制设计完成后单独进行。
1、识别并描述风险。评估研究与开发风险,首先,要把研究与开发具体风险识别出来,然后整理出整体层面的风险。研究与开发具体风险是多种多样的,也因企业的不同而不同。关于研究与开发风险,按照《第10号应用指引》的要求,在评估研究与开发风险时,设计人员至少应当关注下列风险:研究项目未经科学论证或论证不充分,可能导致创新不足或资源浪费;研发人员配备不合理或研发过程管理不善,可能导致研发成本过高、舞弊或研发失败;研究成果转化应用不足、保护措施不力,可能导致企业利益受损。
在研究与开发内部控制构建与实施过程中,企业应根据《第10号应用指引》中有关研究与开发风险的提示,结合研究与开发的实际情况,识别并具体描述研究与开发方面存在的风险,以便完善研究与开发的内部控制,以有效地控制研究与开发风险。
2、分析风险。研究与开发风险分析的内容很多,一般应从成因和结果两个方面进行,并编制研究与开发风险分析表。
3、评价风险。研究与开发风险评价应从可能性和影响程度两个维度进行,根据评价结果进行风险排序、划分风险等级,并编制研究与开发风险评价表。
4、选择风险应对策略。研究与开发风险应对是根据风险评价的结果,针对不同等级风险选择研究与开发风险应对策略的过程。不同等级的研究与开发风险采取的应对策略不一样,一般有规避、降低、转移、接受等策略。不论选择哪种策略应对研究与开发风险,都需要编制研究与开发风险应对表。
5、编制风险数据库或绘制风险图谱。依据研究与开发风险评估的结果编制研究与开发层面的风险数据库或绘制风险图谱。研究与开发层面数据基本要素包括业务流程、风险描述、风险分析、风险排序、应对策略、剩余风险等,也可以加上内部控制设计完成后控制措施、控制部门或岗位等等。风险图谱一般适用于公司层面的风险描述。
本阶段研究与开发内部控制设计的工作成果是,形成《研究与开发风险及其描述表》、《研究与开发整体层面风险清单》、《研究与开发风险分析表》、《研究与开发风险评价表》、《研究与开发风险应对策略表》、《研究与开发风险解决方案》等。
研究与开发内部控制设计实务
企业设计研究与开发内部控制,就是在评估研究与开发风险的基础上,对研究与开发内部控制进行设计的过程,是研究与开发内部控制设计的关键环节。研究与开发内部控制设计基本程序包括:确定研究与开发关键控制点;明确研究与开发控制目标;提出研究与开发控制措施;设计研究与开发控制证据;完善研究与开发相关制度;绘制研究与开发控制流程图;编制研究与开发控制矩阵等。
1、设计关键控制点。企业在构建与实施研究与开发内部控制过程中,要针对研究与开发风险评估的结果,确定研究与开发的一般控制点和关键控制点,并编制研究与开发控制要点表。确定研究与开发的一般控制点和关键控制是件很困难的事,要根据企业实际情况确定,也因人们的专业判断的不同而不同。企业应根据《第10号应用指引》的要求,重点对立项与研究、开发与保护等环节进行关注。
2、设计控制目标。研究与开发控制目标就是要保证研究与开发合法、安全、有效、可靠,从而有效控制控制研究项目未经科学论证或论证不充分,可能导致创新不足或资源浪费;研发人员配备不合理或研发过程管理不善,可能导致研发成本过高、舞弊或研发失败;研究成果转化应用不足、保护措施不力,可能导致企业利益受损等方面的风险。实际工作中,研究与开发内部控制目标应根据识别出来的研究与开发可能存在的具体风险来设计,不能固定化、模式化。
3、设计控制措施。企业在构建与实施研究与开发内部控制过程中,要强化对研究与开发控制点,尤其是关键控制点的风险控制,并采取相应的控制措施。研究与开发控制措施要与研究与开发相融合,嵌入到研究与开发流程当中。
4、设计控制证据。为了研究与开发制度能够有效实施,设计者需要制定必要的表单,为研究与开发过程留下控制证据。研究与开发相关表单很多,包括研发计划、研究项目立项申请、可行性研究报告、风险评估意见、跟踪检查研究项目进展情况报告、研究成果验收报告、研究成果开发资料等。
5、优化控制制度。企业研究与开发管理控制制度不是独立建立一套新的制度,而是将内部控制思想嵌入到研究与开发制度中去。研究与开发制度到底制定多少个,内容到底包括哪些,这因企业的不同而不同。从务实的角度考虑,研究与开发制度不宜越多越好。笔者建议,企业可以制定一个统一的研究与开发制度,至少应明确立项与研究、开发与保护等环节的职责和审批权限。
6、绘制控制流程图。大体上来说,研究与开发内部控制流程图多为企业的一般业务流程图,并没有标注研究与开发的风险点和控制点。中天恒3C框架主张绘制研究与开发控制流程图要根据研究与开发流程、风险点、控制点及其相关的控制措施,结合具体单位的实际情况来绘制。笔者特别强调,企业应把研究与开发内部控制流程和研究与开发流程整合在一起,并在图上标示风险点和控制点。
7、编制控制矩阵。研究与开发控制矩阵是对研究与开发流程图中风险点、控制措施和控制证据等的详细说明与描述,是研究与开发内部控制设计结果的集中体现,也是企业内部控制管理手册重要组成部分。实际上也是上述工作的综合行汇总。
本阶段的设计工作成果是,形成《研究与开发控制控制要点及关键控制表》、《研究与开发内部控制目标表》、《研究与开发内部控制措施表》、《研究与开发控制证据表》、《研究与开发制度完善建议表》、《研究与开发控制流程图》、《研究与开发控制矩阵》等。