【文章內(nèi)容簡介】 部控制的理論理解和企業(yè)內(nèi)部控制實踐中提供幫助。我國的風險管理和內(nèi)部控制研究經(jīng)歷了從引進吸收國外經(jīng)驗，尤其是針對 2022 年 COSO 發(fā)布的《企業(yè)風險管理——整合框架》的研究 [16]，到結合我國的實際情況，針對國家規(guī)范和標準的研究，從理論性的研究到各個專業(yè)的實踐引用，逐步深入到企業(yè)的各個環(huán)節(jié)，其中銷售領域也有潘西安理工大學工商管理碩士學位論文4振宇、高清平的《企業(yè)銷售風險控制的一種理論分析方法》本文提出一種對于企業(yè)銷售行為的風險控制的理論分析方法，這種方法從價值及風險兩個角度建立了一個銷售行為的分析模型，并作為銷售風險控制的理論基礎，分析了該模型下的客戶因素及競爭對手因素 [17]。田宇松、杜蘭英、趙芬芬的《企業(yè)銷售風險預警模型研究》首先介紹了企業(yè)銷售風險預警和控制的相關概念，然后從價格風險和庫存風險兩方面分析了企業(yè)銷售風險，最后構建了企業(yè)銷售風險預警模型，為企業(yè)構建風險管理的模型提供了實際的操作經(jīng)驗[18]。吳定玉，曾祥林《企業(yè)信用銷售風險防范與控制》 ，在市場競爭激烈的行業(yè)中，銷售與回款兩難的問題非常突出，一方面，企業(yè)必須采取信用銷售的方法擴大市場份額，增加銷售額；另一方面，巨大的信用風險往往又造成大量應收賬款難以收回，使企業(yè)經(jīng)營陷入困境。因此，如何加強企業(yè)信用銷售風險的防范與控制，同時利用信用銷售擴大企業(yè)的有效利潤成為決定企業(yè)發(fā)展的重要一環(huán) [19]。著重深入剖析了企業(yè)信用銷售風險產(chǎn)生的原因，從而提出信用銷售風險防范與控制的對策與措施。這些研究都一個或多個角度針對企業(yè)的銷售領域風險管理和內(nèi)部控制提出了指導性意見，但針對實際的軟件服務銷售業(yè)務還是缺少深入的研究成果。 研究方法和主要內(nèi)容作為一個管理方案的專題研究，我們將采取案例研究的方法，對文獻數(shù)據(jù)和企業(yè)資料進行對比分析和邏輯處理，并利用統(tǒng)計分析工具，對研究課題中的風險進行定量分析，以達到選擇最優(yōu)結果的目的。本文首先對風險管理體系建設的基本理論進行總結和梳理，明確風險管理體系建設的概念定義、方法原則和應用指引，突出整個風險管理體系建設的實踐指導意義，在為整個論文的研究奠定扎實理論基礎的同時，增強研究的實踐應用價值。其次，通過對 LY 公司情況的介紹，尤其是對銷售業(yè)務的分析，總結出其銷售特點和銷售業(yè)務領域面臨的種種問題，為后續(xù)的風險識別和評估奠定基礎。接下來，通過問題分析找出 LY 公司銷售業(yè)務的風險點，并對風險點進行識別和評估，確定風險類型和風險數(shù)據(jù)，并根據(jù)相關的風險理論和實踐，建立風險應對機制，形成風險防控的體系架構。最后，針對 LY 公司的實際銷售業(yè)務過程，將風險控制體系在銷售業(yè)務的整個過程和范圍進行實施，通過組織、人員、制度、政策和管理工具，實現(xiàn) LY 公司軟件銷售業(yè)務的風險控制。本文研究結構示意圖如下圖（圖 11）所示：導 論5圖 11 本文研究結構示意圖 Schematic diagram of the structure of the paper導論研究背景及意義 文獻綜述 研究方法和主要內(nèi)容企業(yè)風險管理基礎理論風險的概念和分類 風險識別與評估 軟件銷售的管理特點LY 公司軟件銷售業(yè)務的現(xiàn)狀及存在問題LY 公司的背景LY 公司軟件銷售業(yè)務風險控制體系的構建必要性和可行性 構建原則與整體框架 風險控制體系的構建方案結論和建議軟件銷售的管理現(xiàn)狀 LY 公司的問題和風險LY 公司軟件銷售業(yè)務風險控制體系構建的方案實施組織結構的調(diào)整 制度修訂完善 流程優(yōu)化西安理工大學工商管理碩士學位論文6企業(yè)風險管理與銷售管理的基礎理論72 企業(yè)風險管理與銷售管理的基礎理論關于銷售業(yè)務的風險控制體系的研究包含了銷售業(yè)務和風險管理兩個學科的交叉，因此基礎理論中既包含了營銷管理的有關內(nèi)容，也包含了企業(yè)全面風險管理和內(nèi)部控制系統(tǒng)的知識。因為我們研究的重點是構建風險控制體系，風險控制體系構建的概念和分類是我們要首先研究的基礎。 企業(yè)風險管理的概念和分類風險管理是一門新興的學科，起源于二十世紀三十年代，目前主要是應用于企業(yè)管理領域，很多國際標準化組織和國家都發(fā)布了各自版本的風險管理標準，如 COSO 的企業(yè)風險管理框架和國標 GBT243532022 風險管理原則與實施指南等。在研究風險控制體系之前，對于風險管理的定義相關概念進行了必要的梳理。 風險管理的管理定義企業(yè)的風險管理是一系列的管理過程和方法，目的是幫助企業(yè)安全地完成設定經(jīng)營目標，具體是通過在企業(yè)管理的每個領域和經(jīng)營活動的各個過程中以風險管理的原則制定流程和制度。在培育良好的風險管理文化的基礎上，建立健全全面風險管理體系，這一體系應該包括風險管理的策略、風險應對的措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證。與風險管理相輔相成的就是企業(yè)內(nèi)部控制，它們是企業(yè)應對風險和規(guī)范管理的，1949 年美國會計師協(xié)會的審計程序委員會在《內(nèi)部控制，一種協(xié)調(diào)制度要素及其對管理當局和獨立注冊會計師的重要性》的報告中，對內(nèi)部控制首次作了權威性定義：“內(nèi)部控制包括組織機構的設計和企業(yè)內(nèi)部采取的所有相互協(xié)調(diào)的方法和措施。這些方法和措施都用于保護企業(yè)的財產(chǎn)，檢查會計信息的準確性，提高經(jīng)營效率，推動企業(yè)堅持執(zhí)行既定的管理政策。 ”[20] 風險管理與內(nèi)部控制的關系我們認為全面風險管理的概念和應用中包含了內(nèi)部控制。例如在 COSO 的框架中就明確地指出了，全面風險管理體系框架包括內(nèi)部控制，并且將內(nèi)部控制作為全面風險控制的一個子系統(tǒng)。企業(yè)內(nèi)部控制的需求是來自企業(yè)對于風險的評估和管理，在企業(yè)面臨的大部分風險中，尤其是各類的經(jīng)營風險，或者說在企業(yè)的各個業(yè)務流程之中的風險，內(nèi)控系統(tǒng)都是重要的風險管理方法之一。同時，內(nèi)控系統(tǒng)也是企業(yè)在各個市場中面對政府和監(jiān)管機構開展合規(guī)經(jīng)營的要求。因此，滿足內(nèi)部控制系統(tǒng)的管理要求，也是企業(yè)風險管理體系建立應該達到的基本狀態(tài)。 [21]內(nèi)部控制與全面風險管理還是存在很多差異的，首先是兩者的形式不一樣，內(nèi)部控制是一項管理職能，通過對業(yè)務的各個環(huán)節(jié)的控制來實現(xiàn)管理目標，而全面風險管理則貫穿于管理的各個方面，更重要的是在事前制訂目標時就充分考慮了風險的存在。而且，西安理工大學工商管理碩士學位論文8在兩者所要達到的目標上，全面風險管理多于內(nèi)部控制。 [22]其次是兩者的工作是不一樣，全面風險管理的一系列具體活動并不都是內(nèi)部控制要做的。全面風險管理包含了風險管理目標和戰(zhàn)略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等活動。而內(nèi)部控制所負責的是風險管理過程中間及其以后的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監(jiān)督評審與缺陷的糾正等工作。兩者之間最明顯的差異在于內(nèi)部控制不負責企業(yè)經(jīng)營目標的具體設立，而只是對目標的制定過程進行評價，特別是對目標和戰(zhàn)略計劃制定當中的風險進行評估。 [23]第三，內(nèi)部控制和風險管理對于風險所采取的對策也是不一樣的。在風險管理框架中通常會引入風險容忍度、風險對策等 [24]，因此在風險度量的基礎上，企業(yè)的發(fā)展戰(zhàn)略與風險偏好相一致，進行資源分配及利用信息數(shù)據(jù)支持業(yè)務的決策等，從而幫助企業(yè)實現(xiàn)全面風險管理的目標。這些內(nèi)容都是現(xiàn)行的內(nèi)部控制框架所不能做到的。 [25]最后，我們認為兩者的實施內(nèi)容不同。風險管理的體系實施包括建立風險防控目標體系、風險的識別、評估和應對的機制以及建設正確的企業(yè)風險管理文化等內(nèi)容。而內(nèi)部控制體系的實施，是在風險管理的機制、理念和文化等框架標準的指導下，對制度和流程進行優(yōu)化，并建立監(jiān)督執(zhí)行的機制。因此在實施的過程中，風險管理側重目標體系和管理要素的設定，內(nèi)部控制側重業(yè)務操作流程。 [26] 企業(yè)風險的分類根據(jù)風險管理的標準和分析的目的，我們按照不同的角度和標準，對不同的風險進行區(qū)分，產(chǎn)生不同的分類結果。風險分類是為一定的目的服務的。我們研究的目的是在相同情況下，針對銷售業(yè)務中的風險進項研究、識別和管理，因此我們主要針對在企業(yè)經(jīng)營管理活動中產(chǎn)生的各類風險進行分類分析 [27]。根據(jù)本文分析所涉及的范圍，企業(yè)銷售業(yè)務的風險分類主要可以從以下幾個方面來劃分。（1）按照風險發(fā)生的概率分類：根據(jù)風險發(fā)生的概率，可以分為高風險、中等風險和低風險，依此判斷風險的接受程度和應對策略，因為通常高風險要制定經(jīng)常性策略應對，而低風險則應該制定應急措施給予響應，識別出風險發(fā)生的幾率是決定風險管理策略和內(nèi)部控制機制的重要工作 [28]。（2）按照風險后果的嚴重程度分類根據(jù)風險帶來的損失大小和后果的輕重程度，可以分為重大風險，普通風險和輕微風險，識別不同的嚴重程度，決定了在響應的時候采取何種程度的相應措施，從響應措施的成本到響應時間等等，作為風險控制的重要選擇性參數(shù)，風險的嚴重測度也是重點識別的分類。 [29]（3）按照企業(yè)對于風險后果接受程度的分類風險對于企業(yè)的經(jīng)營大多會帶來不利的影響，因此，企業(yè)能夠接受到什么程度的風企業(yè)風險管理與銷售管理的基礎理論9險，決定了在制定風險控制策略時的成本控制依據(jù)、資源分配依據(jù)等等，如對于后果完全無法接受的風險則要通過制定嚴格的風險管理策略和內(nèi)部控制體系進行規(guī)避，并嚴格監(jiān)視執(zhí)行，必須避免風險的出現(xiàn)，或者識別風險出現(xiàn)的各個特征，及時對風險做出反應，進行及時的應對，以控制風險的后果。而對于可以接受或是承受后果的風險，則可以衡量成本與收益的關系，只要選擇代價較小的應對措施即可。 [30]（4）其它分類方式：風險分類的方式多種多樣，除了以上三種決定風險管理方式的分類之外，還有包括按構成風險因素的性質(zhì)，如自然風險、經(jīng)濟風險、政治風險和科技風險；按風險形成的原因劃分，如主觀風險和客觀風險；按風險的范圍劃分，如局部風險和全局風險；按風險存在的方式劃分，如潛在型風險、延緩型風險、突發(fā)性風險、轉(zhuǎn)移型風險和競爭性風險等；按風險控制的程度劃分，如可控制風險和不可控制風險；按企業(yè)經(jīng)營類型劃分，如維持型風險、擴展型風險、開拓型風險和開放型風險等；按風險效應來劃分，如純風險和投機風險；按風險責任承擔來劃分，如國家風險、企業(yè)風險和個人風險；按風險的內(nèi)容劃分，如市場風險、技術風險、生產(chǎn)風險、信貸風險、資源風險、環(huán)境風險、涉外風險、人事風險、事故風險、制度改革風險等等。除了上述分類之外，根據(jù)風險分析的目的和具體要求，還可以從不同的角度，對企業(yè)風險類別進行更加具體的劃分。 [31] 企業(yè)風險的識別與評估風險管理的基礎就是風險的識別和評估，這是一個發(fā)現(xiàn)風險和確認風險的過程，在近年來，隨著對風險管理理論研究的不斷深入，風險識別和評估的概念、方法和工具也在不斷發(fā)展和完善。 [32] 風險識別（1）風險識別的概念風險識別是指企業(yè)在風險真正發(fā)生之前，根據(jù)事先構建的風險識別模型，運用科學的風險識別方法，系統(tǒng)地、連續(xù)地對企業(yè)活動中的風險進行認識、辨別的活動。風險識別是風險管理的基礎，只有正確識別出所面臨的風險，企業(yè)才能夠主動選擇適當、有效的方法進行處理。 [33]風險識別的過程通常包含風險感知和風險分析兩個環(huán)節(jié)。①風險感知：即通過一定的手段，了解客觀存在的風險。是風險識別的基礎，通過感知風險事故發(fā)生的條件因素，為擬定風險處理方案，進行風險管理決策服務。風險感知即可以是通過直觀的感性認識獲得的，也可以是通過歷史經(jīng)驗判斷的，更多的是要通過對客觀資料和風險數(shù)據(jù)記錄分析、歸納和總結，以及專家訪談等輔助形式，最終找出各種明顯或是潛在的風險及其損失規(guī)律。②風險分析：即分析感知到的各種風險因素，鑒別風險的類別和程度，從錯綜復雜環(huán)境中找出企業(yè)所面臨的主要風險，為后續(xù)的風險處理提供決策依據(jù)，它是風險識別的西安理工大學工商管理碩士學位論文10關鍵。 [34]（2）風險識別的內(nèi)容①環(huán)境風險：這里說的環(huán)境風險并非自然環(huán)境，而是指企業(yè)經(jīng)營面臨的社會、政治、經(jīng)濟、文化等方面的環(huán)境，這些環(huán)境發(fā)生變化的時候，有可能會打亂企業(yè)的經(jīng)營規(guī)劃，從而產(chǎn)生經(jīng)濟風險。②市場風險：包括了企業(yè)自身對于市場形勢判讀的內(nèi)部因素，以及市場客觀的形勢發(fā)生變化帶來的外部因素，這些都給企業(yè)的經(jīng)營預期帶來不確定因素，從而產(chǎn)生經(jīng)濟風險。③技術風險：則有技術落后不能取得競爭優(yōu)勢的風險，也有技術改進后給企業(yè)持續(xù)經(jīng)營帶來的改進壓力，從而帶來經(jīng)濟損失或是計劃外的經(jīng)濟投入或是支出等。④其他風險，如生產(chǎn)風險、財務風險和人事風險等。 [35]（3）風險識別的方法我們使用的風險識別方法，分為宏觀領域的可行性分析、投入產(chǎn)出分析，以及具體分析方法中的資產(chǎn)負債分析、損失清單分析等，我們研究中主要用到了以下幾種方案：①流程分析法：又稱流程圖法，是指在業(yè)務過程中，將從開始到結束的各個過程通過流程圖的方式展示出來，并根據(jù)不同的流程，對每一階段和環(huán)節(jié)，逐個進行調(diào)查分析，找出風險存在的原因。 [36]②調(diào)查列舉法：是由企業(yè)風險管理人員對可能面臨的風險逐一列出，并根據(jù)不同的標準進行分類。接受調(diào)查的通常是風險管理和業(yè)務方面的專家，調(diào)查所涉及的方面應盡可能廣泛，并具有一定的代表性。 [37]③分解分析法：分解分析法指將一復雜的事物分解為多個比較簡單的事物，將大系統(tǒng)分解為具體的組成要素，從中分析可能存在的風險及潛在損失的威脅。 [38] 風險評估（1）風險評估的定義風險評估是指在風險發(fā)生之前或之后，正在給企業(yè)造成影響和損失的可能性進行量化評估的工作。風險評估的操作范圍可以是整個企業(yè)，也可以是企業(yè)中的某一個部門，或者獨立的業(yè)務。其中評估時間、力度、展開幅度和深度等，都是影響風險評估進展的因素，應與企業(yè)的要求相符合 [39]。企業(yè)應該針對不同的情況來選擇恰當?shù)娘L險評估途徑，在實際工作中，經(jīng)常使用的風險評估包括風險識別、風險分析和風險評價三