本文以一个业务流程为示例，说明内控设计过程。

案例简介

　 　 某企业主要从事柴油机及其零部件和柴油发电机组的研发设计、制造和销售业务，随着企业不断进行结构调整、主辅剥离，非核心零部件逐渐由自制转为外购，大量的非生产性业务进行了外包，采购成为最重要的业务环节之一，年度采购额已超10亿元。

　 　 对生产采购，公司实施了战略采购方式，全部采购业务均由采购部进行，财务部、质保部、物流部协助其对供应商进行成本、质量和供货管理。但对非生产性采购（下称“一般采购”），如设备设施采购、工程项目外包、办公用品采购等，在2008年以前，公司一直是专业全程负责制，也即一个设备管理部门负责制订预算、技术方案、商务谈判、选择供应商、验收以及安装调试等全过程，其责任清晰、效率高，但也存在大量的控制漏洞。

风险识别与关键环节控制

　 　 分析该企业的采购过程，主要环节包括：计划或申请、供应商选择、购买、验收和付款等。可能存在的风险包括：未进行申请（或申请未得到有效批准），导致发生了不必要的采购；选择了不符合要求的供货商，导致采购要求得不到持续一致的保证；未经有效验收或登账，导致不合格品流入公司或存在账外物资等等；价格制定或计入错误，导致错误付款遭受损失等。其采购业务关键控制环节为：采购申请环节；供应商选择环节；采购验收环节。

　 　 为实现控制目标，该企业采取了以下控制措施：预算与申请方面，全部采购纳入预算管理，需进行采购申请，按照权限审批后实施；供应商选择方面，不再由业务部门进行，全部集中到采购部实施，采购部通过比价采购、招标采购等方式确定最优供应商；验收与付款方面，由业务部门按照采购要求进行验收，验收结果反馈给财务部和采购部，供应商准备发票，财务部根据“三单匹配”，核对采购申请（订单）、验收单和发票无误后进行付款。

　 　 因此，关键业务环节内部控制设计包括步骤：描述作业程序、定义风险、定义控制目标、定义控制活动、定义测试活动。

　 　 控制措施制度固化后，只是完成内部控制设计，但并不是内部控制过程的结束，还需组织部门实施和进行评价。