采购，是指企业购买物资（或接受劳务）并支付款项等的相关活动。一般来说，采购业务主要是指企业外购商品并支付价款的行为。按照业务处理流程，采购与付款业务可以分为请购、订购、验收、储存、退货和折让、付款凭单、记录负债、付款等控制环节。
　　企业应认真学习领会《企业内部控制基本规范》、《企业内部控制应用指引第7号——采购业务》等法律法规的精神实质和原则要求，并以此为起点构建和实施采购业务内部控制。
　　采购业务流程涉及编制需求计划和采购计划、采购申请、选择供应商、确定采购价格、订立框架协议或采购合同、管理供应过程、验收、退货、付款、会计控制等基本流程。
　　采购业务内部控制设计是个复杂的系统工程，基本流程包括设计准备、设计实施、试行及完善等。中天恒认为，描述现状、风险评估、设计控制是内部控制设计流程的高度概括，也是采购业务内部控制设计的三个关键方面。不过，根据采购业务内部控制设计操作需要，在基本流程的基础上，还要有多层次具体的流程，每个具体流程中需明确工作内容、方法、步骤以及相应的表单等，突出采购业务内控设计的特色。
　　当然，采购业务复杂多样，采购业务内部管理制度、业务流程千差万别，因此，对采购业务的内部控制设计在总体上应体现指引的要求，在具体的业务流程的设计上要体现不同企业采购业务的自身特点。
　　采购常常是经营管理中薄弱的一环，也最容易滋生“暗箱操作”、以权谋私、弄虚作假、舍贱求贵、以次充好、收受回扣等风险；同时最容易产生“跑、冒、滴、漏”，积压浪费。因此，通过对采购与付款全过程监控，加强对物资采购业务内部控制，对促进合理采购、满足生产经营需要、防范采购风险具有重要的意义。
　　采购业务风险评估的基本程序为：识别采购业务风险，并进行具体描述；分析采购业务风险，编制采购业务风险分析表；评价采购业务风险，编制采购业务风险评价表；确定采购业务风险应对策略；提出采购业务重大风险解决方案。在实践中，采购业务风险分析及评价是合在一起进行的。此外，采购业务重大风险解决方案要看企业的需要，也可在采购业务内控设计完成后单独进行。
　　1、识别并描述风险。评估采购业务风险，首先要把采购业务的具体风险识别出来，然后整理出整体层面的风险。采购业务具体风险是多种多样的，因企业的不同而有所不同。
　　在采购业务内部控制构建与实施过程中，企业应根据内部控制应用指引中有关采购业务风险的提示，结合采购业务的实际情况，识别并具体描述采购业务方面存在的风险，以便完善采购业务的内部控制，以有效地控制采购业务风险。
　　2、分析风险。采购业务风险分析的内容很多，一般应从成因和结果两个方面进行，并编制采购业务风险分析表。
　　3、评价风险。采购业务风险评价应从可能性和影响程度两个维度进行，根据评价结果进行风险排序、划分风险等级，并编制采购业务风险评价表。
　　4、选择风险应对策略。采购业务风险应对是根据风险评价的结果，针对不同等级风险选择采购业务风险应对策略的过程。不同等级的采购业务风险采取的应对策略不一样，一般有规避、降低、转移、接受等策略。不论选择哪种策略应对采购业务风险，都需要编制采购业务风险应对表。
　　5、编制采购业务风险数据库或风险图谱。依据采购业务风险评估的结果编制采购业务层面的风险数据库或绘制风险图谱。采购业务层面数据库基本要素包括业务流程、风险描述、风险分析、风险排序、应对策略、剩余风险等，同时也可以加上内部控制设计完成后的控制措施、控制部门或岗位等。
　　本阶段采购业务内部控制设计工作成果是，形成《采购业务风险及其描述表》、《采购业务整体层面风险清单》、《采购业务风险分析表》、《采购业务风险评价表》、《采购业务风险应对策略表》、《采购业务风险解决方案》等。