在审计公司电力电缆的采购流程时，发现部分供应商未通过公司指定的资质审核就签订合同。作为审计人员，你会如何设计审计程序来验证采购流程的合规性，并识别潜在的风险点？

1) 【一句话结论】
通过“流程控制测试+供应商资质抽样验证+风险访谈”组合程序验证采购合规性，结合流程图分析、数据异常挖掘、供应商/采购人员访谈识别潜在风险点。

2) 【原理/概念讲解】
老师来解释核心逻辑：审计采购流程合规性，本质是“检查流程是否按制度执行+验证结果是否合规”。

• 控制测试：像“检查生产线上的质检环节是否按标准操作”——测试“供应商资质审核”这一关键控制点是否在合同签订前执行，比如检查审核记录、审批流程是否完整。
• 实质性程序：像“直接检查产品是否合格”——抽查未通过资质审核的合同，验证供应商是否实际具备资质（比如从公司供应商数据库中核对资质状态）。
• 风险识别：像“分析生产线的潜在漏洞”——通过流程图发现“审核环节缺失”的漏洞，用数据比对（合同台账vs供应商资质台账）发现“资质无效但已签约”的异常，通过访谈了解“未审核原因”（如流程疏漏、信息更新不及时）。

3) 【对比与适用场景】

审计程序类型	定义	特性	使用场景	注意点
控制测试	测试内部控制运行有效性	侧重流程执行	检查“资质审核”环节是否按制度执行	样本量需足够，保证代表性
实质性程序	直接验证交易/余额合规性	侧重结果验证	抽查未通过资质审核的合同，验证供应商资质	结合数据比对，避免主观判断
风险识别方法	识别流程潜在风险	侧重流程漏洞	流程图分析、异常数据挖掘、供应商访谈	需结合业务理解，不能仅看数据

4) 【示例】
用伪代码表示抽样检查未通过资质审核的合同：

# 伪代码：验证采购流程合规性
def verify_compliance(contracts, supplier_db):
    # 1. 控制测试：检查流程执行
    # 假设合同字段有“is_validated”（是否通过资质审核）
    unvalidated_contracts = [c for c in contracts if c['is_validated'] == False]
    
    # 2. 实质性程序：验证供应商资质
    for contract in unvalidated_contracts:
        supplier_id = contract['supplier_id']
        supplier = supplier_db.get(supplier_id)
        if supplier is None or not supplier['qualification']:
            # 发现风险：供应商未通过资质审核
            record_risk(f"合同{contract['id']}的供应商{supplier_id}未通过资质审核")
        else:
            # 记录合规情况
            record_compliance(f"合同{contract['id']}的供应商{supplier_id}已通过资质审核")
    
    # 3. 风险识别：数据比对
    # 检查“资质状态=无效”但已签约的供应商
    invalid_suppliers = [s for s in supplier_db.values() if not s['qualification']]
    for supplier in invalid_suppliers:
        if any(c['supplier_id'] == supplier['id'] for c in contracts):
            record_risk(f"供应商{supplier['name']}资质无效，但已签订合同")

5) 【面试口播版答案】
“面试官您好，针对电力电缆采购流程中供应商未通过资质审核就签合同的问题，我会从验证合规性和识别风险点两方面设计审计程序。首先，验证合规性，我会采用控制测试和实质性程序结合的方式：先通过流程图分析，检查‘供应商资质审核’环节是否在合同签订前执行，然后抽取过去6个月的10%合同样本，检查这些合同对应的供应商是否在指定数据库中且资质状态为‘有效’。其次，识别潜在风险点，我会用数据比对（合同台账与供应商资质台账交叉匹配）发现异常，比如资质状态为‘待审核’或‘无效’但已签订合同的供应商，同时通过访谈采购部门了解未通过审核的原因（是流程疏漏还是供应商信息更新不及时）。最后，汇总结果，形成审计报告，指出流程中的薄弱环节（如审核环节执行率低），并提出改进建议（如增加审核人员培训或自动化审核系统）。”

6) 【追问清单】

• 问题1：如果发现部分合同是紧急采购，且紧急采购有特殊审批流程，如何处理？
  回答要点：区分常规采购和紧急采购，对紧急采购单独抽样，检查其是否履行了特殊审批程序，确保合规性。
• 问题2：如何确定抽样比例？
  回答要点：根据采购金额、合同数量和风险等级，参考审计抽样标准（如属性抽样或变量抽样），比如高风险合同抽样比例更高。
• 问题3：如果供应商资质审核是线上系统自动完成的，如何验证系统有效性？
  回答要点：检查系统权限设置（审核人员是否有权限）、系统日志（审核操作的记录）、系统测试（模拟输入无效资质，验证系统是否能拦截）。
• 问题4：如何识别流程中的“串通”风险？比如供应商和采购人员勾结？
  回答要点：通过供应商访谈（了解其合作情况）、采购人员行为分析（如频繁与特定供应商合作）、数据异常（如同一供应商连续获得大额合同）。
• 问题5：如果公司有多个采购部门，如何确保所有部门的流程都符合要求？
  回答要点：对每个采购部门进行流程测试，检查其是否执行了统一的资质审核制度，比如通过跨部门抽样检查。

7) 【常见坑/雷区】

• 只关注“是否通过审核”而忽略“审核环节是否执行”：比如只检查合同中的供应商资质信息，而没检查审核记录。
• 抽样比例不合理：样本量太小，无法代表整体情况。
• 未考虑特殊场景（如紧急采购、特殊供应商）：导致审计程序不全面。
• 只用数据比对而没结合访谈：无法深入理解风险原因。
• 未提出具体的改进建议：发现问题后只描述问题，没有给出解决方案。