基于OMP3模型的会计信息系统内部控制评价体系的构建

2015-05-15常茹

电子测试 2015年8期

常茹

（陕西财经职业技术学院,陕西咸阳, 712000）

1 组织项目管理成熟度（OPM3）模型介绍

1.1 OPM3 模型简介

OPM3 模型是组织项目管理成熟度模型的简称，由美国项目管理协会（PMI）创建而成，该模型其实质是一种工具或是方法，其目的是为了通过管理单个项目或者项目组合，来实现项目的战略目标，有效的提升该组织在市场中的竞争实力。本文采用第一维度，其中该维度包括标准化、可测量、可控制、持续改进四个阶段。可以用这四个阶段来衡量平价会计信息系统内部控制情况，通过采集处理过的数据结果来判定该企业会计信息系统内部控制是处在哪个阶段，根据显示结果来做出进一步的改进。OPM3 模型为企业提供了一个衡量评价的标准，使企业更明确的了解企业内部控制的当前状态，根据OPM3 模型的显示结果对企业内部控制做出适当的调整。

1.2 OPM3 模型的梯度等级划分

OPM3 模型主要包括最佳实践、能力组织、路径、可视性结果、绩效指标几部分内容，另外还包括一些评估模板、陈述说明、一些与组织项目管理过程相关的描述等内容，以上这些要素相互配合构成了OPM3 模型。另外，OPM3模型属于三维模型，这三个维度分别为：成熟度的阶梯（四个）、项目管理的基本过程（五个）与领域（九个）、项目管理的版图层次（三个）。其中，第一维度成熟度的四个阶梯主要包括以下几部分内容：标准化的、可测量的、可控制的、持续改进的。第二维度项目管理的九个领域主要包括以下几部分内容：范围管理、项目集成管理、费用管理、沟通管理、质量管理、时间管理、风险管理、人力资源管理、采购管理，分为启动、计划编制、执行、控制、收尾五个基本过程。第三维度项目管理的三个版图层次主要分成以下三种类型：单个项目管理、项目组合管理和项目投资组合管理。本文根据会计信息系统内部控制实际功能需求，引用第一维度的梯度等级，并将这四个梯度等级划分成以下五个等级：

混乱级-0：处于此等级的企业内部控制尚处于杂乱状态，没有相应的规章制度来控制企业内部的运行，而且企业没有意识到自身存在的缺陷。

初始级-1：处于此等级的企业内部虽然仍处于杂乱状态，没有相应的规章制度来控制企业内部的运行，但是企业管理层已经意识到自身管理存在缺陷。

简单级-2：处于此等级的企业内部已经有相关方面的制度实施，但是没有统一规范的标准，单纯的凭借自身理解实施工作，无法达到预期的效果。

规范级-3：处于此等级的企业内部有明确的制度流程及其参照标准，会计人员能够按照规定的流程操作，但是流程本身的设计不够完善、合理。

成熟级-4：处于此等级的企业内部有一套适合自身的管理制度，并逐步完善了内部控制体系，提高了企业的运转效率。

图1 OPM3 的梯度等级

图2 基于OMP3模型的会计信息系统内部控制评价体系系统的功能设计

图3 会计信息系统内部控制 OPM3 二维框架图

改进级-5：处于此等级的企业内部具有完善的控制系统，并能找出自身的不足之处，不断提高自身的管理水平。

OPM3 模型各个等级之间的关系如图 1所示：

图4 基于OMP3模型的会计信息系统内部控制评价体系系统的流程设计

2 基于OMP3模型的会计信息系统内部控制评价体系的构建

会计信息系统内部控制系统主要包括以下几大模块：环境控制、活动控制、风险评估、信息与沟通、监督。基于OMP3模型的会计信息系统内部控制评价体系系统功能分析设计如图2所示：图2 基于OMP3模型的会计信息系统内部控制评价体系系统的功能设计

会计信息系统内部控制 OPM3 模型的区域维度由以上五大要素组合而成，其中以上五大要素分别由A、B、C、D、E 来表示，系统的等级维度由以上所提及的OPM3 模型第一维度的五个成熟度等级表示，两者组合共同构成一个二维框架图，如图3所示：

建立二维框架图后，在对以上五大模块进行细化，设定相应的控制点，并对这些因素进行分析以及进行控制级别的评价。OPM3模型使企业了解目前项目所处的等级，并与SQL Sever数据库中所存储的”最佳实践”案例进行比较，制定合理的改进规划以此来改善自身存在的缺陷，不断重复以上评价过程，以此来提该项目的可行性、成熟度等级。

3 基于OMP3模型的会计信息系统内部控制评价体系的具体设计

3.1 设置基于 OPM3 模型的会计信息系统内部控制

基于 OPM3 模型的会计信息系统的内部控制体系系统主要由目标、规划、开发、运行、风险、评价控制模块组合而成。系统的基本控制要素指的是内部控制的五要素，将这五个基本要素作为起始点，然后再确定其控制点，最后以各个控制点为基础以此来确定各个控制目标，系统的具体的流程如图4所示：

3.2 构建基于OPM3 模型的会计信息系统内部控制的关键指标

3.2.1 构建控制环境的关键指标

通过网络缩减了企业的管理层次，与之成反比的是管理者的管理范围，管理者的管理范围随管理层次的减少而变的更为宽泛，如此一来对企业利用信息技术有了更高的要求。针对控制环境方面的要求设置了以下关键指标，其关键指标设计如下所示：

3.2.2 构建风险评估的关键指标

风险评估设计了风险整体评估、风险预防、新风险几个关键指标，分别用B1、B2、B3表示。风险整体评估又被分成了风险识别、风险分析、风险应对几个模块，分别用B11、B12、B13表示。

3.2.3 构建控制活动的关键指标

会计信息系统的操作流程与具体的控制点共同决定了控制活动的设置，其控制对象包括了从建立系统到系统的使用。为了保证企业实现目标，控制活动采取了必要的防范措施。控制活动设计了数据库、系统开发、系统维护、系统应用、网络安全、硬件维护、病毒控制、数据输出、业务流程、操作控制几个关键指标，它们属于一级控制点，分别用层C1-C10表示。其中，以及控制点中的数据库又包括授权访问 C11、模块管理 C12 、备份数据C13、数据恢复 C14、灾难补救C15几个模块；系统开发C2包括开发可行性研究 C21、开发审核通过 C22、开发过程 C23、系统启用 C24、系统上线 C25几个模块；系统维护C3包括系统定期升级 C31、定期修改代码结构 C32、系统日志记录 C33几个关键指标；系统应用C4包括原始数据 C41、数据录入授权 C42、监控数据处理过程 C43；网络安全C5包括设置外部访问区域的范围C51、建立防火墙 C52、设置多重口令 C53、记录操作日志 C54、采用网络专线 C55、文件传输加密 C56几个二级控制点；硬件维护C6包括计算机等设备维护 C61、服务器维护 C62、外部环境C63几个二级关键点；病毒控制C7包括防病毒软件 C71、对数据源进行病毒检测 C72几个二级关键点；数据输出 C8包括输出数据的转换 C81 、文件档案的保管 C82几个二级关键点；业务流程C9包括筛选信息 C91、录入数据 C92几个二级关键点；操作控制 C10包括反馈处理结果 C94、身份识别 C101、控制权限C102、操作程序 C103、日志监控 C104几个二级关键点

3.2.4 构建信息与沟通、监测的关键指标

对信息与沟通、监测的关键指标，完善系统设计。