任家華

[摘要]本文分析了XBRL環(huán)境下我國(guó)上市公司會(huì)計(jì)信息系統(tǒng)內(nèi)部控制面臨的特殊風(fēng)險(xiǎn)，并針對(duì)這些內(nèi)控風(fēng)險(xiǎn)提出相應(yīng)的建議和措施。

[關(guān)鍵詞]XBRL；風(fēng)險(xiǎn)；內(nèi)部控制

[中圖分類號(hào)]F232；F270.7[文獻(xiàn)標(biāo)識(shí)碼]A[文章編號(hào)]1673-0194(2009)24-0008-04

XBRL(eXtensible Business Reporting Language)是可擴(kuò)展商業(yè)報(bào)告語言的簡(jiǎn)稱，這是一種新的財(cái)務(wù)和商業(yè)信息報(bào)告標(biāo)準(zhǔn)。XBRL實(shí)質(zhì)上是一種數(shù)據(jù)描述語言。通過它可以使各種商業(yè)信息在不同軟件、平臺(tái)、技術(shù)間(包括Inter-net)實(shí)現(xiàn)數(shù)據(jù)的可靠提取和順暢交換，并且依據(jù)底層的元數(shù)據(jù)的重新組合能夠使財(cái)務(wù)報(bào)表適應(yīng)變化的會(huì)計(jì)制度和報(bào)表格式要求。給財(cái)務(wù)報(bào)表數(shù)據(jù)的存儲(chǔ)、傳遞、再利用都提供了有效的工具。我國(guó)會(huì)計(jì)信息化建設(shè)的重要任務(wù)就是形成一套以XBRL國(guó)家分類標(biāo)準(zhǔn)為重要組成部分、涵蓋會(huì)計(jì)信息生成、加工、儲(chǔ)存、傳輸與利用的會(huì)計(jì)信息技術(shù)標(biāo)準(zhǔn)體系。XBRL極大地推動(dòng)了我國(guó)會(huì)計(jì)信息語言的標(biāo)準(zhǔn)化、規(guī)范化，會(huì)計(jì)信息運(yùn)用的自動(dòng)化、集成化，加強(qiáng)并確保內(nèi)部控制的可靠性。企業(yè)采用XBRL后，商業(yè)和財(cái)務(wù)信息的生成、驗(yàn)證、匯總和分析將變得極為方便，而這必然使得公司的信息在質(zhì)量、及時(shí)性、完整性和可比性上隨之提高，從而有助于公司制定決策。但是，XBRL的推廣和應(yīng)用也給會(huì)計(jì)信息系統(tǒng)內(nèi)部控制帶來了不少新的風(fēng)險(xiǎn)。為防范信息系統(tǒng)新增的風(fēng)險(xiǎn)。如何完善內(nèi)部控制將是一個(gè)重要的課題。我國(guó)對(duì)XBRL環(huán)境下的內(nèi)部控制研究還處于起步和借鑒階段，本文就XBRL環(huán)境下我國(guó)上市公司內(nèi)部控制面臨的特殊風(fēng)險(xiǎn)進(jìn)行分析，并就如何構(gòu)建相應(yīng)的內(nèi)控框架進(jìn)行探討。

一、XBRL會(huì)計(jì)信息系統(tǒng)的內(nèi)控風(fēng)險(xiǎn)

傳統(tǒng)會(huì)計(jì)信息系統(tǒng)所面臨的風(fēng)險(xiǎn)在基于XBRL的會(huì)計(jì)信息系統(tǒng)中可能依然存在，也可能有所減弱，但XBRL環(huán)境下企業(yè)內(nèi)部控制將面臨許多新的特殊風(fēng)險(xiǎn)。參考COSO框架，本文從內(nèi)部控制5要素(控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)控)人手，分析XBRL系統(tǒng)的內(nèi)部控制風(fēng)險(xiǎn)。

(一)XBRL系統(tǒng)內(nèi)部控制環(huán)境更加復(fù)雜

在XBRL環(huán)境下由于相關(guān)管理人員可以方便地通過網(wǎng)絡(luò)從辦公室的計(jì)算機(jī)上隨時(shí)取得管理所需信息，使得企業(yè)內(nèi)部管理結(jié)構(gòu)扁平化，從而使得內(nèi)部控制的組織結(jié)構(gòu)發(fā)生了改變，這將使得內(nèi)部控制環(huán)境更加復(fù)雜。首先，管理結(jié)構(gòu)扁平化使得人員變動(dòng)頻繁，人事關(guān)系、報(bào)告路線不穩(wěn)定，會(huì)削弱組織的穩(wěn)定性，很多越權(quán)操作行為不易被發(fā)現(xiàn)，容易造成管理失控。其次，容易造成權(quán)利與義務(wù)邊界模糊、管理責(zé)任難以界定、各部門相互推諉現(xiàn)象。加之組織內(nèi)成員專業(yè)背景、價(jià)值觀相差較大，容易在組織內(nèi)部產(chǎn)生各種矛盾與沖突。第三，XBRL是一個(gè)開放平臺(tái)，企業(yè)的各種利益相關(guān)者可以很方便地介入公司信息活動(dòng)。

(二)控制活動(dòng)容易出現(xiàn)漏洞

(1)授權(quán)方式的改變會(huì)造成潛在風(fēng)險(xiǎn)。對(duì)企業(yè)的監(jiān)督是由人來完成的，在XBRL的網(wǎng)絡(luò)環(huán)境下，為維護(hù)財(cái)務(wù)信息的開放性和保密性，公司對(duì)系統(tǒng)程序員、系統(tǒng)操作員、系統(tǒng)分析員、網(wǎng)絡(luò)系統(tǒng)維護(hù)員的權(quán)限都設(shè)置一定的口令或密碼，但是他們的工作態(tài)度、責(zé)任心、業(yè)務(wù)水平參差不齊，一旦系統(tǒng)操作員心術(shù)不正。擅自改變他人的口令或密碼，勢(shì)必造成網(wǎng)絡(luò)系統(tǒng)管理混亂，從而給網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息帶來風(fēng)險(xiǎn)。同時(shí)，授權(quán)方式不再是單純的簽字、蓋章，很多授權(quán)控制是“嵌入”在系統(tǒng)之中的，交易授權(quán)可以由計(jì)算機(jī)程序自動(dòng)完成，這使得授權(quán)過程不明顯，控制的失敗往往在發(fā)生損失后才被察覺。有的內(nèi)部人員甚至不經(jīng)過授權(quán)進(jìn)行非法操作，篡改會(huì)計(jì)系統(tǒng)數(shù)據(jù)，使商業(yè)機(jī)密外泄，信息的保密性受損。

(2)信息安全訪問控制風(fēng)險(xiǎn)。信息系統(tǒng)往往對(duì)登錄進(jìn)行嚴(yán)格控制，只有輸入正確的用戶名和密碼才能進(jìn)行相應(yīng)權(quán)限的操作，但用戶往往忽略了退出控制。如果系統(tǒng)沒有設(shè)置“限時(shí)無操作鎖屏或自動(dòng)退出”的程序，則易導(dǎo)致已登錄的用戶在離開后身份及權(quán)限被他人盜用的情況。此外，很多企業(yè)忽視數(shù)據(jù)劃分密級(jí)，沒有對(duì)數(shù)據(jù)權(quán)限進(jìn)行劃分，黑客只要盜取一個(gè)普通賬號(hào)，就可以對(duì)所有數(shù)據(jù)進(jìn)行盜取、修改、刪除等破壞。

(3)網(wǎng)絡(luò)系統(tǒng)內(nèi)控程序的質(zhì)量產(chǎn)生的風(fēng)險(xiǎn)。在網(wǎng)絡(luò)環(huán)境下。一些內(nèi)部控制被計(jì)算機(jī)程序化，并嵌入在計(jì)算機(jī)應(yīng)用系統(tǒng)內(nèi)，因此，內(nèi)部控制具有人工控制與程序控制相結(jié)合的特點(diǎn)。這些程序化的內(nèi)部控制的有效性取決于應(yīng)用程序，如果程序發(fā)生差錯(cuò)或不起作用，由于人們對(duì)計(jì)算機(jī)系統(tǒng)的依賴性、麻痹大意以及程序運(yùn)行的重復(fù)性，就會(huì)使得失效控制長(zhǎng)期不被發(fā)現(xiàn)。從而使系統(tǒng)在特定方面發(fā)生錯(cuò)誤或違規(guī)行為的可能性較大?；诰W(wǎng)絡(luò)環(huán)境下的XBRL內(nèi)部控制，在很大程度上取決于這些會(huì)計(jì)信息系統(tǒng)中運(yùn)行程序的質(zhì)量?；赬BRL的網(wǎng)絡(luò)財(cái)務(wù)報(bào)告呈報(bào)也屬于Web服務(wù)(Web Services)，而Web平臺(tái)是開放、交互的，一直存在安全隱患。企業(yè)使用XBRL財(cái)務(wù)報(bào)告后，大量會(huì)計(jì)信息都通過網(wǎng)絡(luò)通訊線路傳輸，很可能被非法攔截、竊取。一旦這些應(yīng)用程序中存在漏洞，就會(huì)危害系統(tǒng)安全。如果公司內(nèi)部網(wǎng)絡(luò)的建設(shè)和維護(hù)力度不夠，也容易形成網(wǎng)絡(luò)攻擊漏洞。

(三)監(jiān)督風(fēng)險(xiǎn)

在XBRL系統(tǒng)下，無法完全反映業(yè)務(wù)痕跡，難以留下必要的審計(jì)線索。XBRL的實(shí)施導(dǎo)致企業(yè)業(yè)務(wù)流程發(fā)生重大變化，內(nèi)部控制監(jiān)督經(jīng)驗(yàn)不足，再加上缺少完整的內(nèi)部審計(jì)線索，加大了內(nèi)部控制監(jiān)督的難度。在XBRL集成化的信息系統(tǒng)應(yīng)用中，大量的內(nèi)部控制都由信息系統(tǒng)實(shí)現(xiàn)，將會(huì)有更多的風(fēng)險(xiǎn)和控制轉(zhuǎn)移到信息系統(tǒng)方面。

(四)風(fēng)險(xiǎn)評(píng)估的難度加大

每個(gè)企業(yè)都面臨著來自內(nèi)部和外部的不同的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)評(píng)估就是分析和辨認(rèn)對(duì)實(shí)現(xiàn)內(nèi)部控制目標(biāo)可能產(chǎn)生負(fù)面影響的不確定性因素，并適時(shí)加以處理。XBRL信息技術(shù)手段的應(yīng)用，使得風(fēng)險(xiǎn)評(píng)估難度加大。伴隨業(yè)務(wù)流程的改變，系統(tǒng)的開放性、信息的分散性、數(shù)據(jù)的共享性，極大地改變了以往封閉集中狀態(tài)下的運(yùn)行環(huán)境，從而改變了傳統(tǒng)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)控制內(nèi)容和方法。例如，強(qiáng)大的、復(fù)雜的計(jì)算機(jī)系統(tǒng)增加了企業(yè)潛在的風(fēng)險(xiǎn)，因?yàn)槿藗兊闹饔^判斷被忽略，數(shù)據(jù)處理過于集中，存儲(chǔ)的數(shù)據(jù)可以被不留痕跡地改寫和刪除，數(shù)據(jù)的存放形式增加了數(shù)據(jù)再現(xiàn)的難度。數(shù)據(jù)處理過程無法觀測(cè)等新的風(fēng)險(xiǎn)點(diǎn)構(gòu)成了內(nèi)部控制的新內(nèi)容。授權(quán)與控制越來越依賴于信息系統(tǒng)，這些都增加了與信息資產(chǎn)和信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)。

(五)“信息孤島”風(fēng)險(xiǎn)

單純的XBRL會(huì)計(jì)信息系統(tǒng)容易形成“信息孤島”風(fēng)險(xiǎn)。會(huì)計(jì)信息系統(tǒng)與業(yè)務(wù)過程相分離，它只采集、存儲(chǔ)和加工業(yè)務(wù)過程中所發(fā)生事件的子集信息，而業(yè)務(wù)管理人員可能會(huì)改變業(yè)務(wù)流程的本質(zhì)而不與財(cái)務(wù)人員溝通，造成財(cái)務(wù)工作與業(yè)務(wù)過程相脫節(jié)，使財(cái)務(wù)人員無法掌握準(zhǔn)確、全面的信息，從而導(dǎo)致財(cái)務(wù)人員與業(yè)務(wù)管理人員之間的隔閡，導(dǎo)致各個(gè)部門和子系統(tǒng)成為一個(gè)個(gè)“信息孤島”，直接影響

內(nèi)部控制作用的發(fā)揮。在理論界與實(shí)務(wù)界，對(duì)企業(yè)內(nèi)或企業(yè)間的信息系統(tǒng)分離。財(cái)務(wù)系統(tǒng)與其他系統(tǒng)之間的集成對(duì)信息質(zhì)量的影響關(guān)注不夠。XBRL會(huì)計(jì)信息必須擴(kuò)展到經(jīng)營(yíng)活動(dòng)一體化的信息系統(tǒng)，這樣才有利于對(duì)業(yè)務(wù)流程的控制和實(shí)時(shí)跟蹤。如何構(gòu)建與戰(zhàn)略、經(jīng)營(yíng)活動(dòng)一體化的XBRL會(huì)計(jì)信息系統(tǒng)呢?遺憾的是，COSO框架沒有作進(jìn)一步探討，只是提出應(yīng)確保信息系統(tǒng)所提供的信息質(zhì)量及溝通渠道的恰當(dāng)和暢通。在實(shí)際應(yīng)用中，XBRL系統(tǒng)無法涵蓋企業(yè)內(nèi)控管理的各項(xiàng)內(nèi)容。很多標(biāo)準(zhǔn)的XBRL系統(tǒng)功能配置并不符合企業(yè)原有獨(dú)特的業(yè)務(wù)流程，如果完全照搬行業(yè)的規(guī)范來實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一，那只能束縛手腳，無法適應(yīng)企業(yè)的個(gè)性特點(diǎn)，無法與業(yè)務(wù)流程和諧溝通。

二、構(gòu)建我國(guó)上市公司XBRL內(nèi)部控制的建議

針對(duì)XBRL環(huán)境中企業(yè)運(yùn)轉(zhuǎn)可能面臨的新增風(fēng)險(xiǎn)，我國(guó)上市公司應(yīng)該解決兩個(gè)層面的問題：一是國(guó)內(nèi)外信息系統(tǒng)內(nèi)部控制規(guī)范或模型的借鑒：另一個(gè)是XBRL系統(tǒng)的內(nèi)部控制。

(一)國(guó)內(nèi)外信息系統(tǒng)內(nèi)部控制規(guī)范的借鑒

為健全信息系統(tǒng)的內(nèi)部控制。有關(guān)國(guó)家政府和國(guó)際性組織發(fā)布了信息系統(tǒng)內(nèi)部控制規(guī)范或模型。OECD發(fā)布的信息系統(tǒng)安全指導(dǎo)方針中，將信息安全提升到了文化高度，涵蓋了意識(shí)、責(zé)任、響應(yīng)、道德、民主、風(fēng)險(xiǎn)評(píng)估、安全設(shè)計(jì)和實(shí)施、安全管理以及再評(píng)估等內(nèi)容。美國(guó)內(nèi)部審計(jì)協(xié)會(huì)(IIA)構(gòu)建了一個(gè)更為現(xiàn)代化的信息系統(tǒng)控制框架——電子系統(tǒng)保證與控制框架(eSAC)，整個(gè)框架包括控制環(huán)境、人工控制系統(tǒng)和自動(dòng)控制系統(tǒng)、把控制融入系統(tǒng)的控制程序等3部分。中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的《獨(dú)立審計(jì)具體準(zhǔn)則第20號(hào)——計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》指出，計(jì)算機(jī)信息系統(tǒng)環(huán)境下的內(nèi)部控制包括一般控制和應(yīng)用控制，一般控制包括組織與管理控制、應(yīng)用系統(tǒng)開發(fā)和維護(hù)控制、計(jì)算機(jī)操作控制、系統(tǒng)軟件控制、數(shù)據(jù)和程序控制。應(yīng)用控制包括輸入控制、計(jì)算機(jī)處理與數(shù)據(jù)文件控制、輸出控制等。但是，“計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)”作為一項(xiàng)具體規(guī)范，其內(nèi)容主要是著重于對(duì)電子信息系統(tǒng)本身的控制問題。

綜合上述指南、模型，有這樣幾點(diǎn)值得思考與借鑒：(1)我國(guó)目前尚沒有一套針對(duì)XBRL內(nèi)部控制及風(fēng)險(xiǎn)管理的指南，我國(guó)政府與相關(guān)組織有必要在借鑒國(guó)內(nèi)外經(jīng)驗(yàn)的基礎(chǔ)上，及早制定基于XBRL的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制準(zhǔn)則，以指導(dǎo)企業(yè)的XBRL風(fēng)險(xiǎn)管理實(shí)務(wù)。(2)企業(yè)的內(nèi)控環(huán)境應(yīng)包括企業(yè)價(jià)值觀、企業(yè)文化、理念和使命、企業(yè)道德與誠(chéng)信等。(3)對(duì)信息系統(tǒng)內(nèi)部控制必須高度重視。

(二)XBRL系統(tǒng)內(nèi)部控制的風(fēng)險(xiǎn)防范機(jī)制

1建立良好的內(nèi)部控制環(huán)境

良好的內(nèi)部控制環(huán)境，是有效風(fēng)險(xiǎn)管理的基礎(chǔ)。首先，為了保證會(huì)計(jì)信息網(wǎng)絡(luò)傳輸?shù)陌踩煽?，必須要加?qiáng)網(wǎng)絡(luò)安全控制?？尚械目刂剖侄沃饕蟹阑饓夹g(shù)、數(shù)據(jù)加密技術(shù)和數(shù)字簽名技術(shù)等。第三，進(jìn)一步加強(qiáng)組織控制，在扁平化的基礎(chǔ)上設(shè)立專門的機(jī)構(gòu)或?qū)I(yè)人員進(jìn)行系統(tǒng)管理。再次，重塑企業(yè)文化氛圍。在信息系統(tǒng)內(nèi)控中，企業(yè)成員的道德倫理、價(jià)值觀念、工作態(tài)度都會(huì)發(fā)生變化，尤其是企業(yè)員工的誠(chéng)信程度和職業(yè)道德水平，是影響企業(yè)內(nèi)部控制環(huán)境的一個(gè)非常重要因素。

2加強(qiáng)控制過程管理

內(nèi)部控制中應(yīng)加強(qiáng)的工作流程包括數(shù)據(jù)準(zhǔn)備環(huán)節(jié)、系統(tǒng)運(yùn)行環(huán)節(jié)、財(cái)務(wù)管理環(huán)節(jié)、檔案管理環(huán)節(jié)的制度控制，加強(qiáng)操作管理制度等。同時(shí)，內(nèi)部控制過程設(shè)計(jì)也要有集成性的特點(diǎn)，例如軟件控制、硬件和數(shù)據(jù)控制、崗位控制、操作制度、檔案管理控制、輸入控制、處理控制、輸出控制等需要相互結(jié)合。

3信息交流與溝通的權(quán)變性

在XBRL會(huì)計(jì)信息系統(tǒng)下，內(nèi)部控制不應(yīng)該只是一個(gè)固定的、一成不變的模式，它應(yīng)該隨著企業(yè)內(nèi)外環(huán)境的變化而變化，即符合權(quán)變?cè)瓌t?，F(xiàn)代信息技術(shù)給內(nèi)部控制賦予了新的內(nèi)涵，會(huì)計(jì)控制也由人工控制變?yōu)槿?、機(jī)控制，由于相關(guān)人員的經(jīng)驗(yàn)和素質(zhì)差異，在早期發(fā)展階段，我們的控制應(yīng)該適當(dāng)寬松，設(shè)置一個(gè)過渡機(jī)制，根據(jù)員工的成熟進(jìn)度來逐步完善。同時(shí)，在現(xiàn)階段，重點(diǎn)做好信息溝通的基礎(chǔ)工作。例如，建立健全會(huì)計(jì)及相關(guān)信息的報(bào)告負(fù)責(zé)制度，使企業(yè)內(nèi)部的員工能夠清楚地了解企業(yè)的內(nèi)部控制制度，知道其所承擔(dān)的責(zé)任'并及時(shí)取得和交換他們?cè)趫?zhí)行、管理和控制企業(yè)經(jīng)營(yíng)過程中所需的信息。

4風(fēng)險(xiǎn)界定和評(píng)估

內(nèi)控除了要界定和評(píng)估企業(yè)內(nèi)外部的戰(zhàn)略、經(jīng)營(yíng)、安全、法規(guī)風(fēng)險(xiǎn)外，更重要的是界定和評(píng)估由信息系統(tǒng)而引起的新風(fēng)險(xiǎn)。加強(qiáng)對(duì)信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)的界定和評(píng)估是影響信企業(yè)內(nèi)部控制成敗的關(guān)鍵。風(fēng)險(xiǎn)界定和評(píng)估這一要素包括事項(xiàng)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)等3個(gè)子要素。另外，企業(yè)面臨的各種風(fēng)險(xiǎn)都不是一成不變的。所以必須建立風(fēng)險(xiǎn)評(píng)估體系、定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，才能準(zhǔn)確地把握系統(tǒng)風(fēng)險(xiǎn)并及時(shí)采取應(yīng)對(duì)措施。

5監(jiān)督與問責(zé)

內(nèi)控作為一種管理制度，其發(fā)揮作用的內(nèi)在機(jī)制是要嚴(yán)格執(zhí)行相應(yīng)的監(jiān)督和問責(zé)，沒有嚴(yán)格精當(dāng)?shù)谋O(jiān)督與問責(zé)，內(nèi)控作用也會(huì)削弱甚至失效。這一要素應(yīng)該包括持續(xù)監(jiān)控、個(gè)別評(píng)價(jià)、缺陷報(bào)告、獎(jiǎng)懲機(jī)制與條例安排、追究責(zé)任與問責(zé)機(jī)制等5個(gè)子要素。同時(shí)，還須加強(qiáng)內(nèi)部審計(jì)專業(yè)人才的培養(yǎng)，熟悉信息化環(huán)境下的業(yè)務(wù)流程、電子憑證和電子文件管理。

三、結(jié)語

上市公司利用XBRL逐漸成為一種必然，管理層在很大程度上將依賴于XBRL會(huì)計(jì)信息系統(tǒng)的幫助編制財(cái)務(wù)報(bào)告，進(jìn)行信息披露和管理決策，給企業(yè)的內(nèi)部控制帶來了巨大的沖擊和挑戰(zhàn)。本文從內(nèi)部控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)控等5要素人手，分析xBRL系統(tǒng)的內(nèi)部控制風(fēng)險(xiǎn)，并提出了相應(yīng)的防范機(jī)制和國(guó)際經(jīng)驗(yàn)借鑒。期望能夠?yàn)橹袊?guó)上市公司的xBRL內(nèi)控風(fēng)險(xiǎn)管理實(shí)務(wù)提供指導(dǎo)。