XBRL環境下內部控制風險淺談

廣西財經學院 黎明梅

基于我國會計信息化的發展要求，最新財務信息處理的標準和技術——可擴展商業報告語言（Extensible Business Reporting Language，縮寫為XBRL）很快就會在各行業應用、推廣。企業管理層編制財務報告時，在很大程度上將依賴于XBRL會計信息系統的幫助，進行信息披露以及管理決策，這就給企業內部控制帶來了巨大的沖擊和挑戰。研究基于XBRL環境下的內部控制有哪些風險，進而規避風險、控制風險，這是一個很值得探索的問題。本文擬將在XBRL環境下存在的內部控制風險進行剖析，以期為進一步深入研究及完善企業內部控制提供借鑒。

一、XBRL的應用導致內部控制環境改變

（一）XBRL的應用改變內部控制環境 作為基于XML語言的新型財務報告語言，XBRL文檔內容的語法格式是。XBRL“帶標簽”的特性既能大幅度增加財務報告披露的透明度，又能極大地提高財務報告信息處理的效率和功能。XBRL可以實現財務信息系統的電子化、標準化與規范化，完善企業內部管理信息系統平臺、提高管理績效，XBRL將改變財務報告和其他會計信息，通過互聯網在組織和機構之間的交流和傳遞方式，對會計信息供應鏈與互聯網結合起著有力的推動作用。基于XBRL的上述優點，企業管理層在編制財務報告時將很大程度依賴于XBRL會計信息系統的幫助，來進行信息披露和管理決策，這給企業在內部控制方面帶來了巨大的沖擊和挑戰。

（二）XBRL環境會產生內部與外部的風險 企業在日常的生產經營中總會面臨著來自內部或外部的風險。XBRL技術的應用，導致內部控制框架的內部構成產生變化，雖然為提高企業內部控制效率、增強內部控制效果帶來了新的機會，但同時在系統安全性等方面產生了潛在的風險。推進XBRL應用是一項較為復雜的系統工程，XBRL的實施會導致企業業務流程發生重大變化，改變內部控制環境，作為內部控制第一要素的環境因素發生改變，必會影響企業的內部控制其他因素，產生來自企業內部或外部的風險。

二、XBRL環境下內部控制風險分析

（一）XBRL應用環境的內部風險 具體包括：（1）組織結構風險。在XBRL環境下，內部控制的組織結構發生改變，內部控制環境進一步復雜。首先，通過網絡平臺，管理人員隨時可以很方便地從辦公室的計算機來采集所需信息，現代企業日趨扁平化的內部組織管理結構，對人事關系產生影響、人員崗位輪換、報告程序變動，這些都會削弱組織結構的穩定性，即使違規操作也不易被發現，很容易使管理失去控制。其次，權利與義務劃分不清，出了事故無法追究管理責任，造成部門之間相互推卸責任。且組織內各成員的價值觀、專業背景差距較大，容易造成內部矛盾與沖突。第三，XBRL是個網絡開放平臺，企業利益相關者可以隨時上網，很方便地獲取相關信息，介入公司的信息活動。（2）控制活動過程風險。一是改變授權方式風險。企業即使是在XBRL的網絡環境下，也是由人來完成監督的。電算化會計信息系統對內部控制的要求比手工會計系統更嚴格，增加了操作權限、口令設置等規定，對財務系統程序員、操作員、分析員及系統維護員都要設置權限、口令或密碼，但是其素質參差不齊，如違規操作改變他人的口令或密碼，勢必導致網絡系統管理混亂，產生網絡環境下會計信息風險。同時，網絡會計授權方式不再是單純的簽字和蓋章，很多授權控制通過“嵌入”系統完成，交易授權可由計算機程序自動完成，這就使得授權過程不明顯，以至控制的失敗往往在發生損失后才被察覺。二是訪問控制風險。雖然登錄信息系統要輸入正確的用戶名和密碼，才能作相應權限的操作，但用戶完成操作后往往忽略了退出控制，如果系統未設置“限時無操作鎖屏或自動退出”程序，則會導致已登錄的用戶在離開以后，身份及權限被他人盜用，私自篡改會計數據或者非法修改企業的系統程序，。此外，很多企業忽視數據劃分密級，由于沒有進行數據權限劃分，黑客即使僅盜取一個普通賬號，就可以對企業的數據進行非法、惡意的盜取、修改、刪除等操作，破壞所有數據。三是內部控制薄弱風險。網絡環境的會計信息系統，對內部控制的要求比手工會計系統嚴格多了，增加了操作權限、口令設置等規定，基于XBRL的內部控制，很大程度取決于這些會計信息系統中運行程序的質量。在網絡環境下，因為一些內部控制被計算機程序化，并嵌入計算機應用系統中，所以，內部控制具有人工控制與程序控制相結合的特點。這些程序化的內部控制的有效性往往取決于應用程序，如果程序發生差錯或不起作用，基于人們對計算機系統的依賴性、麻痹大意以及程序運行的重復性，失效控制就會長期不被發現，從而導致系統在特定方面發生錯誤或違規行為的可能性增大。XBRL的網絡財務報告呈報屬于Web服務，而Web平臺是開放、交互的，始終存在安全隱患。XBRL網絡財務報告在呈報過程面臨被來自外部的競爭對手或網絡黑客非法修改的危險。（3）監督風險。在單機環境下，計算機能在一個相對獨立、良好的環境中運行，可有效防止無關人員的接觸和非法授權操作。XBRL的實施會導致企業業務流程發生重大改變，加上會計信息系統的開放性和網絡化，成千上萬個終端機連接著一臺服務器，很難有效地控制各個終端，未經授權的用戶就有可能利用終端訪問系統。另外，網絡中的傳輸線路、接口設備等都可能存在安全隱患。此外，由于在網絡系統中可以通過各個終端輸入數據，這就增大了輸入出錯的概率。如果網絡系統輸入沒有得到良好的實時性控制，就會使得這些錯誤很快蔓延，從而使錯誤的查找和更正變得更加困難，增加了內部控制監督的難度。會計師事務所的審計活動將面臨更大的審計風險。（4）風險評估風險。每個企業都面臨著來自內部和外部的不同風險，風險評估就是分析和辨認對實現內部控制目標可能產生負面影響的不確定性因素，并適時加以處理。XBRL信息技術的應用，伴隨業務流程的改變，系統的開放性、信息的分散性、數據的共享性，極大地改變了封閉集中狀態下的運行環境，從而改變了傳統會計信息系統的風險控制內容與方法，使得風險評估難度加大。例如，強大又復雜的計算機系統增加了企業潛在的風險。因為人們的主觀判斷被忽略，數據處理過于集中，存儲的數據可以被改寫和刪除并且不留痕跡。數據的存放形式也增加了數據再現的難度，以及數據處理過程無法觀測等新的風險點構成了內部控制的新內容。授權與控制越來越依賴于信息系統，這些都會增加與信息資產和信息系統相關的風險。（5）信息溝通風險。與業務相分離的XBRL會計信息系統容易形成“信息孤島”風險。會計信息系統如果只管采集、存儲和加工發生經濟業務的子集信息，財務人員沒有與業務管理人員進行必要的信息溝通，就會造成會計信息系統收集的信息不準確、不全面，信息溝通不暢，從而導致財務人員與業務管理人員之間的不和諧。以致各個部門和子系統易形成一個個“信息孤島”，直接影響內部控制作用的正常發揮。無論是在理論界還是實務界，對企業內或企業間的信息系統分離，財務系統與其他系統之間的集成對信息質量的影響，未予以高度的重視。在XBRL系統實際應用中，與業務相分離的XBRL系統無法涵蓋企業內部控制管理的各項內容，因為每個企業擁有獨特的業務流程，如果完全照搬行業的規范來實現數據統一，將無法適應企業的個性特點，產生信息溝通的風險。

（二）XBRL應用環境的外部風險 具體包括：（1）XBRL分類標準不完善風險。一個國家的一種報告規范對應一個或一組分類標準，這些分類標準之間相互關聯，否則就會造成雖然遵循相同的會計準則，但出現不同的會計信息分類標準的情況。由于XBRL中國地區組織剛成立不久，基于我國會計準則的XBRL分類標準尚未真正建立。雖然《積極推進可擴展商業報告語言（XBRL）應用的暫行規定（征求意見稿）》、《基于企業會計準則的可擴展商業報告語言（XBRL）通用分類標準（征求意見稿）》已向社會公開征求意見，但是沒有制定符合自身會計準則特點的XBRL分類標準，XBRL的應用優勢就無法體現，從而影響會計信息化的推廣和應用。上證所和深交所分別開發了自己的XBRL分類標準，但是都使用各自自行開發的XBRL分類標準。基于此，在實踐中根本無法在企業中推廣應用XBRL，也無法進行應用軟件的深度開發，因為這會加大操作成本，造成無效益的重復勞動，增加內部控制風險。（2）XBRL應用軟件不成熟風險。因為XBRL分類標準的不完善，所以XBRL的應用軟件的推廣受限，國內并不是所有的財務軟件都支持XBRL標準，也沒有一套適用所有企業的通用型應用軟件，無法滿足眾多非上市公司和中小企業的需要。同時基于成本等因素，企業不會自行開發或選擇使用不成熟的應用軟件，否則必定要承擔較大風險。（3）財務信息安全風險。XBRL的信息披露功能在給企業內外的信息使用者帶來便利的同時，也會帶來企業信息情報泄露的風險。由于XBRL網絡呈報的平臺是開放性的，所以在運行過程中更容易受到網絡不安全因素的威脅，如修改信息內容、信息泄露、信息替代、IP哄騙、計算機病毒等都嚴重威脅到網絡財務信息安全。因為會計信息是反映企業財務狀況和經營成果的重要依據，不得隨意泄漏、破壞和遺失，加上XBRL是一個實時的財務報告系統，一旦某一信息發生錯誤，就可能在瞬間影響大量信息使用者的決策。如果沒有有效的網絡安全保障，XBRL財務報告就存在被網絡黑客或競爭對手非法惡意修改的風險，應用XBRL財務報告具有極大的風險性。（4）缺乏應用XBRL的制度風險。XBRL本身只是一項技術，新技術的使用必定會增加使用成本。企業如果應用XBRL就要購置軟硬件、培訓人員、還要系統使用維護及升級等，要在人力、物力和財力上作一定投入，企業會有所顧慮。另外，XBRL的應用雖然有技術優勢，但也有一定的局限性，如不能改變財會人員做假賬的意圖等，這種情況下，如果國家或相關管理部門沒有制定相關制度和配套措施，未對企業是否應用XBRL、規范化地應用XBRL進行約束，缺乏應用XBRL的制度，容易形成企業抵觸XBRL技術應用的風險。（5）XBRL人才短缺風險。XBRL是一個新生事物，國際上的研究也剛開始起步，XBRL中國地區組織剛成立不久，缺乏XBRL標準的權威和專家，對XBRL的研究基本上還停留在理論層面，理論體系尚未形成，更談不上全面的應用。由于XBRL是網絡環境下的新興技術，涉及財務、會計、管理、計算機等多門學科，具有很高的學科綜合性，這就增加了人們對XBRL學習的難度。而我國高校財會專業還未專門開設關于XBRL的課程，也缺乏XBRL的社會培訓，造成國內對XBRL認識不足，多數只停留于對XBRL特點、優勢等的了解，而對XBRL的技術層面知之甚少，大多數會計人員、審計人員、企業財務人員幾乎沒有相關的知識儲備，真正理解和懂得XBRL標準的人很少，所以，對XBRL的推廣應用存在著人才短缺的風險。

三、XBRL環境下應對風險的對策

（一）高度重視XBRL環境下的內部控制風險 XBRL的實施會導致企業業務流程發生重大變化，帶來內部控制環境發生改變。基于XBRL的會計信息系統，傳統會計信息系統中的風險依然存在，有的可能會被弱化，但同時會產生許多新的特殊風險。XBRL環境下，完善企業內部控制時除了要關注傳統的內部控制風險之外，還應注意XBRL環境下的特殊風險。人們應充分重視風險，認識風險，防止風險，及時地發現風險，預測風險可能造成的影響，并設法將不良影響控制在最低程度，識別重要風險并建立風險評估和回應機制。

（二）強化人機共同控制 傳統的內部控制是以單一制度控制為手段的，以人的控制為重點；而XBRL的應用會導致內部控制框架的內部構成產生新的變化，內部控制制度是以計算機程序為載體來實現控制，計算機程序和制度共同控制，所以XBRL環境下的內部控制應當以人和機的共同控制作為重點，加強人和機的共同控制。

（三）制定一套針對XBRL內部控制及風險管理的指南 為健全信息系統的內部控制，有關國家政府和國際性組織發布了信息系統內部控制規范或模型。OECD（經濟合作與發展組織）發布的信息系統安全指導方針將信息安全提升到了文化高度，涵蓋了意識、責任、響應、道德、民主、風險評估、安全設計和實施、安全管理以及再評估等內容。美國內部審計協會構建了一個更為現代化的信息系統控制框架——電子系統保證與控制框架（ESAC），整個框架包括控制環境、人工控制系統和自動控制系統以及將控制融入系統的控制程序等三部分。中國注冊會計師協會的《獨立審計具體準則第20號——計算機信息系統環境下的審計》僅僅是一項具體規范，主要內容是對電子信息系統本身的控制問題。我國目前還沒有一套針對XBRL內部控制及風險管理的指南。我國政府與相關組織有必要在借鑒國內外經驗的基礎上，及早制定基于XBRL的會計信息系統內部控制準則，來指導企業的XBRL風險管理實務。

（四）促進XBRL應用軟件的開發 XBRL的應用及推廣需要有成熟的應用軟件，企業編制XBRL財務報表時需要有XBRL報表生成軟件；交易所要將上市公司XBRL實例文檔的內容導入數據庫，需要有相關的XBRL轉換軟件；投資者要對上市公司XBRL實例文檔的數據進行分析比較，則需要XBRL數據展示和分析軟件。目前我國自主開發的XBRL應用軟件少，參與開發XBRL應用軟件開發的軟件公司也不多，只是上證所信息公司、深圳證券信息公司、上海新利多公司等，缺乏必要的市場競爭。造成我國XBRL應用軟件開發滯后的原因很多，但最根本的原因就是分類標準的不開放和實例文檔下載不方便。促進XBRL的推廣及發展，創造更流暢的財務信息的傳遞與共享通道，就要促進XBRL應用軟件的開發，企業有成熟的XBRL應用軟件可供選擇。

（五）加快復合型會計人才培養 針對當前XBRL復合型會計人才短缺現狀，首先各級財政部門應充分利用各種培訓機構及高校資源，以XBRL為平臺，積極開展對公司企業、金融保險、會計中介和軟件開發商等相關機構財務人員的培訓，開展各種形式的應用研討，盡快普及XBRL技術知識。其次，應加大對XBRL的社會宣傳力度，通過會議交流、科普宣傳、網站宣傳等形式，促進廣大投資者和普通信息使用者認識和了解XBRL。最后我國的高校應盡快開設XBRL的相關課程，將其作為經濟管理類專業、信息技術類專業的必修或選修課，介紹XBRL的知識，并充分利用網絡發布的真實公司案例，結合XBRL技術開展專業課程教學，更有利于幫助學生利用所學的專業知識解決現實生活中真實的經濟問題。

［本文系廣西壯族自治區教育廳《中國——東盟自由貿易區框架下廣西企業內部控制研究》課題階段性研究成果］

［1］任家華：《基于XBRL的內部控制問題研究》，《中國管理信息》2009年第24期。

［2］企業內部控制編審委員會：《企業內部控制配套指引解讀與案例分析》，立信會計出版社2010年版。 （編輯 余俊娟）