XBRL環境下上市公司內部控制研究

桂林電子科技大學 吳德生 劉承煥

XBRL實質上是一種商業和財務數據電子化交流的計算機語言，是可擴展標記語言（XML）在財務及相關報告領域的具體應用。我國會計信息化建設的重要任務之一就是形成一套以XBRL國家標準為重要組成部分、涵括會計工作相關業務流程的會計信息技術標準體系。XBRL的出現極大的推動了我國會計信息的標準化、規范化，在XBRL的語言環境下企業會計信息的安全性、可靠性、真實性、完整性、一致性、可維護性和可擴展性都得到了加強從而有助于企業決策。然而，XBRL的推廣和應用對傳統的會計信息系統內部控制也帶來了新的風險和挑戰。因此，如何應對這些風險完善內部控制是一個很重要的工作。由于我國內部控制的理論研究還存在一定的滯后性，關于信息技術特別是XBRL技術對企業內部控制的研究不夠。本文擬就我國上市公司實施XBRL后所面臨的內部控制風險結合COSO內部控制框架進行分析，并提出相應的解決方案。

一、上市公司XBRL面臨的風險分析

（一）復雜的控制環境 控制環境不僅對于組織企業活動、確立目標和評估風險的方式有著廣泛的影響，而且還影響著控制活動、信息與溝通系統以及監控活動。XBRL是一個開放的平臺，企業各種利益相關者可以很方便的介入公司信息活動。在XBRL的環境下由于企業相關人員可以很方便地通過網絡獲取所需信息，從而造成企業管理結構的扁平化，使得內部控制的結構發生了變化，導致內部控制的環境更加復雜。首先，管理結構的扁平化會使得企業人員頻繁變動，人事關系、報告程序不穩定，很多越權行為不能及時發現容易造成管理失控；其次，扁平化容易造成企業人員之間的職責不清，各部門互相推諉，而且如果企業各部門人員之間專業背景、價值觀差距太大，成員之間容易引發矛盾和沖突?，F代企業的所有權與經營權相分離導致公司權力高度集中于經營者等內部人手中。因此如果許多公司所有者與經營者的利益不一致，會造成經營者控制公司而公司股東難以對經營者的行為進行合理、有效的監督。在這種情況下盡管使用XBRL披露公司財務信息，其信息的誠信度和有效性是值得懷疑的，在經營者利益驅使下甚至可能會出現誠信度更低的虛假信息。

（二）控制活動易出現漏洞 控制活動發生于整個企業的所有層級和所有職能之中，包括一系列不同的活動，如批準、授權、驗證、調節、經營業績評價、資產保管以及職責分離等。XBRL環境下控制活動的風險主要包括XBRL網絡報告呈報風險、授權方式的改變造成的潛在風險以及系統安全訪問控制的風險。（1）XBRL網絡報告呈報風險。XBRL格式財務報告為解決數字化財務報告在不同的會計系統中的共享和處理數據提供了一種新的思路。XBRL網絡呈報流程一般是：先由XBRL國際組織制定各種技術規范，然后各國參照XBRL技術規范制定出各自的XBRL分類標準，最后各財務報表編制單位參照技術規范和分類標準將企業的財務數據通過XBRL轉化軟件轉化成XBRL實例文檔，最終將實例文檔傳遞給各終端用戶使用。由呈報流程可以看出，XBRL財務報告依然存在著新流程風險，也不能有效解決上市公司財務造假問題。財務報告應用風險不僅來自于報告本身，也來源于呈報流程結構的缺陷。首先，XBRL標簽可以對財務數據元進行定義，包括：財務報告實例文檔中的財務數據所用分類標準是否正確；實例文檔是否包含被合理標記的財務信息；跨年度使用的標簽是否保持一致；財務信息與數字標簽的吻合度以及自定義的標簽是否符合XBRL技術規范，上述結構特征都可能影響到財務報告信息的質量。其次，XBRL是基于XML的技術體系，正如XML數據保護一樣，XBRL也沒有對標簽提供保護，但是XML格式傳遞XBRL實例文檔信息，來自網絡的非法攻擊不可避免，被篡改和創建的風險非常大，因此，將威脅到財務數據的真實性、完整性。（2）授權方式改變造成的潛在風險。在XBRL的環境下，企業為了保持財務數據信息的開放性和保密性，對系統程序員、系統操作員和系統維護員的權限設置了一定的限制，但是這些操作員的工作態度、責任心和業務水平各不相同，如果這些操作員擅自修改他人口令或密碼，會造成網絡管理的混亂從而給會計信息帶來風險。此外，現在企業的許多授權方式不再是單純的簽字、蓋章，相當多的一部分授權是嵌入在系統中由計算機程序自動完成的，這使得授權的過程不明顯，因此有些內部人員甚至可以不經過授權進行非法操作，篡改會計信息數據，使得信息的保密性受損。（3）系統訪問安全控制造成的風險。有效的訪問安全控制能保護系統，阻止不當訪問和未經授權使用系統，如果能夠很好的加以設計阻截黑客和其他入侵者從而保護會計信息的安全。足夠的訪問控制活動，例如頻繁改變撥號號碼，或實行回撥—即系統呼叫一位潛在用戶以一個經過授權的號碼回撥，而不允許直接訪問系統可以成為阻止未經授權訪問系統的有效方法。訪問安全控制限制經過授權的用戶只能使用其工作所需的應用程序和應用功能，以支持職責的適當分離。企業應該經常而及時的審核允許或限制訪問系統的用戶概況。此外，以前的或心懷不滿的員工對系統的威脅可能比黑客還要大；中止使用的員工口令和用戶識別碼應該立刻清除。通過防止對系統的未經授權的使用和改動，數據和程序的可信度得到了保護。

（三）風險評估的難度進一步加大 企業無論規模、結構、性質或者所屬行業如何，在組織內部的各個層級都會遭遇風險。風險就是影響企業的生存能力以及能否在其所屬行業成功地競爭，保持其財務實力和正面的公眾形象的因素，因此，企業管理層必須對這些影響企業成功的不確定性因素進行識別與分析并加以適時的處理。應用XBRL進行財務會計信息披露將給提供會計信息的企業帶來巨大的挑戰，一方面企業商務信息泄露的風險將大大提高，另一方面也提供了企業信息披露成本，因此，XBRL信息技術的應用使得企業風險評估難度加大。此外，強大的計算機系統使得人們往往忽略了主觀的判斷，存儲的數據可以隨意的被修改和刪除，數據的存放形式增加了數據再現的難度，這些因素都增加了企業的潛在風險。數據處理過程中的無法觀測點也會增加企業風險評估的難度。

（四）監督風險 內部控制體系隨著時間的推移而不斷變化，曾經的有效內部控制程序可能會變得不再有效，而且最初設計內部控制體系時的環境也可能會發生變化，造成無法對新條件帶來的風險發出警告。因此，管理層需要確定內部控制體系是否繼續適用以及能否應對新的風險。XBRL采用的XML技術體系，像其他XML未保護的數據一樣，XBRL沒有對標簽提供任何保護；XBRL的實例文檔也易受到非法攻擊，很容易被篡改，數據的完整性和可靠性受到威脅，而這些威脅在網絡環境下難以留下必要的審計線索。XBRL的實施勢必會導致企業業務流程的重組，再加上缺少必要的審計線索，加大了內部控制監督的難度。

（五）信息與溝通風險 內部控制是涉及到企業內外各個方面的工作，不是管理層或者內部控制職能人員單一的工作，需要整體的溝通與協調。企業所建立的流程與制度不是孤立存在的，各個部門之間都有著緊密的聯系，如果缺少信息溝通，必然影響內部控制的實施效果。在實際應用中，許多企業習慣了“各負其責，各管其事”，XBRL系統無法涵蓋企業管理的各個方面，很多XBRL的功能并不符合企業原有的業務流程，無法適應企業所處行業的特點，造成企業內外部溝通不暢。

二、上市公司應用XBRL的策略分析

（一）建立健全信息系統內部控制規范 上市公司要從舊的信息系統轉換到XBRL的新系統，首先要做的就是建立健全一個有效的內部控制防范機制，為XBRL系統轉換工作的順利進行打好基礎。而這些內部控制防范機制有賴于國家政府、組織在已有的內部控制規范基礎上借鑒國際上其他國家的先進經驗發布信息系統內部控制規范或模型。我國目前還沒有一套針對XBRL內部控制和風險管理的指南，政府及相關組織應在借鑒國內外經驗的基礎上，及早制定基于XBRL的會計信息系統內部控制規范。美國內部審計協會構建了一個更為現代化的信息系統控制框架——電子系統保證與控制框架，該框架由控制環境、人工控制系統和智能控制系統以及把控制融入系統的控制程序三部分組成。中國財政部發布的《企業內部控制指引第18號——信息系統》指出企業應當重視信息系統在內部控制中的作用，根據內部控制要求，結合組織架構、業務范圍、地域分布、技術能力等因素，制定信息系統建設整體規劃，加大投入力度，有序組織信息系統開發、運行與維護，優化管理流程，防范經營風險，全面提升企業現代化管理水平。

（二）XBRL系統內部控制風險防范 在XBRL環境下，內部控制需要進一步加強和完善，才能滿足風險防范的需要，主要從以下方面著手：（1）加強內部控制制度，建立良好的內部控制環境。XBRL系統的實施是一個投資巨大的工程，短期內無法取得立竿見影的效果，因此不可避免的會遭遇各種阻力，加強內部控制制度，建立良好的內部控制環境可以為XBRL系統的順利實施打下基礎。首先，基于XBRL格式的會計數據存儲將給上市公司帶來商業機密泄露風險，從而形成上市公司對信息曝光的擔憂。有效的解決手段包括引入數字版權管理技術、防火墻技術、數字加密技術和數字簽名技術。其次，加強組織控制，重塑企業文化氛圍，在信息系統內部控制中，企業成員的道德倫理、價值觀念、工作態度都會發生變化，尤其是企業員工的誠信程度和職業道德水平，是影響企業內部控制環境的一個非常重要因素。因此，企業管理層必須傳達這樣的信息：在誠信和道德價值觀方面不能讓步，有必要設立專門的機構或專業人員進行系統管理。（2）重點關注控制活動。控制活動包含一系列政策，以及有助于確保管理層的指令得以實施的相關執行程序，有助于確保那些被認定為對處置風險以實現企業的目標而言必要的行動得以貫徹實施。對信息系統的控制活動，一般分為一般控制和應用控制兩類活動。一般控制通常包括針對數據中心操作、系統軟件獲取和維護、訪問安全以及應用系統開發和維護的控制；應用控制則旨在控制應用處理以幫助確保交易處理的完整性和正確性、授權和有效性。（3）權變的信息與溝通。XBRL信息系統內部控制不是一成不變的模式，而應該隨著企業所處的環境變化而變化?，F代內部控制也由以往單純的人工控制轉為人、機共同控制，因此，由于工作人員的經驗和素質差異，早期控制應該適當寬松。系統生成的信息質量影響管理層在管理和控制企業的活動時做出適當決策的能力。良好的溝通不僅能為企業帶來順暢的信息交流，更能為企業的決策與執行力提供保障。企業應打通阻礙企業溝通的障礙，形成一種良好的溝通氛圍。例如，建立健全會計及相關信息的報告負責制度，使企業內部的員工能夠清楚地了解企業的內部控制制度，知道其所承擔的責任，并及時取得和交換在執行、管理和控制企業經營過程中所需的信息。（4）風險識別與分析。內部控制除了要識別與分析由企業戰略，經營、安全和合法合規引起的風險外，更重要的是要識別有信息系統引起的新風險?！镀髽I內部控制指引第18號——信息系統》指出企業利用信息系統實施內部控制至少應當關注以下三方面的風險：信息系統缺乏或規劃不合理，可能造成信息孤島或重復建設，導致企業經營管理效率低下；系統開發不符合內部控制要求，授權管理不當，可能導致無法利用信息技術實施有效控制；系統運行維護和安全措施不到位可能導致信息泄露，系統無法正常運行。此外，企業面臨的風險是不斷變化的，必須建立風險評估體系，定期對企業的風險進行評估，才能準確的識別企業風險并加以應對。（5）監控。監控確保內部控制體系持續有效運行，沒有嚴格的監督與控制，企業內部控制的作用就會削弱甚至失效。監控一般通過兩種方式進行：持續監控、個別評價和報告缺陷，持續監控和個別評價的適當相結合將會確保內部控制體系在一定時期內的有效性。但應該認識到，持續監控活動是嵌入到企業日常的、反復發生的經驗活動之中的，持續監控活動能夠動態的應對環境的變化。持續監控活動的有效性越高，就越不需要個別評價。此外，考慮到XBRL文檔很容易被錯誤的或有目的地創建、修改，可擴展驗證報告語言（XARL）可以為企業和各類信息使用者提供經過驗證的財務數據信息。

［1］王晶：《XBRL網絡財務報告在我國應用存在的問題及對策探析》，江西財經大學2010年碩士學位論文。

［2］羅銀云：《我國上市公司XBRL應用研究》，湘潭大學2010年碩士學位論文。

［3］薛祖云：《企業信息化與內部控制》，廈門大學出版社2011年版。

［4］COSO委員會制定發布，方紅星等譯：《內部控制整合框架》，東北財經大學出版社2008年版。