XBRL與增強內部控制有效性

王妍

【摘 要】 文章從內部控制框架在企業中的執行情況出發，基于企業組織管理的角度，對影響企業內部控制執行的有效性發揮的原因進行了分析，并依據XBRL的特點，討論了XBRL的應用如何為提高企業內部控制的有效性提供新的解決思路。

【關鍵詞】 XBRL； 內部控制； 有效性

一、內部控制規范實務發展現狀

2002年7月美國頒布的《薩班斯—奧克斯利法案》（Sarbanes-Oxley Act2002USA，簡稱SOX法案）第302、404節中對企業內部控制的相關要求做了明確規范。COSO委員會繼1992年提出《內部控制——整合框架》（簡稱COSO-IC）后，2004年進行增補，再次推出《企業風險管理——整合框架》（Enterprise Risk Management，簡稱COSO-ERM），提出了內部控制的新框架。

內部控制框架在企業中的執行情況如何呢？COSO委員會于2010年發布了一份關于ERM框架實際推進情況的報告中指出：“目前，ERM的應用相對來說發展還不成熟”，有關機構對公司推進ERM框架的情況進行了調查，調查結果顯示，“僅有28%的受訪者表示公司目前ERM的狀態是成熟的、機制健全的、可循環運轉的，而接近60%的受訪者表示他們的風險追蹤體系幾乎是不能系統工作的或對于整個公司范圍來說僅能追蹤到個別部門的風險”（COSO，2010）。另外一位從事COSO發起研究的學者在論文“board Risk Oversight”中提到“我們研究發現一些能夠體現公司董事會對宏觀風險監察有效性的復雜信號……絕大多數的調查結果顯示他們的董事會不能規范、系統地執行風險監察流程”（Protiviti，2010）。通過問卷調查發現，“由美國SEC和PCAOB倡導的能夠降低評估成本的風險向導評價方法的實際應用情況并不理想”（Parveen P. Gupta，2006）。

我國財政部會計司原司長劉玉廷博士指出：“內部控制缺陷的認定，特別是非財務報告內部控制缺陷的認定，是企業內部控制評價工作中面臨的重大挑戰之一”（劉玉廷，2010）。此外，目前的內部控制規范仍存在諸多亟待完善的地方，如內控缺陷的概念和內涵界定模糊，重大缺陷缺乏認定標準，有關內部控制的指導規范執行不利，內控信息紕漏監管政策并沒有得到很好的執行等，這些直接影響了我國上市公司內部控制有效性的發揮。這種實際的或潛在缺點和不足使得內部控制不能充分或有效率地實現預期控制目標。只有找出現實存在的原因，并探討改進，才能提高為實現預期控制目標提供合理保證的程度。

二、影響內部控制有效性發揮的原因

影響企業內部控制執行的有效性發揮的原因是多方面的，本文僅從企業組織管理的角度出發，對其原因進行討論：

第一，管理層面臨促進內部控制有效性發揮的一個關鍵問題是，滿足從多樣化不兼容的各種系統中獲取并整理數據，使所有數據服從于同一內部控制管理框架。目前財務數據通常在ERP系統或者其他的財務軟件中保存，然而內部控制管理框架只能保存在電子制表軟件里，或者保存為條例式的解決方案。這就需要一種技術更為成熟的工具，能夠將財務數據和內部控制管理準則體系相融合。

第二，影響企業內部控制制度有效性發揮面臨的另一個難題是企業不同的管理層對風險標準的理解和解釋不一致。何種影響程度的風險和內部控制缺陷應該進行認定？某項風險的潛在影響程度是否嚴重？這些問題往往依賴于公司管理層的主觀判斷和認定。而公司不同管理層因為執業能力的差別，持有謹慎態度差異等原因，對上述問題的理解和解釋往往會不一致。特別是在風險的識別和評估階段，對風險標準的理解不同可能會導致管理層作出不同的決策，進而影響內部控制發揮結果的有效性。

第三，面對席卷全球的經濟危機，企業的內部控制系統受到嚴峻的考驗，會計信息可信賴程度不足、財務舞弊現象不斷暴露。世界銀行首席經濟學家林毅夫曾指出，“除了實體經濟面上的隱患外，覆蓋全球的計算機網絡系統和風險行為起到了推波助瀾的作用”（林毅夫，2008）。進一步思考，“會計信息系統是企業管理核心系統的子系統，會計信息占企業管理信息的80%左右”（AICPA，2002），其輸出信息的可信性很大程度上左右著企業決策的效果。但企業管理層很難快速判斷出會計信息的可信性，即使是專業的審計人員也需要會計人員的配合，查閱相關源頭資料才能作出可信性判斷。因此，如何實現快速查閱會計信息的來源，確定數據怎樣具體構成，成為增強內部控制有效性的訴求。

第四，現階段理論界和企業主要側重于站在外部審計或者外部監管的角度對企業內部控制評價進行研究和考察，而鮮有基于管理者的視角出發。主要以確保信息真實、資產安全為目的，而非以滿足管理者的需要為目的，導致現行企業中普遍存在被動控制、被動審計的思想。“這種局面的形成，與我們長期局限于會計審計視角研究內部控制，而忽略從管理控制角度綜合研究內部控制直接相關”（楊雄勝，2005）。“這也正是為什么會有大約58.82%的被調查企業內部控制制度的執行沒有達到預期效果的癥結所在”（德勤，2009）。

三、XBRL增強企業內部控制有效性的優勢分析

XBRL（eXtensible Business Reporting Language）是一種基于XML的標記語言。通過對財務報告的標準化處理，將財務報告統一轉換為一種可以自動讀取的信息形式，形成具有統一標準和可比性的財務報告。“XBRL的應用對企業在風險管理、內部控制、可行性研究報告、合規性內部控制評價報告、商業信息收集等方面工作的開展提供了更為有效的途徑”（Jeffrey C等，2011）。

“XBRL可以通過改變互聯網環境下財務報告編制、存儲、傳遞、應用的方式和技術手段，改革傳統的財務報告模式，從而提高會計信息質量”（廖治宇，2008）。采用XBRL格式的信息比傳統的PDF、DOC、HTML等文檔形式具有更多不可比擬的優越性，極大地方便了信息使用者利用信息和批量處理信息，具體表現在：

1.XBRL系統可以讀取PDF、DOC、HTML等多種形式的信息。但PDF、DOC、HTML等形式之間較難實現互相轉化和共享，現實中由于缺少統一的數據標準，不同企業往往按照自己設定的標準和格式來組織數據，造成數據交換和共享較為困難。XBRL標準化集成了數字信息和非數字信息，增強了信息交流的通用性，大幅提高了信息的可比性，使信息的獲取更加便捷與高效。

2.XBRL信息處理可以自動摘錄并交換，減少了對不同格式資料需求的重復錄入。如與PDF文本格式進行比較，PDF格式的文件類似于圖形文件，信息呈現非常清楚，但閱讀者無法自動從中讀取數據。因此，閱讀者使用信息時不得不對公司披露的PDF信息進行二次加工。

3.與傳統文檔格式信息相比，XBRL的應用提高了報表的編制效率，而且有利于增強會計信息的透明度，促進財務報告模式變革，提高財務報告分析利用率，實時監控和持續審計。

四、XBRL如何實現增強企業內部控制的有效性

從企業組織管理的角度，XBRL的應用為提高企業內部控制的有效性提供了新的解決思路。應用XBRL對內部控制的革命性意義在于，在避免了人工編輯合成數據的情況下通過XBRL實現內部控制證據與財務報表賬戶信息相結合。引用IMA成員之一Robert Kaplan的話：“量化財務數據、經營能力、科技水平、戰略風險管理對企業來說是至關重要的，正因如此才迫切地需要我們找到如何進一步提高ERM有效性的方法。同樣值得注意的是，風險管理需要一套行之有效的系統為內部控制和宏觀管理服務”（2008）。具體來說，XBRL是如何實現增強企業內部控制的有效性的呢？

第一，XBRL是如何解決從多樣化不兼容的各種系統中獲取并整理數據，使之服從于同一內部控制管理框架這一難題的呢？XBRL通過改變互聯網環境使采集并編輯不同來源的數據成為可能。不同信息系統或跨國經營單位可以獲取統一XBRL格式的數據，并可以進一步將其加工成為數據結構圖和數據報表，來滿足不同目標使用者的需求。因此在全公司不同的內部控制環節和不同的部門之間，XBRL格式的數據都能夠被有效利用，這為內部控制流程中的每一個關鍵性步驟提供支持。

第二，對于企業管理層對風險控制分類標準的理解和解釋不一致的情況，XBRL的應用可以為問題的解決提供一種新思路。首先將內部控制分類標準上傳到XBRL系統中；再收集企業有關風險并進行清單匯總，XBRL的使用能大幅度提高清單匯總的效率，將這些被匯總的風險和與之相對應的控制程序上傳到XBRL系統中，將其與內部控制分類標準進行配比比較；然后將新出現的風險和控制程序納入內部控制分類標準中，最終形成一個更為規范的分類標準框架。這樣公司風險是否確認、如何分類將有一套標準而規范的尺度來衡量。標準一旦得到量化統一，公司所有員工對風險控制分類標準的理解達成一致也變得更容易實現。

第三，XBRL總分類賬（XBRL GL）是一個既獨立又與XBRL國際組織有關的項目，是“針對財務報告的來源數據及其結構訂立的協議”（潘琰、林琳，2006）。XBRL GL集成了其他結構化數據格式以保持數據本身與其上下文信息。一方面，這些上下文信息通常可以“向上歸納”至財務報告。另一方面，可以從財務報表披露的數據中“向下挖掘”到有關經濟事項。XBRL GL的這種性能應用，為管理層實現獲取的財務數據和非財務數據能夠“向下挖掘”到源頭系統提供可能。快速查驗源頭系統，為財務數據和非財務數據的可信性提供了保證。“XBRL實施后將改變過去審計人員以追溯舊數據來檢查被審單位在過去某一時刻的財務狀態和活動的情況，使審計人員根據需要實時點擊所需數據”（姜玉泉等，2004）。進一步，將現有的XBRL總分類賬分類標準與XBRL內部控制分類標準相結合，實現企業財務報告、總分類賬、合規性內部控制評價報告三大口徑的統一，使管理層可以實現快速對財務報表中某一具體賬戶信息進行深度剖析，如該賬戶有關項目是否存在特別風險，有無風險控制措施。

第四，提高了信息的透明度，改善了公司治理，使某些外部機制能變成內部監管的替代作用。采用XBRL技術能夠幫助非職業的財務報告信息使用者在其投資決策時獲得相關財務信息，“利用便利搜尋引擎技術（earch-facilitating technology），XBRL增加了財務信息的透明度和管理人員披露有關信息選擇時的透明度來幫助報告使用者決策”（Frank，2004）。同時，“有助于外部監管和接管活動，這些外部機制能變成內部監管的替代作用，而且技術改善將導致更多的披露和更進步的外部治理，以及更少的董事會監管和內部再造流程，這對于提高公司內部治理和外部治理的有效性大有裨益”（Robert，2005）。

第五，XBRL系統的應用可以幫助企業建立從整體的、全局的角度構建與企業管理相結合的內部控制體系，使內部控制與實現企業組織目標和實現企業可持續發現相結合。內部控制是一種“全員參與的控制”，是一種企業全體員工共同參與的管理工作。XBRL信息的采集、處理和應用需要更多的管理和專業知識，因此，更應重視各個層面有關人員的參與性。

第六，XBRL不但能輸出XBRL自有統一格式的報告，還可以隨時創建實例文件。管理層可以通過找出XBRL系統中邏輯不一致數據的原因，做到風險管理的事前監控和事前控制。通過找到哪個控制環節經常產生風險，并且確定相應控制對象的范圍，管理層還可以評估風險識別和風險控制的效率，提高下屬各分部門領導層的風險控制能力。

目前使用XBRL技術主要用于提供對外報告，為了更有效地應用XBRL為企業內部控制服務，還需要我們轉變視角，思考如何利用XBRL進行決策分析和內部報告的形成。“但是任何一項沒有實施機制的制度職能是制度的紙質副本，實施機制才是制度功效得以實現的關鍵”（繆艷娟，2010）。XBRL技術本身并不是包治百病的神藥，立志于建立企業內部控制和管理的長效機制，采取有針對性的措施對企業現行的內部控制體系進行整改，才能使內部控制實務方面得到實質性的改變。

【參考文獻】

［1］ 財政部會計司.企業內部控制規范講解［Ｍ］.經濟科學出版社，2010.

［2］ 池中華.基于管理視角的企業內部控制評價系統模式［J］.會計研究，2010（10）.

［3］ 繆艷娟.企業內控規范實施機制的新制度經濟學分析［J］.會計研究，2010（11）.

［4］ 任家華.基于XBRL的內部控制問題研究［J］.中國管理信息化，2009（12）.