XBRL網絡財務報告內部控制分析

周志紅

（山東經貿職業學院，山東 濰坊 261061）

財務報告是反映企業某一特定日期財務狀況和某一會計期間經營成果、現金流量等會計信息的文件。傳統的財務報告采用的是書面紙質文件，而隨著會計信息化和網絡技術的發展應用，人們越來越多地開始利用網絡來了解各種數據信息。XBRL網絡財務報告以其實時性、靈活性、交互性、完整性地特點帶來了財務報告模式全新的變革，并對上市公司、投資者、審計機構以及企業財務報告的內部控制產生了重大影響。

一、XBRL與網絡財務報告

目前，人們對于網絡中應用最為廣泛的HTML（HyperText Mark-up Language）超文本標記語言是比較熟悉的，它是構成網頁文檔的主要語言。目前我國大部分上市公司的財務報告都以HTML或PDF文件格式進行編輯和存儲，并在網絡上進行傳遞，這在一定程度上滿足了財務報告使用者通過網絡獲取財務信息的需要。但網絡技術的發展不僅限于此，更多的信息使用者希望能夠利用網絡直接進行數據交換以自動生成其所需的任何報告信息，這就要求所需交換的數據項目必須統一，而無論是利用HTML還是PDF文件都很難做到這一點。

網絡文本標記語言除HTML外，還有一種標記語言叫做“可擴展標記語言”即XML（eXtensible Markup Language）。XML內部具有豐富的數據結構，其標記更易為計算機所理解，應用此標記可以使計算機處理各種數據信息甚至包括多國文字；另外，XML的主要特性——可擴展性使得使用者能夠自行定義標簽，這就為統一財務報告數據項目，直接進行數據交換提供了技術支持。在XML語言發展和應用的基礎上，美國華盛頓州塔特馬一位名叫Chares Hoffman的注冊會計師提出了將XML語言擴展到網絡財務報告的領域，這一提議得到了美國注冊會計師協會的認可和大力支持，經過大量的研究和實踐，最終將XML與網絡財務報告相結合，由此產生了XBRL。

XBRL實際上是XML在商業應用中的進一步擴展，因此被稱為可擴展商業報告語言，英文全稱為eXtensible Business Reporting Language，簡稱XBRL。XBRL在XML技術的基礎上進一步定義出企業財務和商業報告文件所需要的數據項目、文件綱要、文件格式以及分類標準，這有利于企業各項財務和商業報告數據能夠得到及時、高效的存儲及處理，并在網絡環境中快速準確地傳遞，使財務報告信息使用者能夠快速精確地搜索相關的數據信息，還可通過數據交換重新生成所需的報告信息。

二、XBRL網絡財務報告在我國的應用發展

在XBRL網絡財務報告應用方面，我國起步較晚，最初只有上海證券交易所和深圳證券交易所致力于XBRL在中國的應用及推廣，現在，政府機構、監管部門、學術機構和大學、中介機構、軟件開發商和其他組織和個人廣泛參與其中。

2005年3月25日，《上市公司信息披露電子化規范》（以下簡稱規范）頒布實施?！耙幏丁弊鳛樯鲜泄景l布財務報告信息的編制基礎，提出了上市公司信息披露制度體系中的基礎應用標準，規定了上市公司信息披露基于XBRL的通用要求和基本原則。在規范框架的指導下，上海證券交易所和深圳證券交易所積極實踐，根據實際情況采用逐步推進的方法，開始了XBRL在上市公司財務報告領域的應用。2006年2月，由中國證監會信息中心和中國保監會信息中心等單位發起成立“XBRL中國地區組織促進會”，開始了XBRL中國組織的籌備工作。2008年11月12日，XBRL中國地區組織正式成立。與此同時，開通了XBRL中國組織網站，提供包括XBRL新聞、實例文檔、分類標準、技術規范等信息。2010年5月6日，XBRL國際組織宣布批準XBRL中國地區組織成為正式地區組織成員。作為新加入的地區組織成員，XBRL中國地區組織開始促進XBRL培訓和教育，主辦XBRL相關會議，推動XBRL的采用，鼓勵XBRL技術研究，并協調相關監管部門及參與者間的合作，以推動XBRL的有效利用。2010年10月19日，國家標準化管理委員會和財政部在北京舉行了可擴展商業報告語言（XBRL）技術規范系列國家標準和企業會計準則通用分類標準發布會。兩套標準規定了XBRL語言的基本要素和按照企業會計準則編制XBRL財務報告的基本要求，為構建科學完善、國際通行的會計信息化標準體系奠定了基礎，成為我國會計信息化工作的一個里程碑和新起點。

三、XBRL網絡財務報告內部控制分析

（一）XBRL網絡財務報告存在的風險

XBRL網絡財務報告主要是按照XBRL信息分類標準，使用專門的財務信息處理軟件對各項財務信息數據進行處理，生成相應的財務報告并通過網絡進行傳遞與披露，因此，XBRL網絡財務報告中存在的風險主要為企業信息系統的風險。

1.硬件設備的控制風險

計算機及網絡設備是網絡財務報告編輯傳遞的物理基礎，如何保證設備的安全性是網絡財務報告風險控制的第一步。與網絡財務報告相關的數據信息主要以電子文件形式保存在計算機硬盤及各種外部存儲介質中，所以任何可能威脅計算機硬件設備的因素都是企業網絡財務報告內部控制的關鍵風險控制點。這些硬件設備包括服務器、外存儲設備、網絡設備等，面臨的風險主要為地震、火災等自然災害和人為盜竊及破壞的行為。

2.軟件系統應用與維護的控制風險

XBRL網絡財務報告中涉及的軟件系統包括操作系統和財務信息處理軟件。軟件系統應用與維護方面存在的風險主要表現在：操作系統使用非正版系統軟件導致不斷出現高危系統漏洞；沒有建立規范的信息系統日常運行管理規范，計算機軟硬件的內在隱患易于爆發，可能導致企業信息系統出錯；財務信息系統軟件維護不當、操作人員非法操作或誤操作而導致的系統停止響應造成數據信息丟失或傳遞錯誤；企業信息系統數據未能定期備份，可能導致損壞后無法恢復，從而造成重大損失。除此之外，軟件系統中存在的最大風險來自于病毒和黑客的攻擊，一旦企業內部網絡及系統受到病毒感染和黑客攻擊，不但會被篡改重要信息數據，竊取商業機密，甚至可能造成整個信息系統和網絡癱瘓，對企業網絡財務報告的正常傳遞和披露造成重大阻礙和影響。

3.信息系統非經授權訪問的控制風險

XBRL網絡財務報告的傳遞和披露離不開網絡環境，而在復雜的網絡環境中，如果不經授權登錄任何一個客戶端均可對信息系統的重要數據信息進行訪問并修改，必然會帶來企業重要信息泄漏或丟失的風險。即使進行了嚴格的授權訪問控制，網絡中的黑客也可以采用技術手段冒充客戶端及服務器，竊取用戶口令及密碼，侵入企業的財務信息系統進行非法操作，由此給企業的財務信息系統造成極大的威脅。

（二）XBRL網絡財務報告內部控制措施

1.加強硬件設施的維護與管理

首先，對于XBRL網絡財務報告數據錄入及信息處理設備如計算機、服務器、存儲設備等，企業應該設立專門的放置區域，指定專人負責檢查，無關人員未經授權不得接觸關鍵信息設備；其次，采取專門措施保護信息設備的安全，如安裝監控系統、防盜報警系統、防火消防系統等，使關鍵信息設備免于被盜或意外事故的破壞；最后，對于硬件設備出現的故障應由專業維護人員進行及時檢修和數據恢復工作，同時做好重要數據信息的備份工作，以防止數據丟失給企業帶來的風險，對關鍵信息設備配備不間斷電源供給設備，防止突然斷電造成數據丟失的風險。

2.建立XBRL網絡財務報告安全訪問管理制度

在網絡環境下，對于XBRL網絡財務報告的安全訪問管理尤其重要。企業應對財務報告信息錄入與修改權限進行加密控制，根據業務性質、重要程度、涉密情況等確定財務信息系統的安全等級，嚴格規范系統操作人員的賬號、密碼和使用權限，建立不同等級信息的授權訪問管理制度。此外，采用數字簽名認證也可以幫助信息使用者鑒別信息的來源和有效性，從而到達控制風險的目的。

3.建立網絡財務報告安全保密制度和泄密責任追究制度

企業應強化全體員工的安全保密意識，建立重要信息安全保密制度和泄密責任追究制度。企業委托專業機構進行系統運行與維護管理的，應當嚴格審查其資質條件、市場聲譽和信用狀況等，并與其簽訂正式的服務合同和保密協議。

4.實施網絡安全控制

企業應當安裝安全軟件，綜合利用防火墻、路由器等網絡設備，漏洞掃描、入侵檢測等軟件技術，以及遠程訪問安全策略等手段加強網絡安全，防范操作系統及財務信息處理系統受到病毒等惡意軟件的攻擊和非法侵入。通過網絡傳輸的涉密或者關鍵數據，應當采取加密傳輸等措施確保信息傳遞的保密性、準確性和完整性。

5.建立數據備份制度

企業應當建立系統數據定期備份制度，明確備份范圍、備份頻度、備份方法、備份責任人、備份存放地點和備份有效性檢查等內容，防止意外情況導致的重要財務信息數據丟失的風險。

[1]張天西,等.網絡財務報告—論XBRL的理論框架及技術[M].上海：復旦大學出版社,2006.

[2]張曉磊.XBRL網絡財務報告披露風險的控制研究[D].天津：天津財經大學,2008.

[3]饒艷超.會計信息化建設之XBRL：概念、技術與應用推廣[J].財政監督,2009，（3）.

[4]嚴復海，趙麟.XBRL應用的風險分析及對策研究[J].財會通訊，2008，(1).

[5]李傳雙.對推進我國XBRL建設的思考[J].中國管理信息化，2009，(7).

[6]財政部會計司.企業內部控制基本規范、企業內部控制配套指引、財政部會計司解讀企業內部控制指引資料匯編[G].2010.