XBRL环境下上市公司内部控制研究

桂林电子科技大学 吴德生 刘承焕

XBRL实质上是一种商业和财务数据电子化交流的计算机语言，是可扩展标记语言（XML）在财务及相关报告领域的具体应用。我国会计信息化建设的重要任务之一就是形成一套以XBRL国家标准为重要组成部分、涵括会计工作相关业务流程的会计信息技术标准体系。XBRL的出现极大的推动了我国会计信息的标准化、规范化，在XBRL的语言环境下企业会计信息的安全性、可靠性、真实性、完整性、一致性、可维护性和可扩展性都得到了加强从而有助于企业决策。然而，XBRL的推广和应用对传统的会计信息系统内部控制也带来了新的风险和挑战。因此，如何应对这些风险完善内部控制是一个很重要的工作。由于我国内部控制的理论研究还存在一定的滞后性，关于信息技术特别是XBRL技术对企业内部控制的研究不够。本文拟就我国上市公司实施XBRL后所面临的内部控制风险结合COSO内部控制框架进行分析，并提出相应的解决方案。

一、上市公司XBRL面临的风险分析

（一）复杂的控制环境 控制环境不仅对于组织企业活动、确立目标和评估风险的方式有着广泛的影响，而且还影响着控制活动、信息与沟通系统以及监控活动。XBRL是一个开放的平台，企业各种利益相关者可以很方便的介入公司信息活动。在XBRL的环境下由于企业相关人员可以很方便地通过网络获取所需信息，从而造成企业管理结构的扁平化，使得内部控制的结构发生了变化，导致内部控制的环境更加复杂。首先，管理结构的扁平化会使得企业人员频繁变动，人事关系、报告程序不稳定，很多越权行为不能及时发现容易造成管理失控；其次，扁平化容易造成企业人员之间的职责不清，各部门互相推诿，而且如果企业各部门人员之间专业背景、价值观差距太大，成员之间容易引发矛盾和冲突。现代企业的所有权与经营权相分离导致公司权力高度集中于经营者等内部人手中。因此如果许多公司所有者与经营者的利益不一致，会造成经营者控制公司而公司股东难以对经营者的行为进行合理、有效的监督。在这种情况下尽管使用XBRL披露公司财务信息，其信息的诚信度和有效性是值得怀疑的，在经营者利益驱使下甚至可能会出现诚信度更低的虚假信息。

（二）控制活动易出现漏洞 控制活动发生于整个企业的所有层级和所有职能之中，包括一系列不同的活动，如批准、授权、验证、调节、经营业绩评价、资产保管以及职责分离等。XBRL环境下控制活动的风险主要包括XBRL网络报告呈报风险、授权方式的改变造成的潜在风险以及系统安全访问控制的风险。（1）XBRL网络报告呈报风险。XBRL格式财务报告为解决数字化财务报告在不同的会计系统中的共享和处理数据提供了一种新的思路。XBRL网络呈报流程一般是：先由XBRL国际组织制定各种技术规范，然后各国参照XBRL技术规范制定出各自的XBRL分类标准，最后各财务报表编制单位参照技术规范和分类标准将企业的财务数据通过XBRL转化软件转化成XBRL实例文档，最终将实例文档传递给各终端用户使用。由呈报流程可以看出，XBRL财务报告依然存在着新流程风险，也不能有效解决上市公司财务造假问题。财务报告应用风险不仅来自于报告本身，也来源于呈报流程结构的缺陷。首先，XBRL标签可以对财务数据元进行定义，包括：财务报告实例文档中的财务数据所用分类标准是否正确；实例文档是否包含被合理标记的财务信息；跨年度使用的标签是否保持一致；财务信息与数字标签的吻合度以及自定义的标签是否符合XBRL技术规范，上述结构特征都可能影响到财务报告信息的质量。其次，XBRL是基于XML的技术体系，正如XML数据保护一样，XBRL也没有对标签提供保护，但是XML格式传递XBRL实例文档信息，来自网络的非法攻击不可避免，被篡改和创建的风险非常大，因此，将威胁到财务数据的真实性、完整性。（2）授权方式改变造成的潜在风险。在XBRL的环境下，企业为了保持财务数据信息的开放性和保密性，对系统程序员、系统操作员和系统维护员的权限设置了一定的限制，但是这些操作员的工作态度、责任心和业务水平各不相同，如果这些操作员擅自修改他人口令或密码，会造成网络管理的混乱从而给会计信息带来风险。此外，现在企业的许多授权方式不再是单纯的签字、盖章，相当多的一部分授权是嵌入在系统中由计算机程序自动完成的，这使得授权的过程不明显，因此有些内部人员甚至可以不经过授权进行非法操作，篡改会计信息数据，使得信息的保密性受损。（3）系统访问安全控制造成的风险。有效的访问安全控制能保护系统，阻止不当访问和未经授权使用系统，如果能够很好的加以设计阻截黑客和其他入侵者从而保护会计信息的安全。足够的访问控制活动，例如频繁改变拨号号码，或实行回拨—即系统呼叫一位潜在用户以一个经过授权的号码回拨，而不允许直接访问系统可以成为阻止未经授权访问系统的有效方法。访问安全控制限制经过授权的用户只能使用其工作所需的应用程序和应用功能，以支持职责的适当分离。企业应该经常而及时的审核允许或限制访问系统的用户概况。此外，以前的或心怀不满的员工对系统的威胁可能比黑客还要大；中止使用的员工口令和用户识别码应该立刻清除。通过防止对系统的未经授权的使用和改动，数据和程序的可信度得到了保护。

（三）风险评估的难度进一步加大 企业无论规模、结构、性质或者所属行业如何，在组织内部的各个层级都会遭遇风险。风险就是影响企业的生存能力以及能否在其所属行业成功地竞争，保持其财务实力和正面的公众形象的因素，因此，企业管理层必须对这些影响企业成功的不确定性因素进行识别与分析并加以适时的处理。应用XBRL进行财务会计信息披露将给提供会计信息的企业带来巨大的挑战，一方面企业商务信息泄露的风险将大大提高，另一方面也提供了企业信息披露成本，因此，XBRL信息技术的应用使得企业风险评估难度加大。此外，强大的计算机系统使得人们往往忽略了主观的判断，存储的数据可以随意的被修改和删除，数据的存放形式增加了数据再现的难度，这些因素都增加了企业的潜在风险。数据处理过程中的无法观测点也会增加企业风险评估的难度。

（四）监督风险 内部控制体系随着时间的推移而不断变化，曾经的有效内部控制程序可能会变得不再有效，而且最初设计内部控制体系时的环境也可能会发生变化，造成无法对新条件带来的风险发出警告。因此，管理层需要确定内部控制体系是否继续适用以及能否应对新的风险。XBRL采用的XML技术体系，像其他XML未保护的数据一样，XBRL没有对标签提供任何保护；XBRL的实例文档也易受到非法攻击，很容易被篡改，数据的完整性和可靠性受到威胁，而这些威胁在网络环境下难以留下必要的审计线索。XBRL的实施势必会导致企业业务流程的重组，再加上缺少必要的审计线索，加大了内部控制监督的难度。

（五）信息与沟通风险 内部控制是涉及到企业内外各个方面的工作，不是管理层或者内部控制职能人员单一的工作，需要整体的沟通与协调。企业所建立的流程与制度不是孤立存在的，各个部门之间都有着紧密的联系，如果缺少信息沟通，必然影响内部控制的实施效果。在实际应用中，许多企业习惯了“各负其责，各管其事”，XBRL系统无法涵盖企业管理的各个方面，很多XBRL的功能并不符合企业原有的业务流程，无法适应企业所处行业的特点，造成企业内外部沟通不畅。

二、上市公司应用XBRL的策略分析

（一）建立健全信息系统内部控制规范 上市公司要从旧的信息系统转换到XBRL的新系统，首先要做的就是建立健全一个有效的内部控制防范机制，为XBRL系统转换工作的顺利进行打好基础。而这些内部控制防范机制有赖于国家政府、组织在已有的内部控制规范基础上借鉴国际上其他国家的先进经验发布信息系统内部控制规范或模型。我国目前还没有一套针对XBRL内部控制和风险管理的指南，政府及相关组织应在借鉴国内外经验的基础上，及早制定基于XBRL的会计信息系统内部控制规范。美国内部审计协会构建了一个更为现代化的信息系统控制框架——电子系统保证与控制框架，该框架由控制环境、人工控制系统和智能控制系统以及把控制融入系统的控制程序三部分组成。中国财政部发布的《企业内部控制指引第18号——信息系统》指出企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。

（二）XBRL系统内部控制风险防范 在XBRL环境下，内部控制需要进一步加强和完善，才能满足风险防范的需要，主要从以下方面着手：（1）加强内部控制制度，建立良好的内部控制环境。XBRL系统的实施是一个投资巨大的工程，短期内无法取得立竿见影的效果，因此不可避免的会遭遇各种阻力，加强内部控制制度，建立良好的内部控制环境可以为XBRL系统的顺利实施打下基础。首先，基于XBRL格式的会计数据存储将给上市公司带来商业机密泄露风险，从而形成上市公司对信息曝光的担忧。有效的解决手段包括引入数字版权管理技术、防火墙技术、数字加密技术和数字签名技术。其次，加强组织控制，重塑企业文化氛围，在信息系统内部控制中，企业成员的道德伦理、价值观念、工作态度都会发生变化，尤其是企业员工的诚信程度和职业道德水平，是影响企业内部控制环境的一个非常重要因素。因此，企业管理层必须传达这样的信息：在诚信和道德价值观方面不能让步，有必要设立专门的机构或专业人员进行系统管理。（2）重点关注控制活动。控制活动包含一系列政策，以及有助于确保管理层的指令得以实施的相关执行程序，有助于确保那些被认定为对处置风险以实现企业的目标而言必要的行动得以贯彻实施。对信息系统的控制活动，一般分为一般控制和应用控制两类活动。一般控制通常包括针对数据中心操作、系统软件获取和维护、访问安全以及应用系统开发和维护的控制；应用控制则旨在控制应用处理以帮助确保交易处理的完整性和正确性、授权和有效性。（3）权变的信息与沟通。XBRL信息系统内部控制不是一成不变的模式，而应该随着企业所处的环境变化而变化。现代内部控制也由以往单纯的人工控制转为人、机共同控制，因此，由于工作人员的经验和素质差异，早期控制应该适当宽松。系统生成的信息质量影响管理层在管理和控制企业的活动时做出适当决策的能力。良好的沟通不仅能为企业带来顺畅的信息交流，更能为企业的决策与执行力提供保障。企业应打通阻碍企业沟通的障碍，形成一种良好的沟通氛围。例如，建立健全会计及相关信息的报告负责制度，使企业内部的员工能够清楚地了解企业的内部控制制度，知道其所承担的责任，并及时取得和交换在执行、管理和控制企业经营过程中所需的信息。（4）风险识别与分析。内部控制除了要识别与分析由企业战略，经营、安全和合法合规引起的风险外，更重要的是要识别有信息系统引起的新风险。《企业内部控制指引第18号——信息系统》指出企业利用信息系统实施内部控制至少应当关注以下三方面的风险：信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；系统运行维护和安全措施不到位可能导致信息泄露，系统无法正常运行。此外，企业面临的风险是不断变化的，必须建立风险评估体系，定期对企业的风险进行评估，才能准确的识别企业风险并加以应对。（5）监控。监控确保内部控制体系持续有效运行，没有严格的监督与控制，企业内部控制的作用就会削弱甚至失效。监控一般通过两种方式进行：持续监控、个别评价和报告缺陷，持续监控和个别评价的适当相结合将会确保内部控制体系在一定时期内的有效性。但应该认识到，持续监控活动是嵌入到企业日常的、反复发生的经验活动之中的，持续监控活动能够动态的应对环境的变化。持续监控活动的有效性越高，就越不需要个别评价。此外，考虑到XBRL文档很容易被错误的或有目的地创建、修改，可扩展验证报告语言（XARL）可以为企业和各类信息使用者提供经过验证的财务数据信息。

［1］王晶：《XBRL网络财务报告在我国应用存在的问题及对策探析》，江西财经大学2010年硕士学位论文。

［2］罗银云：《我国上市公司XBRL应用研究》，湘潭大学2010年硕士学位论文。

［3］薛祖云：《企业信息化与内部控制》，厦门大学出版社2011年版。

［4］COSO委员会制定发布，方红星等译：《内部控制整合框架》，东北财经大学出版社2008年版。