XBRL网络财务报告内部控制分析

周志红

（山东经贸职业学院，山东 潍坊 261061）

财务报告是反映企业某一特定日期财务状况和某一会计期间经营成果、现金流量等会计信息的文件。传统的财务报告采用的是书面纸质文件，而随着会计信息化和网络技术的发展应用，人们越来越多地开始利用网络来了解各种数据信息。XBRL网络财务报告以其实时性、灵活性、交互性、完整性地特点带来了财务报告模式全新的变革，并对上市公司、投资者、审计机构以及企业财务报告的内部控制产生了重大影响。

一、XBRL与网络财务报告

目前，人们对于网络中应用最为广泛的HTML（HyperText Mark-up Language）超文本标记语言是比较熟悉的，它是构成网页文档的主要语言。目前我国大部分上市公司的财务报告都以HTML或PDF文件格式进行编辑和存储，并在网络上进行传递，这在一定程度上满足了财务报告使用者通过网络获取财务信息的需要。但网络技术的发展不仅限于此，更多的信息使用者希望能够利用网络直接进行数据交换以自动生成其所需的任何报告信息，这就要求所需交换的数据项目必须统一，而无论是利用HTML还是PDF文件都很难做到这一点。

网络文本标记语言除HTML外，还有一种标记语言叫做“可扩展标记语言”即XML（eXtensible Markup Language）。XML内部具有丰富的数据结构，其标记更易为计算机所理解，应用此标记可以使计算机处理各种数据信息甚至包括多国文字；另外，XML的主要特性——可扩展性使得使用者能够自行定义标签，这就为统一财务报告数据项目，直接进行数据交换提供了技术支持。在XML语言发展和应用的基础上，美国华盛顿州塔特马一位名叫Chares Hoffman的注册会计师提出了将XML语言扩展到网络财务报告的领域，这一提议得到了美国注册会计师协会的认可和大力支持，经过大量的研究和实践，最终将XML与网络财务报告相结合，由此产生了XBRL。

XBRL实际上是XML在商业应用中的进一步扩展，因此被称为可扩展商业报告语言，英文全称为eXtensible Business Reporting Language，简称XBRL。XBRL在XML技术的基础上进一步定义出企业财务和商业报告文件所需要的数据项目、文件纲要、文件格式以及分类标准，这有利于企业各项财务和商业报告数据能够得到及时、高效的存储及处理，并在网络环境中快速准确地传递，使财务报告信息使用者能够快速精确地搜索相关的数据信息，还可通过数据交换重新生成所需的报告信息。

二、XBRL网络财务报告在我国的应用发展

在XBRL网络财务报告应用方面，我国起步较晚，最初只有上海证券交易所和深圳证券交易所致力于XBRL在中国的应用及推广，现在，政府机构、监管部门、学术机构和大学、中介机构、软件开发商和其他组织和个人广泛参与其中。

2005年3月25日，《上市公司信息披露电子化规范》（以下简称规范）颁布实施。“规范”作为上市公司发布财务报告信息的编制基础，提出了上市公司信息披露制度体系中的基础应用标准，规定了上市公司信息披露基于XBRL的通用要求和基本原则。在规范框架的指导下，上海证券交易所和深圳证券交易所积极实践，根据实际情况采用逐步推进的方法，开始了XBRL在上市公司财务报告领域的应用。2006年2月，由中国证监会信息中心和中国保监会信息中心等单位发起成立“XBRL中国地区组织促进会”，开始了XBRL中国组织的筹备工作。2008年11月12日，XBRL中国地区组织正式成立。与此同时，开通了XBRL中国组织网站，提供包括XBRL新闻、实例文档、分类标准、技术规范等信息。2010年5月6日，XBRL国际组织宣布批准XBRL中国地区组织成为正式地区组织成员。作为新加入的地区组织成员，XBRL中国地区组织开始促进XBRL培训和教育，主办XBRL相关会议，推动XBRL的采用，鼓励XBRL技术研究，并协调相关监管部门及参与者间的合作，以推动XBRL的有效利用。2010年10月19日，国家标准化管理委员会和财政部在北京举行了可扩展商业报告语言（XBRL）技术规范系列国家标准和企业会计准则通用分类标准发布会。两套标准规定了XBRL语言的基本要素和按照企业会计准则编制XBRL财务报告的基本要求，为构建科学完善、国际通行的会计信息化标准体系奠定了基础，成为我国会计信息化工作的一个里程碑和新起点。

三、XBRL网络财务报告内部控制分析

（一）XBRL网络财务报告存在的风险

XBRL网络财务报告主要是按照XBRL信息分类标准，使用专门的财务信息处理软件对各项财务信息数据进行处理，生成相应的财务报告并通过网络进行传递与披露，因此，XBRL网络财务报告中存在的风险主要为企业信息系统的风险。

1.硬件设备的控制风险

计算机及网络设备是网络财务报告编辑传递的物理基础，如何保证设备的安全性是网络财务报告风险控制的第一步。与网络财务报告相关的数据信息主要以电子文件形式保存在计算机硬盘及各种外部存储介质中，所以任何可能威胁计算机硬件设备的因素都是企业网络财务报告内部控制的关键风险控制点。这些硬件设备包括服务器、外存储设备、网络设备等，面临的风险主要为地震、火灾等自然灾害和人为盗窃及破坏的行为。

2.软件系统应用与维护的控制风险

XBRL网络财务报告中涉及的软件系统包括操作系统和财务信息处理软件。软件系统应用与维护方面存在的风险主要表现在：操作系统使用非正版系统软件导致不断出现高危系统漏洞；没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆发，可能导致企业信息系统出错；财务信息系统软件维护不当、操作人员非法操作或误操作而导致的系统停止响应造成数据信息丢失或传递错误；企业信息系统数据未能定期备份，可能导致损坏后无法恢复，从而造成重大损失。除此之外，软件系统中存在的最大风险来自于病毒和黑客的攻击，一旦企业内部网络及系统受到病毒感染和黑客攻击，不但会被篡改重要信息数据，窃取商业机密，甚至可能造成整个信息系统和网络瘫痪，对企业网络财务报告的正常传递和披露造成重大阻碍和影响。

3.信息系统非经授权访问的控制风险

XBRL网络财务报告的传递和披露离不开网络环境，而在复杂的网络环境中，如果不经授权登录任何一个客户端均可对信息系统的重要数据信息进行访问并修改，必然会带来企业重要信息泄漏或丢失的风险。即使进行了严格的授权访问控制，网络中的黑客也可以采用技术手段冒充客户端及服务器，窃取用户口令及密码，侵入企业的财务信息系统进行非法操作，由此给企业的财务信息系统造成极大的威胁。

（二）XBRL网络财务报告内部控制措施

1.加强硬件设施的维护与管理

首先，对于XBRL网络财务报告数据录入及信息处理设备如计算机、服务器、存储设备等，企业应该设立专门的放置区域，指定专人负责检查，无关人员未经授权不得接触关键信息设备；其次，采取专门措施保护信息设备的安全，如安装监控系统、防盗报警系统、防火消防系统等，使关键信息设备免于被盗或意外事故的破坏；最后，对于硬件设备出现的故障应由专业维护人员进行及时检修和数据恢复工作，同时做好重要数据信息的备份工作，以防止数据丢失给企业带来的风险，对关键信息设备配备不间断电源供给设备，防止突然断电造成数据丢失的风险。

2.建立XBRL网络财务报告安全访问管理制度

在网络环境下，对于XBRL网络财务报告的安全访问管理尤其重要。企业应对财务报告信息录入与修改权限进行加密控制，根据业务性质、重要程度、涉密情况等确定财务信息系统的安全等级，严格规范系统操作人员的账号、密码和使用权限，建立不同等级信息的授权访问管理制度。此外，采用数字签名认证也可以帮助信息使用者鉴别信息的来源和有效性，从而到达控制风险的目的。

3.建立网络财务报告安全保密制度和泄密责任追究制度

企业应强化全体员工的安全保密意识，建立重要信息安全保密制度和泄密责任追究制度。企业委托专业机构进行系统运行与维护管理的，应当严格审查其资质条件、市场声誉和信用状况等，并与其签订正式的服务合同和保密协议。

4.实施网络安全控制

企业应当安装安全软件，综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术，以及远程访问安全策略等手段加强网络安全，防范操作系统及财务信息处理系统受到病毒等恶意软件的攻击和非法侵入。通过网络传输的涉密或者关键数据，应当采取加密传输等措施确保信息传递的保密性、准确性和完整性。

5.建立数据备份制度

企业应当建立系统数据定期备份制度，明确备份范围、备份频度、备份方法、备份责任人、备份存放地点和备份有效性检查等内容，防止意外情况导致的重要财务信息数据丢失的风险。

[1]张天西,等.网络财务报告—论XBRL的理论框架及技术[M].上海：复旦大学出版社,2006.

[2]张晓磊.XBRL网络财务报告披露风险的控制研究[D].天津：天津财经大学,2008.

[3]饶艳超.会计信息化建设之XBRL：概念、技术与应用推广[J].财政监督,2009，（3）.

[4]严复海，赵麟.XBRL应用的风险分析及对策研究[J].财会通讯，2008，(1).

[5]李传双.对推进我国XBRL建设的思考[J].中国管理信息化，2009，(7).

[6]财政部会计司.企业内部控制基本规范、企业内部控制配套指引、财政部会计司解读企业内部控制指引资料汇编[G].2010.