企业内部控制的问题及建议

张十根　胡悦

摘要：2015年财政部对企业会计准则通用分类标准（以下简称通用分类标准）进行修订，制定并颁布了2015版通用分类标准。这标志着XBRL在我国的推广应用又向前迈进一步，其应用大大推进了我国会计信息化进程，同时也给我国企业内部控制带来新的风险和问题。文章在介绍XBRL技术在我国推广应用情况的基础上，总结概况了企业内控面临的新风险，并提出了加强企业内部控制的相关建议。

关键词：XBRL；内部控制；问题；建议

一、XBRL在我国的推广回顾

（一）XBRL的涵义

XBRL（可扩展商业报告语言，Extensible Business Reporting Language）是基于XML（可扩展的标记语言，Extensible Markup Language）并被标准化了的专门用于编制企业财务报告的计算机语言。XBRL技术由三部分组成，包括技术规范（Specification）、分类标准（Taxonomy）和实例文档（Instances）。技术规范的作用是定义XBRL的专用术语，规范XBRL文件格式，指导XBRL实例文档和分类标准的构建，它是XBRL技术的总纲；分类标准是依据技术规范和自身的会计行业准则，由不同国家不同行业以及不同团体所建立的适用于本地区本行业的词汇表，它是生成实例文档的关键；实例文档是企业根据技术规范和分类标准做成的财务报表，同时满足分类标准和规范的定义和限制。

（二）XBRL在我国的推广应用

1. XBRL理论研究和前期准备

2000年初，财政部积极与国际会计理事会以及XBRL专家学者开展交流，同时财政部会计司和中国注册会计师协会受托开展相关研究；2005年，XBRL中国地区组织开始筹备建立，XBRL技术也被应用到上海、深圳证券交易所上市公司电子化信息披露系统当中；2007年，财政部向XBRL国际组织提出了建立XBRL中国地区组织的申请。

2. XBRL中国地区组织成立

2008年10月，我国以XBRL临时会员形式加入XBRL国际组织；同年11月，XBRL中国地区组织成立大会在北京召开，宣告了中国XBRL组织的正式成立。

3. 制定并发布XBRL技术规范

2010年10月，我国发布了企业会计准则通用分类标准和可扩展商业报告语言（XBRL）技术规范系列国家标准。这两套标准的出台，为我国会计信息化标准体系建立迈出了坚实、重要的一步，推动了会计信息化建设的历史性变革。

4. XBRL报告及通用分类标准在企业试点应用

2011年1月1日起，XBRL通用分类标准强制在部分纽交所上市的公司、证券期货资格会计事务所实施，并且鼓励其他上市公司和非上市大中型企业实施；2012年2月财政部发布《关于地方国有大中型企业实施企业会计准则通用分类标准的通知》（财会〔2012〕4号），选取了37家实施试点单位；2013年，XBRL试点实施范围进一步扩大，包括18家银行、5家保险公司、11家大型企业以及100多家地方国有大中型企业；2014年，财政部、国资委、银监会、保监会、证监委联合发布《关于做好2014年企业会计准则通用分类标准实施工作的通知》，该通知将一大批国有企业列入到2014年通用分类标准实施工作中。

5. 企业会计准则通用分类标准修订

随着XBRL在国内外的发展及XBRL报告及通用分类标准在我国企业的试点应用，财政部对2010版通用分类标准、行业扩展分类标准进行修订、整合，于2015年发布了新版的企业会计准则通用分类标准。

二、XBRL环境下企业内部控制面临的问题

XBRL在我国的推广应用，给我国企业内部控制带来新的课题，本文将从内部控制五要素入手，剖析在XBRL环境下企业内部控制面临的问题。

（一）内控环境更加复杂，XBRL应用缺乏良好的环境支持

首先，企业管理层尚未完全树立XBRL理念，推广应用动力不足。XBRL在企业的推广应用最大的受益者是企业的外部信息使用者，对于改进企业的经营管理效果毕竟有限；XBRL的推广使用往往需要企业投入较大的人力、物力和财力，对于一些中小企业尤其是小微企业来说无疑会加大企业成本，这无疑打消企业推广XBRL的积极性。其次，企业内部XBRL组织不健全。很多试点企业在XBRL推广中并没有建立健全有效的推广部门，组织比较松散，推广的力度和权威性不足。再次，企业缺乏XBRL专门人才。XBRL的应用需要企业既掌握财务专业知识，又掌握计算机知识以及英语技能的复合型人才，这类复合型人才的缺乏大大制约XBRL在我国的推广应用。

（二）风险识别和分析的难度加大，风险评估的风险增加

XBRL的推广应用使得企业内部控制风险评估的难度加大，主要体现在风险识别和风险分析两个方面。从风险识别来看，XBRL报表的编制采用的是XML作为源语言，这就要求企业的管理者和财务人员具备相应的计算机知识，掌握一定的计算机程序语言基础，否则，由于存在语言的障碍，必将大大降低企业管理人员和财务人员的风险识别能力，加大风险识别的风险；从风险分析来看，由于系统的开放性、信息的分散性、数据的共享性，大大增加了信息系统风险控制点，加大了风险分析的难度。

（三）控制活动容易出现更多漏洞

一方面，XBRL技术的应用弱化了“人”的手工控制，强化了对“人”的授权控制和“信息系统”的运行程序控制，以前的授权方式往往是经办人和负责人进行签字盖章，而XBRL技术的应用使授权方式通过计算机自动完成，交易授权被“内嵌”到系统当中，授权过程和授权痕迹不明显，出现错误或者舞弊较难被发现，不能进行有效的事前和事中控制，大大弱化了控制活动；另一方面，存在信息安全访问控制风险。信息登入往往只对登入进行严格控制，用户往往忽视了退出控制，易导致数据被盗或毁损、信息泄露，信息保密性受损。

（四）随着信息与沟通的范围扩大，易形成“信息孤岛”风险

在XBRL环境下，XBRL的应用会对会计信息的采集、存储、加工、传递和应用的整个流程进行优化和革新，财务人员利用会计信息系统来对经营管理活动中的各项业务信息进行采集、存储和加工，而业务流程及相关信息可能在实际过程当中被业务管理人员修改而并未通知财务人员，财务人员与业务人员的沟通不畅以及会计信息系统与业务过程相分离，容易导致业务实际与信息系统财务信息不一致。企业内部各部门及子系统之间信息流通不畅，相互分离，彼此之间形成孤立的“信息岛屿”，不利于信息的沟通与反馈。

（五）实施监督的难度加大

XBRL技术的应用大大提高了会计信息的编制、储存、传递和应用的效率，而且也促使了企业对原有监督系统的再造。比如：在XBRL系统中，业务都是在系统中操作完成，具体的业务痕迹和审计线索不能很好地进行追踪和查找，不便于适时的监督和问责；XBRL 实现了数据的统一和共享，能够很便利地进行传递，但是原始数据的真实性、准确性的校验是一大难题；XBRL应用需要企业拥有掌握XBRL、财务审计、计算机、网络技术、外语等知识的复合型人才，而这类人才比较缺乏，这必将使内部控制监督的难度加大。

三、基于XBRL在我国现状，加强企业内部控制的措施与方法

（一）为企业创建良好的内部控制环境

首先，加大宣传力度，提高企业推广应用XBRL的积极性。政府应建立强有力的XBRL组织，专门负责XBRL在国内的推广应用。主要目的就是为企业在系统整合、信息安全、咨询服务等方面提供帮助和支持，同时对企业尤其是中小企业应用XBRL提供一定的经济补偿，减轻企业负担，解决企业的后顾之忧。其次，大力培养XBRL专门人才。一方面，在高校，加大XBRL的科研力度，对经济和管理类学生开设XBRL课程，鼓励高校开展XBRL研究；开展校企合作，高校与企业之间应加强交流合作；另一方面，在相关资格考试和继续教育培训中增加XBRL的相关内容。

（二）加强信息系统安全维护与控制

首先，加强网络安全控制，保证会计信息网络传输的安全可靠。具体可以通过采用安装安全软件，综合利用防火墙、远程访问安全策略手段、数字签名技术、数据加密等技术；其次，企业可以采用数字加密技术和建立授权访问制度，对不同的信息依据其重要性和涉密性进行安全管理，设定严格的信息安全等级，维护信息安全。

（三）加强理论建设，制定基于内部控制规范的通用分类标准及其配套标准

2015年我国财政部颁布了新的企业会计准则通用分类标准，为我国企业XBRL的推广应用提供了良好的基础。但是我们也要意识到我国目前基于内部控制规范的通用分类标准及其配套标准还比较薄弱，尚不能满足企业推广XBRL的要求。财政部等相关部门应按照我国国情和IASCF的准则导向模式，制定基于内部控制规范的通用分类标准及其配套标准。

（四）打造财务与业务相统一的信息系统，破除“信息孤岛”

企业应该立足自身实际，参照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及《企业内部控制审计指引》的要求，梳理内部各项业务流程，打破各部门尤其是财务和业务部门隔阂，打造财务与业务相统一的信息系统，实现财务系统与其他各子系统间的集成。比如：可以将XBRL与ERP系统进行整合，实现财务信息与业务信息共享，提升企业内部各部门业务信息与财务信息的汇集能力，提高企业的管理及决策水平，增强企业的内部控制能力。

（五）实施持续监督与审计，加强风险管理水平

针对XBRL实施之后，业务痕迹和审计线索不能很好地进行追踪和查找以及原始数据的真实性、准确性的校验等难题，为了加强监督，提高企业内部控制水平，企业可以建立基于XBRL的持续审计模型用于加强风险管理。基于XBRL的持续审计模型易于追踪审计线索，使审计信息的传输更加安全，从而达到加强风险管理的目的。

参考文献：

[1]孙立华.刍议企业内部审计质量的控制研究——基于XBRL信息技术的应用[J].信息系统工程，2014（02）.

[2]潘潇.XBRL 分类标准的改进与应用研究[D].山东财经大学，2013.

[3]陈建红.企业内部控制问题探讨——基于XBRL应用[J].财会通讯，2012（03）.

[4]赵顺娣，魏雯，刘伟丽.我国推广应用XBRL需关注的问题及建议[J].财会月刊，2011（04）.

[5]安静，李刚.基于XBRL网络财务报告的持续审计模型构建[J].商业会计，2011（02）.

[6]卢馨，雷蕾.XBRL的研究现状与展望[J].财会通讯，2010（04）.

（作者单位：张十根，盐城工学院会计系；胡悦，镇江市财会干部学校）