任家华

[摘要]本文分析了XBRL环境下我国上市公司会计信息系统内部控制面临的特殊风险，并针对这些内控风险提出相应的建议和措施。

[关键词]XBRL；风险；内部控制

[中图分类号]F232；F270.7[文献标识码]A[文章编号]1673-0194(2009)24-0008-04

XBRL(eXtensible Business Reporting Language)是可扩展商业报告语言的简称，这是一种新的财务和商业信息报告标准。XBRL实质上是一种数据描述语言。通过它可以使各种商业信息在不同软件、平台、技术间(包括Inter-net)实现数据的可靠提取和顺畅交换，并且依据底层的元数据的重新组合能够使财务报表适应变化的会计制度和报表格式要求。给财务报表数据的存储、传递、再利用都提供了有效的工具。我国会计信息化建设的重要任务就是形成一套以XBRL国家分类标准为重要组成部分、涵盖会计信息生成、加工、储存、传输与利用的会计信息技术标准体系。XBRL极大地推动了我国会计信息语言的标准化、规范化，会计信息运用的自动化、集成化，加强并确保内部控制的可靠性。企业采用XBRL后，商业和财务信息的生成、验证、汇总和分析将变得极为方便，而这必然使得公司的信息在质量、及时性、完整性和可比性上随之提高，从而有助于公司制定决策。但是，XBRL的推广和应用也给会计信息系统内部控制带来了不少新的风险。为防范信息系统新增的风险。如何完善内部控制将是一个重要的课题。我国对XBRL环境下的内部控制研究还处于起步和借鉴阶段，本文就XBRL环境下我国上市公司内部控制面临的特殊风险进行分析，并就如何构建相应的内控框架进行探讨。

一、XBRL会计信息系统的内控风险

传统会计信息系统所面临的风险在基于XBRL的会计信息系统中可能依然存在，也可能有所减弱，但XBRL环境下企业内部控制将面临许多新的特殊风险。参考COSO框架，本文从内部控制5要素(控制环境、风险评估、控制活动、信息与沟通、监控)人手，分析XBRL系统的内部控制风险。

(一)XBRL系统内部控制环境更加复杂

在XBRL环境下由于相关管理人员可以方便地通过网络从办公室的计算机上随时取得管理所需信息，使得企业内部管理结构扁平化，从而使得内部控制的组织结构发生了改变，这将使得内部控制环境更加复杂。首先，管理结构扁平化使得人员变动频繁，人事关系、报告路线不稳定，会削弱组织的稳定性，很多越权操作行为不易被发现，容易造成管理失控。其次，容易造成权利与义务边界模糊、管理责任难以界定、各部门相互推诿现象。加之组织内成员专业背景、价值观相差较大，容易在组织内部产生各种矛盾与冲突。第三，XBRL是一个开放平台，企业的各种利益相关者可以很方便地介入公司信息活动。

(二)控制活动容易出现漏洞

(1)授权方式的改变会造成潜在风险。对企业的监督是由人来完成的，在XBRL的网络环境下，为维护财务信息的开放性和保密性，公司对系统程序员、系统操作员、系统分析员、网络系统维护员的权限都设置一定的口令或密码，但是他们的工作态度、责任心、业务水平参差不齐，一旦系统操作员心术不正。擅自改变他人的口令或密码，势必造成网络系统管理混乱，从而给网络环境下会计信息带来风险。同时，授权方式不再是单纯的签字、盖章，很多授权控制是“嵌入”在系统之中的，交易授权可以由计算机程序自动完成，这使得授权过程不明显，控制的失败往往在发生损失后才被察觉。有的内部人员甚至不经过授权进行非法操作，篡改会计系统数据，使商业机密外泄，信息的保密性受损。

(2)信息安全访问控制风险。信息系统往往对登录进行严格控制，只有输入正确的用户名和密码才能进行相应权限的操作，但用户往往忽略了退出控制。如果系统没有设置“限时无操作锁屏或自动退出”的程序，则易导致已登录的用户在离开后身份及权限被他人盗用的情况。此外，很多企业忽视数据划分密级，没有对数据权限进行划分，黑客只要盗取一个普通账号，就可以对所有数据进行盗取、修改、删除等破坏。

(3)网络系统内控程序的质量产生的风险。在网络环境下。一些内部控制被计算机程序化，并嵌入在计算机应用系统内，因此，内部控制具有人工控制与程序控制相结合的特点。这些程序化的内部控制的有效性取决于应用程序，如果程序发生差错或不起作用，由于人们对计算机系统的依赖性、麻痹大意以及程序运行的重复性，就会使得失效控制长期不被发现。从而使系统在特定方面发生错误或违规行为的可能性较大。基于网络环境下的XBRL内部控制，在很大程度上取决于这些会计信息系统中运行程序的质量。基于XBRL的网络财务报告呈报也属于Web服务(Web Services)，而Web平台是开放、交互的，一直存在安全隐患。企业使用XBRL财务报告后，大量会计信息都通过网络通讯线路传输，很可能被非法拦截、窃取。一旦这些应用程序中存在漏洞，就会危害系统安全。如果公司内部网络的建设和维护力度不够，也容易形成网络攻击漏洞。

(三)监督风险

在XBRL系统下，无法完全反映业务痕迹，难以留下必要的审计线索。XBRL的实施导致企业业务流程发生重大变化，内部控制监督经验不足，再加上缺少完整的内部审计线索，加大了内部控制监督的难度。在XBRL集成化的信息系统应用中，大量的内部控制都由信息系统实现，将会有更多的风险和控制转移到信息系统方面。

(四)风险评估的难度加大

每个企业都面临着来自内部和外部的不同的风险，风险评估就是分析和辨认对实现内部控制目标可能产生负面影响的不确定性因素，并适时加以处理。XBRL信息技术手段的应用，使得风险评估难度加大。伴随业务流程的改变，系统的开放性、信息的分散性、数据的共享性，极大地改变了以往封闭集中状态下的运行环境，从而改变了传统会计信息系统的风险控制内容和方法。例如，强大的、复杂的计算机系统增加了企业潜在的风险，因为人们的主观判断被忽略，数据处理过于集中，存储的数据可以被不留痕迹地改写和删除，数据的存放形式增加了数据再现的难度。数据处理过程无法观测等新的风险点构成了内部控制的新内容。授权与控制越来越依赖于信息系统，这些都增加了与信息资产和信息系统相关的风险。

(五)“信息孤岛”风险

单纯的XBRL会计信息系统容易形成“信息孤岛”风险。会计信息系统与业务过程相分离，它只采集、存储和加工业务过程中所发生事件的子集信息，而业务管理人员可能会改变业务流程的本质而不与财务人员沟通，造成财务工作与业务过程相脱节，使财务人员无法掌握准确、全面的信息，从而导致财务人员与业务管理人员之间的隔阂，导致各个部门和子系统成为一个个“信息孤岛”，直接影响

内部控制作用的发挥。在理论界与实务界，对企业内或企业间的信息系统分离。财务系统与其他系统之间的集成对信息质量的影响关注不够。XBRL会计信息必须扩展到经营活动一体化的信息系统，这样才有利于对业务流程的控制和实时跟踪。如何构建与战略、经营活动一体化的XBRL会计信息系统呢?遗憾的是，COSO框架没有作进一步探讨，只是提出应确保信息系统所提供的信息质量及沟通渠道的恰当和畅通。在实际应用中，XBRL系统无法涵盖企业内控管理的各项内容。很多标准的XBRL系统功能配置并不符合企业原有独特的业务流程，如果完全照搬行业的规范来实现数据统一，那只能束缚手脚，无法适应企业的个性特点，无法与业务流程和谐沟通。

二、构建我国上市公司XBRL内部控制的建议

针对XBRL环境中企业运转可能面临的新增风险，我国上市公司应该解决两个层面的问题：一是国内外信息系统内部控制规范或模型的借鉴：另一个是XBRL系统的内部控制。

(一)国内外信息系统内部控制规范的借鉴

为健全信息系统的内部控制。有关国家政府和国际性组织发布了信息系统内部控制规范或模型。OECD发布的信息系统安全指导方针中，将信息安全提升到了文化高度，涵盖了意识、责任、响应、道德、民主、风险评估、安全设计和实施、安全管理以及再评估等内容。美国内部审计协会(IIA)构建了一个更为现代化的信息系统控制框架——电子系统保证与控制框架(eSAC)，整个框架包括控制环境、人工控制系统和自动控制系统、把控制融入系统的控制程序等3部分。中国注册会计师协会的《独立审计具体准则第20号——计算机信息系统环境下的审计》指出，计算机信息系统环境下的内部控制包括一般控制和应用控制，一般控制包括组织与管理控制、应用系统开发和维护控制、计算机操作控制、系统软件控制、数据和程序控制。应用控制包括输入控制、计算机处理与数据文件控制、输出控制等。但是，“计算机信息系统环境下的审计”作为一项具体规范，其内容主要是着重于对电子信息系统本身的控制问题。

综合上述指南、模型，有这样几点值得思考与借鉴：(1)我国目前尚没有一套针对XBRL内部控制及风险管理的指南，我国政府与相关组织有必要在借鉴国内外经验的基础上，及早制定基于XBRL的会计信息系统内部控制准则，以指导企业的XBRL风险管理实务。(2)企业的内控环境应包括企业价值观、企业文化、理念和使命、企业道德与诚信等。(3)对信息系统内部控制必须高度重视。

(二)XBRL系统内部控制的风险防范机制

1建立良好的内部控制环境

良好的内部控制环境，是有效风险管理的基础。首先，为了保证会计信息网络传输的安全可靠，必须要加强网络安全控制。可行的控制手段主要有防火墙技术、数据加密技术和数字签名技术等。第三，进一步加强组织控制，在扁平化的基础上设立专门的机构或专业人员进行系统管理。再次，重塑企业文化氛围。在信息系统内控中，企业成员的道德伦理、价值观念、工作态度都会发生变化，尤其是企业员工的诚信程度和职业道德水平，是影响企业内部控制环境的一个非常重要因素。

2加强控制过程管理

内部控制中应加强的工作流程包括数据准备环节、系统运行环节、财务管理环节、档案管理环节的制度控制，加强操作管理制度等。同时，内部控制过程设计也要有集成性的特点，例如软件控制、硬件和数据控制、岗位控制、操作制度、档案管理控制、输入控制、处理控制、输出控制等需要相互结合。

3信息交流与沟通的权变性

在XBRL会计信息系统下，内部控制不应该只是一个固定的、一成不变的模式，它应该随着企业内外环境的变化而变化，即符合权变原则。现代信息技术给内部控制赋予了新的内涵，会计控制也由人工控制变为人、机控制，由于相关人员的经验和素质差异，在早期发展阶段，我们的控制应该适当宽松，设置一个过渡机制，根据员工的成熟进度来逐步完善。同时，在现阶段，重点做好信息沟通的基础工作。例如，建立健全会计及相关信息的报告负责制度，使企业内部的员工能够清楚地了解企业的内部控制制度，知道其所承担的责任'并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。

4风险界定和评估

内控除了要界定和评估企业内外部的战略、经营、安全、法规风险外，更重要的是界定和评估由信息系统而引起的新风险。加强对信息系统内部风险的界定和评估是影响信企业内部控制成败的关键。风险界定和评估这一要素包括事项识别、风险评估、风险应对等3个子要素。另外，企业面临的各种风险都不是一成不变的。所以必须建立风险评估体系、定期进行风险评估，才能准确地把握系统风险并及时采取应对措施。

5监督与问责

内控作为一种管理制度，其发挥作用的内在机制是要严格执行相应的监督和问责，没有严格精当的监督与问责，内控作用也会削弱甚至失效。这一要素应该包括持续监控、个别评价、缺陷报告、奖惩机制与条例安排、追究责任与问责机制等5个子要素。同时，还须加强内部审计专业人才的培养，熟悉信息化环境下的业务流程、电子凭证和电子文件管理。

三、结语

上市公司利用XBRL逐渐成为一种必然，管理层在很大程度上将依赖于XBRL会计信息系统的帮助编制财务报告，进行信息披露和管理决策，给企业的内部控制带来了巨大的冲击和挑战。本文从内部控制环境、风险评估、控制活动、信息与沟通、监控等5要素人手，分析xBRL系统的内部控制风险，并提出了相应的防范机制和国际经验借鉴。期望能够为中国上市公司的xBRL内控风险管理实务提供指导。