王妍

【摘 要】 文章从内部控制框架在企业中的执行情况出发，基于企业组织管理的角度，对影响企业内部控制执行的有效性发挥的原因进行了分析，并依据XBRL的特点，讨论了XBRL的应用如何为提高企业内部控制的有效性提供新的解决思路。

【关键词】 XBRL； 内部控制； 有效性

一、内部控制规范实务发展现状

2002年7月美国颁布的《萨班斯—奥克斯利法案》（Sarbanes-Oxley Act2002USA，简称SOX法案）第302、404节中对企业内部控制的相关要求做了明确规范。COSO委员会继1992年提出《内部控制——整合框架》（简称COSO-IC）后，2004年进行增补，再次推出《企业风险管理——整合框架》（Enterprise Risk Management，简称COSO-ERM），提出了内部控制的新框架。

内部控制框架在企业中的执行情况如何呢？COSO委员会于2010年发布了一份关于ERM框架实际推进情况的报告中指出：“目前，ERM的应用相对来说发展还不成熟”，有关机构对公司推进ERM框架的情况进行了调查，调查结果显示，“仅有28%的受访者表示公司目前ERM的状态是成熟的、机制健全的、可循环运转的，而接近60%的受访者表示他们的风险追踪体系几乎是不能系统工作的或对于整个公司范围来说仅能追踪到个别部门的风险”（COSO，2010）。另外一位从事COSO发起研究的学者在论文“board Risk Oversight”中提到“我们研究发现一些能够体现公司董事会对宏观风险监察有效性的复杂信号……绝大多数的调查结果显示他们的董事会不能规范、系统地执行风险监察流程”（Protiviti，2010）。通过问卷调查发现，“由美国SEC和PCAOB倡导的能够降低评估成本的风险向导评价方法的实际应用情况并不理想”（Parveen P. Gupta，2006）。

我国财政部会计司原司长刘玉廷博士指出：“内部控制缺陷的认定，特别是非财务报告内部控制缺陷的认定，是企业内部控制评价工作中面临的重大挑战之一”（刘玉廷，2010）。此外，目前的内部控制规范仍存在诸多亟待完善的地方，如内控缺陷的概念和内涵界定模糊，重大缺陷缺乏认定标准，有关内部控制的指导规范执行不利，内控信息纰漏监管政策并没有得到很好的执行等，这些直接影响了我国上市公司内部控制有效性的发挥。这种实际的或潜在缺点和不足使得内部控制不能充分或有效率地实现预期控制目标。只有找出现实存在的原因，并探讨改进，才能提高为实现预期控制目标提供合理保证的程度。

二、影响内部控制有效性发挥的原因

影响企业内部控制执行的有效性发挥的原因是多方面的，本文仅从企业组织管理的角度出发，对其原因进行讨论：

第一，管理层面临促进内部控制有效性发挥的一个关键问题是，满足从多样化不兼容的各种系统中获取并整理数据，使所有数据服从于同一内部控制管理框架。目前财务数据通常在ERP系统或者其他的财务软件中保存，然而内部控制管理框架只能保存在电子制表软件里，或者保存为条例式的解决方案。这就需要一种技术更为成熟的工具，能够将财务数据和内部控制管理准则体系相融合。

第二，影响企业内部控制制度有效性发挥面临的另一个难题是企业不同的管理层对风险标准的理解和解释不一致。何种影响程度的风险和内部控制缺陷应该进行认定？某项风险的潜在影响程度是否严重？这些问题往往依赖于公司管理层的主观判断和认定。而公司不同管理层因为执业能力的差别，持有谨慎态度差异等原因，对上述问题的理解和解释往往会不一致。特别是在风险的识别和评估阶段，对风险标准的理解不同可能会导致管理层作出不同的决策，进而影响内部控制发挥结果的有效性。

第三，面对席卷全球的经济危机，企业的内部控制系统受到严峻的考验，会计信息可信赖程度不足、财务舞弊现象不断暴露。世界银行首席经济学家林毅夫曾指出，“除了实体经济面上的隐患外，覆盖全球的计算机网络系统和风险行为起到了推波助澜的作用”（林毅夫，2008）。进一步思考，“会计信息系统是企业管理核心系统的子系统，会计信息占企业管理信息的80%左右”（AICPA，2002），其输出信息的可信性很大程度上左右着企业决策的效果。但企业管理层很难快速判断出会计信息的可信性，即使是专业的审计人员也需要会计人员的配合，查阅相关源头资料才能作出可信性判断。因此，如何实现快速查阅会计信息的来源，确定数据怎样具体构成，成为增强内部控制有效性的诉求。

第四，现阶段理论界和企业主要侧重于站在外部审计或者外部监管的角度对企业内部控制评价进行研究和考察，而鲜有基于管理者的视角出发。主要以确保信息真实、资产安全为目的，而非以满足管理者的需要为目的，导致现行企业中普遍存在被动控制、被动审计的思想。“这种局面的形成，与我们长期局限于会计审计视角研究内部控制，而忽略从管理控制角度综合研究内部控制直接相关”（杨雄胜，2005）。“这也正是为什么会有大约58.82%的被调查企业内部控制制度的执行没有达到预期效果的症结所在”（德勤，2009）。

三、XBRL增强企业内部控制有效性的优势分析

XBRL（eXtensible Business Reporting Language）是一种基于XML的标记语言。通过对财务报告的标准化处理，将财务报告统一转换为一种可以自动读取的信息形式，形成具有统一标准和可比性的财务报告。“XBRL的应用对企业在风险管理、内部控制、可行性研究报告、合规性内部控制评价报告、商业信息收集等方面工作的开展提供了更为有效的途径”（Jeffrey C等，2011）。

“XBRL可以通过改变互联网环境下财务报告编制、存储、传递、应用的方式和技术手段，改革传统的财务报告模式，从而提高会计信息质量”（廖治宇，2008）。采用XBRL格式的信息比传统的PDF、DOC、HTML等文档形式具有更多不可比拟的优越性，极大地方便了信息使用者利用信息和批量处理信息，具体表现在：

1.XBRL系统可以读取PDF、DOC、HTML等多种形式的信息。但PDF、DOC、HTML等形式之间较难实现互相转化和共享，现实中由于缺少统一的数据标准，不同企业往往按照自己设定的标准和格式来组织数据，造成数据交换和共享较为困难。XBRL标准化集成了数字信息和非数字信息，增强了信息交流的通用性，大幅提高了信息的可比性，使信息的获取更加便捷与高效。

2.XBRL信息处理可以自动摘录并交换，减少了对不同格式资料需求的重复录入。如与PDF文本格式进行比较，PDF格式的文件类似于图形文件，信息呈现非常清楚，但阅读者无法自动从中读取数据。因此，阅读者使用信息时不得不对公司披露的PDF信息进行二次加工。

3.与传统文档格式信息相比，XBRL的应用提高了报表的编制效率，而且有利于增强会计信息的透明度，促进财务报告模式变革，提高财务报告分析利用率，实时监控和持续审计。

四、XBRL如何实现增强企业内部控制的有效性

从企业组织管理的角度，XBRL的应用为提高企业内部控制的有效性提供了新的解决思路。应用XBRL对内部控制的革命性意义在于，在避免了人工编辑合成数据的情况下通过XBRL实现内部控制证据与财务报表账户信息相结合。引用IMA成员之一Robert Kaplan的话：“量化财务数据、经营能力、科技水平、战略风险管理对企业来说是至关重要的，正因如此才迫切地需要我们找到如何进一步提高ERM有效性的方法。同样值得注意的是，风险管理需要一套行之有效的系统为内部控制和宏观管理服务”（2008）。具体来说，XBRL是如何实现增强企业内部控制的有效性的呢？

第一，XBRL是如何解决从多样化不兼容的各种系统中获取并整理数据，使之服从于同一内部控制管理框架这一难题的呢？XBRL通过改变互联网环境使采集并编辑不同来源的数据成为可能。不同信息系统或跨国经营单位可以获取统一XBRL格式的数据，并可以进一步将其加工成为数据结构图和数据报表，来满足不同目标使用者的需求。因此在全公司不同的内部控制环节和不同的部门之间，XBRL格式的数据都能够被有效利用，这为内部控制流程中的每一个关键性步骤提供支持。

第二，对于企业管理层对风险控制分类标准的理解和解释不一致的情况，XBRL的应用可以为问题的解决提供一种新思路。首先将内部控制分类标准上传到XBRL系统中；再收集企业有关风险并进行清单汇总，XBRL的使用能大幅度提高清单汇总的效率，将这些被汇总的风险和与之相对应的控制程序上传到XBRL系统中，将其与内部控制分类标准进行配比比较；然后将新出现的风险和控制程序纳入内部控制分类标准中，最终形成一个更为规范的分类标准框架。这样公司风险是否确认、如何分类将有一套标准而规范的尺度来衡量。标准一旦得到量化统一，公司所有员工对风险控制分类标准的理解达成一致也变得更容易实现。

第三，XBRL总分类账（XBRL GL）是一个既独立又与XBRL国际组织有关的项目，是“针对财务报告的来源数据及其结构订立的协议”（潘琰、林琳，2006）。XBRL GL集成了其他结构化数据格式以保持数据本身与其上下文信息。一方面，这些上下文信息通常可以“向上归纳”至财务报告。另一方面，可以从财务报表披露的数据中“向下挖掘”到有关经济事项。XBRL GL的这种性能应用，为管理层实现获取的财务数据和非财务数据能够“向下挖掘”到源头系统提供可能。快速查验源头系统，为财务数据和非财务数据的可信性提供了保证。“XBRL实施后将改变过去审计人员以追溯旧数据来检查被审单位在过去某一时刻的财务状态和活动的情况，使审计人员根据需要实时点击所需数据”（姜玉泉等，2004）。进一步，将现有的XBRL总分类账分类标准与XBRL内部控制分类标准相结合，实现企业财务报告、总分类账、合规性内部控制评价报告三大口径的统一，使管理层可以实现快速对财务报表中某一具体账户信息进行深度剖析，如该账户有关项目是否存在特别风险，有无风险控制措施。

第四，提高了信息的透明度，改善了公司治理，使某些外部机制能变成内部监管的替代作用。采用XBRL技术能够帮助非职业的财务报告信息使用者在其投资决策时获得相关财务信息，“利用便利搜寻引擎技术（earch-facilitating technology），XBRL增加了财务信息的透明度和管理人员披露有关信息选择时的透明度来帮助报告使用者决策”（Frank，2004）。同时，“有助于外部监管和接管活动，这些外部机制能变成内部监管的替代作用，而且技术改善将导致更多的披露和更进步的外部治理，以及更少的董事会监管和内部再造流程，这对于提高公司内部治理和外部治理的有效性大有裨益”（Robert，2005）。

第五，XBRL系统的应用可以帮助企业建立从整体的、全局的角度构建与企业管理相结合的内部控制体系，使内部控制与实现企业组织目标和实现企业可持续发现相结合。内部控制是一种“全员参与的控制”，是一种企业全体员工共同参与的管理工作。XBRL信息的采集、处理和应用需要更多的管理和专业知识，因此，更应重视各个层面有关人员的参与性。

第六，XBRL不但能输出XBRL自有统一格式的报告，还可以随时创建实例文件。管理层可以通过找出XBRL系统中逻辑不一致数据的原因，做到风险管理的事前监控和事前控制。通过找到哪个控制环节经常产生风险，并且确定相应控制对象的范围，管理层还可以评估风险识别和风险控制的效率，提高下属各分部门领导层的风险控制能力。

目前使用XBRL技术主要用于提供对外报告，为了更有效地应用XBRL为企业内部控制服务，还需要我们转变视角，思考如何利用XBRL进行决策分析和内部报告的形成。“但是任何一项没有实施机制的制度职能是制度的纸质副本，实施机制才是制度功效得以实现的关键”（缪艳娟，2010）。XBRL技术本身并不是包治百病的神药，立志于建立企业内部控制和管理的长效机制，采取有针对性的措施对企业现行的内部控制体系进行整改，才能使内部控制实务方面得到实质性的改变。

【参考文献】

［1］ 财政部会计司.企业内部控制规范讲解［Ｍ］.经济科学出版社，2010.

［2］ 池中华.基于管理视角的企业内部控制评价系统模式［J］.会计研究，2010（10）.

［3］ 缪艳娟.企业内控规范实施机制的新制度经济学分析［J］.会计研究，2010（11）.

［4］ 任家华.基于XBRL的内部控制问题研究［J］.中国管理信息化，2009（12）.