本站原创基于我国会计信息化的发展要求,最新财务信息处理的标准和技术――可扩展商业报告语言(ExtensibleBusinessReportingLanguage,缩写为 XBRL)很快就会在各行业应用、推广.企业管理层编制财务报告时,在很大程度上将依赖于 XBRL会计信息系统的帮助,进行信息披露以及管理决策,这就给企业内部控制带来了巨大的冲击和挑战.研究基于XBRL环境下的内部控制有哪些风险,进而规避风险、控制风险,这是一个很值得探索的问题.本文拟将在XBRL环境下存在的内部控制风险进行剖析,以期为进一步深入研究及完善企业内部控制提供借鉴.
一、XBRL的应用导致内部控制环境改变
(一)XBRL的应用改变内部控制环境 作为基于XML语言的新型财务报告语言,XBRL文档内容的语法格式是 <标签>文档内容 .XBRL “带标签”的特性既能大幅度增加财务报告披露的透明度,又能极大地提高财务报告信息处理的效率和功能.XBRL可以实现财务信息系统的电子化、标准化与规范化,完善企业内部管理信息系统平台、提高管理绩效,XBRL将改变财务报告和其他会计信息,通过互联网在组织和机构之间的交流和传递方式,对会计信息供应链与互联网结合起着有力的推动作用.基于XBRL的上述优点,企业管理层在编制财务报告时将很大程度依赖于 XBRL会计信息系统的帮助,来进行信息披露和管理决策,这给企业在内部控制方面带来了巨大的冲击和挑战.
(二)XBRL环境会产生内部与外部的风险 企业在日常的生产经营中总会面临着来自内部或外部的风险.XBRL技术的应用,导致内部控制框架的内部构成产生变化,虽然为提高企业内部控制效率、增强内部控制效果带来了新的机会,但同时在系统安全性等方面产生了潜在的风险.推进 XBRL应用是一项较为复杂的系统工程,XBRL的实施会导致企业业务流程发生重大变化,改变内部控制环境,作为内部控制第一要素的环境因素发生改变,必会影响企业
的内部控制其他因素,产生来自企业内部或外部的风险.
二、XBRL环境下内部控制风险分析
(一)XBRL应用环境的内部风险 具体包括:(1)组织结构风险.在 XBRL环境下,内部控制的组织结构发生改变,内部控制环境进一步复杂.首先,通过网络平台,管理人员随时可以很方便地从办公室的计算机来采集所需信息,现代企业日趋扁平化的内部组织管理结构,对人事关系产生影响、人员岗位轮换、报告程序变动,这些都会削弱组织结构的稳定性,即使违规操作也不易被发现,很容易使管理失去控制.其次,权利与义务划分不清,出了事故无法追究管理责任,造成部门之间相互推卸责任.且组织内各成员的价值观、专业背景差距较大,容易造成内部矛盾与冲突.第三,XBRL是个网络开放平台,企业利益相关者可以随时上网,很方便地获取相关信息,介入公司的信息活动.(2)控制活动过程风险.一是改变授权方式风险.企业即使是在 XBRL的网络环境下,也是由人来完成监督的.电算化会计信息系统对内部控制的要求比手工会计系统更严格,增加了操作权限、口令设置等规定,对财务系统程序员、操作员、分析员及系统维护员都要设置权限、口令或,但是其素质参差不齐,如违规操作改变他人的口令或,势必导致网络系统管理混乱,产生网络环境下会计信息风险.同时,网络会计授权方式不再是单纯的签字和盖章,很多授权控制通过“嵌入”系统完成,交易授权可由计算机程序自动完成,这就使得授权过程不明显,以至控制的失败往往在发生损失后才被察觉.二是访问控制风险.虽然登录信息系统要输入正确的用户名和,才能作相应权限的操作,但用户完成操作后往往忽略了退出控制,如果系统未设置“限时无操作锁屏或自动退出”程序,则会导致已登录的用户在离开以后,身份及权限被他人盗用,私自篡改会计数据或者非法修改企业的系统程序此外,很多企业忽视数据划分密级,由于没有进行数据权限划分,即使仅一个普通,就可以对企业的数据进行非法、恶意的、 修改、删除等操作,破坏所有数据.三是内部控制薄弱风险.网络环境的会计信息系统,对内部控制的要求比手工会计系统严格多了,增加了操作权限、口令设置等规定,基于 XBRL的内部控制,很大程度取决于这些会计信息系统中运行程序的质量.在网络环境下,因为一些内部控制被计算机程序化,并嵌入计算机应用系统中,所以,内部控制具有人工控制与程序控制相结合的特点.这些程序化的内部控制的有效性往往取决于应用程序,如果程序发生差错或不起作用,基于人们对计算机系统的依赖性、麻痹大意以及程序运行的重复性,失效控制就会长期不被发现,从而导致系统在特定方面发生错误或违规行为的可能性增大. XBRL的网络财务报告呈报属于 Web怎么写作,而Web平台是开放、交互的,始终存在安全隐患.XBRL网络财务报告在呈报过程面临被来自外部的竞争对手或网络非法修改的危险.(3)监督风险.在单机环境下,计算机能在一个相对独立、良好的环境中运行,可有效防止无关人员的接触和非法授权操作.XBRL的实施会导致企业业务流程发生重大改变,加上会计信息系统的开放性和网络化,成千上万个终端机连接着一台怎么写作器,很难有效地控制各个终端,未经授权的用户就有可能利用终端访问系统.另外,网络中的传输线路、接口设备等都可能存在安全隐患.此外,由于在网络系统中可以通过各个终端输入数据,这就增大了输入出错的概率.如果网络系统输入没有得到良好的实时性控制,就会使得这些错误很快蔓延,从而使错误的查找和更正变得更加困难,增加了内部控制监督的难度.会计师事务所的审计活动将面临更大的审计风险.(4)风险评估风险.每个企业都面临着来自内部和外部的不同风险,风险评估就是分析和辨认对实现内部控制目标可能产生负面影响的不确定性因素,并适时加以处理.XBRL信息技术的应用,伴随业务流程的改变,系统的开放性、信息的分散性、数据的共享性,极大地改变了封闭集中状态下的运行环境,从而改变了传统会计信息系统的风险控制内容与方法,使得风险评估难度加大.例如,强大又复杂的计算机系统增加了企业潜在的风险.因为人们的主观判断被忽略,数据处理过于集中,存储的数据可以被改写和删除并且不留痕迹.数据的存放形式也增加了数据再现的难度,以及数据处理过程无法观测等新的风险点构成了内部控制的新内容.授权与控制越来越依赖于信息系统,这些都会增加与信息资产和信息系统相关的风险.(5)信息沟通风险.与业务相分离的 XBRL会计信息系统容易形成 “信息孤岛”风险.会计信息系统如果只管采集、存储和加工发生经济业务的子集信息,财务人员没有与业务管理人员进行必要的信息沟通,就会造成会计信息系统收集的信息不准确、不全面,信息沟通不畅,从而导致财务人员与业务管理人员之间的不和谐.以致各个部门和子系统易形成一个个“信息孤岛”,直接影响内部控制作用的正常发挥.无论是在理论界还是实务界,对企业内或企业间的信息系统分离,财务系统与其他系统之间的集成对信息质量的影响,未予以高度的重视.在XBRL系统实际应用中,与业务相分离的 XBRL系统无法涵盖企业内部控制管理的各项内容,因为每个企业拥有独特的业务流程,如果完全照搬行业的规范来实现数据统一,将无法适应企业的个性特点,产生信息沟通的风险.
(二)XBRL应用环境的外部风险具体包括:(1)XBRL分类标准不完善风险.一个国家的一种报告规范对应一个或一组分类标准,这些分类标准之间相互关联,否则就会造成虽然遵循相同的会计准则,但出现不同的会计信息分类标准的情况.由于XBRL中国地区组织刚成立不久,基于我国会计准则的XBRL分类标准尚未真正建立.虽然《积极推进可扩展商业报告语言(XBRL)应用的暂行规定(征求意见稿)》、《基于企业会计准则的可扩展商业报告语言(XBRL)通用分类标准(征求意见稿)》已向社会公开征求意见,但是没有制定符合自身会计准则特点的XBRL分类标准,XBRL的应用优势就无法体现,从而影响会计信息化的推广和应用.上证所和深交所分别开发了自己的XBRL分类标准,但是都使用各自自行开发的XBRL分类标准.基于此,在实践中根本无法在企业中推广应用XBRL,也无法进行应用软件的深度开发,因为这会加大操作成本 ,造成无效益的重复劳动,增加内部控制风险.(2)XBRL应用软件不成熟风险.因为XBRL分类标准的不完善 ,所以XBRL的应用软件的推广受限,国内并不是所有的财务软件都支持XBRL标准,也没有一套适用所有企业的通用型应用软件,无法满足众多非上市公司和中小企业的需要.同时基于成本等因素,企业不会自行开发或选择使用不成熟的应用软件,否则必定要承担较大风险.(3)财务信息安全风险.XBRL的信息披露功能在给企业内外的信息使用者带来便利的同时,也会带来企业信息情报泄露的风险.由于XBRL网络呈报的平台是开放性的,所以在运行过程中更容易受到网络不安全因素的威胁,如修改信息内容、信息泄露、信息替代、IP哄骗、计算机病毒等都严重威胁到网络财务信息安全.因为会计信息是反映企业财务状况和经营成果的重要依据,不得随意泄漏、破坏和遗失,加上XBRL是一个实时的财务报告系统,一旦某一信息发生错误,就可能在瞬间影响大量信息使用者的决策.如果没有有效的网络安全保障,XBRL财务报告就存在被网络或竞争对手非法恶意修改的风险,应用XBRL财务报告具有极大的风险性.(4)缺乏应用XBRL的制度风险. XBRL本身只是一项技术,新技术的使用必定会增加使用成本.企业如果应用XBRL就要购置软硬件、培训人员、还要系统使用维护及升级等,要在人力、物力和财力上作一定投入,企业会有所顾虑.另外,XBRL的应用虽然有技术优势,但也有一定的局限性,如不能改变财会人员做检测账的意图等,这种情况下,如果国家或相关管理部门没有制定相关制度和配套措施,未对企业是否应用XBRL、规范化地应用XBRL进行约束,缺乏应用XBRL的制度,容易形成企业抵触XBRL技术应用的风险.(5)XBRL人才短缺风险.XBRL是一个新生事物,国际上的研究也刚开始起步,XBRL中国地区组织刚成立不久,缺乏XBRL标准的权威和专家,对XBRL的研究基本上还停留在理论层面,理论体系尚未形成,更谈不上全面的应用.由于XBRL是网络环境下的新兴技术,涉及财务、会计、管理、计算机等多门学科,具有很高的学科综合性,这就增加了人们对XBRL学习的难度.而我国高校财会专业还未专门开设关于XBRL的课程,也缺乏XBRL的社会培训,造成国内对XBRL认识不足,多数只停留于对XBRL特点、优势等的了解,而对XBRL的技术层面知之甚少,大多数会计人员、审计人员、企业财务人员几乎没有相关的知识储备,真正理解和懂得XBRL标准的人很少,所以,对XBRL的推广应用存在着人才短缺的风险.
三、XBRL环境下应对风险的对策
(一)高度重视XBRL环境下的内部控制风险 XBRL的实施会导致企业业务流程发生重大变化,带来内部控制环境发生改变.基于XBRL的会计信息系统,传统会计信息系统中的风险依然存在,有的可能会被弱化,但同时会产生许多新的特殊风险.XBRL环境下,完善企业内部控制时除了要关注传统的内部控制风险之外,还应注意XBRL环境下的特殊风险.人们应充分重视风险,认识风险,防止风险,及时地发现风险,预测风险可能造成的影响,并设法将不良影响控制在最低程度,识别重要风险并建立风险评估和回应机制.
(二)强化人机共同控制传统的内部控制是以单一制度控制为手段的,以人的控制为重点;而XBRL的应用会导致内部控制框架的内部构成产生新的变化,内部控制制度是以计算机程序为载体来实现控制,计算机程序和制度共同控制,所以XBRL环境下的内部控制应当以人和机的共同控制作为重点,加强人和机的共同控制.
(三)制定一套针对XBRL内部控制及风险管理的指南为健全信息系统的内部控制,有关国家政府和国际性组织发布了信息系统内部控制规范或模型.OECD(经济合作与发展组织)发布的信息系统安全指导方针将信息安全提升到了文化高度,涵盖了意识、责任、响应、道德、、风险评估、安全设计和实施、安全管理以及再评估等内容.美国内部审计协会构建了一个更为现代化的信息系统控制框架――电子系统保证与控制框架(ESAC),整个框架包括控制环境、人工控制系统和自动控制系统以及将控制融入系统的控制程序等三部分.中国注册会计师协会的《独立审计具体准则第20号――计算机信息系统环境下的审计》仅仅是一项具体规范,主要内容是对电子信息系统本身的控制问题.我国目前还没有一套针对XBRL内部控制及风险管理的指南.我国政府与相关组织有必要在借鉴国内外经验的基础上,及早制定基于XBRL的会计信息系统内部控制准则,来指导企业的XBRL风险管理实务.
(四)促进 XBRL应用软件的开发XBRL的应用及推广需要有成熟的应用软件,企业编制 XBRL财务报表时需要有 XBRL报表生成软件;交易所要将上市公司 XBRL实例文档的内容导入数据库,需要有相关的 XBRL转换软件;投资者要对上市公司 XBRL实例文档的数据进行分析比较,则需要XBRL数据展示和分析软件.目前我国自主开发的XBRL应用软件少,参与开发 XBRL应用软件开发的软件公司也不多,只是上证所信息公司、深圳证券信息公司、上海新利多公司等,缺乏必要的市场竞争.造成我国XBRL应用软件开发滞后的原因很多,但最根本的原因就是分类标准的不开放和实例文档下载不方便.促进XBRL的推广及发展,创造更流畅的财务信息的传递与共享通道,就要促进 XBRL应用软件的开发,企业有成熟的XBRL应用软件可供选择.
(五)加快复合型会计人才培养针对当前XBRL复合型会计人才短缺现状,首先各级财政部门应充分利用各种培训机构及高校资源,以XBRL为平台,积极开展对公司企业、金融保险、会计相似度检测和软件开发商等相关机构财务人员的培训,开展各种形式的应用研讨,尽快普及XBRL技术知识.其次,应加大对XBRL的社会宣传力度,通过会议交流、科普宣传、网站宣传等形式,促进广大投资者和普通信息使用者认识和了解XBRL.最后我国的高校应尽快开设XBRL的相关课程,将其作为经济管理类专业、信息技术类专业的必修或选修课,介绍XBRL的知识,并充分利用网络发布的真实公司案例,结合XBRL技术开展专业课程教学,更有利于帮助学生利用所学的专业知识解决现实生活中真实的经济问题.
[本文系广西壮族自治区教育厅《中国――东盟自由贸易区框架下广西企业内部控制研究》课题阶段性研究成果]