基于XBRL的审计流程再造

摘要：XBRL的出现，给网络财务报告带来了一场新的革命，同时也对审计提出了新的挑战。审计，作为公司治理生态的重要一环，只有跟上XBRL的发展，才能更好地促使XBRL网络财务报告得以广泛应用。本文首先对主要相关文献进行了回顾；其次分析了XBRL对审计的影响；最后通过引入web服务技术、安全认证技术，设计了基于XBRL的审计流程基本框架，一些具体问题仍有待今后做进一步的研究。

关键词：XBRL；审计流程再造；连续审计

中图分类号：F239.省略成为可能，给审计带来一波巨大冲击。XBRL网络财务报告需要XBRL审计的支撑，如何构造基于XBRL的审计流程显得尤为重要。只有真正解决好这一问题，审计鉴证才能为XBRL网络财务报告的高效运行保驾护航，真正成为虚假会计信息的“过滤器”和利益相关者的“保护神”。因此，审计模式面临重构，审计方法和审计技术有待改善。

一、研究背景

作为一种新型的网络财务报告技术，XBRL一经出现便引起了国内外学者的广泛关注，都从不同方面对XBRL进行了探讨和研究。XBRL网络财务报告模式的发展必将对传统审计模式、审计方法和审计技术提出新的挑战和要求。作为“经济警察”，注册会计师通过会计报表审计鉴证对企业会计信息的真实性提供合理保证，是企业公司治理生态中关键的一环，对维护资本市场秩序具有重要作用。正如培根所说，没有执行制度比没有制度更可怕。近年来国内外发生的一系列重大事件如安然、世通信、银广夏、红光、科隆－德勤等无一不与审计失败有关，这恰恰从侧面反映出了审计的重要性。XBRL的出现，使得连续审计根据Rezaee的定义，连续审计是收集电子化审计证据来证明无纸化实时会计系统下财务报表是否公允表达的电子审计过程。

二、文献回顾

目前，国内外关于XBRL与审计的研究，较具代表性的有以下几个方面。Rezaee等［1］认为，随着XBRL的广泛应用，现行审计程序必须向连续审计转变。并指出：连续审计（continuous auditing），是收集电子化审计证据来证明无纸化实时会计系统下财务报表是否公允表达的电子审计过程。CICA［2］认为，XBRL财务报告编制过程与传统的编制过程不同，必然需要增加审计程序以确保XBRL文档的可靠性。并进一步指出：当XBRL被用来生成定期财务报告时，审计人员必须关注实施XBRL的额外程序和政策，并评价分类标准的使用与数据标记的恰当性、被标记数据的真实性、信息产生过程控制的有效性；当XBRL被用来生成实时财务报告时，将需要实施控制程序来保证被标记数据的真实性，因此审计人员必须持续评价这些控制的有效性，即实时审计。Wagenhofer［3］则认为，由于投资者将使用XBRL软件提取信息而不考虑信息编制的细节，那么企业将有可能不对某些不利信息进行标记或用特定标记对其进行标记，因此为了保证信息披露质量，审计人员必须验证企业是否对所有事项进行了标记；同时，如果企业进行实时报告或允许使用者接受其原始数据，审计人员将不得不将结果导向的审计程序改为连续的过程导向的审计程序。Boritz和No［4-5］认为，尽管XBRL的应用会带来很多好处，但是其一个重要缺陷就是未考虑信息质量。XBRL文档容易受到非法攻击，任何人都可以轻易地创建与篡改XBRL实例文档，从而致使XBRL报告的可靠性存在威胁，这势必影响XBRL的成功应用。因此，他们建议研究XBRL的保障机制，并提出了XRAL（eXtensible Assurance Reporting Language）。按Boritz and NO的定义，XARL“是基于XML的规范，它通过公认的鉴证程序和安全技术来加强网络信息的可靠性。XARL是XML的一种应用，是XBRL的扩展，将有关XBRL信息可靠性的信息扩展进来。” Murthy和Groomer［6］认为，基于XARL，并借助于Web服务便可实现对实时信息系统的连续审计。Boritz和No［7］进一步指出，如果没有良好的安全机制，XBRL与XARL将不可能完全发挥作用，因此又在XARL的基础上提出了网络财务报告服务安全机制。国内方面，张天西和高锦萍［8］深入探讨了XBRL对审计功能、审计程序和审计技术的具体影响，并认为随着XBRL的深入应用，将最终实现对实时信息系统的连续审计。

综上所述，目前国内外关于XBRL与审计的研究主要集中在XBRL财务报告的安全性及连续审计方面，并给出了有价值的建议。然而，以往研究大都停留在理论分析层面，未能结合相关技术给出基于XBRL的具体审计流程。本文将在以上研究的基础上，引入相关技术，对基于XBRL的具体审计流程进行初步探讨，以期解决其安全性问题，并实现连续审计目标。

三、XBRL网络财务报告及其对审计的影响

1.XBRL网络财务报告

XBRL的提出改变了传统的商业报告信息披露方式，影响整个商业报告信息供应链的各个方面，乃至将对会计制度、会计准则产生重大影响。XBRL是XML在商业报告信息交换方面的应用，是一种基于互联网技术的新型企业财务报告语言，是目前应用于非结构化信息处理尤其是财务信息处理的最新技术。XBRL能够提高软件提供商、程序员和最终用户创建、交换和比较商业报告信息的能力。近年来，XBRL获得了迅速的发展，尤其作为财务信息处理的最新标准和技术，XBRL增加了公司财务报告披露的透明度，提高了财务报告信息处理的效率和能力。如今，我国的会计信息化委员会即XBRL中国组织已经成立，成功加入XBRL国际组织成为XBRL会员。2010年10月，财政部了《企业会计准则通用分类标准》及其指南。在XBRL网络财务报告及分类账模式下，企业发生的经济业务和事项首先交由企业的会计信息系统（AIS）进行加工处理；其次由工具软件据此自动生成XBRL财务报告（实例文档）；最后，利益相关者借助XBRL工具对财务报告信息进行在线分析或生成个性化财务报告，并可下钻至明细信息。正如Coffin所预言的，与不同国家会计准则相异有关的问题将因XBRL迎刃而解，如分析师不再需要对依据不同国家会计准则编制的报告作调整工作，因为企业能够从同一套数据依据不同的XBRL财务报告分类标准生成符合不同准则要求的财务报告。

2.XBRL网络财务报告对审计的主要影响

获取被审计单位的电子数据即数据采集，是开展计算机审计的第一步。传统计算机审计技术主要面临两大问题：一是数据接口问题；二是数据标准化问题。由于企业使用的管理软件和财务软件种类繁多，且基于不同的操作系统、数据库、开发平台，没有统一的数据接口标准。因此，如何进行数据采集，以获取标准化的统一的企业财务数据，一直是制约传统计算机审计技术得以有效实施的首要瓶颈因素。其次，由于我国存在多种会计规范，不同企业所使用的会计科目（特别是明细科目）可能不尽相同，这样，即便获取了企业的电子数据，也只是解决了所谓的“语法”问题，而相关的“语义”问题并未得以解决。因审计系统无法自动“读懂”企业的数据含义而限制了查询、统计、分析功能的使用。对于上述第一个问题即数据接口问题，目前审计系统所采取的策略大致有两种：一种是审计系统供应商通过了解主流管理软件产品所使用的后台数据库系统、系统数据库结构、用户数据库结构等多方面信息，并把这些信息“固化”在审计系统系统中，从而实现所谓的智能采集，方便用户的使用。这就需要软件商做大量的基础性工作，甚至需要做到“逐日盯市”，紧密跟踪主流管理软件产品版本更新情况，因此工作量是巨大的，设计、运行成本较高，也在一定程度上限制了智能采集的应用范围。另一种方式是手工采集，即由用户自行采集所需的电子数据。这种方式尽管给了用户较大的自由度，但是操作相对复杂，对用户的要求较高，那就是必须熟悉管理软件的数据库结构。对于上述第二个问题即数据标准化问题，目前主要是通过数据映射（主要是科目映射）来加以解决。只有在用户电子数据与系统提供的标准数据之间建立了映射关系，电子数据才得以具备语义功能，后续的自动查询、统计、分析功能才能顺利得以实现。因此，工作量是巨大的，运行成本是较高的。

XBRL的出现，为上述问题提供了最佳（至少从目前来看是这样）解决方案，使得语法功能和语义功能同时得以实现。在XBRL技术框架内，存在XBRL GL和XBRL FR两个层次的分类标准。XBRL GL分类标准位于底层，用于规范交易层面的原始数据和分类账；XBRL FR分类标准位于上层，用于规范财务报告相关信息。由于所有企业的财务报告及分类账都遵循统一的XBRL规范和分类标准，这就使得数据接口得以标准化；同时，由于XBRL将财务报告（特别是财务报表）要素以及分类账都进行了统一“贴标”，因而也就解决了“语法”问题，这将使得审计系统能否自动识别所有报告要素，并能下钻至明细账和记账凭证，也使得审计系统预先内置的大量统计分析经验模型和专家知识库的自动执行成为可能。因此，在XBRL框架下，连续审计这一动态审计模式将有可能成为现实。

同时，由于XBRL技术是基于Internet的，对Internet的高度依赖将使得基于XBRL的审计模式的安全性面临挑战。党的十六届四中全会将信息安全作为国家安全的重要组成部分，明确提出“增强国家安全意识，完善国家安全战略”，并确保“国家的政治安全、经济安全、文化安全和信息安全”。作为信息安全的内容之一，网络财务报告安全是我们不得不正视的一个重要问题。不彻底解决其安全性问题，基于XBRL的审计模式将存在巨大安全隐患，由此便不可能得以广泛应用。只有将安全防范技术应用于审计流程，才能化解潜在的安全风险，降低社会应用成本，解决应用XBRL审计模式的后顾之忧。成功失败往往只在一线之间，从这种意义上说，安全性将成为决定XBRL审计模式能否得以成功应用的关键因素。

四、基于XBRL的审计流程设计

1.流程中所引入的关键技术

基于XBRL的连续审计流程必须重点加以解决的基础性问题在于动态信息获取机制和网络安全的实现。为此，本文引入了Web服务技术以实现动态信息获取机制；同时，引入了数据加密技术、数字签名技术以及安全认证技术来保障网络财务报告信息安全。

（1）Web服务技术。传统的网络财务报告披露模式是“拉式”的，即信息使用者必须登录相关网站自行搜寻查找所需信息。这种“拉式”的信息披露模式，显然不利于实现动态审计模式。为此，有必要引入一种“推式”的信息披露模式。在“推式”信息披露模式下，会自动响应合法的在线客户端请求并将其所需信息“推向”客户端，继而交由其应用软件进行分析处理。Web服务基于HTML和XML，支持动态发现机制，因而可用于实现“推式”信息披露模式。Web服务主要包括SOAP（Simple Object Access Protocol，简单对象访问协议）、WSDL（Web Services Description Language，Web服务描述语言）、UDDI（Universal Description，Discovery and Integration，统一描述、发现和集成）。因此，企业可以将XBRL财务报告和分类账实例文档封装成Web服务，并为审计方提供Web服务的客户端程序，这样审计系统就可以在其本机在线调用Web服务，获取财务报告及分类账信息，从而可以动态获取企业最新数据并使其自动流向审计系统。同时，因为XBRL实例文档是根据XBRL GL和XBRL FR分类标准生成的，这就保证了审计人员可以非常方便地获取审计所需数据并自由地进行汇总、下钻、统计查询和分析了。

（2）数据加密技术。安全性方面，必须解决两个层面的问题：数据保密问题和数据真实性完整性的验证。关于数据保密问题可以借助日益成熟的数据加密技术加以实现。由于公开密钥技术无须事先交换密钥，也无须经常变换密钥，各个用户间可以进行保密通信，在网络环境下有较大的优越性。我们知道，企业拥有会计信息的产权，公开披露的会计信息既具有私人物品属性，又具有公共物品属性，但是在会计信息被公布之前仍然属于企业的秘密资料，尚不具备公共物品属性。同时，基于XBRL的财务报告不仅仅包括财务报告，还包括了分类账甚至是原始交易数据，其中必然有一些涉及企业的商业秘密。因此，财务报告数据被公开披露之前的保密性问题至关重要。通过引入上述的非对称加密技术，可以有效地防止企业财务报告及分类账信息泄密。

（3）数字签名技术。所谓数字签名，是指利用通过某种密码运算生成的一系列符号及代码组成的电子密码对电子文件进行的签名。数字签名技术可以确认发送者身份，防止抵赖和冒名顶替；同时，可以保护电子数据文件内容的完整性和准确性，确保不被篡改。我国曾于2004年8月28日颁布了《中华人民共和国电子签名法》，其中所称的电子签名主要就是指数字签名。数据加密技术可以有效防止企业和审计方之外的第三方窃取会计信息，但是不能解决如下问题：企业否认文件是自己发送的；审计方伪造一份来自企业方的文件，或私自修改接收到的文件；他人冒充企业或审计方。通过引入数字签名技术可以有效解决上述问题。

（4）安全认证技术。在实际应用中，上述的非对称数据加密技术和数字签名技术是通过安全认证机构提供的电子认证服务加以实现的。安全认证机构（Certificate Authority，简称CA）负责为网络用户颁发数字证书，并为证书持有者生成不同的密钥对。通过安全认证技术，既可以实现数据加密，又可以验证数字签名的真实性，从而起到保护信息安全、对外防止欺诈、对内防止否认的作用。截至目前，经主管部门授权，我国已有20余家单位获得了电子认证服务许可，这将为实现连续审计起到保驾护航的作用。依托安全认证技术，就将可以解决网络审计的数据安全问题。

2.基于XBRL的审计流程

基于以上分析，本文在考虑XBRL网络财务报告的网络安全性、连续审计内在特性和要求的基础上，构造了基于XBRL的审计流程，如图1所示。

图1基于XBRL的审计流程

第一，根据企业信息系统生成的XBRL实例文档通过安全认证机构进行加密和数字签名；第二，根据加密和数字签名后的XBRL实例文档生成XML Web服务并在XML Web服务注册中心进行注册；第三，审计方即XML Web服务客户端根据授权访问企业XML Web服务中心，获取审计所需的XBRL实例文档；第四，根据XBRL分类标准，审计系统对企业方提供的XBRL实例文档进行一致性验证；同时对企业数据进行逻辑校验，如期初余额试算平衡、期末余额试算平衡、发生额试算平衡、凭证试算平衡、账账核对、账证核对、科目账与辅助账核对、凭证科目合法性检验、基础资料完整性检验等。如有问题，可记录于工作底稿；第五，实施审计作业。基于XBRL的财务报告及分类账，既统一了数据接口标准，又使得所有数据都带有唯一的标签，因而更利于审计过程中查询统计工作的进行。同时，还可以结合相关领域研究成果制作专家库系统，如风险评估模型、舞弊识别模型等都可以应用到审计作业中。当然，无论审计模式、审计技术如何，都必须结合账实核对开展审计作业。审计作业过程中可以随时将审计内容、审计中遇到的问题及疑点在审计工作底稿进行记录，并最终根据审计工作底稿生成审计报告；第六，将审计报告通过安全认证中心进行加密和数字签名，并将加密和数字签名后的审计报告发送至企业服务器。这样，企业便可以向相关部门机构提交财务报告及审计报告。

参考文献：

［1］Rezaee，Z.，Elam，R.，Sharbatoghlie，A.Continuous Auditing：The Audit of the Future［J］.Managerial Auditing Journal，2001，16（3）：150-158.

［2］CICA. Audit & Control Implications of XBRL［R］.Information Technology Advisory Committee，2002. http：//www.cica.ca/multimedia/Download_Library/Standards/Studies/English/CI-CA-XBRL-0502-e.pdf.

［3］Wagenhofer， A.Economic Consequences of Internet Financial Reporting［J］.Schmalenbach Business Review，2003，55（10）：262-279.

［4］Boritz,J.E.，No,W.G.Assurance Reporting for XBRL:XARL(Extensible Assurance Reporting Language)［R］.In Trust and Data Assurances in Capital Markets:The Role of Technology Solutions,ed.S.J.Roohani,2003.17-31.

［5］Boritz，J.E.， No，W.G.Assurance Reporting for XML-Based Information Services：XARL（Extensible Assurance Reporting Language）［J］.Accounting Perspectives，2004，3（2）：207-233.

［6］Murthy，U.S.，Groomer，S.M.A Continuous Auditing Web Services Model for XML-Based Accounting Systems［J］.International Journal of Accounting Information Systems，2004，5（2）：139-163.

［7］Boritz，J.E.，No，W.G.Security in XML-Based Financial Reporting Services on the Internet［J］.Journal of Accounting and Public Policy，2005，24（1）：11-35.

［8］张天西，高锦萍.XBRL对审计的影响研究［J］.当代财经，2007，（6）：101-104.

［9］Hoffman，C.，Kurt,C.,Koreto,R.J.The XML Files［J］.Journal of Accountancy，1999，187（5）：71-77.

［10］Hoffman，C.，Strand，C.XBRL Essentials［M］.American Institute of Certified Public Accounting，2001.

［11］Debreceny， R.，Gray，G.L.，Rahman，A.The Production and Use of Semantically Rich Accounting Reports on the Internet：XML and XBRL. International ［J］.Journal of Accounting Information Systems，2001，（2）：47-74.

［12］Strand， C.，McGuire,B.,Watson,L.,Hoffman,C.The XBRL Potential［J］.Strategic Finance，2001，82（12）：58-60.

［13］Weber， R.XML，XBRL，and the Future of Business and Business Reporting［R］.In Trust and Data Assurances in Captial Markets：The Role of Technology Solutions.Research Monograph Sponsored by Pricewaterhouse Coopers，2003.3-6.

［14］Jones， A.，Willis，M.The Challenge of XBRL：Business Reporting for the Investor［J］.Balance Sheet，2003，11（3）：29-37.

［15］Higgis，L.N.，Harrell，H.W.XBRL：Dont Lag behind the Digital Information Revolution［J］.The Journal of Corporate Accounting & Finance，2003，14（5）：13-21.

［16］Hunton， J.The Supply and Demand for Continuous Reporting［R］.In Trust and Data Assurances in Capital Markets：The Role of Technology Solutions.Research Monograph Sponsored by Price Waterhouse Coopers，2003.7-16.