企业内部控制的问题及建议
摘要:2015年财政部对企业会计准则通用分类标准(以下简称通用分类标准)进行修订,制定并颁布了2015版通用分类标准。这标志着XBRL在我国的推广应用又向前迈进一步,其应用大大推进了我国会计信息化进程,同时也给我国企业内部控制带来新的风险和问题。文章在介绍XBRL技术在我国推广应用情况的基础上,总结概况了企业内控面临的新风险,并提出了加强企业内部控制的相关建议。
关键词:XBRL;问题;建议;内部控制
一、XBRL在我国的推广回顾
(1)XBRL的涵义
XBRL(可扩展商业报告语言,Extensible Business Reporting Language)是基于XML(可扩展的标记语言,Extensible Markup Language)并被标准化了的专门用于编制企业财务报告的计算机语言。XBRL技术由三部分组成,包括技术规范(Specification)、分类标准(Taxonomy)和实例文档(Instances)。技术规范的作用是定义XBRL的专用术语,规范XBRL文件格式,指导XBRL实例文档和分类标准的构建,它是XBRL技术的总纲;分类标准是依据技术规范和自身的会计行业准则,由不同国家不同行业以及不同团体所建立的适用于本地区本行业的词汇表,它是生成实例文档的关键;实例文档是企业根据技术规范和分类标准做成的财务报表,同时满足分类标准和规范的定义和限制。
(2)XBRL在我国的推广应用
1、XBRL理论研究和前期准备
2000年初,财政部积极与国际会计理事会以及XBRL专家学者开展交流,同时财政部会计司和中国注册会计师协会受托开展相关研究;2005年,XBRL中国地区组织开始筹备建立,XBRL技术也被应用到上海、深圳证券交易所上市公司电子化信息披露系统当中;2007年,财政部向XBRL国际组织提出了建立XBRL中国地区组织的申请。
2、XBRL中国地区组织成立
2008年10月,我国以XBRL临时会员形式加入XBRL国际组织;同年11月,XBRL中国地区组织成立大会在北京召开,宣告了中国XBRL组织的正式成立。
3、制定并发布XBRL技术规范
2010年10月,我国发布了企业会计准则通用分类标准和可扩展商业报告语言(XBRL)技术规范系列国家标准。这两套标准的出台,为我国会计信息化标准体系建立迈出了坚实、重要的一步,推动了会计信息化建设的历史性变革。
4、XBRL报告及通用分类标准在企业试点应用
2011年1月1日起,XBRL通用分类标准强制在部分纽交所上市的公司、证券期货资格会计事务所实施,并且鼓励其他上市公司和非上市大中型企业实施;2012年2月财政部发布《关于地方国有大中型企业实施企业会计准则通用分类标准的通知》(财会〔2012〕4号),选取了37家实施试点单位;2013年,XBRL试点实施范围进一步扩大,包括18家银行、5家保险公司、11家大型企业以及100多家地方国有大中型企业;2014年,财政部、国资委、银监会、保监会、证监委联合发布《关于做好2014年企业会计准则通用分类标准实施工作的通知》,该通知将一大批国有企业列入到2014年通用分类标准实施工作中。
5、企业会计准则通用分类标准修订
随着XBRL在国内外的发展及XBRL报告及通用分类标准在我国企业的试点应用,财政部对2010版通用分类标准、行业扩展分类标准进行修订、整合,于2015年发布了新版的企业会计准则通用分类标准。
二、XBRL环境下企业内部控制面临的问题
XBRL在我国的推广应用,给我国企业内部控制带来新的课题,本文将从内部控制五要素入手,剖析在XBRL环境下企业内部控制面临的问题。
(1)内控环境更加复杂,XBRL应用缺乏良好的环境支持
首先,企业管理层尚未完全树立XBRL理念,推广应用动力不足。XBRL在企业的推广应用最大的受益者是企业的外部信息使用者,对于改进企业的经营管理效果毕竟有限;XBRL的推广使用往往需要企业投入较大的人力、物力和财力,对于一些中小企业尤其是小微企业来说无疑会加大企业成本,这无疑打消企业推广XBRL的积极性。其次,企业内部XBRL组织不健全。很多试点企业在XBRL推广中并没有建立健全有效的推广部门,组织比较松散,推广的力度和权威性不足。再次,企业缺乏XBRL专门人才。XBRL的应用需要企业既掌握财务专业知识,又掌握计算机知识以及英语技能的复合型人才,这类复合型人才的缺乏大大制约XBRL在我国的推广应用。
(2)风险识别和分析的难度加大,风险评估的风险增加
XBRL的推广应用使得企业内部控制风险评估的难度加大,主要体现在风险识别和风险分析两个方面。从风险识别来看,XBRL报表的编制采用的是XML作为源语言,这就要求企业的管理者和财务人员具备相应的计算机知识,掌握一定的计算机程序语言基础,否则,由于存在语言的障碍,必将大大降低企业管理人员和财务人员的风险识别能力,加大风险识别的风险;从风险分析来看,由于系统的开放性、信息的分散性、数据的共享性,大大增加了信息系统风险控制点,加大了风险分析的难度。
(3)控制活动容易出现更多漏洞
一方面,XBRL技术的应用弱化了“人”的手工控制,强化了对“人”的授权控制和“信息系统”的运行程序控制,以前的授权方式往往是经办人和负责人进行签字盖章,而XBRL技术的应用使授权方式通过计算机自动完成,交易授权被“内嵌”到系统当中,授权过程和授权痕迹不明显,出现错误或者舞弊较难被发现,不能进行有效的事前和事中控制,大大弱化了控制活动;另一方面,存在信息安全访问控制风险。信息登入往往只对登入进行严格控制,用户往往忽视了退出控制,易导致数据被盗或毁损、信息泄露,信息保密性受损。
(4)随着信息与沟通的范围扩大,易形成“信息孤岛”风险
在XBRL环境下,XBRL的应用会对会计信息的采集、存储、加工、传递和应用的整个流程进行优化和革新,财务人员利用会计信息系统来对经营管理活动中的各项业务信息进行采集、存储和加工,而业务流程及相关信息可能在实际过程当中被业务管理人员修改而并未通知财务人员,财务人员与业务人员的沟通不畅以及会计信息系统与业务过程相分离,容易导致业务实际与信息系统财务信息不一致。企业内部各部门及子系统之间信息流通不畅,相互分离,彼此之间形成孤立的“信息岛屿”,不利于信息的'沟通与反馈。