摘要：XBRL的出現(xiàn)，給網(wǎng)絡財務報告帶來了一場新的革命，同時也對審計提出了新的挑戰(zhàn)。審計，作為公司治理生態(tài)的重要一環(huán)，只有跟上XBRL的發(fā)展，才能更好地促使XBRL網(wǎng)絡財務報告得以廣泛應用。本文首先對主要相關文獻進行了回顧；其次分析了XBRL對審計的影響；最后通過引入web服務技術、安全認證技術，設計了基于XBRL的審計流程基本框架，一些具體問題仍有待今后做進一步的研究。
　　關鍵詞：XBRL；審計流程再造；連續(xù)審計
　　中圖分類號：F239.6 文獻標識碼：A
　　文章編號：1000-176X（2011）03-0125-05
　　收稿日期：2010-12-10
　　作者簡介：呂志明（1973-），男，天津人，講師，博士研究生，主要從事會計信息化研究。E-mail：lv_zhiming163@163.com成為可能，給審計帶來一波巨大沖擊。XBRL網(wǎng)絡財務報告需要XBRL審計的支撐，如何構造基于XBRL的審計流程顯得尤為重要。只有真正解決好這一問題，審計鑒證才能為XBRL網(wǎng)絡財務報告的高效運行保駕護航，真正成為虛假會計信息的“過濾器”和利益相關者的“保護神”。因此，審計模式面臨重構，審計方法和審計技術有待改善。
　　
　　一、研究背景
　　作為一種新型的網(wǎng)絡財務報告技術，XBRL一經(jīng)出現(xiàn)便引起了國內外學者的廣泛關注，都從不同方面對XBRL進行了探討和研究。XBRL網(wǎng)絡財務報告模式的發(fā)展必將對傳統(tǒng)審計模式、審計方法和審計技術提出新的挑戰(zhàn)和要求。作為“經(jīng)濟警察”，注冊會計師通過會計報表審計鑒證對企業(yè)會計信息的真實性提供合理保證，是企業(yè)公司治理生態(tài)中關鍵的一環(huán)，對維護資本市場秩序具有重要作用。正如培根所說，沒有執(zhí)行制度比沒有制度更可怕。近年來國內外發(fā)生的一系列重大事件如安然、世通信、銀廣夏、紅光、科?。虑诘葻o一不與審計失敗有關，這恰恰從側面反映出了審計的重要性。XBRL的出現(xiàn)，使得連續(xù)審計根據(jù)Rezaee的定義，連續(xù)審計是收集電子化審計證據(jù)來證明無紙化實時會計系統(tǒng)下財務報表是否公允表達的電子審計過程。
　　
　　二、文獻回顧
　　目前，國內外關于XBRL與審計的研究，較具代表性的有以下幾個方面。Rezaee等［1］認為，隨著XBRL的廣泛應用，現(xiàn)行審計程序必須向連續(xù)審計轉變。并指出：連續(xù)審計（continuous auditing），是收集電子化審計證據(jù)來證明無紙化實時會計系統(tǒng)下財務報表是否公允表達的電子審計過程。CICA［2］認為，XBRL財務報告編制過程與傳統(tǒng)NssRds9jFh1HiYsN0Xct4Qf0fZZwFmB+qEHekr8pLu8=的編制過程不同，必然需要增加審計程序以確保XBRL文檔的可靠性。并進一步指出：當XBRL被用來生成定期財務報告時，審計人員必須關注實施XBRL的額外程序和政策，并評價分類標準的使用與數(shù)據(jù)標記的恰當性、被標記數(shù)據(jù)的真實性、信息產(chǎn)生過程控制的有效性；當XBRL被用來生成實時財務報告時，將需要實施控制程序來保證被標記數(shù)據(jù)的真實性，因此審計人員必須持續(xù)評價這些控制的有效性，即實時審計。Wagenhofer［3］則認為，由于投資者將使用XBRL軟件提取信息而不考慮信息編制的細節(jié)，那么企業(yè)將有可能不對某些不利信息進行標記或用特定標記對其進行標記，因此為了保證信息披露質量，審計人員必須驗證企業(yè)是否對所有事項進行了標記；同時，如果企業(yè)進行實時報告或允許使用者接受其原始數(shù)據(jù)，審計人員將不得不將結果導向的審計程序改為連續(xù)的過程導向的審計程序。Boritz和No［4-5］認為，盡管XBRL的應用會帶來很多好處，但是其一個重要缺陷就是未考慮信息質量。XBRL文檔容易受到非法攻擊，任何人都可以輕易地創(chuàng)建與篡改XBRL實例文檔，從而致使XBRL報告的可靠性存在威脅，這勢必影響XBRL的成功應用。因此，他們建議研究XBRL的保障機制，并提出了XRAL（eXtensible Assurance Reporting Language）。按Boritz and NO的定義，XARL“是基于XML的規(guī)范，它通過公認的鑒證程序和安全技術來加強網(wǎng)絡信息的可靠性。XARL是XML的一種應用，是XBRL的擴展，將有關XBRL信息可靠性的信息擴展進來?！?Murthy和Groomer［6］認為，基于XARL，并借助于Web服務便可實現(xiàn)對實時信息系統(tǒng)的連續(xù)審計。Boritz和No［7］進一步指出，如果沒有良好的安全機制，XBRL與XARL將不可能完全發(fā)揮作用，因此又在XARL的基礎上提出了網(wǎng)絡財務報告服務安全機制。國內方面，張?zhí)煳骱透咤\萍［8］深入探討了XBRL對審計功能、審計程序和審計技術的具體影響，并認為隨著XBRL的深入應用，將最終實現(xiàn)對實時信息系統(tǒng)的連續(xù)審計。
　　綜上所述，目前國內外關于XBRL與審計的研究主要集中在XBRL財務報告的安全性及連續(xù)審計方面，并給出了有價值的建議。然而，以往研究大都停留在理論分析層面，未能結合相關技術給出基于XBRL的具體審計流程。本文將在以上研究的基礎上，引入相關技術，對基于XBRL的具體審計流程進行初步探討，以期解決其安全性問題，并實現(xiàn)連續(xù)審計目標。
　　三、XBRL網(wǎng)絡財務報告及其對審計的影響
　　1.XBRL網(wǎng)絡財務報告
　　XBRL的提出改變了傳統(tǒng)的商業(yè)報告信息披露方式，影響整個商業(yè)報告信息供應鏈的各個方面，乃至將對會計制度、會計準則產(chǎn)生重大影響。XBRL是XML在商業(yè)報告信息交換方面的應用，是一種基于互聯(lián)網(wǎng)技術的新型企業(yè)財務報告語言，是目前應用于非結構化信息處理尤其是財務信息處理的最新技術。XBRL能夠提高軟件提供商、程序員和最終用戶創(chuàng)建、交換和比較商業(yè)報告信息的能力。近年來，XBRL獲得了迅速的發(fā)展，尤其作為財務信息處理的最新標準和技術，XBRL增加了公司財務報告披露的透明度，提高了財務報告信息處理的效率和能力。如今，我國的會計信息化委員會即XBRL中國組織已經(jīng)成立，成功加入XBRL國際組織成為XBRL會員。2010年10月，財政部發(fā)布了《企業(yè)會計準則通用分類標準》及其指南。在XBRL網(wǎng)絡財務報告及分類賬模式下，企業(yè)發(fā)生的經(jīng)濟業(yè)務和事項首先交由企業(yè)的會計信息系統(tǒng)（AIS）進行加工處理；其次由工具軟件據(jù)此自動生成XBRL財務報告（實例文檔）；最后，利益相關者借助XBRL工具對財務報告信息進行在線分析或生成個性化財務報告，并可下鉆至明細信息。正如Coffin所預言的，與不同國家會計準則相異有關的問題將因XBRL迎刃而解，如分析師不再需要對依據(jù)不同國家會計準則編制的報告作調整工作，因為企業(yè)能夠從同一套數(shù)據(jù)依據(jù)不同的XBRL財務報告分類標準生成符合不同準則要求的財務報告。
　　2.XBRL網(wǎng)絡財務報告對審計的主要影響
　　獲取被審計單位的電子數(shù)據(jù)即數(shù)據(jù)采集，是開展計算機審計的第一步。傳統(tǒng)計算機審計技術主要面臨兩大問題：一是數(shù)據(jù)接口問題；二是數(shù)據(jù)標準化問題。由于企業(yè)使用的管理軟件和財務軟件種類繁多，且基于不同的操作系統(tǒng)、數(shù)據(jù)庫、開發(fā)平臺，沒有統(tǒng)一的數(shù)據(jù)接口標準。因此，如何進行數(shù)據(jù)采集，以獲取標準化的統(tǒng)一的企業(yè)財務數(shù)據(jù)，一直是制約傳統(tǒng)計算機審計技術得以有效實施的首要瓶頸因素。其次，由于我國存在多種會計規(guī)范，不同企業(yè)所使用的會計科目（特別是明細科目）可能不盡相同，這樣，即便獲取了企業(yè)的電子數(shù)據(jù)，也只是解決了所謂的“語法”問題，而相關的“語義”問題并未得以解決。因審計系統(tǒng)無法自動“讀懂”企業(yè)的數(shù)據(jù)含義而限制了查詢、統(tǒng)計、分析功能的使用。對于上述第一個問題即數(shù)據(jù)接口問題，目前審計系統(tǒng)所采取的策略大致有兩種：一種是審計系統(tǒng)供應商通過了解主流管理軟件產(chǎn)品所使用的后臺數(shù)據(jù)庫系統(tǒng)、系統(tǒng)數(shù)據(jù)庫結構、用戶數(shù)據(jù)庫結構等多方面信息，并把這些信息“固化”在審計系統(tǒng)系統(tǒng)中，從而實現(xiàn)所謂的智能采集，方便用戶的使用。這就需要軟件商做大量的基礎性工作，甚至需要做到“逐日盯市”，緊密跟蹤主流管理軟件產(chǎn)品版本更新情況，因此工作量是巨大的，設計、運行成本較高，也在一定程度上限制了智能采集的應用范圍。另一種方式是手工采集，即由用戶自行采集所需的電子數(shù)據(jù)。這種方式盡管給了用戶較大的自由度，但是操作相對復雜，對用戶的要求較高，那就是必須熟悉管理軟件的數(shù)據(jù)庫結構。對于上述第二個問題即數(shù)據(jù)標準化問題，目前主要是通過數(shù)據(jù)映射（主要是科目映射）來加以解決。只有在用戶電子數(shù)據(jù)與系統(tǒng)提供的標準數(shù)據(jù)之間建立了映射關系，電子數(shù)據(jù)才得以具備語義功能，后續(xù)的自動查詢、統(tǒng)計、分析功能才能順利得以實現(xiàn)。因此，工作量是巨大的，運行成本是較高的。
　　
　　XBRL的出現(xiàn)，為上述問題提供了最佳（至少從目前來看是這樣）解決方案，使得語法功能和語義功能同時得以實現(xiàn)。在XBRL技術框架內，存在XBRL GL和XBRL FR兩個層次的分類標準。XBRL GL分類標準位于底層，用于規(guī)范交易層面的原始數(shù)據(jù)和分類賬；XBRL FR分類標準位于上層，用于規(guī)范財務報告相關信息。由于所有企業(yè)的財務報告及分類賬都遵循統(tǒng)一的XBRL規(guī)范和分類標準，這就使得數(shù)據(jù)接口得以標準化；同時，由于XBRL將財務報告（特別是財務報表）要素以及分類賬都進行了統(tǒng)一“貼標”，因而也就解決了“語法”問題，這將使得審計系統(tǒng)能否自動識別所有報告要素，并能下鉆至明細賬和記賬憑證，也使得審計系統(tǒng)預先內置的大量統(tǒng)計分析經(jīng)驗模型和專家知識庫的自動執(zhí)行成為可能。因此，在XBRL框架下，連續(xù)審計這一動態(tài)審計模式將有可能成為現(xiàn)實。
　　同時，由于XBRL技術是基于Internet的，對Internet的高度依賴將使得基于XBRL的審計模式的安全性面臨挑戰(zhàn)。黨的十六屆四中全會將信息安全作為國家安全的重要組成部分，明確提出“增強國家安全意識，完善國家安全戰(zhàn)略”，并確?！皣业恼伟踩?、經(jīng)濟安全、文化安全和信息安全”。作為信息安全的內容之一，網(wǎng)絡財務報告安全是我們不得不正視的一個重要問題。不徹底解決其安全性問題，基于XBRL的審計模式將存在巨大安全隱患，由此便不可能得以廣泛應用。只有將安全防范技術應用于審計流程，才能化解潛在的安全風險，降低社會應用成本，解決應用XBRL審計模式的后顧之憂。成功失敗往往只在一線之間，從這種意義上說，安全性將成為決定XBRL審計模式能否得以成功應用的關鍵因素。
　　四、基于XBRL的審計流程設計
　　1.流程中所引入的關鍵技術
　　基于XBRL的連續(xù)審計流程必須重點加以解決的基礎性問題在于動態(tài)信息獲取機制和網(wǎng)絡安全的實現(xiàn)。為此，本文引入了Web服務技術以實現(xiàn)動態(tài)信息獲取機制；同時，引入了數(shù)據(jù)加密技術、數(shù)字簽名技術以及安全認證技術來保障網(wǎng)絡財務報告信息安全。
　?。?）Web服務技術。傳統(tǒng)的網(wǎng)絡財務報告披露模式是“拉式”的，即信息使用者必須登錄相關網(wǎng)站自行搜尋查找所需信息。這種“拉式”的信息披露模式，顯然不利于實現(xiàn)動態(tài)審計模式。為此，有必要引入一種“推式”的信息披露模式。在“推式”信息披露模式下，會自動響應合法的在線客戶端請求并將其所需信息“推向”客戶端，繼而交由其應用軟件進行分析處理。Web服務基于HTML和XML，支持動態(tài)發(fā)現(xiàn)機制，因而可用于實現(xiàn)“推式”信息披露模式。Web服務主要包括SOAP（Simple Object Access Protocol，簡單對象訪問協(xié)議）、WSDL（Web Services Description Language，Web服務描述語言）、UDDI（Universal Description，Discovery and Integration，統(tǒng)一描述、發(fā)現(xiàn)和集成）。因此，企業(yè)可以將XBRL財務報告和分類賬實例文檔封裝成Web服務，并為審計方提供Web服務的客戶端程序，這樣審計系統(tǒng)就可以在其本機在線調用Web服務，獲取財務報告及分類賬信息，從而可以動態(tài)獲取企業(yè)最新數(shù)據(jù)并使其自動流向審計系統(tǒng)。同時，因為XBRL實例文檔是根據(jù)XBRL GL和XBRL FR分類標準生成的，這就保證了審計人員可以非常方便地獲取審計所需數(shù)據(jù)并自由地進行匯總、下鉆、統(tǒng)計查詢和分析了。
　?。?）數(shù)據(jù)加密技術。安全性方面，必須解決兩個層面的問題：數(shù)據(jù)保密問題和數(shù)據(jù)真實性完整性的驗證。關于數(shù)據(jù)保密問題可以借助日益成熟的數(shù)據(jù)加密技術加以實現(xiàn)。由于公開密鑰技術無須事先交換密鑰，也無須經(jīng)常變換密鑰，各個用戶間可以進行保密通信，在網(wǎng)絡環(huán)境下有較大的優(yōu)越性。我們知道，企業(yè)擁有會計信息的產(chǎn)權，公開披露的會計信息既具有私人物品屬性，又具有公共物品屬性，但是在會計信息被公布之前仍然屬于企業(yè)的秘密資料，尚不具備公共物品屬性。同時，基于XBRL的財務報告不僅僅包括財務報告，還包括了分類賬甚至是原始交易數(shù)據(jù)，其中必然有一些涉及企業(yè)的商業(yè)秘密。因此，財務報告數(shù)據(jù)被公開披露之前的保密性問題至關重要。通過引入上述的非對稱加密技術，可以有效地防止企業(yè)財務報告及分類賬信息泄密。
　?。?）數(shù)字簽名技術。所謂數(shù)字簽名，是指利用通過某種密碼運算生成的一系列符號及代碼組成的電子密碼對電子文件進行的簽名。數(shù)字簽名技術可以確認發(fā)送者身份，防止抵賴和冒名頂替；同時，可以保護電子數(shù)據(jù)文件內容的完整性和準確性，確保不被篡改。我國曾于2004年8月28日頒布了《中華人民共和國電子簽名法》，其中所稱的電子簽名主要就是指數(shù)字簽名。數(shù)據(jù)加密技術可以有效防止企業(yè)和審計方之外的第三方竊取會計信息，但是不能解決如下問題：企業(yè)否認文件是自己發(fā)送的；審計方偽造一份來自企業(yè)方的文件，或私自修改接收到的文件；他人冒充企業(yè)或審計方。通過引入數(shù)字簽名技術可以有效解決上述問題。
　　（4）安全認證技術。在實際應用中，上述的非對稱數(shù)據(jù)加密技術和數(shù)字簽名技術是通過安全認證機構提供的電子認證服務加以實現(xiàn)的。安全認證機構（Certificate Authority，簡稱CA）負責為網(wǎng)絡用戶頒發(fā)數(shù)字證書，并為證書持有者生成不同的密鑰對。通過安全認證技術，既可以實現(xiàn)數(shù)據(jù)加密，又可以驗證數(shù)字簽名的真實性，從而起到保護信息安全、對外防止欺詐、對內防止否認的作用。截至目前，經(jīng)主管部門授權，我國已有20余家單位獲得了電子認證服務許可，這將為實現(xiàn)連續(xù)審計起到保駕護航的作用。依托安全認證技術，就將可以解決網(wǎng)絡審計的數(shù)據(jù)安全問題。
　　2.基于XBRL的審計流程
　　基于以上分析，本文在考慮XBRL網(wǎng)絡財務報告的網(wǎng)絡安全性、連續(xù)審計內在特性和要求的基礎上，構造了基于XBRL的審計流程，如圖1所示。
　　
　　圖1基于XBRL的審計流程
　　
　　第一，根據(jù)企業(yè)信息系統(tǒng)生成的XBRL實例文檔通過安全認證機構進行加密和數(shù)字簽名；第二，根據(jù)加密和數(shù)字簽名后的XBRL實例文檔生成XML Web服務并在XML Web服務注冊中心進行注冊；第三，審計方即XML Web服務客戶端根據(jù)授權訪問企業(yè)XML Web服務中心，獲取審計所需的XBRL實例文檔；第四，根據(jù)XBRL分類標準，審計系統(tǒng)對企業(yè)方提供的XBRL實例文檔進行一致性驗證；同時對企業(yè)數(shù)據(jù)進行邏輯校驗，如期初余額試算平衡、期末余額試算平衡、發(fā)生額試算平衡、憑證試算平衡、賬賬核對、賬證核對、科目賬與輔助賬核對、憑證科目合法性檢驗、基礎資料完整性檢驗等。如有問題，可記錄于工作底稿；第五，實施審計作業(yè)?；赬BRL的財務報告及分類賬，既統(tǒng)一了數(shù)據(jù)接口標準，又使得所有數(shù)據(jù)都帶有唯一的標簽，因而更利于審計過程中查詢統(tǒng)計工作的進行。同時，還可以結合相關領域研究成果制作專家?guī)煜到y(tǒng)，如風險評估模型、舞弊識別模型等都可以應用到審計作業(yè)中。當然，無論審計模式、審計技術如何，都必須結合賬實核對開展審計作業(yè)。審計作業(yè)過程中可以隨時將審計內容、審計中遇到的問題及疑點在審計工作底稿進行記錄，并最終根據(jù)審計工作底稿生成審計報告；第六，將審計報告通過安全認證中心進行加密和數(shù)字簽名，并將加密和數(shù)字簽名后的審計報告發(fā)送至企業(yè)服務器。這樣，企業(yè)便可以向相關部門機構提交財務報告及審計報告。
　　
　　參考文獻：
　　
　?。?］Rezaee，Z.，Elam，R.，Sharbatoghlie，A.Continuous Auditing：The Audit of the Future［J］.Managerial Auditing Journal，2001，16（3）：150-158.
　?。?］CICA. Audit & Control Implications of XBRL［R］.Information Technology Advisory Committee，2002. http：//www.cica.ca/multimedia/Download_Library/Standards/Studies/English/CI-CA-XBRL-0502-e.pdf.
　?。?］Wagenhofer， A.Economic Consequences of Internet Financial Reporting［J］.Schmalenbach Business Review，2003，55（10）：262-279.
　?。?］Bor