□李九斤（副教授） 葉雨晴 王福勝（教授/博導） 許馮平（教授）通訊作者

（1東北石油大學經濟管理學院黑龍江大慶163318 2哈爾濱工業(yè)大學管理學院黑龍江哈爾濱150001）

一、引言

內部控制制度，是現(xiàn)代企業(yè)管理中的一個重要內容。1992年，美國COSO委員會發(fā)布《內部控制——整體框架》的報告，被視為國際研究內部控制問題的里程碑?？v觀COSO報告的框架及內容，不難發(fā)現(xiàn)設計的關注點只落在了不同類型企業(yè)在內部控制與風險管理的“共性”特征上，并沒有具體到內部控制問題的“個性”特征。然而我國公有制經濟與國有企業(yè)始終占主導地位，尤其是作為國民經濟重要基礎產業(yè)之一的石油企業(yè)，對我國社會主義市場經濟穩(wěn)定發(fā)展起著重要作用，其內部控制上的特殊性也顯而易見。因此，結合我國企業(yè)的特殊性質和現(xiàn)狀，真正探索出一套適應我國企業(yè)特征的內部控制體系很有必要。

伴隨著信息技術的飛速發(fā)展和石油企業(yè)市場日新月異的變化，一個對市場反應迅速，基于信息和網絡技術的結合，可以及時準確高效地處理財務和商業(yè)報告的管理信息系統(tǒng)——可拓展商業(yè)報告語言（Extensible Business Reporting Language，XBRL）應運而生，它的實施將會為石油企業(yè)帶來巨大收益，但不免也會帶來新的風險與挑戰(zhàn)。因此，石油企業(yè)如何構建XBRL環(huán)境下的企業(yè)內部控制體系，把內部控制方法與信息技術有機的結合起來，實現(xiàn)從傳統(tǒng)管理向信息化、細致化管理的轉變，成為了亟需研究和解決的重要課題。

二、研究綜述

（一）國外研究綜述。國外關于XBRL等信息技術環(huán)境下的內部控制研究主要分為兩個方面：一是著重研究信息技術環(huán)境下內部控制信息披露的成本，二是針對內部控制實質性缺陷的分析。

對于信息技術環(huán)境下內部控制信息披露的成本方面，2002年7月，美國國會頒布了《薩班斯—奧克斯利法案》，Bupa分析發(fā)現(xiàn)該法案的提出雖然對財務舞弊有所抑制，但存在成本過高的問題。Marai等（2008）研究了按美國證監(jiān)會要求進行披露的公司實施內部控制的隱含成本與內部控制有效性之間的關系，發(fā)現(xiàn)披露有內控缺陷的公司成本更高。

對于內部控制實質性缺陷方面，Hollis（2010）運用《薩班斯—奧克斯利法案》進行會計信息披露發(fā)現(xiàn)上市公司存在內部控制投入較少，會計風險較多的問題。杜美杰（2011）首次提出了“功能驅動”和“事件驅動”的概念，他認為：“內部控制不是添加在組織正常運行結構之上的東西，而是嵌入到企業(yè)的基礎結構中。當控制與運行活動融為一體時，控制的觀點將深入人心，組織將以最小的代價獲得更好的控制”。

（二）國內研究綜述。關于內部控制在我國企業(yè)的應用研究主要有兩個層面，第一層面是我國內部控制評價體系的建立以及有效性分析，第二個層面是如何更好地結合網絡信息技術建立我國內部控制體系。

對于我國內部控制評價體系的建立以及有效性分析，諸多理論和實證文獻均發(fā)現(xiàn)：我國內部控制體系的建立必須立足國情，制定科學的方法對內部控制有效性指標進行判斷。如李心合（2007）通過分析我國公司環(huán)境的變化發(fā)現(xiàn)決定公司命運的是公司業(yè)績，內部控制需要從財務報告導向轉向價值創(chuàng)造導向。楊有紅、陳凌云（2009）通過數(shù)據(jù)分析對2007年滬市公司內部控制情況進行研究，發(fā)現(xiàn)管理層對內部控制的自我評價能夠釋放內部控制有效性的信息，有助于外部信息使用者決策。

關于如何結合XBRL等信息技術建立內部控制體系是近年來的研究熱點：許永斌（2012）基于互聯(lián)網會計信息系統(tǒng)的控制弱點及風險進行評估分析，分內部控制和外部控制兩方面設計了系統(tǒng)控制點分布示意圖，并著重討論了各控制點控制方案的構建策略。陳志斌（2007）認為處于信息化生態(tài)環(huán)境中的企業(yè)，在內部控制時應該加強軟件內控機制的漏洞風險、系統(tǒng)運轉中的不穩(wěn)定性和操作中的人為風險等不穩(wěn)定因素的控制。

分析上述文獻可知，國內外學者對內部控制框架結構、內部控制評價體系及內部控制信息披露體系方面均有一定研究，為本文打下了較為堅實的理論基礎。但伴隨XBRL等IT技術的廣泛應用，在信息技術大環(huán)境下，如何有效地將內部控制制度通過業(yè)務流程整合等手段，成功嵌入管理系統(tǒng)中以發(fā)揮其應有作用的研究較少，本文對此進行探討。

三、XBRL對石油企業(yè)內部控制的影響

（一）我國石油企業(yè)內部控制的內涵及特征。石油企業(yè)內部控制是指石油企業(yè)為實現(xiàn)其經營目標、保護資產安全完整、保證財務報告正確可靠、確保經營方針貫徹執(zhí)行、維護經營效果和效率，而在企業(yè)內部采取的自我調整、約束、規(guī)劃、評價和控制的一系列方法、手續(xù)與措施的總稱。石油企業(yè)作為為國民經濟提供基本能源和生產資料的重要部門，其內部控制問題既存在一般生產類企業(yè)的管理控制，又包括自身所特有的一部分屬性。（1）石油企業(yè)對上中下游業(yè)務的協(xié)同一體化發(fā)展具有極其特殊的需求，上中下游各項業(yè)務環(huán)節(jié)密切聯(lián)系，有一定的地域跨度，沒有傳統(tǒng)工業(yè)企業(yè)那么集中。（2）石油企業(yè)對經營集約化有其特殊需求。石油企業(yè)產業(yè)鏈涉及的行業(yè)多、業(yè)務流程復雜，數(shù)字化管理需求強。（3）我國石油企業(yè)下屬單位繁多且分布廣泛，總部與各級單位本身業(yè)務量多且繁雜，從集團公司整體實施協(xié)同管理異常困難。由此可見，石油企業(yè)本身的特殊性與復雜性，使得企業(yè)風險增多，內部控制難度加大。

（二）XBRL對石油企業(yè)內部控制要素的影響。XBRL技術對應著國際先進的現(xiàn)代企業(yè)管理模式，這與我國現(xiàn)存的管理方式存在較大差異。XBRL對我國石油企業(yè)內部控制系統(tǒng)中涉及的控制要素及各項基本要素的內部構成都提出了新的挑戰(zhàn)。

1.內部控制環(huán)境。我國各大石油企業(yè)在組織結構上層次設立繁多，各部門間信息溝通速度緩慢，而XBRL采用的是目前國際上先進的現(xiàn)代企業(yè)扁平化與集約化管理模式，讓企業(yè)的內部控制層次明顯減少，效率明顯提高，同時把企業(yè)所有業(yè)務流程看成一個緊密聯(lián)結的集物流、資金流和信息流“三流合一”的供應鏈條。由此可見，XBRL技術的實施將改變以往條塊分割的業(yè)務體系，轉而圍繞某一流程和業(yè)務模塊來整體運行。因此應用XBRL技術進行石油企業(yè)管理，將會加強資源信息共享，業(yè)務處理轉變?yōu)榭缏毮?、跨部門的整體運作。

2.風險評價。對于XBRL的應用，企業(yè)任何有價值的信息都是通過網絡實現(xiàn)實時同步傳遞，大大減少了錯弊的發(fā)生，保證業(yè)務處理活動的正常進行。但同時也存在新的挑戰(zhàn)，如系統(tǒng)信息的開放、分散性和共享性，改變了以往企業(yè)封閉、集中的運行環(huán)境。信息化環(huán)境的復雜也增加了企業(yè)的應用風險，電子數(shù)據(jù)也易被篡改，這迫使石油企業(yè)在XBRL的實施過程中及日后的日常使用維護中著重對這類風險點進行控制處理。

3.控制活動。XBRL的實施增強了控制手段的靈活高效性，加強了預防、檢查和糾錯功能，可以使石油企業(yè)擺脫人員和資源對內部控制有效性的限制并形成新的控制理念：內控體系不應僅僅依賴過多的檢查、審批、核準程序，也可以依靠信息技術對其進行合理設計，經濟、高效地達到控制目標。同時，XBRL的應用將使程序性活動自動實現(xiàn)，通過內控制度的制定，各項業(yè)務進行程序化處理，一切按預算執(zhí)行，若超出預算，系統(tǒng)將無法受理，必須經過嚴格調整。同時由于權限的設置，業(yè)務操作須層層審批，可杜絕越權處理。

4.信息與溝通。我國石油企業(yè)管理層次多，決策效益不明顯，與XBRL的結合可以實現(xiàn)業(yè)務流程一體化。同時，開放性特征也為內部各級員工提供了溝通渠道，使員工清楚了解各自的責任。但在開放的技術環(huán)境下各種信息借助于網絡傳遞，難免受到非法侵擾，信息的真實性受到質疑，給內部控制帶來了新的問題。

5.監(jiān)督。XBRL的應用將程序控制與內部控制有效結合，會導致企業(yè)對系統(tǒng)的依賴，如果程序出現(xiàn)偏差沒有及時更正，將會導致系統(tǒng)發(fā)生循環(huán)往復的錯誤。因此，應該指定適當?shù)娜藛T在適當?shù)臅r候對企業(yè)內部控制的整體運行情況進行評估，加強監(jiān)督。

（三）XBRL環(huán)境下石油企業(yè)內部控制面臨的風險。

1.業(yè)務流程風險。由于XBRL實行流程化管理，原有條塊分割的職能部門將會得到統(tǒng)一管理和共享資源，這一方面會導致企業(yè)內部控制環(huán)境發(fā)生變化、操作更加復雜；另一方面，將會重新設計業(yè)務流程，改變組織結構。因此，我們必須迅速建立一個基于XBRL系統(tǒng)的業(yè)務流程控制體系，以更好地追蹤業(yè)務系統(tǒng)變化，在一定程度上及時優(yōu)化內部控制流程。

2.技術風險。由于XBRL系統(tǒng)流程化、集約化的模式，用戶可以控制或改變企業(yè)重要的業(yè)務參數(shù)，這樣會給惡意訪問者可乘之機，帶來巨大的系統(tǒng)安全風險。僅僅依靠系統(tǒng)權限控制功能，很難完全保證信息的安全完整性。

3.數(shù)據(jù)質量風險。XBRL數(shù)據(jù)的錄入主要分為人工錄入和通過數(shù)據(jù)自動傳遞和導入兩種。人工錄入不可避免地存在主觀差錯，依靠系統(tǒng)防差錯參數(shù)進行報警，無法從根本上解決問題。因此，XBRL系統(tǒng)的使用應以數(shù)據(jù)傳遞和導入為主，人工錄入方式為輔。但是，數(shù)據(jù)通過Internet進行傳遞及系統(tǒng)升級過程的穩(wěn)定可靠性需要我們在內部控制設計時加以考慮。

四、XBRL環(huán)境下石油企業(yè)內部控制設計的步驟

（一）擬定控制目標。XBRL環(huán)境下內部控制的目標是石油企業(yè)實施內部控制的最終目的，也是評價企業(yè)內部控制的最高標準。其基本目標包括：保護資產的安全完整、保證財務會計報告的正確可靠、確保經營方針的貫徹執(zhí)行、維護經營的效果和效率以及保證國家法律法規(guī)的遵守執(zhí)行。

（二）整合控制流程。控制流程依次貫穿于企業(yè)業(yè)務活動的始終，主要由控制點組成，當業(yè)務流程存在缺陷時，需要根據(jù)內部控制目標加以重新整合。當石油企業(yè)出現(xiàn)新的技術手段可以更加高效地完成控制目標時，就應重新整合控制流程。首先要解決好內部控制的規(guī)劃問題，其次在XBRL導入之前，企業(yè)應對相應業(yè)務流程進行整合，確保XBRL能夠成功導入。

（三）鑒別控制環(huán)節(jié)。在整個業(yè)務控制活動過程中，決定全局成效的控制點為關鍵控制點，發(fā)揮局部作用，影響特定范圍的控制點為一般控制點。在進行內部控制規(guī)劃時，首先要仔細描繪出舊系統(tǒng)內部控制流程圖，借此分析問題，反復修正，直至產生新的、先進的、適應企業(yè)未來發(fā)展的內部控制流程。

（四）采取控制措施?？刂拼胧┦侵笧轭A防和發(fā)現(xiàn)錯弊而在某控制點所運用的各種控制技術和手段?？刂茦I(yè)務內容與措施相互對應，因此，我們必須根據(jù)控制目標和對象采取相應的技術手段。

五、XBRL環(huán)境下石油企業(yè)內部控制設計的內容

XBRL對石油企業(yè)內部控制制度的影響是全面的，這包含積極的一面，也包含新的危機。因此，通過石油企業(yè)控制目標來建立適應新環(huán)境的控制體系就顯得尤為必要。XBRL的應用將內部控制由傳統(tǒng)的以職能為導向轉變?yōu)橐粤鞒虨閷颍O計理念由關注組織機構和崗位轉變?yōu)殛P注流程和作業(yè)。所以我們在具體設計時應從以下三方面著手：

（一）組織與管理控制。組織控制是為實現(xiàn)組織目標而進行的組織結構設計、權責安排和制度設計。在XBRL環(huán)境下，流程決定企業(yè)的組織結構。因此，石油企業(yè)組織結構設計應以產出為中心，結合流程特點、信息化程度、人員素質、風險類型與大小進行全盤考慮，將不同人員完成的工作環(huán)節(jié)集合，形成適應XBRL流程管理與控制的企業(yè)組織結構，具體操作分兩個步驟：

1.建立健全XBRL崗位責任制。根據(jù)石油企業(yè)的實際情況劃分不同的崗位，明確各自的職責范圍。在原有崗位的基礎上再添加一個XBRL系統(tǒng)崗位，直接操作和維護XBRL系統(tǒng)。

2.建立XBRL操作管理制度。XBRL操作管理制度的建立，是為了明確具體操作人員的工作內容和權限，杜絕未經授權人員操作XBRL軟件。

（二）業(yè)務流程控制。我國石油企業(yè)業(yè)務活動都是以業(yè)務流程為中心衍生的，因此對業(yè)務流程進行內部控制顯得尤為重要。BPR即企業(yè)流程重組，是以經營過程為改造對象和中心、以關心客戶的需求和滿意度為目標，對現(xiàn)有經營過程進行再思考和徹底的再設計，利用先進的制造技術、信息技術及現(xiàn)代化的管理手段，最大限度地實現(xiàn)技術功能集成和管理職能集成，打破傳統(tǒng)的職能型組織結構，建立全新的過程型組織結構，以實現(xiàn)企業(yè)經營在成本、質量、服務和速度等方面的巨大改善，它將會是石油企業(yè)XBRL實施的靈魂，打破以往金字塔狀的組織結構，以作業(yè)流程為中心，實現(xiàn)石油企業(yè)內部上下左右的有效溝通，增強應變能力和靈活性。我們首先要熟悉業(yè)務與信息過程間的聯(lián)系，針對目標的制定評估出風險點，然后為業(yè)務和信息過程制定規(guī)則和程序?？刂浦匦霓D移至預防為主，將內部控制從適時控制向事前、實時控制轉移。由上述分析可知，業(yè)務流程重組必將涉及職責分工、流程設計和信息技術，因此，內部控制必須對這三方面貫穿始終。明確業(yè)務流和信息流的關鍵控制點，設定控制參數(shù)和程序，嵌入信息系統(tǒng)跟蹤和監(jiān)控業(yè)務活動，剔除毫無貢獻的非增值性活動，提高流程效率。

（三）XBRL信息系統(tǒng)控制。

1.軟件的開發(fā)與維護控制。XBRL的應用，改變了以往封閉式的各項業(yè)務活動，因此，必須維護整個業(yè)務流程軟件的安全運行，一旦發(fā)現(xiàn)軟件安全漏洞應立即進行修補升級。具體工作包括：突發(fā)事件的處理，管理和技術的手段維護，以及發(fā)展XBRL運行環(huán)境、及時糾偏、操作人員定期培訓等多樣性工作。

2.系統(tǒng)安全控制。采用各種方法保護數(shù)據(jù)和計算機程序，制定風險管理制度。針對錯誤操作造成的故障及不可控自然災害和人為非法篡改數(shù)據(jù)，建立起維護和備份轉移系統(tǒng)。

3.數(shù)據(jù)流程控制。數(shù)據(jù)處理流程控制設計主要包括數(shù)據(jù)輸入、通訊處理、數(shù)據(jù)輸出三個方面的控制內容。在輸入控制中，要確保數(shù)據(jù)的合法準確，建立授權和審批機制，對輸入數(shù)據(jù)的準確性進行校驗。在通訊控制上，系統(tǒng)設備可能會面臨數(shù)據(jù)破壞，要將控制重點落在批量控制、業(yè)務時序控制、數(shù)據(jù)編碼控制與發(fā)放和接收標識控制上，采取數(shù)據(jù)加密、備份控制等手段進行控制。在輸出控制中，要保證會計信息在傳輸過程中沒有出錯，將控制重點放在數(shù)據(jù)稽核上。

4.互聯(lián)網下信息系統(tǒng)的控制。在互聯(lián)網環(huán)境下，“內部”控制已是一個相對概念。我們必須把內部控制擴展到互聯(lián)網的大環(huán)境下，同時對企業(yè)內聯(lián)網以外的系統(tǒng)空間進行控制，包括對安全區(qū)域的邊界實施控制以達到保護區(qū)域內部系統(tǒng)的安全性目的。

XBRL環(huán)境下石油企業(yè)內部控制的三個模塊之間是相互聯(lián)系的有機整體，我們在內部控制設計時要以企業(yè)業(yè)務流程為導向，嚴格分析石油企業(yè)現(xiàn)行作業(yè)體系形成的背景及合理性，尋找關鍵作業(yè)和增值作業(yè)，以有效實現(xiàn)資源重組。

六、結語

石油企業(yè)龐大的組織結構、復雜的業(yè)務流程，使得在XBRL環(huán)境下成功建設其內部控制體系成為一個難題。本文針對內部控制風險和石油企業(yè)的特點，遵循內部控制的原則和步驟，在使用正確的內部控制構建方法和全面考慮內部控制規(guī)范內容的基礎上，考慮XBRL環(huán)境下石油企業(yè)內部控制的特殊性，提出了石油企業(yè)內部控制構建的具體原則、步驟、方法和內容，并在此基礎上，結合XBRL環(huán)境的特點設計了石油企業(yè)內部控制體系，為我國石油企業(yè)內部控制的順利實施和其他企業(yè)內部控制的進一步完善，提供了科學的建議和可行的對策。