摘要：XBRL的出現(xiàn)，給網(wǎng)絡(luò)財務(wù)報告帶來了一場新的革命，同時也對審計提出了新的挑戰(zhàn)。審計，作為公司治理生態(tài)的重要一環(huán)，只有跟上XBRL的發(fā)展，才能更好地促使XBRL網(wǎng)絡(luò)財務(wù)報告得以廣泛應(yīng)用。本文首先對主要相關(guān)文獻進行了回顧；其次分析了XBRL對審計的影響；最后通過引入web服務(wù)技術(shù)、安全認證技術(shù)，設(shè)計了基于XBRL的審計流程基本框架，一些具體問題仍有待今后做進一步的研究。
　　關(guān)鍵詞：XBRL；審計流程再造；連續(xù)審計
　　中圖分類號：F239.6 文獻標識碼：A
　　文章編號：1000-176X（2011）03-0125-05
　　收稿日期：2010-12-10
　　作者簡介：呂志明（1973-），男，天津人，講師，博士研究生，主要從事會計信息化研究。E-mail：lv_zhiming163@163.com成為可能，給審計帶來一波巨大沖擊。XBRL網(wǎng)絡(luò)財務(wù)報告需要XBRL審計的支撐，如何構(gòu)造基于XBRL的審計流程顯得尤為重要。只有真正解決好這一問題，審計鑒證才能為XBRL網(wǎng)絡(luò)財務(wù)報告的高效運行保駕護航，真正成為虛假會計信息的“過濾器”和利益相關(guān)者的“保護神”。因此，審計模式面臨重構(gòu)，審計方法和審計技術(shù)有待改善。
　　
　　一、研究背景
　　作為一種新型的網(wǎng)絡(luò)財務(wù)報告技術(shù)，XBRL一經(jīng)出現(xiàn)便引起了國內(nèi)外學(xué)者的廣泛關(guān)注，都從不同方面對XBRL進行了探討和研究。XBRL網(wǎng)絡(luò)財務(wù)報告模式的發(fā)展必將對傳統(tǒng)審計模式、審計方法和審計技術(shù)提出新的挑戰(zhàn)和要求。作為“經(jīng)濟警察”，注冊會計師通過會計報表審計鑒證對企業(yè)會計信息的真實性提供合理保證，是企業(yè)公司治理生態(tài)中關(guān)鍵的一環(huán)，對維護資本市場秩序具有重要作用。正如培根所說，沒有執(zhí)行制度比沒有制度更可怕。近年來國內(nèi)外發(fā)生的一系列重大事件如安然、世通信、銀廣夏、紅光、科?。虑诘葻o一不與審計失敗有關(guān)，這恰恰從側(cè)面反映出了審計的重要性。XBRL的出現(xiàn)，使得連續(xù)審計根據(jù)Rezaee的定義，連續(xù)審計是收集電子化審計證據(jù)來證明無紙化實時會計系統(tǒng)下財務(wù)報表是否公允表達的電子審計過程。
　　
　　二、文獻回顧
　　目前，國內(nèi)外關(guān)于XBRL與審計的研究，較具代表性的有以下幾個方面。Rezaee等［1］認為，隨著XBRL的廣泛應(yīng)用，現(xiàn)行審計程序必須向連續(xù)審計轉(zhuǎn)變。并指出：連續(xù)審計（continuous auditing），是收集電子化審計證據(jù)來證明無紙化實時會計系統(tǒng)下財務(wù)報表是否公允表達的電子審計過程。CICA［2］認為，XBRL財務(wù)報告編制過程與傳統(tǒng)NssRds9jFh1HiYsN0Xct4Qf0fZZwFmB+qEHekr8pLu8=的編制過程不同，必然需要增加審計程序以確保XBRL文檔的可靠性。并進一步指出：當(dāng)XBRL被用來生成定期財務(wù)報告時，審計人員必須關(guān)注實施XBRL的額外程序和政策，并評價分類標準的使用與數(shù)據(jù)標記的恰當(dāng)性、被標記數(shù)據(jù)的真實性、信息產(chǎn)生過程控制的有效性；當(dāng)XBRL被用來生成實時財務(wù)報告時，將需要實施控制程序來保證被標記數(shù)據(jù)的真實性，因此審計人員必須持續(xù)評價這些控制的有效性，即實時審計。Wagenhofer［3］則認為，由于投資者將使用XBRL軟件提取信息而不考慮信息編制的細節(jié)，那么企業(yè)將有可能不對某些不利信息進行標記或用特定標記對其進行標記，因此為了保證信息披露質(zhì)量，審計人員必須驗證企業(yè)是否對所有事項進行了標記；同時，如果企業(yè)進行實時報告或允許使用者接受其原始數(shù)據(jù)，審計人員將不得不將結(jié)果導(dǎo)向的審計程序改為連續(xù)的過程導(dǎo)向的審計程序。Boritz和No［4-5］認為，盡管XBRL的應(yīng)用會帶來很多好處，但是其一個重要缺陷就是未考慮信息質(zhì)量。XBRL文檔容易受到非法攻擊，任何人都可以輕易地創(chuàng)建與篡改XBRL實例文檔，從而致使XBRL報告的可靠性存在威脅，這勢必影響XBRL的成功應(yīng)用。因此，他們建議研究XBRL的保障機制，并提出了XRAL（eXtensible Assurance Reporting Language）。按Boritz and NO的定義，XARL“是基于XML的規(guī)范，它通過公認的鑒證程序和安全技術(shù)來加強網(wǎng)絡(luò)信息的可靠性。XARL是XML的一種應(yīng)用，是XBRL的擴展，將有關(guān)XBRL信息可靠性的信息擴展進來?！?Murthy和Groomer［6］認為，基于XARL，并借助于Web服務(wù)便可實現(xiàn)對實時信息系統(tǒng)的連續(xù)審計。Boritz和No［7］進一步指出，如果沒有良好的安全機制，XBRL與XARL將不可能完全發(fā)揮作用，因此又在XARL的基礎(chǔ)上提出了網(wǎng)絡(luò)財務(wù)報告服務(wù)安全機制。國內(nèi)方面，張?zhí)煳骱透咤\萍［8］深入探討了XBRL對審計功能、審計程序和審計技術(shù)的具體影響，并認為隨著XBRL的深入應(yīng)用，將最終實現(xiàn)對實時信息系統(tǒng)的連續(xù)審計。
　　綜上所述，目前國內(nèi)外關(guān)于XBRL與審計的研究主要集中在XBRL財務(wù)報告的安全性及連續(xù)審計方面，并給出了有價值的建議。然而，以往研究大都停留在理論分析層面，未能結(jié)合相關(guān)技術(shù)給出基于XBRL的具體審計流程。本文將在以上研究的基礎(chǔ)上，引入相關(guān)技術(shù)，對基于XBRL的具體審計流程進行初步探討，以期解決其安全性問題，并實現(xiàn)連續(xù)審計目標。
　　三、XBRL網(wǎng)絡(luò)財務(wù)報告及其對審計的影響
　　1.XBRL網(wǎng)絡(luò)財務(wù)報告
　　XBRL的提出改變了傳統(tǒng)的商業(yè)報告信息披露方式，影響整個商業(yè)報告信息供應(yīng)鏈的各個方面，乃至將對會計制度、會計準則產(chǎn)生重大影響。XBRL是XML在商業(yè)報告信息交換方面的應(yīng)用，是一種基于互聯(lián)網(wǎng)技術(shù)的新型企業(yè)財務(wù)報告語言，是目前應(yīng)用于非結(jié)構(gòu)化信息處理尤其是財務(wù)信息處理的最新技術(shù)。XBRL能夠提高軟件提供商、程序員和最終用戶創(chuàng)建、交換和比較商業(yè)報告信息的能力。近年來，XBRL獲得了迅速的發(fā)展，尤其作為財務(wù)信息處理的最新標準和技術(shù)，XBRL增加了公司財務(wù)報告披露的透明度，提高了財務(wù)報告信息處理的效率和能力。如今，我國的會計信息化委員會即XBRL中國組織已經(jīng)成立，成功加入XBRL國際組織成為XBRL會員。2010年10月，財政部發(fā)布了《企業(yè)會計準則通用分類標準》及其指南。在XBRL網(wǎng)絡(luò)財務(wù)報告及分類賬模式下，企業(yè)發(fā)生的經(jīng)濟業(yè)務(wù)和事項首先交由企業(yè)的會計信息系統(tǒng)（AIS）進行加工處理；其次由工具軟件據(jù)此自動生成XBRL財務(wù)報告（實例文檔）；最后，利益相關(guān)者借助XBRL工具對財務(wù)報告信息進行在線分析或生成個性化財務(wù)報告，并可下鉆至明細信息。正如Coffin所預(yù)言的，與不同國家會計準則相異有關(guān)的問題將因XBRL迎刃而解，如分析師不再需要對依據(jù)不同國家會計準則編制的報告作調(diào)整工作，因為企業(yè)能夠從同一套數(shù)據(jù)依據(jù)不同的XBRL財務(wù)報告分類標準生成符合不同準則要求的財務(wù)報告。
　　2.XBRL網(wǎng)絡(luò)財務(wù)報告對審計的主要影響
　　獲取被審計單位的電子數(shù)據(jù)即數(shù)據(jù)采集，是開展計算機審計的第一步。傳統(tǒng)計算機審計技術(shù)主要面臨兩大問題：一是數(shù)據(jù)接口問題；二是數(shù)據(jù)標準化問題。由于企業(yè)使用的管理軟件和財務(wù)軟件種類繁多，且基于不同的操作系統(tǒng)、數(shù)據(jù)庫、開發(fā)平臺，沒有統(tǒng)一的數(shù)據(jù)接口標準。因此，如何進行數(shù)據(jù)采集，以獲取標準化的統(tǒng)一的企業(yè)財務(wù)數(shù)據(jù)，一直是制約傳統(tǒng)計算機審計技術(shù)得以有效實施的首要瓶頸因素。其次，由于我國存在多種會計規(guī)范，不同企業(yè)所使用的會計科目（特別是明細科目）可能不盡相同，這樣，即便獲取了企業(yè)的電子數(shù)據(jù)，也只是解決了所謂的“語法”問題，而相關(guān)的“語義”問題并未得以解決。因?qū)徲嬒到y(tǒng)無法自動“讀懂”企業(yè)的數(shù)據(jù)含義而限制了查詢、統(tǒng)計、分析功能的使用。對于上述第一個問題即數(shù)據(jù)接口問題，目前審計系統(tǒng)所采取的策略大致有兩種：一種是審計系統(tǒng)供應(yīng)商通過了解主流管理軟件產(chǎn)品所使用的后臺數(shù)據(jù)庫系統(tǒng)、系統(tǒng)數(shù)據(jù)庫結(jié)構(gòu)、用戶數(shù)據(jù)庫結(jié)構(gòu)等多方面信息，并把這些信息“固化”在審計系統(tǒng)系統(tǒng)中，從而實現(xiàn)所謂的智能采集，方便用戶的使用。這就需要軟件商做大量的基礎(chǔ)性工作，甚至需要做到“逐日盯市”，緊密跟蹤主流管理軟件產(chǎn)品版本更新情況，因此工作量是巨大的，設(shè)計、運行成本較高，也在一定程度上限制了智能采集的應(yīng)用范圍。另一種方式是手工采集，即由用戶自行采集所需的電子數(shù)據(jù)。這種方式盡管給了用戶較大的自由度，但是操作相對復(fù)雜，對用戶的要求較高，那就是必須熟悉管理軟件的數(shù)據(jù)庫結(jié)構(gòu)。對于上述第二個問題即數(shù)據(jù)標準化問題，目前主要是通過數(shù)據(jù)映射（主要是科目映射）來加以解決。只有在用戶電子數(shù)據(jù)與系統(tǒng)提供的標準數(shù)據(jù)之間建立了映射關(guān)系，電子數(shù)據(jù)才得以具備語義功能，后續(xù)的自動查詢、統(tǒng)計、分析功能才能順利得以實現(xiàn)。因此，工作量是巨大的，運行成本是較高的。
　　
　　XBRL的出現(xiàn)，為上述問題提供了最佳（至少從目前來看是這樣）解決方案，使得語法功能和語義功能同時得以實現(xiàn)。在XBRL技術(shù)框架內(nèi)，存在XBRL GL和XBRL FR兩個層次的分類標準。XBRL GL分類標準位于底層，用于規(guī)范交易層面的原始數(shù)據(jù)和分類賬；XBRL FR分類標準位于上層，用于規(guī)范財務(wù)報告相關(guān)信息。由于所有企業(yè)的財務(wù)報告及分類賬都遵循統(tǒng)一的XBRL規(guī)范和分類標準，這就使得數(shù)據(jù)接口得以標準化；同時，由于XBRL將財務(wù)報告（特別是財務(wù)報表）要素以及分類賬都進行了統(tǒng)一“貼標”，因而也就解決了“語法”問題，這將使得審計系統(tǒng)能否自動識別所有報告要素，并能下鉆至明細賬和記賬憑證，也使得審計系統(tǒng)預(yù)先內(nèi)置的大量統(tǒng)計分析經(jīng)驗?zāi)Ｐ秃蛯＜抑R庫的自動執(zhí)行成為可能。因此，在XBRL框架下，連續(xù)審計這一動態(tài)審計模式將有可能成為現(xiàn)實。
　　同時，由于XBRL技術(shù)是基于Internet的，對Internet的高度依賴將使得基于XBRL的審計模式的安全性面臨挑戰(zhàn)。黨的十六屆四中全會將信息安全作為國家安全的重要組成部分，明確提出“增強國家安全意識，完善國家安全戰(zhàn)略”，并確?！皣业恼伟踩?、經(jīng)濟安全、文化安全和信息安全”。作為信息安全的內(nèi)容之一，網(wǎng)絡(luò)財務(wù)報告安全是我們不得不正視的一個重要問題。不徹底解決其安全性問題，基于XBRL的審計模式將存在巨大安全隱患，由此便不可能得以廣泛應(yīng)用。只有將安全防范技術(shù)應(yīng)用于審計流程，才能化解潛在的安全風(fēng)險，降低社會應(yīng)用成本，解決應(yīng)用XBRL審計模式的后顧之憂。成功失敗往往只在一線之間，從這種意義上說，安全性將成為決定XBRL審計模式能否得以成功應(yīng)用的關(guān)鍵因素。
　　四、基于XBRL的審計流程設(shè)計
　　1.流程中所引入的關(guān)鍵技術(shù)
　　基于XBRL的連續(xù)審計流程必須重點加以解決的基礎(chǔ)性問題在于動態(tài)信息獲取機制和網(wǎng)絡(luò)安全的實現(xiàn)。為此，本文引入了Web服務(wù)技術(shù)以實現(xiàn)動態(tài)信息獲取機制；同時，引入了數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)以及安全認證技術(shù)來保障網(wǎng)絡(luò)財務(wù)報告信息安全。
　?。?）Web服務(wù)技術(shù)。傳統(tǒng)的網(wǎng)絡(luò)財務(wù)報告披露模式是“拉式”的，即信息使用者必須登錄相關(guān)網(wǎng)站自行搜尋查找所需信息。這種“拉式”的信息披露模式，顯然不利于實現(xiàn)動態(tài)審計模式。為此，有必要引入一種“推式”的信息披露模式。在“推式”信息披露模式下，會自動響應(yīng)合法的在線客戶端請求并將其所需信息“推向”客戶端，繼而交由其應(yīng)用軟件進行分析處理。Web服務(wù)基于HTML和XML，支持動態(tài)發(fā)現(xiàn)機制，因而可用于實現(xiàn)“推式”信息披露模式。Web服務(wù)主要包括SOAP（Simple Object Access Protocol，簡單對象訪問協(xié)議）、WSDL（Web Services Description Language，Web服務(wù)描述語言）、UDDI（Universal Description，Discovery and Integration，統(tǒng)一描述、發(fā)現(xiàn)和集成）。因此，企業(yè)可以將XBRL財務(wù)報告和分類賬實例文檔封裝成Web服務(wù)，并為審計方提供Web服務(wù)的客戶端程序，這樣審計系統(tǒng)就可以在其本機在線調(diào)用Web服務(wù)，獲取財務(wù)報告及分類賬信息，從而可以動態(tài)獲取企業(yè)最新數(shù)據(jù)并使其自動流向?qū)徲嬒到y(tǒng)。同時，因為XBRL實例文檔是根據(jù)XBRL GL和XBRL FR分類標準生成的，這就保證了審計人員可以非常方便地獲取審計所需數(shù)據(jù)并自由地進行匯總、下鉆、統(tǒng)計查詢和分析了。
　?。?）數(shù)據(jù)加密技術(shù)。安全性方面，必須解決兩個層面的問題：數(shù)據(jù)保密問題和數(shù)據(jù)真實性完整性的驗證。關(guān)于數(shù)據(jù)保密問題可以借助日益成熟的數(shù)據(jù)加密技術(shù)加以實現(xiàn)。由于公開密鑰技術(shù)無須事先交換密鑰，也無須經(jīng)常變換密鑰，各個用戶間可以進行保密通信，在網(wǎng)絡(luò)環(huán)境下有較大的優(yōu)越性。我們知道，企業(yè)擁有會計信息的產(chǎn)權(quán)，公開披露的會計信息既具有私人物品屬性，又具有公共物品屬性，但是在會計信息被公布之前仍然屬于企業(yè)的秘密資料，尚不具備公共物品屬性。同時，基于XBRL的財務(wù)報告不僅僅包括財務(wù)報告，還包括了分類賬甚至是原始交易數(shù)據(jù)，其中必然有一些涉及企業(yè)的商業(yè)秘密。因此，財務(wù)報告數(shù)據(jù)被公開披露之前的保密性問題至關(guān)重要。通過引入上述的非對稱加密技術(shù)，可以有效地防止企業(yè)財務(wù)報告及分類賬信息泄密。
　?。?）數(shù)字簽名技術(shù)。所謂數(shù)字簽名，是指利用通過某種密碼運算生成的一系列符號及代碼組成的電子密碼對電子文件進行的簽名。數(shù)字簽名技術(shù)可以確認發(fā)送者身份，防止抵賴和冒名頂替；同時，可以保護電子數(shù)據(jù)文件內(nèi)容的完整性和準確性，確保不被篡改。我國曾于2004年8月28日頒布了《中華人民共和國電子簽名法》，其中所稱的電子簽名主要就是指數(shù)字簽名。數(shù)據(jù)加密技術(shù)可以有效防止企業(yè)和審計方之外的第三方竊取會計信息，但是不能解決如下問題：企業(yè)否認文件是自己發(fā)送的；審計方偽造一份來自企業(yè)方的文件，或私自修改接收到的文件；他人冒充企業(yè)或?qū)徲嫹健Ｍㄟ^引入數(shù)字簽名技術(shù)可以有效解決上述問題。
　　（4）安全認證技術(shù)。在實際應(yīng)用中，上述的非對稱數(shù)據(jù)加密技術(shù)和數(shù)字簽名技術(shù)是通過安全認證機構(gòu)提供的電子認證服務(wù)加以實現(xiàn)的。安全認證機構(gòu)（Certificate Authority，簡稱CA）負責(zé)為網(wǎng)絡(luò)用戶頒發(fā)數(shù)字證書，并為證書持有者生成不同的密鑰對。通過安全認證技術(shù)，既可以實現(xiàn)數(shù)據(jù)加密，又可以驗證數(shù)字簽名的真實性，從而起到保護信息安全、對外防止欺詐、對內(nèi)防止否認的作用。截至目前，經(jīng)主管部門授權(quán)，我國已有20余家單位獲得了電子認證服務(wù)許可，這將為實現(xiàn)連續(xù)審計起到保駕護航的作用。依托安全認證技術(shù)，就將可以解決網(wǎng)絡(luò)審計的數(shù)據(jù)安全問題。
　　2.基于XBRL的審計流程
　　基于以上分析，本文在考慮XBRL網(wǎng)絡(luò)財務(wù)報告的網(wǎng)絡(luò)安全性、連續(xù)審計內(nèi)在特性和要求的基礎(chǔ)上，構(gòu)造了基于XBRL的審計流程，如圖1所示。
　　
　　圖1基于XBRL的審計流程
　　
　　第一，根據(jù)企業(yè)信息系統(tǒng)生成的XBRL實例文檔通過安全認證機構(gòu)進行加密和數(shù)字簽名；第二，根據(jù)加密和數(shù)字簽名后的XBRL實例文檔生成XML Web服務(wù)并在XML Web服務(wù)注冊中心進行注冊；第三，審計方即XML Web服務(wù)客戶端根據(jù)授權(quán)訪問企業(yè)XML Web服務(wù)中心，獲取審計所需的XBRL實例文檔；第四，根據(jù)XBRL分類標準，審計系統(tǒng)對企業(yè)方提供的XBRL實例文檔進行一致性驗證；同時對企業(yè)數(shù)據(jù)進行邏輯校驗，如期初余額試算平衡、期末余額試算平衡、發(fā)生額試算平衡、憑證試算平衡、賬賬核對、賬證核對、科目賬與輔助賬核對、憑證科目合法性檢驗、基礎(chǔ)資料完整性檢驗等。如有問題，可記錄于工作底稿；第五，實施審計作業(yè)?；赬BRL的財務(wù)報告及分類賬，既統(tǒng)一了數(shù)據(jù)接口標準，又使得所有數(shù)據(jù)都帶有唯一的標簽，因而更利于審計過程中查詢統(tǒng)計工作的進行。同時，還可以結(jié)合相關(guān)領(lǐng)域研究成果制作專家?guī)煜到y(tǒng)，如風(fēng)險評估模型、舞弊識別模型等都可以應(yīng)用到審計作業(yè)中。當(dāng)然，無論審計模式、審計技術(shù)如何，都必須結(jié)合賬實核對開展審計作業(yè)。審計作業(yè)過程中可以隨時將審計內(nèi)容、審計中遇到的問題及疑點在審計工作底稿進行記錄，并最終根據(jù)審計工作底稿生成審計報告；第六，將審計報告通過安全認證中心進行加密和數(shù)字簽名，并將加密和數(shù)字簽名后的審計報告發(fā)送至企業(yè)服務(wù)器。這樣，企業(yè)便可以向相關(guān)部門機構(gòu)提交財務(wù)報告及審計報告。
　　
　　參考文獻：
　　
　?。?］Rezaee，Z.，Elam，R.，Sharbatoghlie，A.Continuous Auditing：The Audit of the Future［J］.Managerial Auditing Journal，2001，16（3）：150-158.
　?。?］CICA. Audit & Control Implications of XBRL［R］.Information Technology Advisory Committee，2002. http：//www.cica.ca/multimedia/Download_Library/Standards/Studies/English/CI-CA-XBRL-0502-e.pdf.
　?。?］Wagenhofer， A.Economic Consequences of Internet Financial Reporting［J］.Schmalenbach Business Review，2003，55（10）：262-279.
　?。?］Bor