基于COBIT模型的XBRL實施风险研究.docVIP

基于COBIT模型的XBRL实施风险研究 韩书成、 赵占光 （武汉理工大学管理学院 武汉 430070） 摘要：2010年我国刚刚完成了国家级XBRL分类标准的编制，XBRL的应用降低了信息的交换成本，增强了财务信息的利用效率，满足了财务信息供应链的个性化需求。但是XBRL在给我们带来诸多方便的同时，也同样伴随着种种风险。最后应用COBIT理论，对XBRL的实施风险进行过程化标识，形成了规范化的风险监控机制，最终为我国XBRL实施铺平道路。 关键词：COBIT XBRL 风险 一、COBIT综述 COBIT(Control Objectives for Information and related Technology)是目前国际上通用的信息系统审计的标准，由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。 COBIT将IT过程、IT资源和信息准则及企业的策略与目标联系起来，形成一个三维的体系结构。其中，信息准则维度集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性；IT资源维度主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；IT过程维度则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、获取与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制对象和审计方针对IT处理过程进行评估。 监控鉴证 监控鉴证 计划与组织 交付与支持 获取与实现 监控IT 绩效 监控内部控制 遵循外部要求 提供IT治理 提供独立审计 服务水平的定义 第三方服务管理 性能和容量管理 确保持续服务 确保系统安全 成本确认和分摊 教育和培训用户 服务台事件管理 配置管理 问题管理 数据管理 物理环境管理 运营管理 定义IT战略规划 定义信息架构 确定技术方向 定义IT流程 IT投资管理 沟通管理目标 IT人力资源管理 质量管理 IT风险评估 项目管理 识别自动化解决方案 应用系统开发与维护 技术基础设施的获取与维护 运营知识保障 IT 资源获取 变更管理 系统测试与发布 系统生命周期循环 图1 COBIT的技术框架 信息来源：IT 治理研究院（ITGI?，网址：）COBIT4.1标准 二、XBRL实施的风险分析 可扩展商业报告语言（eXtensible Business Reporting Language，XBRL）是一种基于XML的标记语言，用于商业和财务信息的定义和交换。XBRL较传统的网络财务报告具有如下特点：降低信息交换成本、提高财务信息的可获得性、间接增加了财务信息可比性；通过互联网提供具时效性的信息，提高信息的相关性，增强了财务信息的利用效率；可自动交换并摘录财务信息而不受个别公司软件和信息系统的限制，为投资者或分析者使用财务信息提供方便；可以减少为了不同格式需求的资料而重复输入的问题；降低了信息供给成本，有利于信息供给者提高财务报表编制效率。 但是，“一项新技术的影响有多大，阻力就有多大”。实践表明，XBRL的实施存在着一定的风险，这些风险主要体现在以下几方面： （一）从网络审计角度看，对于XBRL文档，信息使用者无法确认哪些信息是经过审计师确认的，哪些信息是未经审计的。这也归因于XARL鉴证理论不够成熟，阻碍了XBRL的发挥所有的潜能。 （二）从成本效益角度看，XBRL是一个系统工程，涉及到企业流程的很多方面，其稳定性、安全性、兼容性和实用性是首先要考虑的，而且这是一项巨大的、长期分次投入的项目。 （三）从竞争的角度看，企业认为会容易产生一些的负外部性效应。因为企业担心运用XBRL，提高企业财务信息的透明度，暴露出了许多企业内控的弱点，甚至一些重要的但又不愿披露的信息。 （四）从网络技术安全的角度看，实施过程缺乏软件的匹配和安全性。由于推行力度够，XBRL相关软件在我国并未形成相关市场，国内软件企业普遍还处于观望状态。 （五）从人力资源角度看，人员的缺乏也是阻碍XBRL在我国进一步实施、发展的一个重要瓶颈。XBRL对人才的需求不只限制在会计或者IT领域，而需要复合型的人才。 （六）从国家政策方面看，政府缺乏有效的激励措施，难以提高企业的参与积极性和热情。没有对企业呈报XBRL文档实行强制，使得企业没有实施XBRL的压力。 三、基于COB