基于COBIT模型XBRL实施风险研究.docVIP

基于COBIT模型XBRL实施风险研究 　　摘要:2010年我国刚刚完成了国家级XBRL分类标准的编制,XBRL的应用降低了信息的交换成本,增强了财务信息的利用效率,满足了财务信息供应链的个性化需求。但是XBRL在给我们带来诸多方便的同时,也同样伴随着种种风险。最后应用COBIT理论,对XBRL的实施风险进行过程化标识,形成了规范化的风险监控机制,最终为我国XBRL实施铺平道路。 　　关键词:COBIT;XBRL;风险 　　 　　一、COBIT综述 　　COBIT(Control Objectives for Information and related Technology)是目前国际上通用的信息系统审计的标准,由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。 　　COBIT将IT过程、IT资源和信息准则及企业的策略与目标联系起来,形成一个三维的体系结构。其中,信息准则维度集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;IT资源维度主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对象;IT过程维度则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、获取与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制对象和审计方针对IT处理过程进行评估。 　　COBIT的基本思想就是将企业的IT流程分为4个域:规划和组织(PO),获得与实施(AI),交付与支持(DS),监控(M)。 　　二、XBRL实施的风险分析 　　可扩展商业报告语言(eXtensible Business Reporting Language,XBRL)是一种基于XML的标记语言,用于商业和财务信息的定义和交换。XBRL较传统的网络财务报告具有如下特点:降低信息交换成本、提高财务信息的可获得性、间接增加了财务信息可比性;通过互联网提供具时效性的信息,提高信息的相关性,增强了财务信息的利用效率;可自动交换并摘录财务信息而不受个别公司软件和信息系统的限制,为投资者或分析者使用财务信息提供方便;可以减少为了不同格式需求的资料而重复输入的问题;降低了信息供给成本,有利于信息供给者提高财务报表编制效率。 　　但是,“一项新技术的影响有多大,阻力就有多大”。实践表明,XBRL的实施存在着一定的风险,这些风险主要体现在以下几方面: 　　第一,从网络审计角度看,对于XBRL文档,信息使用者无法确认哪些信息是经过审计师确认的,哪些信息是未经审计的。这也归因于XARL鉴证理论不够成熟,阻碍了XBRL发挥所有的潜能。 　　第二,从成本效益角度看,XBRL是一个系统工程,涉及到企业流程的很多方面,其稳定性、安全性、兼容性和实用性是首先要考虑的,而且这是一项巨大的、长期分次投入的项目。 　　第三,从竞争的角度看,企业认为会容易产生一些的负外部性效应。因为企业担心运用XBRL,提高企业财务信息的透明度,暴露出了许多企业内控的弱点,甚至一些重要的但又不愿披露的信息。 　　第四,从网络技术安全的角度看,实施过程缺乏软件的匹配和安全性。由于推行力度够,XBRL相关软件在我国并未形成相关市场,国内软件企业普遍还处于观望状态。 　　第五,从人力资源角度看,人员的缺乏也是阻碍XBRL在我国进一步实施、发展的一个重要瓶颈。XBRL对人才的需求不只限制在会计或者IT领域,而需要复合型的人才。 　　第六,从国家政策方面看,政府缺乏有效的激励措施,难以提高企业的参与积极性和热情。没有对企业呈报XBRL文档实行强制,使得企业没有实施XBRL的压力。 　　三、基于COBIT的XBRL实施风险应对策略 　　COBIT的控制目标主要是针对信息系统的管理控制和运行控制,COBIT提出的控制目标可以应用到所有的信息系统,包括AIS。因此,它的控制目标对XBRL来说大部分是适用的。COBIT的制订宗旨是跨越业务控制和IT控制之间的鸿沟,从而建立一个面向业务目标的IT控制框架。 　　利用COBIT模型可以帮助企业管理者了解是否应该进行XBRL投资以及如何投资、XBRL的实施能否得到期望回报;XBRL业务过程的其他相关者清楚XBRL的安全和服务是否有保证;网络审计师能把审计过程与用户日常XBRL控制统一协调。 　　(一)第一阶段:组织与规划 　　系统规划是