基于COBIT模型的XBRL实施风险研究
来源:用户上传
作者: 韩书成 赵占光
摘要:2010年我国刚刚完成了国家级XBRL分类标准的编制,XBRL的应用降低了信息的交换成本,增强了财务信息的利用效率,满足了财务信息供应链的个性化需求。但是XBRL在给我们带来诸多方便的同时,也同样伴随着种种风险。最后应用COBIT理论,对XBRL的实施风险进行过程化标识,形成了规范化的风险监控机制,最终为我国XBRL实施铺平道路。
关键词:COBIT;XBRL;风险
一、COBIT综述
COBIT(Control Objectives for Information and related Technology)是目前国际上通用的信息系统审计的标准,由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
COBIT将IT过程、IT资源和信息准则及企业的策略与目标联系起来,形成一个三维的体系结构。其中,信息准则维度集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;IT资源维度主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对象;IT过程维度则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、获取与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制对象和审计方针对IT处理过程进行评估。
COBIT的基本思想就是将企业的IT流程分为4个域:规划和组织(PO),获得与实施(AI),交付与支持(DS),监控(M)。
二、XBRL实施的风险分析
可扩展商业报告语言(eXtensible Business Reporting Language,XBRL)是一种基于XML的标记语言,用于商业和财务信息的定义和交换。XBRL较传统的网络财务报告具有如下特点:降低信息交换成本、提高财务信息的可获得性、间接增加了财务信息可比性;通过互联网提供具时效性的信息,提高信息的相关性,增强了财务信息的利用效率;可自动交换并摘录财务信息而不受个别公司软件和信息系统的限制,为投资者或分析者使用财务信息提供方便;可以减少为了不同格式需求的资料而重复输入的问题;降低了信息供给成本,有利于信息供给者提高财务报表编制效率。
但是,“一项新技术的影响有多大,阻力就有多大”。实践表明,XBRL的实施存在着一定的风险,这些风险主要体现在以下几方面:
第一,从网络审计角度看,对于XBRL文档,信息使用者无法确认哪些信息是经过审计师确认的,哪些信息是未经审计的。这也归因于XARL鉴证理论不够成熟,阻碍了XBRL发挥所有的潜能。
第二,从成本效益角度看,XBRL是一个系统工程,涉及到企业流程的很多方面,其稳定性、安全性、兼容性和实用性是首先要考虑的,而且这是一项巨大的、长期分次投入的项目。
第三,从竞争的角度看,企业认为会容易产生一些的负外部性效应。因为企业担心运用XBRL,提高企业财务信息的透明度,暴露出了许多企业内控的弱点,甚至一些重要的但又不愿披露的信息。
第四,从网络技术安全的角度看,实施过程缺乏软件的匹配和安全性。由于推行力度够,XBRL相关软件在我国并未形成相关市场,国内软件企业普遍还处于观望状态。
第五,从人力资源角度看,人员的缺乏也是阻碍XBRL在我国进一步实施、发展的一个重要瓶颈。XBRL对人才的需求不只限制在会计或者IT领域,而需要复合型的人才。
第六,从国家政策方面看,政府缺乏有效的激励措施,难以提高企业的参与积极性和热情。没有对企业呈报XBRL文档实行强制,使得企业没有实施XBRL的压力。
三、基于COBIT的XBRL实施风险应对策略
COBIT的控制目标主要是针对信息系统的管理控制和运行控制,COBIT提出的控制目标可以应用到所有的信息系统,包括AIS。因此,它的控制目标对XBRL来说大部分是适用的。COBIT的制订宗旨是跨越业务控制和IT控制之间的鸿沟,从而建立一个面向业务目标的IT控制框架。
利用COBIT模型可以帮助企业管理者了解是否应该进行XBRL投资以及如何投资、XBRL的实施能否得到期望回报;XBRL业务过程的其他相关者清楚XBRL的安全和服务是否有保证;网络审计师能把审计过程与用户日常XBRL控制统一协调。
(一)第一阶段:组织与规划
系统规划是XBRL建设的第一步,包括XBRL的战略目标、政策和约束;政府原有的建设目标、建设模式;企业信息化的业务功能结构和人员管理;XBRL实施的效益分析和实施计划。
目前我国的XBRL应用主要是政府牵头,所以XBRL的实施要以优化企业的核心业务流程,提高政府有关部门的工作效率为总目标。政府应该采取有效的激励措施,提高利益相关者的积极性。根据企业的外部性分析,企业实施XBRL怕提高企业自身的财务信息透明度。但是长此以往使信息一直处于不对称状态,造成投资者的逆向选择,所以要对XBRL的实施进行经济规划。规划的好坏对XBRL的能否顺利实施起到至关重要的作用。
(二)第二阶段:获取与实施
在实际情况中,企业信息化的需求难以一次确定,并且会不断发生变化;另一方面,软件服务提供商对企业的具体业务业并不熟悉,常常会造成需求上的偏差。因此,完整的XBRL需求分析必须满足一致性、完整性、现实性和有效性这四方面的要求。
XBRL的诞生降低信息交换成本、提高财务信息的可获得性,降低了信息供给成本,有利于信息供给者提高财务报表编制效率。但是XBRL的实施成本和人力资源成本巨大,政府和企业要实施XBRL要购置大量的硬件、软件和办公设备,并且还要为XBRL后期升级与维护引进复合人才。管理层在成本与期望收益之间进行衡量,导致放弃XBRL实施。SaaS(软件即服务)模式的兴起为企业提供了更为有效的信息化方式,尤其是对于那些正在进行信息化尝试阶段的中小型企业。更低的成本支出、灵活的付费模式和功能配置可以帮助中小企业以最少的投入快速实现信息化基础建设。
(三)第三阶段:交付与支持
SaaS解决了信息化成本和人力成本,但是网络安全问题依然存在,还有国内的信用体系不够完善,企业不大愿意将内部的机密交由第三方保管。
企业的需求是变化的,商业目标也是随着企业的发展而逐步更新的,软件服务提供商要做好完善的数据跟踪,在可行范围内满足企业的需求,不断改进和修正开发计划中遇到的问题和缺憾。软件服务商要为企业提供更低成本,更为有效的XBRL应用。产品要有好易用性,同时可持续升级,才能满足企业快速多变的业务和管理需要。
(四)第四阶段:监控鉴证
构建基于COBIT的XBRL管理、监控与鉴证模型,将便于人们对XBRL信息真实性与可靠性理解与分析,指导政府建立相应的IT审计机制,将XBRL建设与应用的全部过程置于有效的管理与控制之下。
开发XARL使为了确保XBRL的编码信息的可靠性。加入XARL标签的XBRL文档将减少对篡改的怀疑,变得更加可信能使使用者获得经保证的通过网络发布的财务信息。对审计师而言,将帮助他们明确审计轨迹,使他们做出的鉴定和劝告更具说服力。
四、总结
通过构建基于COBIT模型的XBRL技术过程集,我们把对XBRL实施的风险管理分别细化到四个过程中,构建过程化的风险管理模型,从而化繁为简,使复杂的XBRL流程管理、信息控制和网络审计结构化。这一指导思想,能够促进健全的风险监控机制建立,便于XBRL技术原理与XBRL相关工具的应用,使其风险管理过程更加规范。在XBRL的实际应用中,基于COBIT模型的风险管理模式对于管理水平相对较低的我国企业具有较大的借鉴价值。
参考文献:
1、金文.基于COBIT的信息系统管理、控制与审计的模型构建研究[J].审计研究,2005(8).
2、陈婉玲,袁若宾.COBIT及其启示[J].会计之友,2006(1).
3、王德健.COBIT标准在IT外包业务风险管理中的应用[J].商场现代化,2007(32).
(作者单位:武汉理工大学管理学院)
转载注明来源:https://www.xzbu.com/2/view-427652.htm