XBRL環境下石油企業內部控制研究

□李九斤（副教授） 葉雨晴 王福勝（教授/博導） 許馮平（教授）通訊作者

（1東北石油大學經濟管理學院黑龍江大慶163318 2哈爾濱工業大學管理學院黑龍江哈爾濱150001）

一、引言

內部控制制度，是現代企業管理中的一個重要內容。1992年，美國COSO委員會發布《內部控制——整體框架》的報告，被視為國際研究內部控制問題的里程碑。縱觀COSO報告的框架及內容，不難發現設計的關注點只落在了不同類型企業在內部控制與風險管理的“共性”特征上，并沒有具體到內部控制問題的“個性”特征。然而我國公有制經濟與國有企業始終占主導地位，尤其是作為國民經濟重要基礎產業之一的石油企業，對我國社會主義市場經濟穩定發展起著重要作用，其內部控制上的特殊性也顯而易見。因此，結合我國企業的特殊性質和現狀，真正探索出一套適應我國企業特征的內部控制體系很有必要。

伴隨著信息技術的飛速發展和石油企業市場日新月異的變化，一個對市場反應迅速，基于信息和網絡技術的結合，可以及時準確高效地處理財務和商業報告的管理信息系統——可拓展商業報告語言（Extensible Business Reporting Language，XBRL）應運而生，它的實施將會為石油企業帶來巨大收益，但不免也會帶來新的風險與挑戰。因此，石油企業如何構建XBRL環境下的企業內部控制體系，把內部控制方法與信息技術有機的結合起來，實現從傳統管理向信息化、細致化管理的轉變，成為了亟需研究和解決的重要課題。

二、研究綜述

（一）國外研究綜述。國外關于XBRL等信息技術環境下的內部控制研究主要分為兩個方面：一是著重研究信息技術環境下內部控制信息披露的成本，二是針對內部控制實質性缺陷的分析。

對于信息技術環境下內部控制信息披露的成本方面，2002年7月，美國國會頒布了《薩班斯—奧克斯利法案》，Bupa分析發現該法案的提出雖然對財務舞弊有所抑制，但存在成本過高的問題。Marai等（2008）研究了按美國證監會要求進行披露的公司實施內部控制的隱含成本與內部控制有效性之間的關系，發現披露有內控缺陷的公司成本更高。

對于內部控制實質性缺陷方面，Hollis（2010）運用《薩班斯—奧克斯利法案》進行會計信息披露發現上市公司存在內部控制投入較少，會計風險較多的問題。杜美杰（2011）首次提出了“功能驅動”和“事件驅動”的概念，他認為：“內部控制不是添加在組織正常運行結構之上的東西，而是嵌入到企業的基礎結構中。當控制與運行活動融為一體時，控制的觀點將深入人心，組織將以最小的代價獲得更好的控制”。

（二）國內研究綜述。關于內部控制在我國企業的應用研究主要有兩個層面，第一層面是我國內部控制評價體系的建立以及有效性分析，第二個層面是如何更好地結合網絡信息技術建立我國內部控制體系。

對于我國內部控制評價體系的建立以及有效性分析，諸多理論和實證文獻均發現：我國內部控制體系的建立必須立足國情，制定科學的方法對內部控制有效性指標進行判斷。如李心合（2007）通過分析我國公司環境的變化發現決定公司命運的是公司業績，內部控制需要從財務報告導向轉向價值創造導向。楊有紅、陳凌云（2009）通過數據分析對2007年滬市公司內部控制情況進行研究，發現管理層對內部控制的自我評價能夠釋放內部控制有效性的信息，有助于外部信息使用者決策。

關于如何結合XBRL等信息技術建立內部控制體系是近年來的研究熱點：許永斌（2012）基于互聯網會計信息系統的控制弱點及風險進行評估分析，分內部控制和外部控制兩方面設計了系統控制點分布示意圖，并著重討論了各控制點控制方案的構建策略。陳志斌（2007）認為處于信息化生態環境中的企業，在內部控制時應該加強軟件內控機制的漏洞風險、系統運轉中的不穩定性和操作中的人為風險等不穩定因素的控制。

分析上述文獻可知，國內外學者對內部控制框架結構、內部控制評價體系及內部控制信息披露體系方面均有一定研究，為本文打下了較為堅實的理論基礎。但伴隨XBRL等IT技術的廣泛應用，在信息技術大環境下，如何有效地將內部控制制度通過業務流程整合等手段，成功嵌入管理系統中以發揮其應有作用的研究較少，本文對此進行探討。

三、XBRL對石油企業內部控制的影響

（一）我國石油企業內部控制的內涵及特征。石油企業內部控制是指石油企業為實現其經營目標、保護資產安全完整、保證財務報告正確可靠、確保經營方針貫徹執行、維護經營效果和效率，而在企業內部采取的自我調整、約束、規劃、評價和控制的一系列方法、手續與措施的總稱。石油企業作為為國民經濟提供基本能源和生產資料的重要部門，其內部控制問題既存在一般生產類企業的管理控制，又包括自身所特有的一部分屬性。（1）石油企業對上中下游業務的協同一體化發展具有極其特殊的需求，上中下游各項業務環節密切聯系，有一定的地域跨度，沒有傳統工業企業那么集中。（2）石油企業對經營集約化有其特殊需求。石油企業產業鏈涉及的行業多、業務流程復雜，數字化管理需求強。（3）我國石油企業下屬單位繁多且分布廣泛，總部與各級單位本身業務量多且繁雜，從集團公司整體實施協同管理異常困難。由此可見，石油企業本身的特殊性與復雜性，使得企業風險增多，內部控制難度加大。

（二）XBRL對石油企業內部控制要素的影響。XBRL技術對應著國際先進的現代企業管理模式，這與我國現存的管理方式存在較大差異。XBRL對我國石油企業內部控制系統中涉及的控制要素及各項基本要素的內部構成都提出了新的挑戰。

1.內部控制環境。我國各大石油企業在組織結構上層次設立繁多，各部門間信息溝通速度緩慢，而XBRL采用的是目前國際上先進的現代企業扁平化與集約化管理模式，讓企業的內部控制層次明顯減少，效率明顯提高，同時把企業所有業務流程看成一個緊密聯結的集物流、資金流和信息流“三流合一”的供應鏈條。由此可見，XBRL技術的實施將改變以往條塊分割的業務體系，轉而圍繞某一流程和業務模塊來整體運行。因此應用XBRL技術進行石油企業管理，將會加強資源信息共享，業務處理轉變為跨職能、跨部門的整體運作。

2.風險評價。對于XBRL的應用，企業任何有價值的信息都是通過網絡實現實時同步傳遞，大大減少了錯弊的發生，保證業務處理活動的正常進行。但同時也存在新的挑戰，如系統信息的開放、分散性和共享性，改變了以往企業封閉、集中的運行環境。信息化環境的復雜也增加了企業的應用風險，電子數據也易被篡改，這迫使石油企業在XBRL的實施過程中及日后的日常使用維護中著重對這類風險點進行控制處理。

3.控制活動。XBRL的實施增強了控制手段的靈活高效性，加強了預防、檢查和糾錯功能，可以使石油企業擺脫人員和資源對內部控制有效性的限制并形成新的控制理念：內控體系不應僅僅依賴過多的檢查、審批、核準程序，也可以依靠信息技術對其進行合理設計，經濟、高效地達到控制目標。同時，XBRL的應用將使程序性活動自動實現，通過內控制度的制定，各項業務進行程序化處理，一切按預算執行，若超出預算，系統將無法受理，必須經過嚴格調整。同時由于權限的設置，業務操作須層層審批，可杜絕越權處理。

4.信息與溝通。我國石油企業管理層次多，決策效益不明顯，與XBRL的結合可以實現業務流程一體化。同時，開放性特征也為內部各級員工提供了溝通渠道，使員工清楚了解各自的責任。但在開放的技術環境下各種信息借助于網絡傳遞，難免受到非法侵擾，信息的真實性受到質疑，給內部控制帶來了新的問題。

5.監督。XBRL的應用將程序控制與內部控制有效結合，會導致企業對系統的依賴，如果程序出現偏差沒有及時更正，將會導致系統發生循環往復的錯誤。因此，應該指定適當的人員在適當的時候對企業內部控制的整體運行情況進行評估，加強監督。

（三）XBRL環境下石油企業內部控制面臨的風險。

1.業務流程風險。由于XBRL實行流程化管理，原有條塊分割的職能部門將會得到統一管理和共享資源，這一方面會導致企業內部控制環境發生變化、操作更加復雜；另一方面，將會重新設計業務流程，改變組織結構。因此，我們必須迅速建立一個基于XBRL系統的業務流程控制體系，以更好地追蹤業務系統變化，在一定程度上及時優化內部控制流程。

2.技術風險。由于XBRL系統流程化、集約化的模式，用戶可以控制或改變企業重要的業務參數，這樣會給惡意訪問者可乘之機，帶來巨大的系統安全風險。僅僅依靠系統權限控制功能，很難完全保證信息的安全完整性。

3.數據質量風險。XBRL數據的錄入主要分為人工錄入和通過數據自動傳遞和導入兩種。人工錄入不可避免地存在主觀差錯，依靠系統防差錯參數進行報警，無法從根本上解決問題。因此，XBRL系統的使用應以數據傳遞和導入為主，人工錄入方式為輔。但是，數據通過Internet進行傳遞及系統升級過程的穩定可靠性需要我們在內部控制設計時加以考慮。

四、XBRL環境下石油企業內部控制設計的步驟

（一）擬定控制目標。XBRL環境下內部控制的目標是石油企業實施內部控制的最終目的，也是評價企業內部控制的最高標準。其基本目標包括：保護資產的安全完整、保證財務會計報告的正確可靠、確保經營方針的貫徹執行、維護經營的效果和效率以及保證國家法律法規的遵守執行。

（二）整合控制流程。控制流程依次貫穿于企業業務活動的始終，主要由控制點組成，當業務流程存在缺陷時，需要根據內部控制目標加以重新整合。當石油企業出現新的技術手段可以更加高效地完成控制目標時，就應重新整合控制流程。首先要解決好內部控制的規劃問題，其次在XBRL導入之前，企業應對相應業務流程進行整合，確保XBRL能夠成功導入。

（三）鑒別控制環節。在整個業務控制活動過程中，決定全局成效的控制點為關鍵控制點，發揮局部作用，影響特定范圍的控制點為一般控制點。在進行內部控制規劃時，首先要仔細描繪出舊系統內部控制流程圖，借此分析問題，反復修正，直至產生新的、先進的、適應企業未來發展的內部控制流程。

（四）采取控制措施。控制措施是指為預防和發現錯弊而在某控制點所運用的各種控制技術和手段。控制業務內容與措施相互對應，因此，我們必須根據控制目標和對象采取相應的技術手段。

五、XBRL環境下石油企業內部控制設計的內容

XBRL對石油企業內部控制制度的影響是全面的，這包含積極的一面，也包含新的危機。因此，通過石油企業控制目標來建立適應新環境的控制體系就顯得尤為必要。XBRL的應用將內部控制由傳統的以職能為導向轉變為以流程為導向，設計理念由關注組織機構和崗位轉變為關注流程和作業。所以我們在具體設計時應從以下三方面著手：

（一）組織與管理控制。組織控制是為實現組織目標而進行的組織結構設計、權責安排和制度設計。在XBRL環境下，流程決定企業的組織結構。因此，石油企業組織結構設計應以產出為中心，結合流程特點、信息化程度、人員素質、風險類型與大小進行全盤考慮，將不同人員完成的工作環節集合，形成適應XBRL流程管理與控制的企業組織結構，具體操作分兩個步驟：

1.建立健全XBRL崗位責任制。根據石油企業的實際情況劃分不同的崗位，明確各自的職責范圍。在原有崗位的基礎上再添加一個XBRL系統崗位，直接操作和維護XBRL系統。

2.建立XBRL操作管理制度。XBRL操作管理制度的建立，是為了明確具體操作人員的工作內容和權限，杜絕未經授權人員操作XBRL軟件。

（二）業務流程控制。我國石油企業業務活動都是以業務流程為中心衍生的，因此對業務流程進行內部控制顯得尤為重要。BPR即企業流程重組，是以經營過程為改造對象和中心、以關心客戶的需求和滿意度為目標，對現有經營過程進行再思考和徹底的再設計，利用先進的制造技術、信息技術及現代化的管理手段，最大限度地實現技術功能集成和管理職能集成，打破傳統的職能型組織結構，建立全新的過程型組織結構，以實現企業經營在成本、質量、服務和速度等方面的巨大改善，它將會是石油企業XBRL實施的靈魂，打破以往金字塔狀的組織結構，以作業流程為中心，實現石油企業內部上下左右的有效溝通，增強應變能力和靈活性。我們首先要熟悉業務與信息過程間的聯系，針對目標的制定評估出風險點，然后為業務和信息過程制定規則和程序。控制重心轉移至預防為主，將內部控制從適時控制向事前、實時控制轉移。由上述分析可知，業務流程重組必將涉及職責分工、流程設計和信息技術，因此，內部控制必須對這三方面貫穿始終。明確業務流和信息流的關鍵控制點，設定控制參數和程序，嵌入信息系統跟蹤和監控業務活動，剔除毫無貢獻的非增值性活動，提高流程效率。

（三）XBRL信息系統控制。

1.軟件的開發與維護控制。XBRL的應用，改變了以往封閉式的各項業務活動，因此，必須維護整個業務流程軟件的安全運行，一旦發現軟件安全漏洞應立即進行修補升級。具體工作包括：突發事件的處理，管理和技術的手段維護，以及發展XBRL運行環境、及時糾偏、操作人員定期培訓等多樣性工作。

2.系統安全控制。采用各種方法保護數據和計算機程序，制定風險管理制度。針對錯誤操作造成的故障及不可控自然災害和人為非法篡改數據，建立起維護和備份轉移系統。

3.數據流程控制。數據處理流程控制設計主要包括數據輸入、通訊處理、數據輸出三個方面的控制內容。在輸入控制中，要確保數據的合法準確，建立授權和審批機制，對輸入數據的準確性進行校驗。在通訊控制上，系統設備可能會面臨數據破壞，要將控制重點落在批量控制、業務時序控制、數據編碼控制與發放和接收標識控制上，采取數據加密、備份控制等手段進行控制。在輸出控制中，要保證會計信息在傳輸過程中沒有出錯，將控制重點放在數據稽核上。

4.互聯網下信息系統的控制。在互聯網環境下，“內部”控制已是一個相對概念。我們必須把內部控制擴展到互聯網的大環境下，同時對企業內聯網以外的系統空間進行控制，包括對安全區域的邊界實施控制以達到保護區域內部系統的安全性目的。

XBRL環境下石油企業內部控制的三個模塊之間是相互聯系的有機整體，我們在內部控制設計時要以企業業務流程為導向，嚴格分析石油企業現行作業體系形成的背景及合理性，尋找關鍵作業和增值作業，以有效實現資源重組。

六、結語

石油企業龐大的組織結構、復雜的業務流程，使得在XBRL環境下成功建設其內部控制體系成為一個難題。本文針對內部控制風險和石油企業的特點，遵循內部控制的原則和步驟，在使用正確的內部控制構建方法和全面考慮內部控制規范內容的基礎上，考慮XBRL環境下石油企業內部控制的特殊性，提出了石油企業內部控制構建的具體原則、步驟、方法和內容，并在此基礎上，結合XBRL環境的特點設計了石油企業內部控制體系，為我國石油企業內部控制的順利實施和其他企業內部控制的進一步完善，提供了科學的建議和可行的對策。