XBRL环境下石油企业内部控制研究

□李九斤（副教授） 叶雨晴 王福胜（教授/博导） 许冯平（教授）通讯作者

（1东北石油大学经济管理学院黑龙江大庆163318 2哈尔滨工业大学管理学院黑龙江哈尔滨150001）

一、引言

内部控制制度，是现代企业管理中的一个重要内容。1992年，美国COSO委员会发布《内部控制——整体框架》的报告，被视为国际研究内部控制问题的里程碑。纵观COSO报告的框架及内容，不难发现设计的关注点只落在了不同类型企业在内部控制与风险管理的“共性”特征上，并没有具体到内部控制问题的“个性”特征。然而我国公有制经济与国有企业始终占主导地位，尤其是作为国民经济重要基础产业之一的石油企业，对我国社会主义市场经济稳定发展起着重要作用，其内部控制上的特殊性也显而易见。因此，结合我国企业的特殊性质和现状，真正探索出一套适应我国企业特征的内部控制体系很有必要。

伴随着信息技术的飞速发展和石油企业市场日新月异的变化，一个对市场反应迅速，基于信息和网络技术的结合，可以及时准确高效地处理财务和商业报告的管理信息系统——可拓展商业报告语言（Extensible Business Reporting Language，XBRL）应运而生，它的实施将会为石油企业带来巨大收益，但不免也会带来新的风险与挑战。因此，石油企业如何构建XBRL环境下的企业内部控制体系，把内部控制方法与信息技术有机的结合起来，实现从传统管理向信息化、细致化管理的转变，成为了亟需研究和解决的重要课题。

二、研究综述

（一）国外研究综述。国外关于XBRL等信息技术环境下的内部控制研究主要分为两个方面：一是着重研究信息技术环境下内部控制信息披露的成本，二是针对内部控制实质性缺陷的分析。

对于信息技术环境下内部控制信息披露的成本方面，2002年7月，美国国会颁布了《萨班斯—奥克斯利法案》，Bupa分析发现该法案的提出虽然对财务舞弊有所抑制，但存在成本过高的问题。Marai等（2008）研究了按美国证监会要求进行披露的公司实施内部控制的隐含成本与内部控制有效性之间的关系，发现披露有内控缺陷的公司成本更高。

对于内部控制实质性缺陷方面，Hollis（2010）运用《萨班斯—奥克斯利法案》进行会计信息披露发现上市公司存在内部控制投入较少，会计风险较多的问题。杜美杰（2011）首次提出了“功能驱动”和“事件驱动”的概念，他认为：“内部控制不是添加在组织正常运行结构之上的东西，而是嵌入到企业的基础结构中。当控制与运行活动融为一体时，控制的观点将深入人心，组织将以最小的代价获得更好的控制”。

（二）国内研究综述。关于内部控制在我国企业的应用研究主要有两个层面，第一层面是我国内部控制评价体系的建立以及有效性分析，第二个层面是如何更好地结合网络信息技术建立我国内部控制体系。

对于我国内部控制评价体系的建立以及有效性分析，诸多理论和实证文献均发现：我国内部控制体系的建立必须立足国情，制定科学的方法对内部控制有效性指标进行判断。如李心合（2007）通过分析我国公司环境的变化发现决定公司命运的是公司业绩，内部控制需要从财务报告导向转向价值创造导向。杨有红、陈凌云（2009）通过数据分析对2007年沪市公司内部控制情况进行研究，发现管理层对内部控制的自我评价能够释放内部控制有效性的信息，有助于外部信息使用者决策。

关于如何结合XBRL等信息技术建立内部控制体系是近年来的研究热点：许永斌（2012）基于互联网会计信息系统的控制弱点及风险进行评估分析，分内部控制和外部控制两方面设计了系统控制点分布示意图，并着重讨论了各控制点控制方案的构建策略。陈志斌（2007）认为处于信息化生态环境中的企业，在内部控制时应该加强软件内控机制的漏洞风险、系统运转中的不稳定性和操作中的人为风险等不稳定因素的控制。

分析上述文献可知，国内外学者对内部控制框架结构、内部控制评价体系及内部控制信息披露体系方面均有一定研究，为本文打下了较为坚实的理论基础。但伴随XBRL等IT技术的广泛应用，在信息技术大环境下，如何有效地将内部控制制度通过业务流程整合等手段，成功嵌入管理系统中以发挥其应有作用的研究较少，本文对此进行探讨。

三、XBRL对石油企业内部控制的影响

（一）我国石油企业内部控制的内涵及特征。石油企业内部控制是指石油企业为实现其经营目标、保护资产安全完整、保证财务报告正确可靠、确保经营方针贯彻执行、维护经营效果和效率，而在企业内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。石油企业作为为国民经济提供基本能源和生产资料的重要部门，其内部控制问题既存在一般生产类企业的管理控制，又包括自身所特有的一部分属性。（1）石油企业对上中下游业务的协同一体化发展具有极其特殊的需求，上中下游各项业务环节密切联系，有一定的地域跨度，没有传统工业企业那么集中。（2）石油企业对经营集约化有其特殊需求。石油企业产业链涉及的行业多、业务流程复杂，数字化管理需求强。（3）我国石油企业下属单位繁多且分布广泛，总部与各级单位本身业务量多且繁杂，从集团公司整体实施协同管理异常困难。由此可见，石油企业本身的特殊性与复杂性，使得企业风险增多，内部控制难度加大。

（二）XBRL对石油企业内部控制要素的影响。XBRL技术对应着国际先进的现代企业管理模式，这与我国现存的管理方式存在较大差异。XBRL对我国石油企业内部控制系统中涉及的控制要素及各项基本要素的内部构成都提出了新的挑战。

1.内部控制环境。我国各大石油企业在组织结构上层次设立繁多，各部门间信息沟通速度缓慢，而XBRL采用的是目前国际上先进的现代企业扁平化与集约化管理模式，让企业的内部控制层次明显减少，效率明显提高，同时把企业所有业务流程看成一个紧密联结的集物流、资金流和信息流“三流合一”的供应链条。由此可见，XBRL技术的实施将改变以往条块分割的业务体系，转而围绕某一流程和业务模块来整体运行。因此应用XBRL技术进行石油企业管理，将会加强资源信息共享，业务处理转变为跨职能、跨部门的整体运作。

2.风险评价。对于XBRL的应用，企业任何有价值的信息都是通过网络实现实时同步传递，大大减少了错弊的发生，保证业务处理活动的正常进行。但同时也存在新的挑战，如系统信息的开放、分散性和共享性，改变了以往企业封闭、集中的运行环境。信息化环境的复杂也增加了企业的应用风险，电子数据也易被篡改，这迫使石油企业在XBRL的实施过程中及日后的日常使用维护中着重对这类风险点进行控制处理。

3.控制活动。XBRL的实施增强了控制手段的灵活高效性，加强了预防、检查和纠错功能，可以使石油企业摆脱人员和资源对内部控制有效性的限制并形成新的控制理念：内控体系不应仅仅依赖过多的检查、审批、核准程序，也可以依靠信息技术对其进行合理设计，经济、高效地达到控制目标。同时，XBRL的应用将使程序性活动自动实现，通过内控制度的制定，各项业务进行程序化处理，一切按预算执行，若超出预算，系统将无法受理，必须经过严格调整。同时由于权限的设置，业务操作须层层审批，可杜绝越权处理。

4.信息与沟通。我国石油企业管理层次多，决策效益不明显，与XBRL的结合可以实现业务流程一体化。同时，开放性特征也为内部各级员工提供了沟通渠道，使员工清楚了解各自的责任。但在开放的技术环境下各种信息借助于网络传递，难免受到非法侵扰，信息的真实性受到质疑，给内部控制带来了新的问题。

5.监督。XBRL的应用将程序控制与内部控制有效结合，会导致企业对系统的依赖，如果程序出现偏差没有及时更正，将会导致系统发生循环往复的错误。因此，应该指定适当的人员在适当的时候对企业内部控制的整体运行情况进行评估，加强监督。

（三）XBRL环境下石油企业内部控制面临的风险。

1.业务流程风险。由于XBRL实行流程化管理，原有条块分割的职能部门将会得到统一管理和共享资源，这一方面会导致企业内部控制环境发生变化、操作更加复杂；另一方面，将会重新设计业务流程，改变组织结构。因此，我们必须迅速建立一个基于XBRL系统的业务流程控制体系，以更好地追踪业务系统变化，在一定程度上及时优化内部控制流程。

2.技术风险。由于XBRL系统流程化、集约化的模式，用户可以控制或改变企业重要的业务参数，这样会给恶意访问者可乘之机，带来巨大的系统安全风险。仅仅依靠系统权限控制功能，很难完全保证信息的安全完整性。

3.数据质量风险。XBRL数据的录入主要分为人工录入和通过数据自动传递和导入两种。人工录入不可避免地存在主观差错，依靠系统防差错参数进行报警，无法从根本上解决问题。因此，XBRL系统的使用应以数据传递和导入为主，人工录入方式为辅。但是，数据通过Internet进行传递及系统升级过程的稳定可靠性需要我们在内部控制设计时加以考虑。

四、XBRL环境下石油企业内部控制设计的步骤

（一）拟定控制目标。XBRL环境下内部控制的目标是石油企业实施内部控制的最终目的，也是评价企业内部控制的最高标准。其基本目标包括：保护资产的安全完整、保证财务会计报告的正确可靠、确保经营方针的贯彻执行、维护经营的效果和效率以及保证国家法律法规的遵守执行。

（二）整合控制流程。控制流程依次贯穿于企业业务活动的始终，主要由控制点组成，当业务流程存在缺陷时，需要根据内部控制目标加以重新整合。当石油企业出现新的技术手段可以更加高效地完成控制目标时，就应重新整合控制流程。首先要解决好内部控制的规划问题，其次在XBRL导入之前，企业应对相应业务流程进行整合，确保XBRL能够成功导入。

（三）鉴别控制环节。在整个业务控制活动过程中，决定全局成效的控制点为关键控制点，发挥局部作用，影响特定范围的控制点为一般控制点。在进行内部控制规划时，首先要仔细描绘出旧系统内部控制流程图，借此分析问题，反复修正，直至产生新的、先进的、适应企业未来发展的内部控制流程。

（四）采取控制措施。控制措施是指为预防和发现错弊而在某控制点所运用的各种控制技术和手段。控制业务内容与措施相互对应，因此，我们必须根据控制目标和对象采取相应的技术手段。

五、XBRL环境下石油企业内部控制设计的内容

XBRL对石油企业内部控制制度的影响是全面的，这包含积极的一面，也包含新的危机。因此，通过石油企业控制目标来建立适应新环境的控制体系就显得尤为必要。XBRL的应用将内部控制由传统的以职能为导向转变为以流程为导向，设计理念由关注组织机构和岗位转变为关注流程和作业。所以我们在具体设计时应从以下三方面着手：

（一）组织与管理控制。组织控制是为实现组织目标而进行的组织结构设计、权责安排和制度设计。在XBRL环境下，流程决定企业的组织结构。因此，石油企业组织结构设计应以产出为中心，结合流程特点、信息化程度、人员素质、风险类型与大小进行全盘考虑，将不同人员完成的工作环节集合，形成适应XBRL流程管理与控制的企业组织结构，具体操作分两个步骤：

1.建立健全XBRL岗位责任制。根据石油企业的实际情况划分不同的岗位，明确各自的职责范围。在原有岗位的基础上再添加一个XBRL系统岗位，直接操作和维护XBRL系统。

2.建立XBRL操作管理制度。XBRL操作管理制度的建立，是为了明确具体操作人员的工作内容和权限，杜绝未经授权人员操作XBRL软件。

（二）业务流程控制。我国石油企业业务活动都是以业务流程为中心衍生的，因此对业务流程进行内部控制显得尤为重要。BPR即企业流程重组，是以经营过程为改造对象和中心、以关心客户的需求和满意度为目标，对现有经营过程进行再思考和彻底的再设计，利用先进的制造技术、信息技术及现代化的管理手段，最大限度地实现技术功能集成和管理职能集成，打破传统的职能型组织结构，建立全新的过程型组织结构，以实现企业经营在成本、质量、服务和速度等方面的巨大改善，它将会是石油企业XBRL实施的灵魂，打破以往金字塔状的组织结构，以作业流程为中心，实现石油企业内部上下左右的有效沟通，增强应变能力和灵活性。我们首先要熟悉业务与信息过程间的联系，针对目标的制定评估出风险点，然后为业务和信息过程制定规则和程序。控制重心转移至预防为主，将内部控制从适时控制向事前、实时控制转移。由上述分析可知，业务流程重组必将涉及职责分工、流程设计和信息技术，因此，内部控制必须对这三方面贯穿始终。明确业务流和信息流的关键控制点，设定控制参数和程序，嵌入信息系统跟踪和监控业务活动，剔除毫无贡献的非增值性活动，提高流程效率。

（三）XBRL信息系统控制。

1.软件的开发与维护控制。XBRL的应用，改变了以往封闭式的各项业务活动，因此，必须维护整个业务流程软件的安全运行，一旦发现软件安全漏洞应立即进行修补升级。具体工作包括：突发事件的处理，管理和技术的手段维护，以及发展XBRL运行环境、及时纠偏、操作人员定期培训等多样性工作。

2.系统安全控制。采用各种方法保护数据和计算机程序，制定风险管理制度。针对错误操作造成的故障及不可控自然灾害和人为非法篡改数据，建立起维护和备份转移系统。

3.数据流程控制。数据处理流程控制设计主要包括数据输入、通讯处理、数据输出三个方面的控制内容。在输入控制中，要确保数据的合法准确，建立授权和审批机制，对输入数据的准确性进行校验。在通讯控制上，系统设备可能会面临数据破坏，要将控制重点落在批量控制、业务时序控制、数据编码控制与发放和接收标识控制上，采取数据加密、备份控制等手段进行控制。在输出控制中，要保证会计信息在传输过程中没有出错，将控制重点放在数据稽核上。

4.互联网下信息系统的控制。在互联网环境下，“内部”控制已是一个相对概念。我们必须把内部控制扩展到互联网的大环境下，同时对企业内联网以外的系统空间进行控制，包括对安全区域的边界实施控制以达到保护区域内部系统的安全性目的。

XBRL环境下石油企业内部控制的三个模块之间是相互联系的有机整体，我们在内部控制设计时要以企业业务流程为导向，严格分析石油企业现行作业体系形成的背景及合理性，寻找关键作业和增值作业，以有效实现资源重组。

六、结语

石油企业庞大的组织结构、复杂的业务流程，使得在XBRL环境下成功建设其内部控制体系成为一个难题。本文针对内部控制风险和石油企业的特点，遵循内部控制的原则和步骤，在使用正确的内部控制构建方法和全面考虑内部控制规范内容的基础上，考虑XBRL环境下石油企业内部控制的特殊性，提出了石油企业内部控制构建的具体原则、步骤、方法和内容，并在此基础上，结合XBRL环境的特点设计了石油企业内部控制体系，为我国石油企业内部控制的顺利实施和其他企业内部控制的进一步完善，提供了科学的建议和可行的对策。