论文部分内容阅读
[摘 要] 网络财务报告中的数据能否安全、准确地进行交换,对商业交易有重大影响。本文主要探讨基于XBRL的财务报告所面临的风险,为XBRL提供验证信息的XARL验证方法、安全问题,以及如何将XARL作为Web服务。
[关键词] 网络财务报告;XBRL;XARL;Web服务
[中图分类号]F232[文献标识码]A[文章编号]1673-0194(2008)17-0006-04
随着互联网的普及,越来越多的企业在网络上发布其财务信息。目前,企业发布财务信息较多采用的是HTML网页、Word格式、E-mail或各种专用数据系统提供。由于PDF、HTML等格式表示的报告之间互不兼容,使企业间的珍贵资料交换和内容再利用受到了限制。因此,在1999年,由6家信息技术公司和五大会计师事务所组建成的临时委员会,推出了XBRL(可扩展商业报告语言),并成立XBRL国际组织,现已有世界各国成员250多个。在我国有关XBRL的探讨也日渐增多,2005年5月,上海证券交易所正式获准成为XBRL国际组织的会员。XBRL的网络财务报告除了较多的优点外,也面临着种种安全风险。
一、 基于XBRL的网络财务报告面临的风险
组成网络的计算机系统的脆弱性以及人为的攻击因素,构成对计算机网络潜在安全的威胁,而安全问题将直接影响网络财务报告工作平台的稳定性和可靠性。而基于XBRL的财务报告的风险所面临的安全风险,还来自于XBRL的特征:分类标准能否被正确运用;标签与数据的映射是否完整、准确。
1. 分类标准的使用
XBRL财务报告中的数据描述是由其所使用的分类标准决定的。开发分类标准是为了体现向监管机关报送财务报告所使用的规则,如一般通用会计准则或格式。分类标准的使用必须与生成的财务报表的预期用途一致。企业有必要在实施时有一套系统来确保用于编制财务报告的分类标准的恰当性。这要求使用分类标准的人员了解特定财务报告,对分类标准能够合理、有效地使用。否则,所生成的财务报告就不是人们所预期的。
2. 标记数据的准确性和完整性
对XBRL财务报告的数据标记应是完整和准确的。这些标记信息包括:应用的标记、标记所应用的数据元素,以及经标记的数据元素与采用的特定分类标准的一致性。对于标记的正确性、完整性,需要专门的程序对软件系统中的标记加以检查,例如新数据元素或是新的科目都已被标记,不能有遗漏。
另外,当财务信息以实时的方式流动,财务报表中的错误风险将增加,增加的程度取决于对数据变化的控制和对数据到标记映射过程的控制。对于以实时方式生成的财务报表,则需要有一套更为复杂的程序,以保证标记数据的任何变化都得到恰当的控制,确保持续报告中标记数据的完整性和准确性。这也许会要求使用持续性验证技术,例如在线监视和例外报告软件,以及其他计算机辅助验证技术。
考虑到使用XBRL的特有风险,在2002年由Waterloo大学的J. E. Boritzand和 W. G. No提出了一种可提供验证信息的会计报告语言——XARL(eXtensible Assurance Reporting Language)。
二、 XARL可提供验证信息的会计报告语言
XARL是建立在XML基础上的语言,依靠被认可的验证过程和安全技术来加强网上信息的可靠性。当XARL、XBRL和保证信息完整性的基础结构相结合后,XARL就可以为网络财务信息的可靠性提供验证。一个XARL文档中的分类标准包含有一些特殊标签,它们分别表示验证类型、验证日期、验证人员的数字签名、系统可靠性等。使用者可以方便地辨别验证的类型、验证期限、验证者姓名以及验证标准的来源。
1. XARL如何验证XBRL报告
XBRL文档由A公司的会计信息系统与XBRL分类标准生成,并提交给验证服务商B验证,验证的过程主要是用程序对数据进行分析和收集其他证据,以支持财务报表中的数据和披露XBRL分类标准使用是否准确,标记的数据是否准确和完整,从而降低XBRL的安全风险。然后,B验证公司将XBRL文档和商业报告要素相关的验证信息与得到认可的XARL分类标准元素进行匹配,最后生成XARL文档。包含在XARL文档中的验证信息可以是针对整个财务报告或个别财务报表的,也可以是针对财务报表的某个项目的。还可以对以财务信息为基础的公司信息系统和控制系统进行验证。当用户想得到经过验证的A公司财务报告时,需要向B验证公司取得XARL文档。这一过程中,一般使用公共密钥结构。B验证公司用公共密钥将XARL加密,当使用者申请时提供公共密钥,经加密后的XARL就传送到用户,用户就可以使用私人密钥和验证者的公钥解密了。并且用户能够利用多种工具(如较常用的CSS和XSLT)将XARL转换成其他格式,如PDF、HTML文档。该过程可以用图1表示。
2. XARL文档的验证特点
XBRL文档自身也可以提供部分验证信息,但与XARL相比,所提供的安全保障是有局限的。可以从以下3个方面来看:
(1)从验证要素来看,XBRL所提供的验证要素是
XBRL分类标准的一部分,而XARL的验证要素是独立的分类标准,目前已发展到XARL 2.0。XARL 1.0和 XARL 2.0有一定的区别,XARL 1.0仅是基于XML,只为XBRL文档提供验证,而XARL 2.0考虑了其他XML格式相容的问题,是基于Web服务的,除了XBRL文档外,还可以为其他基于XML格式的信息提供验证,本文下面将加以阐述。
(2)从验证范围来看,XBRL的验证只针对整个财务报告,只提供有关财务报告的信息,而XARL文档的验证不仅提供整个财务报告的认证,还可以对单个财务报表或财务报表中的具体项目提供验证。
(3)从验证信息是否分离来看,XBRL所提供的验证信息是XBRL文档中一部分,不能分离,而XARL的验证信息可以作为独立的文档提供,也可以与XBRL一起提供。
3. XARL中的安全问题
XARL是XBRL的扩展,是用来对XBRL提供验证的,但XARL也是基于XML的,如果没有适宜的安全措施,XARL文档也有可能被非法截获、更改。一般的访问控制如密码控制是远远不够的。目前,有两种方案,一种是面向连接的安全措施,就是使用标准技术以确保在互联网上的应用程序和所传输数据的安全;其中3种最常用的协议是SSL/TLS(安全套接层协议)、S-HTTP(安全超文本传输协议)和VPN(虚拟专用网),这3种技术已被证明是有效的,以保证XBRL和XARL的传输。另一种方案是点对点的安全措施,与面向连接相比,这种面向安全措施不依靠某一种协议。这对XARL十分重要,使得XARL的应用可以不考虑用户的系统或平台;这需要使用一种或几种基于XML的安全标准,如XML加密、XML签名、XKMS(XML密钥管理规范)、SAML(安全判断提示标示语言)、XACML(可扩展访问控制标示语言)。
三、 将XARL作为Web服务
XARL1.0仅局限于验证XBRL文档,限制了XARL的应用。除了XBRL,还有许多基于XML扩展的语言,如FpXML——金融产品标记语言,是互换信贷、衍生工具和结构化产品的XML标准,对XBRL的验证只是其中的一部分。因此,XARL 2.0与W3C提出的Web服务框架相联系,将XARL作为Web服务是XARL的发展必然方向。J. E. Boritz 和W. G. No(2004年)提出将XBRL、XARL作为Web服务。
Web服务是建立可互操作的分布式应用程序的平台。它是一套标准,定义了应用程序如何在Web上实现互操作性。可以用任何语言,在任何平台上写Web服务,只需要通过这套标准对这些服务进行查询和访问。它具有互操作性、普遍性、易于使用性和行业支持的特点。微软的 .Net 平台、J2EE都支持 Web服务。Web服务标准的基本部分包括 HTTP、XML、SOAP(简单对象访问协议——用 XML 实现 Web service 的标准协议)、WSDL(XML Web services Description Language,描述Web service 的语言规范,相当于访问Web Service 的接口)、UDDI(UniversalDescription,Discovery and Integration, UDDI—Web Service的黄页)。XML是最适合跨平台交换数据的标记语言。SOAP以XML形式提供了一个简单、轻量的用于在分散或分布环境中交换结构化和类型信息的机制。WSDL是提供描述服务 IDL标准方法的 XML 词汇。UDDI(通用描述、发现和集成协议)是一套基于Web的、分布式的、为Web Service提供、信息注册中心的标准规范。用一句话描述Web服务的过程就是:通过 SOAP 在 Web 上提供软件服务,使用 WSDL 文件进行说明,并通过 UDDI 进行注册。
XARL服务,就如同互联网上提供的其他服务一样(如提供股票价格查询的服务),利用UDDI注册,使用 WSDL 文件说明服务功能,其主要功能是为不同运行平台下的应用软件之间,通过网络编制、发布和交换可靠的财务信息。当用户需要XARL服务时,通过网络发出请求。但在大部分情况下,请求由某一代理来执行,所谓代理就是搜寻服务,并与服务交互的应用软件。XARL服务的提供者,即图1所示的认证提供者,是有能力提供和被授权提供由服务申请者申请的一系列行为和功能的实体。当代理软件发现请求时,验证用户所提供的XBRL或其他基于XML的信息,并生成XARL文档,完成对信息的验证。
但Web服务的安全与前面的XML安全又有很大不同。为推动Web服务的发展,从2002年起,由IBM、微软等的众多软件商,陆续提出了为保障Web服务的安全的一系列标准:WS-Security、 WS-Policy、WS-Trust、WS-Secure Conversations、WS-Privacy 等。其中最重要的是WS-Security,前面提及的XML签名、XML加密和SAML等技术可以用于和Web服务安全完全不同的目的,而WS-Security说明如何将这些技术用于Web服务安全。WS-Security定义了安全令牌如何包含在SOAP消息中、XML安全规范如何签名和加密这些令牌、如何签名和加密SOAP消息的其他部分。将XARL作为Web服务能够使企业发送具有数字签名的消息,确保文档在传输过程中没有被第三方篡改,而其他的规范是在WS-Security 基础上逐渐建立的。
四、 小 结
基于XBRL的网络财务报告有望成为全球共同的企业报告语言, XARL与XBRL结合运用,对于出具财务报告的公司而言,可以减少说明信息可靠性的成本,对于报告使用者可以更容易判断其收到的信息是否完整和安全。因为包括XBRL在内的许多标记性语言本身在不断发展,提供验证的XARL有很多的问题尚未解决,本文提到的安全问题仅是其中的一个。目前来看,国外有关XARL的文献不是很多, 主要来自于Waterloo大学的J. E. Boritzand 和W. G. No。国内对XBRL的应用及理论研究全是照搬国外的,XBRL的应用也主要在证券交易所,对XARL的研究更是有限,因此需要更多熟练掌握计算机、财务的人员投入到该项研究之中。
主要参考文献
[1] 高斌. 一种可以提供验证信息的会计报告语言——XARL[J]. 中国会计电算化,2004(5).
[2] 牛艳芳. XBRL:审计师的新工具[J]. 财会通讯:综合版,2005(11).
[3] 姜灵敏. 网络会计安全问题研究[M]. 成都:西南财经大学出版社,2002.
[4] 沈颖玲. 网络财务报告研究[M]. 上海:立信会计出版社,2005.
[5] [美]Scott Seely. SOAP:XML跨平台Web Service开发技术[M]. 北京:机械工业出版社,2002.
[6] [美]Mark O’Neil. Web 服务安全技术与原理[M]. 北京:清华大学出版社,2003.
[7] J E Boritzand W G No. Assurance Reporting for XML-Based Information Services:XARL[J]. Canadian Accouting Perspectives,2004,3(2).
[8] J E Boritzand W G No. Security in XML-Based Financial Reporting Services on the Internet[J]. Journal of Accounting and Public Policy,2005,24(1).
[关键词] 网络财务报告;XBRL;XARL;Web服务
[中图分类号]F232[文献标识码]A[文章编号]1673-0194(2008)17-0006-04
随着互联网的普及,越来越多的企业在网络上发布其财务信息。目前,企业发布财务信息较多采用的是HTML网页、Word格式、E-mail或各种专用数据系统提供。由于PDF、HTML等格式表示的报告之间互不兼容,使企业间的珍贵资料交换和内容再利用受到了限制。因此,在1999年,由6家信息技术公司和五大会计师事务所组建成的临时委员会,推出了XBRL(可扩展商业报告语言),并成立XBRL国际组织,现已有世界各国成员250多个。在我国有关XBRL的探讨也日渐增多,2005年5月,上海证券交易所正式获准成为XBRL国际组织的会员。XBRL的网络财务报告除了较多的优点外,也面临着种种安全风险。
一、 基于XBRL的网络财务报告面临的风险
组成网络的计算机系统的脆弱性以及人为的攻击因素,构成对计算机网络潜在安全的威胁,而安全问题将直接影响网络财务报告工作平台的稳定性和可靠性。而基于XBRL的财务报告的风险所面临的安全风险,还来自于XBRL的特征:分类标准能否被正确运用;标签与数据的映射是否完整、准确。
1. 分类标准的使用
XBRL财务报告中的数据描述是由其所使用的分类标准决定的。开发分类标准是为了体现向监管机关报送财务报告所使用的规则,如一般通用会计准则或格式。分类标准的使用必须与生成的财务报表的预期用途一致。企业有必要在实施时有一套系统来确保用于编制财务报告的分类标准的恰当性。这要求使用分类标准的人员了解特定财务报告,对分类标准能够合理、有效地使用。否则,所生成的财务报告就不是人们所预期的。
2. 标记数据的准确性和完整性
对XBRL财务报告的数据标记应是完整和准确的。这些标记信息包括:应用的标记、标记所应用的数据元素,以及经标记的数据元素与采用的特定分类标准的一致性。对于标记的正确性、完整性,需要专门的程序对软件系统中的标记加以检查,例如新数据元素或是新的科目都已被标记,不能有遗漏。
另外,当财务信息以实时的方式流动,财务报表中的错误风险将增加,增加的程度取决于对数据变化的控制和对数据到标记映射过程的控制。对于以实时方式生成的财务报表,则需要有一套更为复杂的程序,以保证标记数据的任何变化都得到恰当的控制,确保持续报告中标记数据的完整性和准确性。这也许会要求使用持续性验证技术,例如在线监视和例外报告软件,以及其他计算机辅助验证技术。
考虑到使用XBRL的特有风险,在2002年由Waterloo大学的J. E. Boritzand和 W. G. No提出了一种可提供验证信息的会计报告语言——XARL(eXtensible Assurance Reporting Language)。
二、 XARL可提供验证信息的会计报告语言
XARL是建立在XML基础上的语言,依靠被认可的验证过程和安全技术来加强网上信息的可靠性。当XARL、XBRL和保证信息完整性的基础结构相结合后,XARL就可以为网络财务信息的可靠性提供验证。一个XARL文档中的分类标准包含有一些特殊标签,它们分别表示验证类型、验证日期、验证人员的数字签名、系统可靠性等。使用者可以方便地辨别验证的类型、验证期限、验证者姓名以及验证标准的来源。
1. XARL如何验证XBRL报告
XBRL文档由A公司的会计信息系统与XBRL分类标准生成,并提交给验证服务商B验证,验证的过程主要是用程序对数据进行分析和收集其他证据,以支持财务报表中的数据和披露XBRL分类标准使用是否准确,标记的数据是否准确和完整,从而降低XBRL的安全风险。然后,B验证公司将XBRL文档和商业报告要素相关的验证信息与得到认可的XARL分类标准元素进行匹配,最后生成XARL文档。包含在XARL文档中的验证信息可以是针对整个财务报告或个别财务报表的,也可以是针对财务报表的某个项目的。还可以对以财务信息为基础的公司信息系统和控制系统进行验证。当用户想得到经过验证的A公司财务报告时,需要向B验证公司取得XARL文档。这一过程中,一般使用公共密钥结构。B验证公司用公共密钥将XARL加密,当使用者申请时提供公共密钥,经加密后的XARL就传送到用户,用户就可以使用私人密钥和验证者的公钥解密了。并且用户能够利用多种工具(如较常用的CSS和XSLT)将XARL转换成其他格式,如PDF、HTML文档。该过程可以用图1表示。
2. XARL文档的验证特点
XBRL文档自身也可以提供部分验证信息,但与XARL相比,所提供的安全保障是有局限的。可以从以下3个方面来看:
(1)从验证要素来看,XBRL所提供的验证要素是
XBRL分类标准的一部分,而XARL的验证要素是独立的分类标准,目前已发展到XARL 2.0。XARL 1.0和 XARL 2.0有一定的区别,XARL 1.0仅是基于XML,只为XBRL文档提供验证,而XARL 2.0考虑了其他XML格式相容的问题,是基于Web服务的,除了XBRL文档外,还可以为其他基于XML格式的信息提供验证,本文下面将加以阐述。
(2)从验证范围来看,XBRL的验证只针对整个财务报告,只提供有关财务报告的信息,而XARL文档的验证不仅提供整个财务报告的认证,还可以对单个财务报表或财务报表中的具体项目提供验证。
(3)从验证信息是否分离来看,XBRL所提供的验证信息是XBRL文档中一部分,不能分离,而XARL的验证信息可以作为独立的文档提供,也可以与XBRL一起提供。
3. XARL中的安全问题
XARL是XBRL的扩展,是用来对XBRL提供验证的,但XARL也是基于XML的,如果没有适宜的安全措施,XARL文档也有可能被非法截获、更改。一般的访问控制如密码控制是远远不够的。目前,有两种方案,一种是面向连接的安全措施,就是使用标准技术以确保在互联网上的应用程序和所传输数据的安全;其中3种最常用的协议是SSL/TLS(安全套接层协议)、S-HTTP(安全超文本传输协议)和VPN(虚拟专用网),这3种技术已被证明是有效的,以保证XBRL和XARL的传输。另一种方案是点对点的安全措施,与面向连接相比,这种面向安全措施不依靠某一种协议。这对XARL十分重要,使得XARL的应用可以不考虑用户的系统或平台;这需要使用一种或几种基于XML的安全标准,如XML加密、XML签名、XKMS(XML密钥管理规范)、SAML(安全判断提示标示语言)、XACML(可扩展访问控制标示语言)。
三、 将XARL作为Web服务
XARL1.0仅局限于验证XBRL文档,限制了XARL的应用。除了XBRL,还有许多基于XML扩展的语言,如FpXML——金融产品标记语言,是互换信贷、衍生工具和结构化产品的XML标准,对XBRL的验证只是其中的一部分。因此,XARL 2.0与W3C提出的Web服务框架相联系,将XARL作为Web服务是XARL的发展必然方向。J. E. Boritz 和W. G. No(2004年)提出将XBRL、XARL作为Web服务。
Web服务是建立可互操作的分布式应用程序的平台。它是一套标准,定义了应用程序如何在Web上实现互操作性。可以用任何语言,在任何平台上写Web服务,只需要通过这套标准对这些服务进行查询和访问。它具有互操作性、普遍性、易于使用性和行业支持的特点。微软的 .Net 平台、J2EE都支持 Web服务。Web服务标准的基本部分包括 HTTP、XML、SOAP(简单对象访问协议——用 XML 实现 Web service 的标准协议)、WSDL(XML Web services Description Language,描述Web service 的语言规范,相当于访问Web Service 的接口)、UDDI(UniversalDescription,Discovery and Integration, UDDI—Web Service的黄页)。XML是最适合跨平台交换数据的标记语言。SOAP以XML形式提供了一个简单、轻量的用于在分散或分布环境中交换结构化和类型信息的机制。WSDL是提供描述服务 IDL标准方法的 XML 词汇。UDDI(通用描述、发现和集成协议)是一套基于Web的、分布式的、为Web Service提供、信息注册中心的标准规范。用一句话描述Web服务的过程就是:通过 SOAP 在 Web 上提供软件服务,使用 WSDL 文件进行说明,并通过 UDDI 进行注册。
XARL服务,就如同互联网上提供的其他服务一样(如提供股票价格查询的服务),利用UDDI注册,使用 WSDL 文件说明服务功能,其主要功能是为不同运行平台下的应用软件之间,通过网络编制、发布和交换可靠的财务信息。当用户需要XARL服务时,通过网络发出请求。但在大部分情况下,请求由某一代理来执行,所谓代理就是搜寻服务,并与服务交互的应用软件。XARL服务的提供者,即图1所示的认证提供者,是有能力提供和被授权提供由服务申请者申请的一系列行为和功能的实体。当代理软件发现请求时,验证用户所提供的XBRL或其他基于XML的信息,并生成XARL文档,完成对信息的验证。
但Web服务的安全与前面的XML安全又有很大不同。为推动Web服务的发展,从2002年起,由IBM、微软等的众多软件商,陆续提出了为保障Web服务的安全的一系列标准:WS-Security、 WS-Policy、WS-Trust、WS-Secure Conversations、WS-Privacy 等。其中最重要的是WS-Security,前面提及的XML签名、XML加密和SAML等技术可以用于和Web服务安全完全不同的目的,而WS-Security说明如何将这些技术用于Web服务安全。WS-Security定义了安全令牌如何包含在SOAP消息中、XML安全规范如何签名和加密这些令牌、如何签名和加密SOAP消息的其他部分。将XARL作为Web服务能够使企业发送具有数字签名的消息,确保文档在传输过程中没有被第三方篡改,而其他的规范是在WS-Security 基础上逐渐建立的。
四、 小 结
基于XBRL的网络财务报告有望成为全球共同的企业报告语言, XARL与XBRL结合运用,对于出具财务报告的公司而言,可以减少说明信息可靠性的成本,对于报告使用者可以更容易判断其收到的信息是否完整和安全。因为包括XBRL在内的许多标记性语言本身在不断发展,提供验证的XARL有很多的问题尚未解决,本文提到的安全问题仅是其中的一个。目前来看,国外有关XARL的文献不是很多, 主要来自于Waterloo大学的J. E. Boritzand 和W. G. No。国内对XBRL的应用及理论研究全是照搬国外的,XBRL的应用也主要在证券交易所,对XARL的研究更是有限,因此需要更多熟练掌握计算机、财务的人员投入到该项研究之中。
主要参考文献
[1] 高斌. 一种可以提供验证信息的会计报告语言——XARL[J]. 中国会计电算化,2004(5).
[2] 牛艳芳. XBRL:审计师的新工具[J]. 财会通讯:综合版,2005(11).
[3] 姜灵敏. 网络会计安全问题研究[M]. 成都:西南财经大学出版社,2002.
[4] 沈颖玲. 网络财务报告研究[M]. 上海:立信会计出版社,2005.
[5] [美]Scott Seely. SOAP:XML跨平台Web Service开发技术[M]. 北京:机械工业出版社,2002.
[6] [美]Mark O’Neil. Web 服务安全技术与原理[M]. 北京:清华大学出版社,2003.
[7] J E Boritzand W G No. Assurance Reporting for XML-Based Information Services:XARL[J]. Canadian Accouting Perspectives,2004,3(2).
[8] J E Boritzand W G No. Security in XML-Based Financial Reporting Services on the Internet[J]. Journal of Accounting and Public Policy,2005,24(1).