一、在评价XBRL报告流程的控制举措时，内部审计师应发挥重要作用

视野讯：为期三年的报送试点工作于2012年6月结束，在此期间，大约有9,000家美国公司提交了50,000多份用可扩展商业报告语言（XBRL）编写的申报文件。目前，美国所有的上市公司在向美国证券交易委员会（SEC）提交传统申报文件的同时，还必须提交XBRL格式申报文件。虽然SEC希望上述两类申报文件相互保持一致，但是对许多公司来说情况并非如此。考虑到以下几点，出现上述现象并不出奇：一是申报者面临陡峭的学习曲线，二是申报者需要掌握内容繁多、应用复杂的“数码字典”，三是XBRL全面试点工作最近才得以完成。

填报XBRL申报材料是管理层的责任，而不是公司代理报送机构或者外部顾问的责任。SEC认为XBRL报送应遵从公司的披露控制和程序。然而，某些公司往往不仅依赖第三方准备报送文件，还依赖他们校对和审核报送文件，这样一来，公司放弃了自己的填报职责，但却不能因此而推卸自身会计责任。在生成XBRL文件过程中，所产生的错误能够导致违规（例如，XBRL文件被美国公司报告的电子化数据收集、分析及检索系统（EDGAR）数据库拒收），而更为常见的是，这些错误能够导致XBRL文件信息不准确，以及XBRL数据与公司传统的超文本链接标示语言（HTML）报送信息不一致。

制作XBRL格式的财务报表需要应用财务报表、会计和XBRL相关知识。这正是内部审计人员可以提供重要协助的领域。内部审计人员可以协助公司确定该公司是否拥有健全的财务报告程序及公司是否为XBRL财务报告流程建立了相应的控制举措。具体而言，内部审计人员可以帮助公司评估是否为确保XBRL文件准确性而遵循了所需步骤，包括建立独立的内部审核流程，对员工进行充分培训以开展XBRL数据审核工作，以及拥有适当的工具以推进审核流程。

二、报送要求

在开始工作之前，内部审计人员需要了解SEC对XBRL报送的要求。SEC将只接受符合XBRL全球规范的XBRL有效报送，上述技术规范由XBRL国际组织（XBRL International）负责维护。XBRL国际组织是一个由公司、政府以及个人组成的联盟，致力于推进XBRL应用。此外，提交给SEC的XBRL文档还必须遵循EDGAR填报手册（EFM）的规定，该手册列示了公司需要遵守的各项规则。EFM旨在对XBRL文档进行约束，以便数据使用者可以对文档信息进行一致地分析。EFM适用于所有XBRL格式报送文件，包括年报、季报、共同基金风险回报预测、资源开采支出报告。

最后，XBRL报送文档中的信息应该与HTML报送文件中的信息保持一致。HTML报送文件是上市公司向EDGAR系统提交的传统报送文件，目前仍然需要与XBRL文件同时进行报送。这就是为什么公司需要对文档转换过程进行充分的控制。如果公司没有相应的程序去实施有关原则和标准，那么，在标记过程中会产生很多问题（详见下面的“XBRL报送文件常见问题”）。上述问题包括：

1、正数值被输入为负数值，或者相反。

2、数值在XBRL表格中的输入位置不恰当。

3、财务报表和附注中的匹配数值不相同。

4、标注财务报表行项目所使用的标签不恰当。

5、输入的项目数值单位不正确（例如，公司公众持股量为5亿万美元，但被输入为5,000美元，或者将500万美元的资产输入为50亿美元）。

6、公司创造新的扩展标签，但该标签已经存在于美国财务会计准则委员会（FASB）发布的标签列表（美国公认会计原则（GAAP）分类标准）中或SEC发布的各类概念中，这些概念覆盖了文档实体信息、国家及各州上市信息。

7、公司由于疏忽而未能列示出财务报表行项目与汇总数据之间的计算关系。

8、XBRL报送文件中缺少规定披露信息。

9、XBRL报送文件中的数值未能及时更新到每个文件。当报送年度财务报告时，这种情况尤为普遍。

10、数值错位，与原始HTML报送文件中的顺序不同。

虽然所有的XBRL申报文件都提交给SEC，但XBRL美国地区组织（XBRL US）也会对XBRL报送文件的各类错误进行检查。下面这张饼图总结了XBRL报送文件中常见的，亟待解决的问题。在某些案例中，这些不一致可能实际上并不代表XBRL文件存在错误，但却强调了原始HTML文件中存在的问题。XBRL US网站（http://xbrl.us）会实时更新下面这张饼图，并对数据不一致情况进行补充说明。

三、审计步骤

当审核所在组织的财务报告流程和控制举措时，内部审计人员应当确保XBRL报告已包含在审核范围之中。通常，XBRL被视为IT审计师的业务范畴。虽然XBRL的编制及使用在很大程度上依赖于IT的各种流程，但是还有一些人工审核步骤必须予以执行。审计小组成员除了需要对财务报告披露的流程和控制有很好的理解外，还应当了解XBRL是如何操作的，这样他们才能够迅速和有效地识别出组织内部XBRL编制流程的控制缺陷。为了对上述工作有所准备，审计人员可以参考美国注册会计师协会（AICPA）XBRL鉴证工作小组出版的两份资料：《执行XBRL标记数据完整性、准确性以及一致性的商定程序业务（标准审计流程SOP 09-1）》；以及最近发布的《XBRL格式信息的原则和标准》，该份资料详细列明了作为XBRL报送文件编制工作的一部分，组织应执行的审核流程和主要审核类别。通过采取以下步骤，内部审计师将获得所需信息以评价其所在组织XBRL流程中存在的风险，并向组织建议规避上述风险所需要的流程。

1、流程审核

内部审计师需要审核XBRL 报送文件的编制流程。《XBRL格式信息的原则和标准》为XBRL格式信息的编制者、审核者、执业者以及使用者提供了评价基础。该份文件详细描述了四项原则，可用于评价XBRL格式信息的质量：

（1）XBRL文件的完整性。

（2）映射的源信息。

（3）XBRL文件与源信息的一致性。

（4）XBRL文件的结构。

上述原则应当与所在组织的报告环境要求结合起来运用。内部审计人员应当向外部报告编制人员提出的问题包括：1）公司的XBRL文件是否与传统HTML文件的数据报送相一致？2）XBRL文件是否涵盖了传统报送文件中除了管理层讨论与分析外财务报表所有的文字性说明？3）公司生成的数据是否与同行业其他公司XBRL文件中的数据保持一致？4）XBRL文件是否满足结构性及技术性要求？是否能被EDGAR接受并可为XBRL软件所运用？5）公司生成的数据是否准确？是否传达了外部报告编制团队的意图？

2、知识经验审核

内部审计人员应当评估财务报告编制人员的XBRL知识水平和经验积累。为了评估财务报告编制人员是否具备适当的经验，内部审计人员应当询问：1）员工是否接受适当的培训？2）员工是否参加了足够的培训课程？这些课程应以美国公认会计原则（U.S.GAAP）分类标准和相关XBRL流程为重点，而非如何使用所在组织的XBRL创建软件。3）他们是否在XBRL创建方面接受职业继续教育？或者他们是否拥有可证明其XBRL知识水平的证书？AICPA与XBRL US（美国地区致力于XBRL报告的非营利团体））正联手开发美国公认会计原则XBRL证书项目（XBRL US GAAP Certificate Program），以解决不同报告组织对XBRL经验要求不同的问题。预计该项认证将于2013年年中推出。

3、XBRL工具审核

鉴于XBRL报送文件的规模和复杂性，组织需要自动化的工具来确认XBRL文件的有效性，确认其是否符合EFM要求以及是否与U.S.GAAP分类标准保持一致。内部审计人员应当与外部报告小组确认上述工具的到位情况。大部分用于编制XBRL文件的软件都具备XBRL规范验证及EFM验证。内部审计人员还应当实施其他几项自动化步骤用以确定XBRL文件是否与U.S.GAAP分类标准以及HTML文件保持一致。如若不然，文件报送者至少应当使用SEC的渲染引擎来浏览XBRL文件。SEC的渲染引擎是其网站上提供的一个预览工具，可以帮助用户测试其XBRL报送文件通过EDGAR提交后，将如何在网站上呈现出来。一旦公司完成了EDGAR交互数据提交工作，渲染引擎的结果就会与正式报送文件一起在SEC的网站上公布出来。

除了比较报送文件的完整性，文件报送者还应当将XBRL报送文件与同行报送文件以及前期报送文件自动进行比对检查。内部审计人员应当确认外部报告团队拥有适当的工具来执行上述评估。XBRL US提供了自动化工具来协助这一流程；组织的“一致性检查工具”包含了13,000多个规则，可用来检查报送文件的一致性，并识别存在的问题。

4、分类标准的更新审核

内部审计人员需要确定其所在组织使用的XBRL分类标准是否经过批准。XBRL分类标准是文件报送者向SEC提交报送文件时必须使用的一系列标签。这些标签每年都会更新并重新发布。这就意味着报送者至少每两年就需要对其所使用的分类标准进行更新。虽然FASB每年都会发布新的分类标准，但目前SEC允许报送者在指定时间期限内继续使用旧版分类标准。实际上，这就意味着永远有两个版本的分类标准可供报送者选择。新发布的分类标准对公司来说是一项新的控制风险，因为新的标签需要采用而现有标签将被替换。审计人员需要确保公司拥有足够的控制举措，能够使用新的分类标准来更新报送文件，检查分类标准废除元素在公司报送文件中是否已被替换，以及评估新概念以确定是否应当替换扩展元素。

四、全球风险与日俱增

XBRL报告在全球迅速兴起，正成为向监管者及投资者提交报告的标准方式。比如在澳大利亚，公司需按要求以XBRL形式向所有监管机构提交报告，这种报告方式被称为“标准商业报告”（SBR），旨在降低公司报告负担，避免重复向多个监管机构提交报告。而在美国，除了SEC外，向联邦存款保险公司（FDIC）提交报告时也需要采用XBRL形式。

就像SEC要求那样，世界各地的监管机构都希望公司提交的信息完整、准确并且可靠。不准确的XBRL格式报告意味着公司面临着一项日益增加的风险。内部审计部门应当意识到上述风险，并制定相应的审计程序以确定现有控制举措是否适当，管理是否明确，功能发挥是否满足设计要求，以及在整个组织中是否得到传达。

校对：张翔

中国会计视野2013年7月30日8：57发布，转载请注明来源和作者。

原文链接：http://xbrl.us/News/Pages/20130517.aspx

英文新闻：http://www.xbrl-cn.org/2013/0730/92734.shtml