ＸＡＲＬ——可提供驗證信息的會計報告語言相關問題探討

［摘 要］ 網(wǎng)絡財務報告中的數(shù)據(jù)能否安全、準確地進行交換，對商業(yè)交易有重大影響。本文主要探討基于XBRL的財務報告所面臨的風險，為XBRL提供驗證信息的XARL驗證方法、安全問題，以及如何將XARL作為Web服務。

［關鍵詞］ 網(wǎng)絡財務報告；XBRL；XARL；Web服務

［中圖分類號］F232［文獻標識碼］A［文章編號］1673-0194（2008）17-0006-04

隨著互聯(lián)網(wǎng)的普及，越來越多的企業(yè)在網(wǎng)絡上發(fā)布其財務信息。目前，企業(yè)發(fā)布財務信息較多采用的是HTML網(wǎng)頁、Word格式、E-mail或各種專用數(shù)據(jù)系統(tǒng)提供。由于PDF、HTML等格式表示的報告之間互不兼容，使企業(yè)間的珍貴資料交換和內容再利用受到了限制。因此，在1999年，由6家信息技術公司和五大會計師事務所組建成的臨時委員會，推出了XBRL(可擴展商業(yè)報告語言)，并成立XBRL國際組織，現(xiàn)已有世界各國成員250多個。在我國有關XBRL的探討也日漸增多，2005年5月，上海證券交易所正式獲準成為XBRL國際組織的會員。XBRL的網(wǎng)絡財務報告除了較多的優(yōu)點外，也面臨著種種安全風險。

一、 基于XBRL的網(wǎng)絡財務報告面臨的風險

組成網(wǎng)絡的計算機系統(tǒng)的脆弱性以及人為的攻擊因素，構成對計算機網(wǎng)絡潛在安全的威脅，而安全問題將直接影響網(wǎng)絡財務報告工作平臺的穩(wěn)定性和可靠性。而基于XBRL的財務報告的風險所面臨的安全風險，還來自于XBRL的特征：分類標準能否被正確運用；標簽與數(shù)據(jù)的映射是否完整、準確。

1. 分類標準的使用

XBRL財務報告中的數(shù)據(jù)描述是由其所使用的分類標準決定的。開發(fā)分類標準是為了體現(xiàn)向監(jiān)管機關報送財務報告所使用的規(guī)則，如一般通用會計準則或格式。分類標準的使用必須與生成的財務報表的預期用途一致。企業(yè)有必要在實施時有一套系統(tǒng)來確保用于編制財務報告的分類標準的恰當性。這要求使用分類標準的人員了解特定財務報告，對分類標準能夠合理、有效地使用。否則，所生成的財務報告就不是人們所預期的。

2. 標記數(shù)據(jù)的準確性和完整性

對XBRL財務報告的數(shù)據(jù)標記應是完整和準確的。這些標記信息包括：應用的標記、標記所應用的數(shù)據(jù)元素，以及經(jīng)標記的數(shù)據(jù)元素與采用的特定分類標準的一致性。對于標記的正確性、完整性，需要專門的程序對軟件系統(tǒng)中的標記加以檢查，例如新數(shù)據(jù)元素或是新的科目都已被標記，不能有遺漏。

另外，當財務信息以實時的方式流動，財務報表中的錯誤風險將增加，增加的程度取決于對數(shù)據(jù)變化的控制和對數(shù)據(jù)到標記映射過程的控制。對于以實時方式生成的財務報表，則需要有一套更為復雜的程序，以保證標記數(shù)據(jù)的任何變化都得到恰當?shù)目刂?，確保持續(xù)報告中標記數(shù)據(jù)的完整性和準確性。這也許會要求使用持續(xù)性驗證技術，例如在線監(jiān)視和例外報告軟件，以及其他計算機輔助驗證技術。

考慮到使用XBRL的特有風險，在2002年由Waterloo大學的J. E. Boritzand和 W. G. No提出了一種可提供驗證信息的會計報告語言——XARL（eXtensible Assurance Reporting Language）。

二、 XARL可提供驗證信息的會計報告語言

XARL是建立在XML基礎上的語言，依靠被認可的驗證過程和安全技術來加強網(wǎng)上信息的可靠性。當XARL、XBRL和保證信息完整性的基礎結構相結合后，XARL就可以為網(wǎng)絡財務信息的可靠性提供驗證。一個XARL文檔中的分類標準包含有一些特殊標簽，它們分別表示驗證類型、驗證日期、驗證人員的數(shù)字簽名、系統(tǒng)可靠性等。使用者可以方便地辨別驗證的類型、驗證期限、驗證者姓名以及驗證標準的來源。

1. XARL如何驗證XBRL報告

XBRL文檔由A公司的會計信息系統(tǒng)與XBRL分類標準生成，并提交給驗證服務商B驗證，驗證的過程主要是用程序對數(shù)據(jù)進行分析和收集其他證據(jù)，以支持財務報表中的數(shù)據(jù)和披露XBRL分類標準使用是否準確，標記的數(shù)據(jù)是否準確和完整，從而降低XBRL的安全風險。然后，B驗證公司將XBRL文檔和商業(yè)報告要素相關的驗證信息與得到認可的XARL分類標準元素進行匹配，最后生成XARL文檔。包含在XARL文檔中的驗證信息可以是針對整個財務報告或個別財務報表的，也可以是針對財務報表的某個項目的。還可以對以財務信息為基礎的公司信息系統(tǒng)和控制系統(tǒng)進行驗證。當用戶想得到經(jīng)過驗證的A公司財務報告時，需要向B驗證公司取得XARL文檔。這一過程中，一般使用公共密鑰結構。B驗證公司用公共密鑰將XARL加密，當使用者申請時提供公共密鑰，經(jīng)加密后的XARL就傳送到用戶，用戶就可以使用私人密鑰和驗證者的公鑰解密了。并且用戶能夠利用多種工具（如較常用的CSS和XSLT）將XARL轉換成其他格式，如PDF、HTML文檔。該過程可以用圖1表示。

2. XARL文檔的驗證特點

XBRL文檔自身也可以提供部分驗證信息，但與XARL相比，所提供的安全保障是有局限的?？梢詮囊韵?個方面來看：

（1）從驗證要素來看，XBRL所提供的驗證要素是

XBRL分類標準的一部分，而XARL的驗證要素是獨立的分類標準，目前已發(fā)展到XARL 2.0。XARL 1.0和 XARL 2.0有一定的區(qū)別，XARL 1.0僅是基于XML，只為XBRL文檔提供驗證，而XARL 2.0考慮了其他XML格式相容的問題，是基于Web服務的，除了XBRL文檔外，還可以為其他基于XML格式的信息提供驗證，本文下面將加以闡述。

（2）從驗證范圍來看，XBRL的驗證只針對整個財務報告，只提供有關財務報告的信息，而XARL文檔的驗證不僅提供整個財務報告的認證，還可以對單個財務報表或財務報表中的具體項目提供驗證。

（3）從驗證信息是否分離來看，XBRL所提供的驗證信息是XBRL文檔中一部分，不能分離，而XARL的驗證信息可以作為獨立的文檔提供，也可以與XBRL一起提供。

3. XARL中的安全問題

XARL是XBRL的擴展，是用來對XBRL提供驗證的，但XARL也是基于XML的，如果沒有適宜的安全措施，XARL文檔也有可能被非法截獲、更改。一般的訪問控制如密碼控制是遠遠不夠的。目前，有兩種方案，一種是面向連接的安全措施，就是使用標準技術以確保在互聯(lián)網(wǎng)上的應用程序和所傳輸數(shù)據(jù)的安全；其中3種最常用的協(xié)議是SSL/TLS(安全套接層協(xié)議)、S-HTTP(安全超文本傳輸協(xié)議)和VPN(虛擬專用網(wǎng))，這3種技術已被證明是有效的，以保證XBRL和XARL的傳輸。另一種方案是點對點的安全措施，與面向連接相比，這種面向安全措施不依靠某一種協(xié)議。這對XARL十分重要，使得XARL的應用可以不考慮用戶的系統(tǒng)或平臺；這需要使用一種或幾種基于XML的安全標準，如XML加密、XML簽名、XKMS（XML密鑰管理規(guī)范)、SAML（安全判斷提示標示語言）、XACML（可擴展訪問控制標示語言）。

三、 將XARL作為Web服務

XARL1.0僅局限于驗證XBRL文檔，限制了XARL的應用。除了XBRL，還有許多基于XML擴展的語言，如FpXML——金融產(chǎn)品標記語言，是互換信貸、衍生工具和結構化產(chǎn)品的XML標準，對XBRL的驗證只是其中的一部分。因此，XARL 2.0與W3C提出的Web服務框架相聯(lián)系，將XARL作為Web服務是XARL的發(fā)展必然方向。J. E. Boritz 和W. G. No（2004年）提出將XBRL、XARL作為Web服務。

Web服務是建立可互操作的分布式應用程序的平臺。它是一套標準，定義了應用程序如何在Web上實現(xiàn)互操作性?？梢杂萌魏握Z言，在任何平臺上寫Web服務，只需要通過這套標準對這些服務進行查詢和訪問。它具有互操作性、普遍性、易于使用性和行業(yè)支持的特點。微軟的 .Net 平臺、J2EE都支持 Web服務。Web服務標準的基本部分包括 HTTP、XML、SOAP(簡單對象訪問協(xié)議——用 XML 實現(xiàn) Web service 的標準協(xié)議)、WSDL(XML Web services Description Language，描述Web service 的語言規(guī)范，相當于訪問Web Service 的接口)、UDDI(UniversalDescription，Discovery and Integration， UDDI—Web Service的黃頁)。XML是最適合跨平臺交換數(shù)據(jù)的標記語言。SOAP以XML形式提供了一個簡單、輕量的用于在分散或分布環(huán)境中交換結構化和類型信息的機制。WSDL是提供描述服務 IDL標準方法的 XML 詞匯。UDDI（通用描述、發(fā)現(xiàn)和集成協(xié)議）是一套基于Web的、分布式的、為Web Service提供、信息注冊中心的標準規(guī)范。用一句話描述Web服務的過程就是：通過 SOAP 在 Web 上提供軟件服務，使用 WSDL 文件進行說明，并通過 UDDI 進行注冊。

XARL服務，就如同互聯(lián)網(wǎng)上提供的其他服務一樣（如提供股票價格查詢的服務），利用UDDI注冊，使用 WSDL 文件說明服務功能，其主要功能是為不同運行平臺下的應用軟件之間，通過網(wǎng)絡編制、發(fā)布和交換可靠的財務信息。當用戶需要XARL服務時，通過網(wǎng)絡發(fā)出請求。但在大部分情況下，請求由某一代理來執(zhí)行，所謂代理就是搜尋服務，并與服務交互的應用軟件。XARL服務的提供者，即圖1所示的認證提供者，是有能力提供和被授權提供由服務申請者申請的一系列行為和功能的實體。當代理軟件發(fā)現(xiàn)請求時，驗證用戶所提供的XBRL或其他基于XML的信息，并生成XARL文檔，完成對信息的驗證。

但Web服務的安全與前面的XML安全又有很大不同。為推動Web服務的發(fā)展，從2002年起，由IBM、微軟等的眾多軟件商，陸續(xù)提出了為保障Web服務的安全的一系列標準：WS-Security、 WS-Policy、WS-Trust、WS-Secure Conversations、WS-Privacy 等。其中最重要的是WS-Security，前面提及的XML簽名、XML加密和SAML等技術可以用于和Web服務安全完全不同的目的，而WS-Security說明如何將這些技術用于Web服務安全。WS-Security定義了安全令牌如何包含在SOAP消息中、XML安全規(guī)范如何簽名和加密這些令牌、如何簽名和加密SOAP消息的其他部分。將XARL作為Web服務能夠使企業(yè)發(fā)送具有數(shù)字簽名的消息，確保文檔在傳輸過程中沒有被第三方篡改，而其他的規(guī)范是在WS-Security 基礎上逐漸建立的。

四、 小 結

基于XBRL的網(wǎng)絡財務報告有望成為全球共同的企業(yè)報告語言， XARL與XBRL結合運用，對于出具財務報告的公司而言，可以減少說明信息可靠性的成本，對于報告使用者可以更容易判斷其收到的信息是否完整和安全。因為包括XBRL在內的許多標記性語言本身在不斷發(fā)展，提供驗證的XARL有很多的問題尚未解決，本文提到的安全問題僅是其中的一個。目前來看，國外有關XARL的文獻不是很多， 主要來自于Waterloo大學的J. E. Boritzand 和W. G. No。國內對XBRL的應用及理論研究全是照搬國外的，XBRL的應用也主要在證券交易所，對XARL的研究更是有限，因此需要更多熟練掌握計算機、財務的人員投入到該項研究之中。

主要參考文獻

［1］ 高斌. 一種可以提供驗證信息的會計報告語言——XARL［J］. 中國會計電算化，2004（5）.

［2］ 牛艷芳. XBRL：審計師的新工具［J］. 財會通訊：綜合版，2005（11）.

［3］ 姜靈敏. 網(wǎng)絡會計安全問題研究［M］. 成都：西南財經(jīng)大學出版社，2002.

［4］ 沈穎玲. 網(wǎng)絡財務報告研究［M］. 上海：立信會計出版社，2005.

［5］ ［美］Scott Seely. SOAP：XML跨平臺Web Service開發(fā)技術［M］. 北京：機械工業(yè)出版社，2002.

［6］ ［美］Mark O’Neil. Web 服務安全技術與原理［M］. 北京：清華大學出版社，2003.

［7］ J E Boritzand W G No. Assurance Reporting for XML-Based Information Services：XARL［J］. Canadian Accouting Perspectives，2004，3（2）.

［8］ J E Boritzand W G No. Security in XML-Based Financial Reporting Services on the Internet［J］. Journal of Accounting and Public Policy，2005，24（1）.