眾所周知，相比傳統(tǒng)紙質(zhì)財(cái)務(wù)報(bào)告，網(wǎng)絡(luò)財(cái)務(wù)報(bào)告（以下簡(jiǎn)稱(chēng)“網(wǎng)上報(bào)告”）的出現(xiàn)和發(fā)展在很大程度上提高了公司財(cái)務(wù)報(bào)告服務(wù)的效率和質(zhì)量。然而，公司網(wǎng)絡(luò)財(cái)務(wù)信息量的增長(zhǎng)又引發(fā)了信息過(guò)濾等問(wèn)題，電子商務(wù)的發(fā)展使得數(shù)據(jù)交換、數(shù)據(jù)搜索和多視窗數(shù)據(jù)的生成顯得愈發(fā)重要?？蓴U(kuò)展標(biāo)記語(yǔ)言（XML）的開(kāi)發(fā)克服了目前廣泛運(yùn)用于網(wǎng)上報(bào)告的超文本標(biāo)記語(yǔ)言（HTML）可擴(kuò)展性差的缺陷，而基于X M L的可擴(kuò)展的企業(yè)報(bào)告語(yǔ)言（XBRL）正作為一種全球的、數(shù)字的新型商業(yè)語(yǔ)言，力圖使全球財(cái)務(wù)機(jī)構(gòu)實(shí)現(xiàn)自動(dòng)交換和可靠匯總多語(yǔ)言、多種公認(rèn)會(huì)計(jì)原則編制的財(cái)務(wù)信息。這意味著信息使用者幾乎可以在鼠標(biāo)點(diǎn)擊瞬間獲取所需的信息。然而，XBRL仍然存在可靠性和安全性方面的隱患。在網(wǎng)絡(luò)信息安全問(wèn)題日益凸現(xiàn)的今天，財(cái)務(wù)信息的可靠性還取決于對(duì)信息所進(jìn)行的驗(yàn)證，以及保護(hù)信息在網(wǎng)上傳遞過(guò)程中的安全措施，XBRL對(duì)此卻束手無(wú)策。針對(duì)XBRL無(wú)法提供驗(yàn)證信息的弱點(diǎn)，國(guó)外學(xué)者在XBRL基礎(chǔ)上提出了可擴(kuò)展驗(yàn)證報(bào)告語(yǔ)言（ExtensibleAssuranceReportingLanguage，以下簡(jiǎn)稱(chēng)XARL），試圖使記錄于XBRL文檔中的信息可靠性得到增強(qiáng)。另外，國(guó)外研發(fā)成功的一整套全新的網(wǎng)絡(luò)服務(wù)安全模式（Web Services Security Model，以下簡(jiǎn)稱(chēng)WSSM）初步解決了數(shù)據(jù)交換實(shí)際運(yùn)作中遇到的安全問(wèn)題。

　　一、網(wǎng)上報(bào)告服務(wù)面臨的安全威脅與WSSM

　　網(wǎng)上報(bào)告服務(wù)的目的是為網(wǎng)絡(luò)中處于各種系統(tǒng)下的合法信息使用者及時(shí)提供安全可靠的財(cái)務(wù)信息。網(wǎng)絡(luò)財(cái)務(wù)信息的可靠性既取決于產(chǎn)生XBRL文檔的過(guò)程的可靠性，又取決于對(duì)信息進(jìn)行驗(yàn)證的程序、程度和及時(shí)性，還取決于保證信息在網(wǎng)上完整傳遞的安全程度。就網(wǎng)絡(luò)技術(shù)而言，雖然XML與HTML相比已經(jīng)顯現(xiàn)出較大的先進(jìn)性，但它與其他網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)（如SOAP、WSDL和UDDI）一樣，本身在設(shè)計(jì)時(shí)并沒(méi)有太多地考慮安全性問(wèn)題。因此，以這些網(wǎng)絡(luò)技術(shù)為基礎(chǔ)的網(wǎng)上報(bào)告服務(wù)存在固有的不安全隱患。目前網(wǎng)上報(bào)告服務(wù)面臨的安全威脅主要包括信息篡改、信息泄露、中間人攻擊（MessageSubstitution）、IP地址欺騙（IP Spoofing）、數(shù)據(jù)包監(jiān)測(cè)（Packet Sniffing）、計(jì)算機(jī)病毒等。它們對(duì)網(wǎng)上報(bào)告服務(wù)的安全要求提出了嚴(yán)峻的挑戰(zhàn)。

　　當(dāng)前，針對(duì)網(wǎng)絡(luò)信息傳輸安全問(wèn)題的主要解決措施，如要求使用者提供授權(quán)的ID號(hào)和密碼，以及點(diǎn)對(duì)點(diǎn)的安全傳輸模式（如SSL/TLS，S-HTTP和VPN）等，都存在較大缺陷。譬如，SSL/TLS，S-HTTP和VPN不僅不能保證跨多個(gè)中介體的XBRL和XARL傳輸?shù)亩说蕉说陌踩裕乙矡o(wú)法解決僅為文檔的某個(gè)特定的部分進(jìn)行加密的問(wèn)題。而對(duì)以XML為基礎(chǔ)的網(wǎng)絡(luò)服務(wù)提出的包括XML加密術(shù)（XML Encryption）、XML數(shù)字簽名（XML Signature）等在內(nèi)的安全方案盡管能在一定程度上有效改善財(cái)務(wù)報(bào)告服務(wù)的安全性，但商業(yè)環(huán)境的復(fù)雜性以及各方案基礎(chǔ)構(gòu)造要求的不盡相同，卻使得要將這些方法整合使用非常困難，只要在由這些方案所構(gòu)建的安全體系中出現(xiàn)了一個(gè)易受攻擊的環(huán)節(jié)，剩余部分的安全保障即將遭受蠶食。

　　為了使網(wǎng)絡(luò)服務(wù)能夠真正達(dá)到安全可靠且易于操作，IBM、Microsoft和VeriSign在其聯(lián)合發(fā)布的《Web服務(wù)安全白皮書(shū)》中給出了一系列安全性規(guī)范，并于2004年初成功研發(fā)了WSSM，以期解決數(shù)據(jù)交換在實(shí)際運(yùn)作中遇到的問(wèn)題。WSSM建立在SOAP標(biāo)準(zhǔn)規(guī)范上，并且能夠確保SOAP信息在傳輸過(guò)程中的保密性、完整性、真實(shí)性、可驗(yàn)證性及可靠性。WSSM具體包括以下幾種規(guī)范：網(wǎng)絡(luò)服務(wù)安全（WS-Security）、網(wǎng)絡(luò)服務(wù)端點(diǎn)策略（WS-Policy）、網(wǎng)絡(luò)服務(wù)信任（WS-Trust）、網(wǎng)絡(luò)服務(wù)隱私（WS-Privacy）、網(wǎng)絡(luò)服務(wù)安全會(huì)話（WS-SecureConversation）、網(wǎng)絡(luò)服務(wù)聯(lián)盟規(guī)范（WS-Federation）和網(wǎng)絡(luò)服務(wù)授權(quán)（WS-Authorization）等。鑒于WSSM提供了一種端到端的安全方案，并且能處理網(wǎng)絡(luò)信息服務(wù)中的大多數(shù)安全問(wèn)題，我們相信，將XARL與WSSM兩種技術(shù)相結(jié)合，必能構(gòu)建一種可滿(mǎn)足之前所提到的網(wǎng)上報(bào)告服務(wù)安全要求的安全體系。

　　二、信息流程再造：基于XBRL的無(wú)縫化網(wǎng)上報(bào)告安全體系

　　作為基于XBRL的網(wǎng)上報(bào)告信息鏈的兩端，上市公司和信息使用者的利益與信息鏈的穩(wěn)固程度密切相關(guān)。當(dāng)網(wǎng)上報(bào)告面臨的可靠性（信息生成）和安全性（信息傳輸）威脅頻繁地考驗(yàn)信息鏈的穩(wěn)固性時(shí)，XARL和WSSM的提出和開(kāi)發(fā)無(wú)疑為我們創(chuàng)建保障XBRL網(wǎng)上報(bào)告的安全體系提供了嶄新的思路。我們依循XARL的設(shè)計(jì)理念，結(jié)合WSSM，嘗試構(gòu)建一種基于XBRL的無(wú)縫化網(wǎng)上報(bào)告安全體系。在我們構(gòu)想的這個(gè)網(wǎng)絡(luò)財(cái)務(wù)報(bào)告安全體系中主要涉及到XBRL及XARL分類(lèi)標(biāo)準(zhǔn)制定機(jī)構(gòu)（提供XBRL及XARL分類(lèi)標(biāo)準(zhǔn)），上市公司（對(duì)外提供XBRL服務(wù)），專(zhuān)門(mén)的驗(yàn)證公司（對(duì)外提供XARL服務(wù)），公共的UDDI注冊(cè)中心（提供UDDI注冊(cè)與發(fā)現(xiàn)等服務(wù)），獨(dú)立的第三方認(rèn)證機(jī)構(gòu)（提供身份核實(shí)服務(wù)），以及信息用戶(hù)這幾方。具體流程如下：

　　1. XBRL及XARL分類(lèi)標(biāo)準(zhǔn)制定機(jī)構(gòu)分別使用安全令牌對(duì)XBRL及XARL分類(lèi)標(biāo)準(zhǔn)進(jìn)行數(shù)字簽名（WS-Security），然后以經(jīng)SOAP編碼的XML消息方式（WSDL文檔）分別傳送給上市公司及驗(yàn)證公司。

　　2.上市公司應(yīng)用其會(huì)計(jì)信息系統(tǒng)對(duì)公司的業(yè)務(wù)或事項(xiàng)進(jìn)行確認(rèn)、計(jì)量、記錄，并生成財(cái)務(wù)信息。通過(guò)財(cái)務(wù)會(huì)計(jì)軟件將這些財(cái)務(wù)信息與接收到的XBRL分類(lèi)標(biāo)準(zhǔn)進(jìn)行匹配，生成XBRL文檔。經(jīng)核查軟件自動(dòng)核對(duì)并確認(rèn)有效后，XBRL文檔將被自動(dòng)存放于公司的數(shù)據(jù)庫(kù)中。由于公司內(nèi)外的財(cái)務(wù)信息需求都要從數(shù)據(jù)庫(kù)中得到滿(mǎn)足，因此數(shù)據(jù)庫(kù)應(yīng)該分別就隱私信息和可公開(kāi)信息設(shè)定訪問(wèn)權(quán)限（WS-Privacy）。相應(yīng)地，數(shù)據(jù)庫(kù)中的文檔被區(qū)分為隱私XBRL文檔和可公開(kāi)XBRL文檔。

　　3.當(dāng)上市公司收到來(lái)自驗(yàn)證公司的XBRL服務(wù)請(qǐng)求時(shí)，公司會(huì)通過(guò)第三方認(rèn)證機(jī)構(gòu)核實(shí)驗(yàn)證公司的合法性，即該驗(yàn)證公司是否擁有進(jìn)行X A R L驗(yàn)證的授權(quán)（W S -Authorization）。之后，上市公司將使用某種安全令牌對(duì)其可公開(kāi)XBRL文檔進(jìn)行數(shù)字簽名（如使用上市公司的私人密匙進(jìn)行數(shù)字簽名，再用驗(yàn)證公司的公開(kāi)密匙加密），以WSDL文檔傳送給合法的驗(yàn)證公司（WS-Trust）。當(dāng)然，驗(yàn)證公司也將通過(guò)第三方認(rèn)證機(jī)構(gòu)來(lái)核實(shí)上市公司的合法性。

　　4.驗(yàn)證公司對(duì)收到的XBRL信息實(shí)施驗(yàn)證程序，包括確認(rèn)信息生成過(guò)程的可靠性；利用程序?qū)?shù)據(jù)進(jìn)行分析并收集其他證據(jù)，以支持財(cái)務(wù)報(bào)表中的披露的數(shù)據(jù)；檢查XBRL代碼的有效性等。然后，驗(yàn)證公司將XBRL文檔中和財(cái)務(wù)報(bào)告要素相關(guān)的驗(yàn)證信息與接收到的XARL分類(lèi)標(biāo)準(zhǔn)元素進(jìn)行匹配，生成XARL文檔。其中，包含在XARL文檔中的驗(yàn)證信息可以是針對(duì)整個(gè)財(cái)務(wù)報(bào)告或個(gè)別財(cái)務(wù)報(bào)表的，也可以是針對(duì)財(cái)務(wù)報(bào)表中的某個(gè)項(xiàng)目的，還可以是對(duì)以財(cái)務(wù)信息為基礎(chǔ)的公司信息系統(tǒng)和控制系統(tǒng)進(jìn)行的驗(yàn)證。驗(yàn)證公司生成的XARL文檔也將被自動(dòng)核對(duì)，并存放于驗(yàn)證公司的數(shù)據(jù)庫(kù)中。

　　5.驗(yàn)證公司通過(guò)UDDI界面向公共的UDDI注冊(cè)中心公布經(jīng)SOAP編碼的XARL服務(wù)描述（servicedescription），該服務(wù)描述是使用安全令牌加密過(guò)的WSDL文檔。

　　6.當(dāng)信息用戶(hù)需要XARL信息時(shí)，需要向公共的UDDI注冊(cè)中心發(fā)送經(jīng)安全令牌加密的SOAP服務(wù)請(qǐng)求。注冊(cè)中心接受請(qǐng)求后進(jìn)行相應(yīng)搜索，并將搜索到的適當(dāng)?shù)腦ARL服務(wù)描述返回給信息用戶(hù)。信息用戶(hù)可以據(jù)此向發(fā)布該XARL服務(wù)描述的驗(yàn)證公司發(fā)送SOAP請(qǐng)求，直接綁定和調(diào)用XARL服務(wù)。在向驗(yàn)證公司提供從第三方認(rèn)證機(jī)構(gòu)獲得的公開(kāi)密匙，核實(shí)用戶(hù)的身份之后，用戶(hù)最終將獲得附有正確樣式單的XARL文檔。該XARL文檔利用PGP密匙體系（對(duì)稱(chēng)密匙加密和不對(duì)稱(chēng)密匙加密相結(jié)合的加密方法）加密，進(jìn)一步確保財(cái)務(wù)信息在傳輸過(guò)程中的安全性。

　　7.信息用戶(hù)可以通過(guò)第三方認(rèn)證機(jī)構(gòu)來(lái)核實(shí)驗(yàn)證公司的合法性。最后，信息用戶(hù)根據(jù)PGP加密法用私人密匙即可對(duì)XARL文檔解密并使用。用戶(hù)完全可以將財(cái)務(wù)報(bào)表導(dǎo)入到Excel表來(lái)計(jì)算一些財(cái)務(wù)比率，也可以通過(guò)格式轉(zhuǎn)換軟件將文檔轉(zhuǎn)換成HTML格式文檔、電子表或數(shù)據(jù)庫(kù)。一旦在XARL服務(wù)的需求方與提供方之間建立起一種綁定關(guān)系，Excel中的財(cái)務(wù)信息就能夠持續(xù)地更新（WSSecureConversation）。

　　有了WS-Policy描述，信息用戶(hù)還能核實(shí)一些特定的個(gè)人安全要求是否得到滿(mǎn)足。另外，WS-Policy、WS-Trust和WS-Privacy能夠用于確保信息已經(jīng)過(guò)認(rèn)證，以及使企業(yè)明確信息如何與他人共享。值得特別指出的是，在WSTrust、WS-Authorization、WS-Federation、和WSSecureConversation的共同作用下，網(wǎng)上報(bào)告服務(wù)還能夠與其他的網(wǎng)絡(luò)服務(wù)建立起聯(lián)合的信任關(guān)系（甚至與一些可能采用了不同安全技術(shù)支持的計(jì)算機(jī)系統(tǒng)），這使信息用戶(hù)在使用網(wǎng)上報(bào)告服務(wù)時(shí)，還可以方便地同時(shí)使用其它的網(wǎng)絡(luò)服務(wù)（如股票投資服務(wù)）。

　　如以上流程所述，專(zhuān)門(mén)的驗(yàn)證公司在流程中扮演重要的角色，包括對(duì)報(bào)告XBRL文檔在內(nèi)的財(cái)務(wù)信息進(jìn)行驗(yàn)證，檢查XBRL代碼的有效性，匹配并生成XARL文檔等等。從現(xiàn)階段以及將來(lái)XBRL的發(fā)展來(lái)看，會(huì)計(jì)師事務(wù)所可以飾演專(zhuān)門(mén)的驗(yàn)證公司的角色對(duì)外提供XARL服務(wù)。如此，注冊(cè)會(huì)計(jì)師不僅需要對(duì)公司財(cái)務(wù)報(bào)表的合法性、公允性以及會(huì)計(jì)政策的一貫性進(jìn)行審計(jì)，還需要對(duì)報(bào)告XBRL文檔在內(nèi)的財(cái)務(wù)信息進(jìn)行驗(yàn)證，并據(jù)此提出XARL文檔等服務(wù)。可以說(shuō)，XBRL的發(fā)展擴(kuò)大了傳統(tǒng)的驗(yàn)證業(yè)務(wù)的范圍，審計(jì)功能得到了進(jìn)一步的提升。XBRL還將促進(jìn)注冊(cè)會(huì)計(jì)師執(zhí)業(yè)模式的多樣化，使注冊(cè)會(huì)計(jì)師利用網(wǎng)絡(luò)快速及時(shí)地獲取和使用信息成為可能。

　　本文系國(guó)家自然科學(xué)基金資助項(xiàng)目<批準(zhǔn)號(hào)：70372024 >的階段性研究成果，作者單位：福州大學(xué)管理學(xué)院。