眾所周知，相比傳統(tǒng)紙質(zhì)財(cái)務(wù)報(bào)告，網(wǎng)絡(luò)財(cái)務(wù)報(bào)告（以下簡稱“網(wǎng)上報(bào)告”）的出現(xiàn)和發(fā)展在很大程度上提高了公司財(cái)務(wù)報(bào)告服務(wù)的效率和質(zhì)量。然而，公司網(wǎng)絡(luò)財(cái)務(wù)信息量的增長又引發(fā)了信息過濾等問題，電子商務(wù)的發(fā)展使得數(shù)據(jù)交換、數(shù)據(jù)搜索和多視窗數(shù)據(jù)的生成顯得愈發(fā)重要。可擴(kuò)展標(biāo)記語言（XML）的開發(fā)克服了目前廣泛運(yùn)用于網(wǎng)上報(bào)告的超文本標(biāo)記語言（HTML）可擴(kuò)展性差的缺陷，而基于X M L的可擴(kuò)展的企業(yè)報(bào)告語言（XBRL）正作為一種全球的、數(shù)字的新型商業(yè)語言，力圖使全球財(cái)務(wù)機(jī)構(gòu)實(shí)現(xiàn)自動交換和可靠匯總多語言、多種公認(rèn)會計(jì)原則編制的財(cái)務(wù)信息。這意味著信息使用者幾乎可以在鼠標(biāo)點(diǎn)擊瞬間獲取所需的信息。然而，XBRL仍然存在可靠性和安全性方面的隱患。在網(wǎng)絡(luò)信息安全問題日益凸現(xiàn)的今天，財(cái)務(wù)信息的可靠性還取決于對信息所進(jìn)行的驗(yàn)證，以及保護(hù)信息在網(wǎng)上傳遞過程中的安全措施，XBRL對此卻束手無策。針對XBRL無法提供驗(yàn)證信息的弱點(diǎn)，國外學(xué)者在XBRL基礎(chǔ)上提出了可擴(kuò)展驗(yàn)證報(bào)告語言（ExtensibleAssuranceReportingLanguage，以下簡稱XARL），試圖使記錄于XBRL文檔中的信息可靠性得到增強(qiáng)。另外，國外研發(fā)成功的一整套全新的網(wǎng)絡(luò)服務(wù)安全模式（Web Services Security Model，以下簡稱WSSM）初步解決了數(shù)據(jù)交換實(shí)際運(yùn)作中遇到的安全問題。

　　一、網(wǎng)上報(bào)告服務(wù)面臨的安全威脅與WSSM

　　網(wǎng)上報(bào)告服務(wù)的目的是為網(wǎng)絡(luò)中處于各種系統(tǒng)下的合法信息使用者及時(shí)提供安全可靠的財(cái)務(wù)信息。網(wǎng)絡(luò)財(cái)務(wù)信息的可靠性既取決于產(chǎn)生XBRL文檔的過程的可靠性，又取決于對信息進(jìn)行驗(yàn)證的程序、程度和及時(shí)性，還取決于保證信息在網(wǎng)上完整傳遞的安全程度。就網(wǎng)絡(luò)技術(shù)而言，雖然XML與HTML相比已經(jīng)顯現(xiàn)出較大的先進(jìn)性，但它與其他網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)（如SOAP、WSDL和UDDI）一樣，本身在設(shè)計(jì)時(shí)并沒有太多地考慮安全性問題。因此，以這些網(wǎng)絡(luò)技術(shù)為基礎(chǔ)的網(wǎng)上報(bào)告服務(wù)存在固有的不安全隱患。目前網(wǎng)上報(bào)告服務(wù)面臨的安全威脅主要包括信息篡改、信息泄露、中間人攻擊（MessageSubstitution）、IP地址欺騙（IP Spoofing）、數(shù)據(jù)包監(jiān)測（Packet Sniffing）、計(jì)算機(jī)病毒等。它們對網(wǎng)上報(bào)告服務(wù)的安全要求提出了嚴(yán)峻的挑戰(zhàn)。

　　當(dāng)前，針對網(wǎng)絡(luò)信息傳輸安全問題的主要解決措施，如要求使用者提供授權(quán)的ID號和密碼，以及點(diǎn)對點(diǎn)的安全傳輸模式（如SSL/TLS，S-HTTP和VPN）等，都存在較大缺陷。譬如，SSL/TLS，S-HTTP和VPN不僅不能保證跨多個中介體的XBRL和XARL傳輸?shù)亩说蕉说陌踩裕乙矡o法解決僅為文檔的某個特定的部分進(jìn)行加密的問題。而對以XML為基礎(chǔ)的網(wǎng)絡(luò)服務(wù)提出的包括XML加密術(shù)（XML Encryption）、XML數(shù)字簽名（XML Signature）等在內(nèi)的安全方案盡管能在一定程度上有效改善財(cái)務(wù)報(bào)告服務(wù)的安全性，但商業(yè)環(huán)境的復(fù)雜性以及各方案基礎(chǔ)構(gòu)造要求的不盡相同，卻使得要將這些方法整合使用非常困難，只要在由這些方案所構(gòu)建的安全體系中出現(xiàn)了一個易受攻擊的環(huán)節(jié)，剩余部分的安全保障即將遭受蠶食。

　　為了使網(wǎng)絡(luò)服務(wù)能夠真正達(dá)到安全可靠且易于操作，IBM、Microsoft和VeriSign在其聯(lián)合發(fā)布的《Web服務(wù)安全白皮書》中給出了一系列安全性規(guī)范，并于2004年初成功研發(fā)了WSSM，以期解決數(shù)據(jù)交換在實(shí)際運(yùn)作中遇到的問題。WSSM建立在SOAP標(biāo)準(zhǔn)規(guī)范上，并且能夠確保SOAP信息在傳輸過程中的保密性、完整性、真實(shí)性、可驗(yàn)證性及可靠性。WSSM具體包括以下幾種規(guī)范：網(wǎng)絡(luò)服務(wù)安全（WS-Security）、網(wǎng)絡(luò)服務(wù)端點(diǎn)策略（WS-Policy）、網(wǎng)絡(luò)服務(wù)信任（WS-Trust）、網(wǎng)絡(luò)服務(wù)隱私（WS-Privacy）、網(wǎng)絡(luò)服務(wù)安全會話（WS-SecureConversation）、網(wǎng)絡(luò)服務(wù)聯(lián)盟規(guī)范（WS-Federation）和網(wǎng)絡(luò)服務(wù)授權(quán)（WS-Authorization）等。鑒于WSSM提供了一種端到端的安全方案，并且能處理網(wǎng)絡(luò)信息服務(wù)中的大多數(shù)安全問題，我們相信，將XARL與WSSM兩種技術(shù)相結(jié)合，必能構(gòu)建一種可滿足之前所提到的網(wǎng)上報(bào)告服務(wù)安全要求的安全體系。

　　二、信息流程再造：基于XBRL的無縫化網(wǎng)上報(bào)告安全體系

　　作為基于XBRL的網(wǎng)上報(bào)告信息鏈的兩端，上市公司和信息使用者的利益與信息鏈的穩(wěn)固程度密切相關(guān)。當(dāng)網(wǎng)上報(bào)告面臨的可靠性（信息生成）和安全性（信息傳輸）威脅頻繁地考驗(yàn)信息鏈的穩(wěn)固性時(shí)，XARL和WSSM的提出和開發(fā)無疑為我們創(chuàng)建保障XBRL網(wǎng)上報(bào)告的安全體系提供了嶄新的思路。我們依循XARL的設(shè)計(jì)理念，結(jié)合WSSM，嘗試構(gòu)建一種基于XBRL的無縫化網(wǎng)上報(bào)告安全體系。在我們構(gòu)想的這個網(wǎng)絡(luò)財(cái)務(wù)報(bào)告安全體系中主要涉及到XBRL及XARL分類標(biāo)準(zhǔn)制定機(jī)構(gòu)（提供XBRL及XARL分類標(biāo)準(zhǔn)），上市公司（對外提供XBRL服務(wù)），專門的驗(yàn)證公司（對外提供XARL服務(wù)），公共的UDDI注冊中心（提供UDDI注冊與發(fā)現(xiàn)等服務(wù)），獨(dú)立的第三方認(rèn)證機(jī)構(gòu)（提供身份核實(shí)服務(wù)），以及信息用戶這幾方。具體流程如下：

　　1. XBRL及XARL分類標(biāo)準(zhǔn)制定機(jī)構(gòu)分別使用安全令牌對XBRL及XARL分類標(biāo)準(zhǔn)進(jìn)行數(shù)字簽名（WS-Security），然后以經(jīng)SOAP編碼的XML消息方式（WSDL文檔）分別傳送給上市公司及驗(yàn)證公司。

　　2.上市公司應(yīng)用其會計(jì)信息系統(tǒng)對公司的業(yè)務(wù)或事項(xiàng)進(jìn)行確認(rèn)、計(jì)量、記錄，并生成財(cái)務(wù)信息。通過財(cái)務(wù)會計(jì)軟件將這些財(cái)務(wù)信息與接收到的XBRL分類標(biāo)準(zhǔn)進(jìn)行匹配，生成XBRL文檔。經(jīng)核查軟件自動核對并確認(rèn)有效后，XBRL文檔將被自動存放于公司的數(shù)據(jù)庫中。由于公司內(nèi)外的財(cái)務(wù)信息需求都要從數(shù)據(jù)庫中得到滿足，因此數(shù)據(jù)庫應(yīng)該分別就隱私信息和可公開信息設(shè)定訪問權(quán)限（WS-Privacy）。相應(yīng)地，數(shù)據(jù)庫中的文檔被區(qū)分為隱私XBRL文檔和可公開XBRL文檔。

　　3.當(dāng)上市公司收到來自驗(yàn)證公司的XBRL服務(wù)請求時(shí)，公司會通過第三方認(rèn)證機(jī)構(gòu)核實(shí)驗(yàn)證公司的合法性，即該驗(yàn)證公司是否擁有進(jìn)行X A R L驗(yàn)證的授權(quán)（W S -Authorization）。之后，上市公司將使用某種安全令牌對其可公開XBRL文檔進(jìn)行數(shù)字簽名（如使用上市公司的私人密匙進(jìn)行數(shù)字簽名，再用驗(yàn)證公司的公開密匙加密），以WSDL文檔傳送給合法的驗(yàn)證公司（WS-Trust）。當(dāng)然，驗(yàn)證公司也將通過第三方認(rèn)證機(jī)構(gòu)來核實(shí)上市公司的合法性。

　　4.驗(yàn)證公司對收到的XBRL信息實(shí)施驗(yàn)證程序，包括確認(rèn)信息生成過程的可靠性；利用程序?qū)?shù)據(jù)進(jìn)行分析并收集其他證據(jù)，以支持財(cái)務(wù)報(bào)表中的披露的數(shù)據(jù)；檢查XBRL代碼的有效性等。然后，驗(yàn)證公司將XBRL文檔中和財(cái)務(wù)報(bào)告要素相關(guān)的驗(yàn)證信息與接收到的XARL分類標(biāo)準(zhǔn)元素進(jìn)行匹配，生成XARL文檔。其中，包含在XARL文檔中的驗(yàn)證信息可以是針對整個財(cái)務(wù)報(bào)告或個別財(cái)務(wù)報(bào)表的，也可以是針對財(cái)務(wù)報(bào)表中的某個項(xiàng)目的，還可以是對以財(cái)務(wù)信息為基礎(chǔ)的公司信息系統(tǒng)和控制系統(tǒng)進(jìn)行的驗(yàn)證。驗(yàn)證公司生成的XARL文檔也將被自動核對，并存放于驗(yàn)證公司的數(shù)據(jù)庫中。

　　5.驗(yàn)證公司通過UDDI界面向公共的UDDI注冊中心公布經(jīng)SOAP編碼的XARL服務(wù)描述（servicedescription），該服務(wù)描述是使用安全令牌加密過的WSDL文檔。

　　6.當(dāng)信息用戶需要XARL信息時(shí)，需要向公共的UDDI注冊中心發(fā)送經(jīng)安全令牌加密的SOAP服務(wù)請求。注冊中心接受請求后進(jìn)行相應(yīng)搜索，并將搜索到的適當(dāng)?shù)腦ARL服務(wù)描述返回給信息用戶。信息用戶可以據(jù)此向發(fā)布該XARL服務(wù)描述的驗(yàn)證公司發(fā)送SOAP請求，直接綁定和調(diào)用XARL服務(wù)。在向驗(yàn)證公司提供從第三方認(rèn)證機(jī)構(gòu)獲得的公開密匙，核實(shí)用戶的身份之后，用戶最終將獲得附有正確樣式單的XARL文檔。該XARL文檔利用PGP密匙體系（對稱密匙加密和不對稱密匙加密相結(jié)合的加密方法）加密，進(jìn)一步確保財(cái)務(wù)信息在傳輸過程中的安全性。

　　7.信息用戶可以通過第三方認(rèn)證機(jī)構(gòu)來核實(shí)驗(yàn)證公司的合法性。最后，信息用戶根據(jù)PGP加密法用私人密匙即可對XARL文檔解密并使用。用戶完全可以將財(cái)務(wù)報(bào)表導(dǎo)入到Excel表來計(jì)算一些財(cái)務(wù)比率，也可以通過格式轉(zhuǎn)換軟件將文檔轉(zhuǎn)換成HTML格式文檔、電子表或數(shù)據(jù)庫。一旦在XARL服務(wù)的需求方與提供方之間建立起一種綁定關(guān)系，Excel中的財(cái)務(wù)信息就能夠持續(xù)地更新（WSSecureConversation）。

　　有了WS-Policy描述，信息用戶還能核實(shí)一些特定的個人安全要求是否得到滿足。另外，WS-Policy、WS-Trust和WS-Privacy能夠用于確保信息已經(jīng)過認(rèn)證，以及使企業(yè)明確信息如何與他人共享。值得特別指出的是，在WSTrust、WS-Authorization、WS-Federation、和WSSecureConversation的共同作用下，網(wǎng)上報(bào)告服務(wù)還能夠與其他的網(wǎng)絡(luò)服務(wù)建立起聯(lián)合的信任關(guān)系（甚至與一些可能采用了不同安全技術(shù)支持的計(jì)算機(jī)系統(tǒng)），這使信息用戶在使用網(wǎng)上報(bào)告服務(wù)時(shí)，還可以方便地同時(shí)使用其它的網(wǎng)絡(luò)服務(wù)（如股票投資服務(wù)）。

　　如以上流程所述，專門的驗(yàn)證公司在流程中扮演重要的角色，包括對報(bào)告XBRL文檔在內(nèi)的財(cái)務(wù)信息進(jìn)行驗(yàn)證，檢查XBRL代碼的有效性，匹配并生成XARL文檔等等。從現(xiàn)階段以及將來XBRL的發(fā)展來看，會計(jì)師事務(wù)所可以飾演專門的驗(yàn)證公司的角色對外提供XARL服務(wù)。如此，注冊會計(jì)師不僅需要對公司財(cái)務(wù)報(bào)表的合法性、公允性以及會計(jì)政策的一貫性進(jìn)行審計(jì)，還需要對報(bào)告XBRL文檔在內(nèi)的財(cái)務(wù)信息進(jìn)行驗(yàn)證，并據(jù)此提出XARL文檔等服務(wù)?？梢哉f，XBRL的發(fā)展擴(kuò)大了傳統(tǒng)的驗(yàn)證業(yè)務(wù)的范圍，審計(jì)功能得到了進(jìn)一步的提升。XBRL還將促進(jìn)注冊會計(jì)師執(zhí)業(yè)模式的多樣化，使注冊會計(jì)師利用網(wǎng)絡(luò)快速及時(shí)地獲取和使用信息成為可能。

　　本文系國家自然科學(xué)基金資助項(xiàng)目<批準(zhǔn)號：70372024 >的階段性研究成果，作者單位：福州大學(xué)管理學(xué)院。