眾所周知,相比傳統(tǒng)紙質財務報告,網絡財務報告(以下簡稱“網上報告”)的出現(xiàn)和發(fā)展在很大程度上提高了公司財務報告服務的效率和質量。然而,公司網絡財務信息量的增長又引發(fā)了信息過濾等問題,電子商務的發(fā)展使得數(shù)據(jù)交換、數(shù)據(jù)搜索和多視窗數(shù)據(jù)的生成顯得愈發(fā)重要。可擴展標記語言(XML)的開發(fā)克服了目前廣泛運用于網上報告的超文本標記語言(HTML)可擴展性差的缺陷,而基于X M L 的可擴展的企業(yè)報告語言(XBRL)正作為一種全球的、數(shù)字的新型商業(yè)語言,力圖使全球財務機構實現(xiàn)自動交換和可靠匯總多語言、多種公認會計原則編制的財務信息。這意味著信息使用者幾乎可以在鼠標點擊瞬間獲取所需的信息。然而,XBRL仍然存在可靠性和安全性方面的隱患。在網絡信息安全問題日益凸現(xiàn)的今天,財務信息的可靠性還取決于對信息所進行的驗證,以及保護信息在網上傳遞過程中的安全措施,XBRL對此卻束手無策。針對XBRL無法提供驗證信息的弱點,國外學者在XBRL基礎上提出了可擴展驗證報告語言(ExtensibleAssuranceReportingLanguage,以下簡稱XARL),試圖使記錄于XBRL文檔中的信息可靠性得到增強。另外,國外研發(fā)成功的一整套全新的網絡服務安全模式(Web Services Security Model,以下簡稱WSSM) 初步解決了數(shù)據(jù)交換實際運作中遇到的安全問題。
一、網上報告服務面臨的安全威脅與WSSM
網上報告服務的目的是為網絡中處于各種系統(tǒng)下的合法信息使用者及時提供安全可靠的財務信息。網絡財務信息的可靠性既取決于產生XBRL文檔的過程的可靠性,又取決于對信息進行驗證的程序、程度和及時性,還取決于保證信息在網上完整傳遞的安全程度。就網絡技術而言,雖然XML 與HTML 相比已經顯現(xiàn)出較大的先進性,但它與其他網絡技術標準(如SOAP、WSDL 和UDDI)一樣,本身在設計時并沒有太多地考慮安全性問題。因此,以這些網絡技術為基礎的網上報告服務存在固有的不安全隱患。目前網上報告服務面臨的安全威脅主要包括信息篡改、信息泄露、中間人攻擊(MessageSubstitution)、IP地址欺騙(IP Spoofing)、數(shù)據(jù)包監(jiān)測(Packet Sniffing)、計算機病毒等。它們對網上報告服務的安全要求提出了嚴峻的挑戰(zhàn)。
當前,針對網絡信息傳輸安全問題的主要解決措施,如要求使用者提供授權的ID號和密碼,以及點對點的安全傳輸模式(如SSL/TLS, S-HTTP和VPN)等,都存在較大缺陷。譬如,SSL/TLS,S-HTTP和VPN不僅不能保證跨多個中介體的XBRL和XARL傳輸?shù)亩说蕉说陌踩裕乙矡o法解決僅為文檔的某個特定的部分進行加密的問題。而對以XML為基礎的網絡服務提出的包括XML加密術(XML Encryption)、XML數(shù)字簽名(XML Signature)等在內的安全方案盡管能在一定程度上有效改善財務報告服務的安全性, 但商業(yè)環(huán)境的復雜性以及各方案基礎構造要求的不盡相同,卻使得要將這些方法整合使用非常困難,只要在由這些方案所構建的安全體系中出現(xiàn)了一個易受攻擊的環(huán)節(jié),剩余部分的安全保障即將遭受蠶食。
為了使網絡服務能夠真正達到安全可靠且易于操作,IBM、Microsoft和VeriSign在其聯(lián)合發(fā)布的《Web服務安全白皮書》中給出了一系列安全性規(guī)范,并于2004年初成功研發(fā)了WSSM,以期解決數(shù)據(jù)交換在實際運作中遇到的問題。WSSM 建立在SOAP 標準規(guī)范上,并且能夠確保SOAP 信息在傳輸過程中的保密性、完整性、真實性、可驗證性及可靠性。WSSM具體包括以下幾種規(guī)范:網絡服務安全(WS-Security)、網絡服務端點策略(WS-Policy)、網絡服務信任(WS-Trust)、網絡服務隱私(WS-Privacy)、網絡服務安全會話(WS-SecureConversation)、網絡服務聯(lián)盟規(guī)范(WS-Federation)和網絡服務授權(WS-Authorization)等。鑒于WSSM 提供了一種端到端的安全方案,并且能處理網絡信息服務中的大多數(shù)安全問題,我們相信,將XARL 與WSSM 兩種技術相結合,必能構建一種可滿足之前所提到的網上報告服務安全要求的安全體系。
二、信息流程再造:基于XBRL 的無縫化網上報告安全體系
作為基于XBRL的網上報告信息鏈的兩端,上市公司和信息使用者的利益與信息鏈的穩(wěn)固程度密切相關。當網上報告面臨的可靠性(信息生成)和安全性(信息傳輸)威脅頻繁地考驗信息鏈的穩(wěn)固性時,XARL 和WSSM的提出和開發(fā)無疑為我們創(chuàng)建保障XBRL網上報告的安全體系提供了嶄新的思路。我們依循XARL的設計理念,結合WSSM,嘗試構建一種基于XBRL的無縫化網上報告安全體系。在我們構想的這個網絡財務報告安全體系中主要涉及到XBRL及XARL分類標準制定機構(提供XBRL及XARL 分類標準),上市公司(對外提供XBRL 服務),專門的驗證公司(對外提供XARL服務),公共的UDDI注冊中心(提供UDDI 注冊與發(fā)現(xiàn)等服務),獨立的第三方認證機構(提供身份核實服務),以及信息用戶這幾方。具體流程如下:
1. XBRL及XARL分類標準制定機構分別使用安全令牌對XBRL及XARL分類標準進行數(shù)字簽名(WS-Security),然后以經SOAP編碼的XML消息方式(WSDL 文檔)分別傳送給上市公司及驗證公司。 2. 上市公司應用其會計信息系統(tǒng)對公司的業(yè)務或事項進行確認、計量、記錄,并生成財務信息。通過財務會計軟件將這些財務信息與接收到的XBRL分類標準進行匹配,生成XBRL文檔。經核查軟件自動核對并確認有效后,XBRL文檔將被自動存放于公司的數(shù)據(jù)庫中。由于公司內外的財務信息需求都要從數(shù)據(jù)庫中得到滿足,因此數(shù)據(jù)庫應該分別就隱私信息和可公開信息設定訪問權限(WS-Privacy)。相應地,數(shù)據(jù)庫中的文檔被區(qū)分為隱私XBRL 文檔和可公開XBRL 文檔。
3. 當上市公司收到來自驗證公司的XBRL服務請求時,公司會通過第三方認證機構核實驗證公司的合法性,即該驗證公司是否擁有進行X A R L 驗證的授權(W S -Authorization)。之后,上市公司將使用某種安全令牌對其可公開XBRL文檔進行數(shù)字簽名(如使用上市公司的私人密匙進行數(shù)字簽名,再用驗證公司的公開密匙加密),以WSDL文檔傳送給合法的驗證公司(WS-Trust)。當然,驗證公司也將通過第三方認證機構來核實上市公司的合法性。
4. 驗證公司對收到的XBRL信息實施驗證程序,包括確認信息生成過程的可靠性;利用程序對數(shù)據(jù)進行分析并收集其他證據(jù),以支持財務報表中的披露的數(shù)據(jù);檢查XBRL 代碼的有效性等。然后,驗證公司將XBRL 文檔中和財務報告要素相關的驗證信息與接收到的XARL分類標準元素進行匹配,生成XARL 文檔。其中,包含在XARL文檔中的驗證信息可以是針對整個財務報告或個別財務報表的,也可以是針對財務報表中的某個項目的,還可以是對以財務信息為基礎的公司信息系統(tǒng)和控制系統(tǒng)進行的驗證。驗證公司生成的XARL文檔也將被自動核對,并存放于驗證公司的數(shù)據(jù)庫中。
5. 驗證公司通過UDDI界面向公共的UDDI注冊中心公布經SOAP編碼的XARL服務描述(servicedescription),該服務描述是使用安全令牌加密過的WSDL文檔。
6. 當信息用戶需要XARL信息時,需要向公共的UDDI注冊中心發(fā)送經安全令牌加密的SOAP服務請求。注冊中心接受請求后進行相應搜索,并將搜索到的適當?shù)腦ARL服務描述返回給信息用戶。信息用戶可以據(jù)此向發(fā)布該XARL 服務描述的驗證公司發(fā)送SOAP 請求,直接綁定和調用XARL服務。在向驗證公司提供從第三方認證機構獲得的公開密匙,核實用戶的身份之后,用戶最終將獲得附有正確樣式單的XARL 文檔。該XARL 文檔利用PGP 密匙體系(對稱密匙加密和不對稱密匙加密相結合的加密方法)加密,進一步確保財務信息在傳輸過程中的安全性。
7. 信息用戶可以通過第三方認證機構來核實驗證公司的合法性。最后,信息用戶根據(jù)PGP加密法用私人密匙即可對XARL文檔解密并使用。用戶完全可以將財務報表導入到Excel表來計算一些財務比率,也可以通過格式轉換軟件將文檔轉換成HTML 格式文檔、電子表或數(shù)據(jù)庫。一旦在XARL服務的需求方與提供方之間建立起一種綁定關系,Excel中的財務信息就能夠持續(xù)地更新(WSSecureConversation)。
有了WS-Policy描述,信息用戶還能核實一些特定的個人安全要求是否得到滿足。另外,WS-Policy、WS-Trust和WS-Privacy能夠用于確保信息已經過認證,以及使企業(yè)明確信息如何與他人共享。值得特別指出的是,在WSTrust、WS-Authorization、WS-Federation、和 WSSecureConversation的共同作用下,網上報告服務還能夠與其他的網絡服務建立起聯(lián)合的信任關系(甚至與一些可能采用了不同安全技術支持的計算機系統(tǒng)),這使信息用戶在使用網上報告服務時,還可以方便地同時使用其它的網絡服務(如股票投資服務)。
如以上流程所述,專門的驗證公司在流程中扮演重要的角色,包括對報告XBRL文檔在內的財務信息進行驗證,檢查XBRL 代碼的有效性,匹配并生成XARL 文檔等等。從現(xiàn)階段以及將來XBRL的發(fā)展來看,會計師事務所可以飾演專門的驗證公司的角色對外提供XARL服務。如此,注冊會計師不僅需要對公司財務報表的合法性、公允性以及會計政策的一貫性進行審計,還需要對報告XBRL 文檔在內的財務信息進行驗證,并據(jù)此提出XARL文檔等服務。可以說,XBRL的發(fā)展擴大了傳統(tǒng)的驗證業(yè)務的范圍,審計功能得到了進一步的提升。XBRL還將促進注冊會計師執(zhí)業(yè)模式的多樣化,使注冊會計師利用網絡快速及時地獲取和使用信息成為可能。(本文系國家自然科學基金資助項目< 批準號:70372024 >的階段性研究成果,作者單位:福州大學管理學院
