信息安全与管理专业介绍 [XBRL GL信息安全风险与防范机制研究]
时间:2018-12-23 12:49:06 来源:柠檬阅读网 本文已影响 人 
摘要:XBRLG分类标准是针对财务报告的来源数据及其结构进行规范,实现报表来源数据的便捷共享和再利用。由于XBRLG对企业经济交易和会计分类账层面的数据带上表达财务含义的标签,将增大企业信息泄露的风险和成本。本文重点分析了应用XBRLGL带来的新的信息安全风险,及其防范机制――会计数字版权管理语言(ADRML)。
关键词:XBRL GL 信息安全风险 防范机制 会计数字版权管理语言
一、XBRL GL概述
(一)XBRLGL的涵义XBRLGL(XBRLforGlobalLedger)是XML(eXtensibleMarkupLanguage,可扩展标记语言)在会计分类账层面的应用,是XBRL格式的财务报告的进一步深入。XBRL GL分类标准是就如何表示企业经营业务信息和明细会计信息而制定的协议,由一组分类标准组成,包括核心(Core)、拓展交易事项BUS、多种货币MUC等,采用模块化形式构建。其中核心(Core)分类标准是基础框架,其它分类标准由使用方自行选择,以插件形式添加到特设调配模板(Palette schema),以拓展核心分类标准的基本概念,保证其适应各区域、各行业需求的灵活性。遵循这一协议,各软件系统就可无缝连接,彼此之间交换和共享经济交易和分类账层面的会计数据。
(二)XBRLGL的功用推出XBRLGL的初衷是为跨国企业可以迅速从子公司获取会计信息,并直接进行数据合并和报表编制,提升企业管理水平。由于XBRL GL分类标准是针对财务报告的来源数据及其结构进行规范,实现报表来源数据的便捷共享和再利用,便于企业报告实现流程化编制;便于不同类型的信息使用者采集、加工组合成满足自身需求的报表或决策所需信息;便于基于XBRL的软件系统联结至多种XBRL财务报告分类标准,以编制不同格式和内容的财务报告,满足按多种公认会计原则提供会计信息的需求,解决同样的财务报告来源数据在不同会计准则之间的转换。因此,XBRL GL将支持一种会计国际化和财务报告全球化的新的应用模式。同时,也为网上在线实时披露财务信息,为审计监管部门跟踪XBRL格式的财务报告的审计线索,实现持续审计奠定基础。然而,与XBRL格式的财务报告不同,XBRL格式的会计交易层面的明细信息,除了包含生成对外财务、税务等报告的来源数据以外,还包含生成企业内部管理会计信息的来源数据。XBRLGL利用标签表达数据的财务含义,实现在企业经济交易事项和分类账层面的明细信息的语义级共享,从而方便了各类会计信息使用者对信息的搜索、分类、归集和使用。XBRLGL能够使分类账信息与交易事项中的会计信息建立关联,使得用户可从企业报告各项目的数据“下钻”至相关明细信息。
(三)XBRLGL带来的挑战对于会计信息提供企业来说,XBRLGL的应用,将增大企业信息泄露的风险和成本。因为,对不同类型的会计信息使用者(如企业高层管理者、企业员工、审计、税务等),提供者具有不同程度的信息公开义务,如果没有充分的控制信息使用权限的运作机制,将制约xBRLGI在会计领域更进一步深入的应用。本文重点分析企业应用XBRLGL将产生的新的信息安全风险,并将数字版权管理的概念和机制引入到对xBRl分类账和经济交易层面的数据(实例文档)的安全管理中,以便在充分利用XBRLGL支持会计国际化和财务报告全球化的新的应用模式的同时,降低会计信息提供者应用XBRLGL的信息风险和成本(本文不讨论其他成本和风险)。
二、企业信息系统数据关联关系及数据安全控制机制分析
(一)企业集成数据库中会计交易层面数据的关联关系分析企业会计信息的使用者涉及到投资者、债权人、审计、税务等政府监管部门,以及企业高层管理者、企业员工、财务分析师等多种类型,同时还有竞争对手。企业会计信息的提供者有义务根据会计法规、制度以及不同信息使用部门的要求提供相应的会计信息,也有义务保守企业的商业机密,防止“过度提供”,以及信息泄露。本文通过例举一笔经济交易事项,分析其在业务与财务一体化的企业管理信息系统中所涉及到的主要数据存储表及表之间的关联关系,这些数据表或表中的数据对不同的会计信息使用者有不同的使用权限。(1)案例背景。举例说明:2008年8月8日用赊销方式销售薄钢板10吨给A公司,单价100000元(不含税),增值税税率17%,从薄钢板成品库发货。这笔销售事项涉及到企业的销售、仓储、会计等多个部门的业务流程,在ERP系统中(例如用友U8.6),通过操作销售管理、库存管理、存货核算、应收管理、总账管理等子系统的功能模块,将生成销售发票、发货单、销售出库单等业务单据,会计系统依据共享的业务单据自动生成记账凭证。其中主营业务成本由系统根据初始设置的成本单价自动计算填入。
(2)案例分析。目前的企业管理信息系统都采用成熟的关系数据库管理系统管理数据资源。在业务与财务一体化的系统中实现了业务与财务、财务会计与管理会计的数据集成。以上经济交易事项的业务单据将涉及到企业集成的数据库中销售发票、发货单、销售出库单、产品(存货)库存表等数据表的操作和改变,同时还关联到客户档案、产品(存货)档案、仓库档案、销售人员档案等数据表的操作。由销售发票和销售出库单生成的2张记账凭证涉及到5个会计分类账户的数据变化,在电子账中,会计分类账主要通过会计科目表、记账凭证表、科目余额表保存数据。以上交易事项的会计分类账涉及的数据表关系可用(图1)例示。(图1)中的箭头表示关联关系,即通过会计科目码可以将分类账的信息进行关联;通过客户码可以将应收账款分类账与客户明细信息进行关联;通过外部凭证类和外部凭证号可以将记账凭证与业务单据进行关联等。这些代码体系可以看成是企业报告各项目数据“下钻”至相关明细信息的链接指针。从某个角度讲,依据关系数据库理论设计的企业数据库,可以看成是对企业信息系统管理的所有对象(实体)进行统一编码后,由各个实体的主码和外码相互关联的数据表的集合。如对企业的产品统一编码后,通过产品代码可以关联到产品档案、产品库存、产品标准成本、产品销售明细分类账等数据表。
(二)企业信息系统中数据安全控制机制分析由于数据库中信息资源的安全性是至关重要的,任何一个数据库管理系统及其应用系统都设置了非常严密的安全控制机制。一般用户要操作数据库中的数据,通过应用程序提供其身份,至少要经过三层认证过程:身份验证(是否有与数据库服务器的“连接权”)、合法用户验证(是否有具体数据库的“访问权”)、操作许可验证(是否有对某数据或对象所要进行的操作的“操作权”)。还可以对数据库文件采用加密和备份等技术,以防数据被窃取和丢失。企业信息系统的数据安全控制机制可用(图2)表示。在企业业务与财务集成的数据库中,主要有二类核心的基础数据源表:一类保存企业经营管理的基础数据,如客户档案、职员档案、固定资产档案、产品档案、会计科目表等;另一类保存企业经营活动的业务数据,包括经济交易 业务的会计记录数据,如(图1)所示。无论是对内的管理会计报表还是对外的财务报表、税务报表等都是通过应用软件从两类核心数据源表中提取数据加工而成,不同类型的信息使用者对这些表中数据有不同的使用权限。如企业高层管理者有最高的使用权,可以使用全部数据表中数据;企业员工根据其岗位和职责,对部分内部数据有使用权(如销售人员可以读取、修改其所管辖的客户资料);外部审计师对财务报告涉及的来源数据都有读取权(如可以查阅但不能修改应收账款所有客户的资料);税务部门有对税务报表涉及的来源数据有读取权(如可以查阅但不能修改与应交税金相关的企业收入和支出等明细信息)等。一般情况下,这些不同权限的会计信息使用者通过企业信息系统的“系统管理模块”进行上机操作权限的设置与控制。
三、XBRL GL应用的信息安全风险及防范
(一)XBRL应用的信息安全风险XBRL格式的会计交易层面的数据存储与运行机制将会带来的信息安全风险。(1)xBRL格式下的数据存储与运行机制。与XBRL格式的财务报告一样,XBRLGL也由技术规范、分类标准、实例文档、样式单组成。XBRLGL的实例文档作为存储企业会计交易事项层面的数据文件又分经济交易或事项的信息元素集、会计簿记系统信息元素集两个层次。从XBRLGL设计的目的来看,如果能够将经济交易或事项中的原始数据直接转换成XBRL格式存储,则能满足各类信息使用者的需求。那么,如何将企业集成数据库中存储的会计交易层面的明细信息转换成XBRLGL格式,笔者认为,从应用需求来看可以采用二种转换方式:静态(也称定时)转换和动态(实时)转换。静态转换指根据编制各类报表的要求,定时将各类报表所需的来源数据转换成XBRLGL实例文档,如(图3)所示;动态转换指实时将经济交易或事项过程中的明细信息转换成XBRL格式存储,如(图4)所示。(2)XBRL GL带来的信息安全风险。无论是静态还是动态的转换方式,XBRL GL的应用都将使企业遭遇新的信息安全风险:首先是XBRLGL实例文档是一种XML格式的字符文件,其中的数据都是带财务含义的,而XBRL没有提供描述和保障不同类型的信息使用者对XBRL实例文档有不同的使用权限的存取控制机制,因此在便于各类信息使用者搜索、采集、分析和使用信息的同时,也带来越权使用的风险;其二是XBRL GL分类标准的“粒度”难以把握,太粗不便于信息的归类、汇总、分析和使用,太细则容易泄露信息;其三是语义网环境下,企业信息系统的数据安全控制机制对XBRLGL实例文档不便发挥作用,对数据库访问的三层认证(身份、合法用户、操作许可)机制发生变化,带来用户及其权限管理的风险;其四是要实现报表项目的“下钻”,需要将经济交易或事项的原始数据转换成XBRL格式,在此基础上通过软件工具转换成XBRL格式的会计分类账明细信息,通过(图1)可以看出这些底层的明细信息元素包含了更多的内部管理数据,如果不区分对内和对外的XBRLGL实例文档,则增大了信息泄露风险。
(二)XBRLGL的信息安全风险防范机制设计思路:会计数字版权管理
数字版权管理技术(DRM,Digital Right Management)最初源于保护歌曲、电子书籍、软件等数字产品的知识产权,由于这些产品的电子化特征,使得必须有某种独特技术对其加以保护,从而保证产权人利益。(1)解决思路。数字版权管理从技术手段看是加密方法和密钥管理,从解决思路本质上讲,是许可证管理(LicenseManagement)。简单来讲,由数字产品的提供者在商品上加上许可证;许可证授权中心发放许可证;需要使用数字产品的客户去授权中心获取许可证,从而使用数字产品。而许可证管理的描述语言和实现方案可以是多样的,对不同的使用领域,信息使用描述的侧重点又有所不同。因此,可以将DRM的概念引入到会计信鼠发布领域。将XBRL GL实例文档当成一种数字产品,对其实行许可证管理,设计一种会计数字版权管理语言(ADRMI^Accounting Digital RightManagementLanguage),主要描述并实现不同权限的信息使用者只能根据权限对XBRL GL疾例文档有限使用信息,保证企业XBRL GL实例文档的安全。(2)会计数字版权许可证的语言框架。由于会计数字信息的使用者类型是有限可分类的,并且会计数字产品的提供者可以根据不同类型的使用者对会计数字产品加上不同类型的许可证,即会计数字版权管理不需要设置许可证发放中心,各类信息使用者可以从提供者处获得相应的许可证。这样可以按照会计信息使用的特点来设计许可证语言(LieenseLanguage),以实现会计信息的有权使用。然后根据这些特点设计会计数字版权管理语言的语法(Synta)、语义(semantm)和语用(Pragmatic)及其实现机制。一个许可证,包含:该许可证的名称(L);该许可证的授权人(1icensor此处变量a表示);被授权人(hcensee此处用变量B表示);被授权的作品(work此处变量ω表示作品)。用公式形式化地描述出设计的会计数字版权许可证(License)语言的框架如下:licenseL:heansor a rantslicensee βworkω;Withpermitted actions(p1,p2 p3…,pn);And obligated actions{01,o2,03…,0n)。上面的公式可以用自然语言理解为:一个名为L的许可证,它描述了:会计信息提供者(授权α)将对XBRL GL格式的实例文档数据(操作对象ω)允许进行的操作(动作序列{p1,p2,p3…”,pn})以及必须进行的操作{01,02、03…,0n)的权限赋予给会计信息使用者(被授权人B)。(3)会计数字版权管理技术的执行机制。在理解了许可证的概念,并能对会计数字版权许可证语言进行形式化描述之后,可以进一步将这一概念应用到具体的会计信息权限描述领域,继而用BNF(巴科斯范式)的方式,给出所设计语言ADRML的语法,以便于用数学逻辑的方法验证语言的特性和正确性,以及计算机实现。对xBRLGL的实例文档进行信息安全控制是通过会计数字版权管理语言(ADRML)的解释与执行机制完成的。通过(图3)和(图4)可以看到:企业会计交易层面的数据,包括交易或事项的原始数据以及会计分录数据,通过企业信息系统采集、输入处理后,存储在数据库表中;会计信息提供者应用XBRLGI转换工具,根据企业的XBRLGLl分类标准,从数据库表中读出数据贴上标签转换成信息元素,组织成XBRL GL实例文档。在此基础上,会计信息提供者可以再运用ADPdVILSE具软件按照不同类型用户的使用权限,给XBRLGL实例文档加上许可证。即企业数据库中的表描述并保存了会计分类账与经济交易的数据;XBRLGL分类标准提供描述表中信息元素的语义;ADRML提供描述表中信息元素的存取权限信息。ADRML的解释和执行机制最主要是对,xBRLGL实例文档加上的许可证(语句)进行解释并进行相应的信息存取权限控制处理,包括对信息使用者的身份识别、合法用户识别、操作权限管理等。
四、结论
XBRL作为XML在财务报告领域的衍生应用以及一种在互联网上披露企业财务报告的国际标准和技术,目前已成功的应用在对财务报告层面的信息资源的再利用上。而XBRL GL的解决方案是企业仅提供标准的生成财务报告的“原材料”,由基于XBRL的软件系统按照各国会计准则的规范自动生成不同会计准则的财务报告。XBRL GL给会计信息资源的开发和利用,为会计信息使用者打开了方便之门,将成为XBRL进一步应用的发展方向。然而,如果不解决其信息安全风险控制机制将会制约其发展。
(编辑 刘姗)
