众所周知，相比传统纸质财务报告，网络财务报告（以下简称“网上报告”）的出现和发展在很大程度上提高了公司财务报告服务的效率和质量。然而，公司网络财务信息量的增长又引发了信息过滤等问题，电子商务的发展使得数据交换、数据搜索和多视窗数据的生成显得愈发重要。可扩展标记语言（XML）的开发克服了目前广泛运用于网上报告的超文本标记语言（HTML）可扩展性差的缺陷，而基于X M L的可扩展的企业报告语言（XBRL）正作为一种全球的、数字的新型商业语言，力图使全球财务机构实现自动交换和可靠汇总多语言、多种公认会计原则编制的财务信息。这意味着信息使用者几乎可以在鼠标点击瞬间获取所需的信息。然而，XBRL仍然存在可靠性和安全性方面的隐患。在网络信息安全问题日益凸现的今天，财务信息的可靠性还取决于对信息所进行的验证，以及保护信息在网上传递过程中的安全措施，XBRL对此却束手无策。针对XBRL无法提供验证信息的弱点，国外学者在XBRL基础上提出了可扩展验证报告语言（ExtensibleAssuranceReportingLanguage，以下简称XARL），试图使记录于XBRL文档中的信息可靠性得到增强。另外，国外研发成功的一整套全新的网络服务安全模式（Web Services Security Model，以下简称WSSM）初步解决了数据交换实际运作中遇到的安全问题。

　　一、网上报告服务面临的安全威胁与WSSM

　　网上报告服务的目的是为网络中处于各种系统下的合法信息使用者及时提供安全可靠的财务信息。网络财务信息的可靠性既取决于产生XBRL文档的过程的可靠性，又取决于对信息进行验证的程序、程度和及时性，还取决于保证信息在网上完整传递的安全程度。就网络技术而言，虽然XML与HTML相比已经显现出较大的先进性，但它与其他网络技术标准（如SOAP、WSDL和UDDI）一样，本身在设计时并没有太多地考虑安全性问题。因此，以这些网络技术为基础的网上报告服务存在固有的不安全隐患。目前网上报告服务面临的安全威胁主要包括信息篡改、信息泄露、中间人攻击（MessageSubstitution）、IP地址欺骗（IP Spoofing）、数据包监测（Packet Sniffing）、计算机病毒等。它们对网上报告服务的安全要求提出了严峻的挑战。

　　当前，针对网络信息传输安全问题的主要解决措施，如要求使用者提供授权的ID号和密码，以及点对点的安全传输模式（如SSL/TLS，S-HTTP和VPN）等，都存在较大缺陷。譬如，SSL/TLS，S-HTTP和VPN不仅不能保证跨多个中介体的XBRL和XARL传输的端到端的安全性，而且也无法解决仅为文档的某个特定的部分进行加密的问题。而对以XML为基础的网络服务提出的包括XML加密术（XML Encryption）、XML数字签名（XML Signature）等在内的安全方案尽管能在一定程度上有效改善财务报告服务的安全性，但商业环境的复杂性以及各方案基础构造要求的不尽相同，却使得要将这些方法整合使用非常困难，只要在由这些方案所构建的安全体系中出现了一个易受攻击的环节，剩余部分的安全保障即将遭受蚕食。

　　为了使网络服务能够真正达到安全可靠且易于操作，IBM、Microsoft和VeriSign在其联合发布的《Web服务安全白皮书》中给出了一系列安全性规范，并于2004年初成功研发了WSSM，以期解决数据交换在实际运作中遇到的问题。WSSM建立在SOAP标准规范上，并且能够确保SOAP信息在传输过程中的保密性、完整性、真实性、可验证性及可靠性。WSSM具体包括以下几种规范：网络服务安全（WS-Security）、网络服务端点策略（WS-Policy）、网络服务信任（WS-Trust）、网络服务隐私（WS-Privacy）、网络服务安全会话（WS-SecureConversation）、网络服务联盟规范（WS-Federation）和网络服务授权（WS-Authorization）等。鉴于WSSM提供了一种端到端的安全方案，并且能处理网络信息服务中的大多数安全问题，我们相信，将XARL与WSSM两种技术相结合，必能构建一种可满足之前所提到的网上报告服务安全要求的安全体系。

　　二、信息流程再造：基于XBRL的无缝化网上报告安全体系

　　作为基于XBRL的网上报告信息链的两端，上市公司和信息使用者的利益与信息链的稳固程度密切相关。当网上报告面临的可靠性（信息生成）和安全性（信息传输）威胁频繁地考验信息链的稳固性时，XARL和WSSM的提出和开发无疑为我们创建保障XBRL网上报告的安全体系提供了崭新的思路。我们依循XARL的设计理念，结合WSSM，尝试构建一种基于XBRL的无缝化网上报告安全体系。在我们构想的这个网络财务报告安全体系中主要涉及到XBRL及XARL分类标准制定机构（提供XBRL及XARL分类标准），上市公司（对外提供XBRL服务），专门的验证公司（对外提供XARL服务），公共的UDDI注册中心（提供UDDI注册与发现等服务），独立的第三方认证机构（提供身份核实服务），以及信息用户这几方。具体流程如下：

　　1. XBRL及XARL分类标准制定机构分别使用安全令牌对XBRL及XARL分类标准进行数字签名（WS-Security），然后以经SOAP编码的XML消息方式（WSDL文档）分别传送给上市公司及验证公司。

　　2.上市公司应用其会计信息系统对公司的业务或事项进行确认、计量、记录，并生成财务信息。通过财务会计软件将这些财务信息与接收到的XBRL分类标准进行匹配，生成XBRL文档。经核查软件自动核对并确认有效后，XBRL文档将被自动存放于公司的数据库中。由于公司内外的财务信息需求都要从数据库中得到满足，因此数据库应该分别就隐私信息和可公开信息设定访问权限（WS-Privacy）。相应地，数据库中的文档被区分为隐私XBRL文档和可公开XBRL文档。

　　3.当上市公司收到来自验证公司的XBRL服务请求时，公司会通过第三方认证机构核实验证公司的合法性，即该验证公司是否拥有进行X A R L验证的授权（W S -Authorization）。之后，上市公司将使用某种安全令牌对其可公开XBRL文档进行数字签名（如使用上市公司的私人密匙进行数字签名，再用验证公司的公开密匙加密），以WSDL文档传送给合法的验证公司（WS-Trust）。当然，验证公司也将通过第三方认证机构来核实上市公司的合法性。

　　4.验证公司对收到的XBRL信息实施验证程序，包括确认信息生成过程的可靠性；利用程序对数据进行分析并收集其他证据，以支持财务报表中的披露的数据；检查XBRL代码的有效性等。然后，验证公司将XBRL文档中和财务报告要素相关的验证信息与接收到的XARL分类标准元素进行匹配，生成XARL文档。其中，包含在XARL文档中的验证信息可以是针对整个财务报告或个别财务报表的，也可以是针对财务报表中的某个项目的，还可以是对以财务信息为基础的公司信息系统和控制系统进行的验证。验证公司生成的XARL文档也将被自动核对，并存放于验证公司的数据库中。

　　5.验证公司通过UDDI界面向公共的UDDI注册中心公布经SOAP编码的XARL服务描述（servicedescription），该服务描述是使用安全令牌加密过的WSDL文档。

　　6.当信息用户需要XARL信息时，需要向公共的UDDI注册中心发送经安全令牌加密的SOAP服务请求。注册中心接受请求后进行相应搜索，并将搜索到的适当的XARL服务描述返回给信息用户。信息用户可以据此向发布该XARL服务描述的验证公司发送SOAP请求，直接绑定和调用XARL服务。在向验证公司提供从第三方认证机构获得的公开密匙，核实用户的身份之后，用户最终将获得附有正确样式单的XARL文档。该XARL文档利用PGP密匙体系（对称密匙加密和不对称密匙加密相结合的加密方法）加密，进一步确保财务信息在传输过程中的安全性。

　　7.信息用户可以通过第三方认证机构来核实验证公司的合法性。最后，信息用户根据PGP加密法用私人密匙即可对XARL文档解密并使用。用户完全可以将财务报表导入到Excel表来计算一些财务比率，也可以通过格式转换软件将文档转换成HTML格式文档、电子表或数据库。一旦在XARL服务的需求方与提供方之间建立起一种绑定关系，Excel中的财务信息就能够持续地更新（WSSecureConversation）。

　　有了WS-Policy描述，信息用户还能核实一些特定的个人安全要求是否得到满足。另外，WS-Policy、WS-Trust和WS-Privacy能够用于确保信息已经过认证，以及使企业明确信息如何与他人共享。值得特别指出的是，在WSTrust、WS-Authorization、WS-Federation、和WSSecureConversation的共同作用下，网上报告服务还能够与其他的网络服务建立起联合的信任关系（甚至与一些可能采用了不同安全技术支持的计算机系统），这使信息用户在使用网上报告服务时，还可以方便地同时使用其它的网络服务（如股票投资服务）。

　　如以上流程所述，专门的验证公司在流程中扮演重要的角色，包括对报告XBRL文档在内的财务信息进行验证，检查XBRL代码的有效性，匹配并生成XARL文档等等。从现阶段以及将来XBRL的发展来看，会计师事务所可以饰演专门的验证公司的角色对外提供XARL服务。如此，注册会计师不仅需要对公司财务报表的合法性、公允性以及会计政策的一贯性进行审计，还需要对报告XBRL文档在内的财务信息进行验证，并据此提出XARL文档等服务。可以说，XBRL的发展扩大了传统的验证业务的范围，审计功能得到了进一步的提升。XBRL还将促进注册会计师执业模式的多样化，使注册会计师利用网络快速及时地获取和使用信息成为可能。

　　本文系国家自然科学基金资助项目<批准号：70372024 >的阶段性研究成果，作者单位：福州大学管理学院。