XBRL環(huán)境下上市公司內(nèi)部控制研究

桂林電子科技大學(xué) 吳德生 劉承煥

XBRL實(shí)質(zhì)上是一種商業(yè)和財(cái)務(wù)數(shù)據(jù)電子化交流的計(jì)算機(jī)語(yǔ)言，是可擴(kuò)展標(biāo)記語(yǔ)言（XML）在財(cái)務(wù)及相關(guān)報(bào)告領(lǐng)域的具體應(yīng)用。我國(guó)會(huì)計(jì)信息化建設(shè)的重要任務(wù)之一就是形成一套以XBRL國(guó)家標(biāo)準(zhǔn)為重要組成部分、涵括會(huì)計(jì)工作相關(guān)業(yè)務(wù)流程的會(huì)計(jì)信息技術(shù)標(biāo)準(zhǔn)體系。XBRL的出現(xiàn)極大的推動(dòng)了我國(guó)會(huì)計(jì)信息的標(biāo)準(zhǔn)化、規(guī)范化，在XBRL的語(yǔ)言環(huán)境下企業(yè)會(huì)計(jì)信息的安全性、可靠性、真實(shí)性、完整性、一致性、可維護(hù)性和可擴(kuò)展性都得到了加強(qiáng)從而有助于企業(yè)決策。然而，XBRL的推廣和應(yīng)用對(duì)傳統(tǒng)的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制也帶來(lái)了新的風(fēng)險(xiǎn)和挑戰(zhàn)。因此，如何應(yīng)對(duì)這些風(fēng)險(xiǎn)完善內(nèi)部控制是一個(gè)很重要的工作。由于我國(guó)內(nèi)部控制的理論研究還存在一定的滯后性，關(guān)于信息技術(shù)特別是XBRL技術(shù)對(duì)企業(yè)內(nèi)部控制的研究不夠。本文擬就我國(guó)上市公司實(shí)施XBRL后所面臨的內(nèi)部控制風(fēng)險(xiǎn)結(jié)合COSO內(nèi)部控制框架進(jìn)行分析，并提出相應(yīng)的解決方案。

一、上市公司XBRL面臨的風(fēng)險(xiǎn)分析

（一）復(fù)雜的控制環(huán)境 控制環(huán)境不僅對(duì)于組織企業(yè)活動(dòng)、確立目標(biāo)和評(píng)估風(fēng)險(xiǎn)的方式有著廣泛的影響，而且還影響著控制活動(dòng)、信息與溝通系統(tǒng)以及監(jiān)控活動(dòng)。XBRL是一個(gè)開(kāi)放的平臺(tái)，企業(yè)各種利益相關(guān)者可以很方便的介入公司信息活動(dòng)。在XBRL的環(huán)境下由于企業(yè)相關(guān)人員可以很方便地通過(guò)網(wǎng)絡(luò)獲取所需信息，從而造成企業(yè)管理結(jié)構(gòu)的扁平化，使得內(nèi)部控制的結(jié)構(gòu)發(fā)生了變化，導(dǎo)致內(nèi)部控制的環(huán)境更加復(fù)雜。首先，管理結(jié)構(gòu)的扁平化會(huì)使得企業(yè)人員頻繁變動(dòng)，人事關(guān)系、報(bào)告程序不穩(wěn)定，很多越權(quán)行為不能及時(shí)發(fā)現(xiàn)容易造成管理失控；其次，扁平化容易造成企業(yè)人員之間的職責(zé)不清，各部門(mén)互相推諉，而且如果企業(yè)各部門(mén)人員之間專(zhuān)業(yè)背景、價(jià)值觀差距太大，成員之間容易引發(fā)矛盾和沖突。現(xiàn)代企業(yè)的所有權(quán)與經(jīng)營(yíng)權(quán)相分離導(dǎo)致公司權(quán)力高度集中于經(jīng)營(yíng)者等內(nèi)部人手中。因此如果許多公司所有者與經(jīng)營(yíng)者的利益不一致，會(huì)造成經(jīng)營(yíng)者控制公司而公司股東難以對(duì)經(jīng)營(yíng)者的行為進(jìn)行合理、有效的監(jiān)督。在這種情況下盡管使用XBRL披露公司財(cái)務(wù)信息，其信息的誠(chéng)信度和有效性是值得懷疑的，在經(jīng)營(yíng)者利益驅(qū)使下甚至可能會(huì)出現(xiàn)誠(chéng)信度更低的虛假信息。

（二）控制活動(dòng)易出現(xiàn)漏洞 控制活動(dòng)發(fā)生于整個(gè)企業(yè)的所有層級(jí)和所有職能之中，包括一系列不同的活動(dòng)，如批準(zhǔn)、授權(quán)、驗(yàn)證、調(diào)節(jié)、經(jīng)營(yíng)業(yè)績(jī)?cè)u(píng)價(jià)、資產(chǎn)保管以及職責(zé)分離等。XBRL環(huán)境下控制活動(dòng)的風(fēng)險(xiǎn)主要包括XBRL網(wǎng)絡(luò)報(bào)告呈報(bào)風(fēng)險(xiǎn)、授權(quán)方式的改變?cè)斐傻臐撛陲L(fēng)險(xiǎn)以及系統(tǒng)安全訪問(wèn)控制的風(fēng)險(xiǎn)。（1）XBRL網(wǎng)絡(luò)報(bào)告呈報(bào)風(fēng)險(xiǎn)。XBRL格式財(cái)務(wù)報(bào)告為解決數(shù)字化財(cái)務(wù)報(bào)告在不同的會(huì)計(jì)系統(tǒng)中的共享和處理數(shù)據(jù)提供了一種新的思路。XBRL網(wǎng)絡(luò)呈報(bào)流程一般是：先由XBRL國(guó)際組織制定各種技術(shù)規(guī)范，然后各國(guó)參照XBRL技術(shù)規(guī)范制定出各自的XBRL分類(lèi)標(biāo)準(zhǔn)，最后各財(cái)務(wù)報(bào)表編制單位參照技術(shù)規(guī)范和分類(lèi)標(biāo)準(zhǔn)將企業(yè)的財(cái)務(wù)數(shù)據(jù)通過(guò)XBRL轉(zhuǎn)化軟件轉(zhuǎn)化成XBRL實(shí)例文檔，最終將實(shí)例文檔傳遞給各終端用戶使用。由呈報(bào)流程可以看出，XBRL財(cái)務(wù)報(bào)告依然存在著新流程風(fēng)險(xiǎn)，也不能有效解決上市公司財(cái)務(wù)造假問(wèn)題。財(cái)務(wù)報(bào)告應(yīng)用風(fēng)險(xiǎn)不僅來(lái)自于報(bào)告本身，也來(lái)源于呈報(bào)流程結(jié)構(gòu)的缺陷。首先，XBRL標(biāo)簽可以對(duì)財(cái)務(wù)數(shù)據(jù)元進(jìn)行定義，包括：財(cái)務(wù)報(bào)告實(shí)例文檔中的財(cái)務(wù)數(shù)據(jù)所用分類(lèi)標(biāo)準(zhǔn)是否正確；實(shí)例文檔是否包含被合理標(biāo)記的財(cái)務(wù)信息；跨年度使用的標(biāo)簽是否保持一致；財(cái)務(wù)信息與數(shù)字標(biāo)簽的吻合度以及自定義的標(biāo)簽是否符合XBRL技術(shù)規(guī)范，上述結(jié)構(gòu)特征都可能影響到財(cái)務(wù)報(bào)告信息的質(zhì)量。其次，XBRL是基于XML的技術(shù)體系，正如XML數(shù)據(jù)保護(hù)一樣，XBRL也沒(méi)有對(duì)標(biāo)簽提供保護(hù)，但是XML格式傳遞XBRL實(shí)例文檔信息，來(lái)自網(wǎng)絡(luò)的非法攻擊不可避免，被篡改和創(chuàng)建的風(fēng)險(xiǎn)非常大，因此，將威脅到財(cái)務(wù)數(shù)據(jù)的真實(shí)性、完整性。（2）授權(quán)方式改變?cè)斐傻臐撛陲L(fēng)險(xiǎn)。在XBRL的環(huán)境下，企業(yè)為了保持財(cái)務(wù)數(shù)據(jù)信息的開(kāi)放性和保密性，對(duì)系統(tǒng)程序員、系統(tǒng)操作員和系統(tǒng)維護(hù)員的權(quán)限設(shè)置了一定的限制，但是這些操作員的工作態(tài)度、責(zé)任心和業(yè)務(wù)水平各不相同，如果這些操作員擅自修改他人口令或密碼，會(huì)造成網(wǎng)絡(luò)管理的混亂從而給會(huì)計(jì)信息帶來(lái)風(fēng)險(xiǎn)。此外，現(xiàn)在企業(yè)的許多授權(quán)方式不再是單純的簽字、蓋章，相當(dāng)多的一部分授權(quán)是嵌入在系統(tǒng)中由計(jì)算機(jī)程序自動(dòng)完成的，這使得授權(quán)的過(guò)程不明顯，因此有些內(nèi)部人員甚至可以不經(jīng)過(guò)授權(quán)進(jìn)行非法操作，篡改會(huì)計(jì)信息數(shù)據(jù)，使得信息的保密性受損。（3）系統(tǒng)訪問(wèn)安全控制造成的風(fēng)險(xiǎn)。有效的訪問(wèn)安全控制能保護(hù)系統(tǒng)，阻止不當(dāng)訪問(wèn)和未經(jīng)授權(quán)使用系統(tǒng)，如果能夠很好的加以設(shè)計(jì)阻截黑客和其他入侵者從而保護(hù)會(huì)計(jì)信息的安全。足夠的訪問(wèn)控制活動(dòng)，例如頻繁改變撥號(hào)號(hào)碼，或?qū)嵭谢負(fù)堋聪到y(tǒng)呼叫一位潛在用戶以一個(gè)經(jīng)過(guò)授權(quán)的號(hào)碼回?fù)埽辉试S直接訪問(wèn)系統(tǒng)可以成為阻止未經(jīng)授權(quán)訪問(wèn)系統(tǒng)的有效方法。訪問(wèn)安全控制限制經(jīng)過(guò)授權(quán)的用戶只能使用其工作所需的應(yīng)用程序和應(yīng)用功能，以支持職責(zé)的適當(dāng)分離。企業(yè)應(yīng)該經(jīng)常而及時(shí)的審核允許或限制訪問(wèn)系統(tǒng)的用戶概況。此外，以前的或心懷不滿的員工對(duì)系統(tǒng)的威脅可能比黑客還要大；中止使用的員工口令和用戶識(shí)別碼應(yīng)該立刻清除。通過(guò)防止對(duì)系統(tǒng)的未經(jīng)授權(quán)的使用和改動(dòng)，數(shù)據(jù)和程序的可信度得到了保護(hù)。

（三）風(fēng)險(xiǎn)評(píng)估的難度進(jìn)一步加大 企業(yè)無(wú)論規(guī)模、結(jié)構(gòu)、性質(zhì)或者所屬行業(yè)如何，在組織內(nèi)部的各個(gè)層級(jí)都會(huì)遭遇風(fēng)險(xiǎn)。風(fēng)險(xiǎn)就是影響企業(yè)的生存能力以及能否在其所屬行業(yè)成功地競(jìng)爭(zhēng)，保持其財(cái)務(wù)實(shí)力和正面的公眾形象的因素，因此，企業(yè)管理層必須對(duì)這些影響企業(yè)成功的不確定性因素進(jìn)行識(shí)別與分析并加以適時(shí)的處理。應(yīng)用XBRL進(jìn)行財(cái)務(wù)會(huì)計(jì)信息披露將給提供會(huì)計(jì)信息的企業(yè)帶來(lái)巨大的挑戰(zhàn)，一方面企業(yè)商務(wù)信息泄露的風(fēng)險(xiǎn)將大大提高，另一方面也提供了企業(yè)信息披露成本，因此，XBRL信息技術(shù)的應(yīng)用使得企業(yè)風(fēng)險(xiǎn)評(píng)估難度加大。此外，強(qiáng)大的計(jì)算機(jī)系統(tǒng)使得人們往往忽略了主觀的判斷，存儲(chǔ)的數(shù)據(jù)可以隨意的被修改和刪除，數(shù)據(jù)的存放形式增加了數(shù)據(jù)再現(xiàn)的難度，這些因素都增加了企業(yè)的潛在風(fēng)險(xiǎn)。數(shù)據(jù)處理過(guò)程中的無(wú)法觀測(cè)點(diǎn)也會(huì)增加企業(yè)風(fēng)險(xiǎn)評(píng)估的難度。

（四）監(jiān)督風(fēng)險(xiǎn) 內(nèi)部控制體系隨著時(shí)間的推移而不斷變化，曾經(jīng)的有效內(nèi)部控制程序可能會(huì)變得不再有效，而且最初設(shè)計(jì)內(nèi)部控制體系時(shí)的環(huán)境也可能會(huì)發(fā)生變化，造成無(wú)法對(duì)新條件帶來(lái)的風(fēng)險(xiǎn)發(fā)出警告。因此，管理層需要確定內(nèi)部控制體系是否繼續(xù)適用以及能否應(yīng)對(duì)新的風(fēng)險(xiǎn)。XBRL采用的XML技術(shù)體系，像其他XML未保護(hù)的數(shù)據(jù)一樣，XBRL沒(méi)有對(duì)標(biāo)簽提供任何保護(hù)；XBRL的實(shí)例文檔也易受到非法攻擊，很容易被篡改，數(shù)據(jù)的完整性和可靠性受到威脅，而這些威脅在網(wǎng)絡(luò)環(huán)境下難以留下必要的審計(jì)線索。XBRL的實(shí)施勢(shì)必會(huì)導(dǎo)致企業(yè)業(yè)務(wù)流程的重組，再加上缺少必要的審計(jì)線索，加大了內(nèi)部控制監(jiān)督的難度。

（五）信息與溝通風(fēng)險(xiǎn) 內(nèi)部控制是涉及到企業(yè)內(nèi)外各個(gè)方面的工作，不是管理層或者內(nèi)部控制職能人員單一的工作，需要整體的溝通與協(xié)調(diào)。企業(yè)所建立的流程與制度不是孤立存在的，各個(gè)部門(mén)之間都有著緊密的聯(lián)系，如果缺少信息溝通，必然影響內(nèi)部控制的實(shí)施效果。在實(shí)際應(yīng)用中，許多企業(yè)習(xí)慣了“各負(fù)其責(zé)，各管其事”，XBRL系統(tǒng)無(wú)法涵蓋企業(yè)管理的各個(gè)方面，很多XBRL的功能并不符合企業(yè)原有的業(yè)務(wù)流程，無(wú)法適應(yīng)企業(yè)所處行業(yè)的特點(diǎn)，造成企業(yè)內(nèi)外部溝通不暢。

二、上市公司應(yīng)用XBRL的策略分析

（一）建立健全信息系統(tǒng)內(nèi)部控制規(guī)范 上市公司要從舊的信息系統(tǒng)轉(zhuǎn)換到XBRL的新系統(tǒng)，首先要做的就是建立健全一個(gè)有效的內(nèi)部控制防范機(jī)制，為XBRL系統(tǒng)轉(zhuǎn)換工作的順利進(jìn)行打好基礎(chǔ)。而這些內(nèi)部控制防范機(jī)制有賴于國(guó)家政府、組織在已有的內(nèi)部控制規(guī)范基礎(chǔ)上借鑒國(guó)際上其他國(guó)家的先進(jìn)經(jīng)驗(yàn)發(fā)布信息系統(tǒng)內(nèi)部控制規(guī)范或模型。我國(guó)目前還沒(méi)有一套針對(duì)XBRL內(nèi)部控制和風(fēng)險(xiǎn)管理的指南，政府及相關(guān)組織應(yīng)在借鑒國(guó)內(nèi)外經(jīng)驗(yàn)的基礎(chǔ)上，及早制定基于XBRL的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制規(guī)范。美國(guó)內(nèi)部審計(jì)協(xié)會(huì)構(gòu)建了一個(gè)更為現(xiàn)代化的信息系統(tǒng)控制框架——電子系統(tǒng)保證與控制框架，該框架由控制環(huán)境、人工控制系統(tǒng)和智能控制系統(tǒng)以及把控制融入系統(tǒng)的控制程序三部分組成。中國(guó)財(cái)政部發(fā)布的《企業(yè)內(nèi)部控制指引第18號(hào)——信息系統(tǒng)》指出企業(yè)應(yīng)當(dāng)重視信息系統(tǒng)在內(nèi)部控制中的作用，根據(jù)內(nèi)部控制要求，結(jié)合組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等因素，制定信息系統(tǒng)建設(shè)整體規(guī)劃，加大投入力度，有序組織信息系統(tǒng)開(kāi)發(fā)、運(yùn)行與維護(hù)，優(yōu)化管理流程，防范經(jīng)營(yíng)風(fēng)險(xiǎn)，全面提升企業(yè)現(xiàn)代化管理水平。

（二）XBRL系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)防范 在XBRL環(huán)境下，內(nèi)部控制需要進(jìn)一步加強(qiáng)和完善，才能滿足風(fēng)險(xiǎn)防范的需要，主要從以下方面著手：（1）加強(qiáng)內(nèi)部控制制度，建立良好的內(nèi)部控制環(huán)境。XBRL系統(tǒng)的實(shí)施是一個(gè)投資巨大的工程，短期內(nèi)無(wú)法取得立竿見(jiàn)影的效果，因此不可避免的會(huì)遭遇各種阻力，加強(qiáng)內(nèi)部控制制度，建立良好的內(nèi)部控制環(huán)境可以為XBRL系統(tǒng)的順利實(shí)施打下基礎(chǔ)。首先，基于XBRL格式的會(huì)計(jì)數(shù)據(jù)存儲(chǔ)將給上市公司帶來(lái)商業(yè)機(jī)密泄露風(fēng)險(xiǎn)，從而形成上市公司對(duì)信息曝光的擔(dān)憂。有效的解決手段包括引入數(shù)字版權(quán)管理技術(shù)、防火墻技術(shù)、數(shù)字加密技術(shù)和數(shù)字簽名技術(shù)。其次，加強(qiáng)組織控制，重塑企業(yè)文化氛圍，在信息系統(tǒng)內(nèi)部控制中，企業(yè)成員的道德倫理、價(jià)值觀念、工作態(tài)度都會(huì)發(fā)生變化，尤其是企業(yè)員工的誠(chéng)信程度和職業(yè)道德水平，是影響企業(yè)內(nèi)部控制環(huán)境的一個(gè)非常重要因素。因此，企業(yè)管理層必須傳達(dá)這樣的信息：在誠(chéng)信和道德價(jià)值觀方面不能讓步，有必要設(shè)立專(zhuān)門(mén)的機(jī)構(gòu)或?qū)I(yè)人員進(jìn)行系統(tǒng)管理。（2）重點(diǎn)關(guān)注控制活動(dòng)。控制活動(dòng)包含一系列政策，以及有助于確保管理層的指令得以實(shí)施的相關(guān)執(zhí)行程序，有助于確保那些被認(rèn)定為對(duì)處置風(fēng)險(xiǎn)以實(shí)現(xiàn)企業(yè)的目標(biāo)而言必要的行動(dòng)得以貫徹實(shí)施。對(duì)信息系統(tǒng)的控制活動(dòng)，一般分為一般控制和應(yīng)用控制兩類(lèi)活動(dòng)。一般控制通常包括針對(duì)數(shù)據(jù)中心操作、系統(tǒng)軟件獲取和維護(hù)、訪問(wèn)安全以及應(yīng)用系統(tǒng)開(kāi)發(fā)和維護(hù)的控制；應(yīng)用控制則旨在控制應(yīng)用處理以幫助確保交易處理的完整性和正確性、授權(quán)和有效性。（3）權(quán)變的信息與溝通。XBRL信息系統(tǒng)內(nèi)部控制不是一成不變的模式，而應(yīng)該隨著企業(yè)所處的環(huán)境變化而變化?，F(xiàn)代內(nèi)部控制也由以往單純的人工控制轉(zhuǎn)為人、機(jī)共同控制，因此，由于工作人員的經(jīng)驗(yàn)和素質(zhì)差異，早期控制應(yīng)該適當(dāng)寬松。系統(tǒng)生成的信息質(zhì)量影響管理層在管理和控制企業(yè)的活動(dòng)時(shí)做出適當(dāng)決策的能力。良好的溝通不僅能為企業(yè)帶來(lái)順暢的信息交流，更能為企業(yè)的決策與執(zhí)行力提供保障。企業(yè)應(yīng)打通阻礙企業(yè)溝通的障礙，形成一種良好的溝通氛圍。例如，建立健全會(huì)計(jì)及相關(guān)信息的報(bào)告負(fù)責(zé)制度，使企業(yè)內(nèi)部的員工能夠清楚地了解企業(yè)的內(nèi)部控制制度，知道其所承擔(dān)的責(zé)任，并及時(shí)取得和交換在執(zhí)行、管理和控制企業(yè)經(jīng)營(yíng)過(guò)程中所需的信息。（4）風(fēng)險(xiǎn)識(shí)別與分析。內(nèi)部控制除了要識(shí)別與分析由企業(yè)戰(zhàn)略，經(jīng)營(yíng)、安全和合法合規(guī)引起的風(fēng)險(xiǎn)外，更重要的是要識(shí)別有信息系統(tǒng)引起的新風(fēng)險(xiǎn)?！镀髽I(yè)內(nèi)部控制指引第18號(hào)——信息系統(tǒng)》指出企業(yè)利用信息系統(tǒng)實(shí)施內(nèi)部控制至少應(yīng)當(dāng)關(guān)注以下三方面的風(fēng)險(xiǎn)：信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，導(dǎo)致企業(yè)經(jīng)營(yíng)管理效率低下；系統(tǒng)開(kāi)發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當(dāng)，可能導(dǎo)致無(wú)法利用信息技術(shù)實(shí)施有效控制；系統(tǒng)運(yùn)行維護(hù)和安全措施不到位可能導(dǎo)致信息泄露，系統(tǒng)無(wú)法正常運(yùn)行。此外，企業(yè)面臨的風(fēng)險(xiǎn)是不斷變化的，必須建立風(fēng)險(xiǎn)評(píng)估體系，定期對(duì)企業(yè)的風(fēng)險(xiǎn)進(jìn)行評(píng)估，才能準(zhǔn)確的識(shí)別企業(yè)風(fēng)險(xiǎn)并加以應(yīng)對(duì)。（5）監(jiān)控。監(jiān)控確保內(nèi)部控制體系持續(xù)有效運(yùn)行，沒(méi)有嚴(yán)格的監(jiān)督與控制，企業(yè)內(nèi)部控制的作用就會(huì)削弱甚至失效。監(jiān)控一般通過(guò)兩種方式進(jìn)行：持續(xù)監(jiān)控、個(gè)別評(píng)價(jià)和報(bào)告缺陷，持續(xù)監(jiān)控和個(gè)別評(píng)價(jià)的適當(dāng)相結(jié)合將會(huì)確保內(nèi)部控制體系在一定時(shí)期內(nèi)的有效性。但應(yīng)該認(rèn)識(shí)到，持續(xù)監(jiān)控活動(dòng)是嵌入到企業(yè)日常的、反復(fù)發(fā)生的經(jīng)驗(yàn)活動(dòng)之中的，持續(xù)監(jiān)控活動(dòng)能夠動(dòng)態(tài)的應(yīng)對(duì)環(huán)境的變化。持續(xù)監(jiān)控活動(dòng)的有效性越高，就越不需要個(gè)別評(píng)價(jià)。此外，考慮到XBRL文檔很容易被錯(cuò)誤的或有目的地創(chuàng)建、修改，可擴(kuò)展驗(yàn)證報(bào)告語(yǔ)言（XARL）可以為企業(yè)和各類(lèi)信息使用者提供經(jīng)過(guò)驗(yàn)證的財(cái)務(wù)數(shù)據(jù)信息。

［1］王晶：《XBRL網(wǎng)絡(luò)財(cái)務(wù)報(bào)告在我國(guó)應(yīng)用存在的問(wèn)題及對(duì)策探析》，江西財(cái)經(jīng)大學(xué)2010年碩士學(xué)位論文。

［2］羅銀云：《我國(guó)上市公司XBRL應(yīng)用研究》，湘潭大學(xué)2010年碩士學(xué)位論文。

［3］薛祖云：《企業(yè)信息化與內(nèi)部控制》，廈門(mén)大學(xué)出版社2011年版。

［4］COSO委員會(huì)制定發(fā)布，方紅星等譯：《內(nèi)部控制整合框架》，東北財(cái)經(jīng)大學(xué)出版社2008年版。