近年來由於企業弊案的頻仍，將風險評估納入內部控制的作法在國際上越趨盛行，但反觀我國企業在進行內部控制風險評估時，卻沒有一套良好且客觀的工具或軟體來協助稽核員評估內部控制之風險率，完全仰賴稽核員之主觀判斷。過去相關研究採用分析層級程序法(Analytic Hierarchy Process, AHP)進行評估，假設各風險因素間相互獨立，實務上，風險間多半具有相互影響的關係，所以使用AHP法將導致結果產生偏差，故本研究採取分析網路程序法( Analytic Network Process, ANP )進一步探討風險因素間相互依存的關係，以修正此項缺失，期望提供一套內部控制風險評估模型來協助稽核人員評估各稽核單位之風險率，並透過資源分配來有效達到資源的有效配置。
此外由於高科技產業為我國未來發展之重點，故其對社會、經濟、投資大眾將產生莫大的影響力，故本研究以台灣高科技產業為研究對象。本研究專家問卷共計16份，透過幾何平均數彙整專家問卷，獲得高科技產業下內部控制風險因素之權重，結果顯示稽核人員最重視「控制環境」所產生之風險，其次為「監督」、「資訊與溝通」、「風險評估」、「控制活動」，此外進一步透過個案研究，說明內部控制風險評估模型與資源分配之可行性，結果顯示本研究之模型確實能提供實務上之需求。

As enterprise fraud events occur frequently, it is prevails over the world that risk evaluation is took into consideration into internal control. However, it is not prevails in Taiwan that the auditor can just make judgment subjectively for there is rare tools or software to evaluate the internal control risk rate. The related researched utilized the Analytic Hierarchy Process to acquire the weight of risk factors, which assumed the risk factors are independence one another. Actuality, the risk factors are interdependent that this research utilized the Analytic Network Process to obtain the weight of risk factors and provides an internal control risk evaluation model for the auditor. And then this research used the score obtained by the weights to achieve a best allocation of auditing resources.
As high tech industries are the core economic entities in Taiwan and they will result in significant influence for the society, economic and investor in Taiwan, this research focus on Taiwanese High Tech Industries. There are 16 expert questionnaires were collected, and then this research utilized the geometric mean method to evaluate the expert survey. Thus the weight of internal control risk factors under high tech industries is obtained. The result shows that control environment is the most important factor among others. The importance rank of the risk factors are control environment, monitoring, information and communication, risk assessment and control activities. Finally, this research used a case study to examine the feasibility of the proposed internal control risk evaluation model and resources allocation. The results show that the proposed model is feasible.

中文摘要 ........................................................ i
Abstract...........................................................ii
目 次.............................................................iii
表 次..............................................................vi
圖 次............................................................viii
第一章 緒論...........................................................1
1.1研究背景與動機.....................................................1
1.2 研究目的.........................................................3
1.3 研究流程.........................................................4
第二章 文獻探討.......................................................6
2.1內部控制..........................................................6
2.1.1內部控制的定義...................................................6
2.1.2內部控制之組成要素................................................7
2.1.3內部控制之重要性.................................................9
2.2 以企業風險管理為基礎之內部控制.....................................10
2.2.1企業風險管理與內部控制之發展背景..................................10
2.2.2企業風險管理納入內部控制之原因....................................11
2.3內部控制下之風險因素...............................................13
2.3.1風險的定義......................................................13
2.3.2內部控制下之風險種類.............................................13
2.3.3內部控制下風險因素之關連性........................................17
2.4稽核資源分配理論..................................................19
2.5 內部控制相關文獻探討..............................................21
第三章 研究方法......................................................23
3.1 專家問卷........................................................23
3.1.1 研究對象......................................................23
3.1.2專家資格認定....................................................24
3.2研究步驟.........................................................25
3.3 ANP問卷設計.....................................................32
3.4研究工具.........................................................32
3.4.1分析層級程序法(Analytic Hierarchy Process, AHP).................32
3.4.2分析網路程序法(Analytic Network Process, ANP )..................33
第四章 驗證與分析....................................................38
4.1準則權重之獲得....................................................38
4.1.1決定評選準則....................................................38
4.1.2建立網路層級結構................................................39
4.1.3 ANP問卷的設計與施測............................................40
4.1.4建立成對比較矩陣................................................41
4.1.5一致性檢定.....................................................43
4.1.6幾何平均數彙整專家問卷...........................................45
4.1.7計算評選準則之權重值.............................................49
4.2獲得各稽核單位風險權重值...........................................50
4.2.1個案公司介紹....................................................50
4.2.2某電腦公司內部稽核運作現況說明....................................53
4.2.3網路層級結構....................................................53
4.2.4 ANP問卷的設計與施測............................................54
4.2.5建立成對比較矩陣................................................55
4.2.6 ㄧ致性檢定....................................................58
4.2.7計算各稽核單位的風險權重值.......................................60
4.3稽核資源分配......................................................64
4.3.1實際運算.......................................................64
第五章 結論與建議....................................................68
6.1結論.............................................................68
6.2管理意涵.........................................................69
6.3研究限制.........................................................70
6.4未來研究建議......................................................70
參考文獻............................................................71
中文參考文獻.........................................................71
英文參考文獻.........................................................74
附錄................................................................77
附錄A、分析網路程序法(ANP)之專家問卷...................................77
附錄B、個案研究之分析網路程序法(ANP)專家問卷............................82
附錄C、分析網路程序法之範例說明........................................90

ㄧ、中文部份
王天佑(2005)。中小型營造業內部控制制度設計之研究－以Ａ公司個案為例。未出版之碩士論文，國立高雄應用科技大學，商務經營研究所，高雄。
吳思華(2000)。策略九說(三版)。台北市：臉譜。
吳素環、李雅慧(2003)。COSO的新發展─企業風險管理，會計研究月刊，217，114-119。
吳素環、李雅慧(2003)。COSO的新發展─企業風險管理，會計研究月刊，217，114-119。
吳清在、陳錦烽(2007)。台灣公開發行公司內部控制制度自行檢查實施成效之調查與分析，內部稽核，60，15-24。
汪承運(1991)。企業管理由內做起─內部稽核人員的素養和訓練，會計研究月刊，64，56-59。
林炳滄(2005)。內部稽核理論與實務(修訂)。台北：中華民國內部稽核協會。
林益田(2005)。證券商內部稽核制度對內部控制績效之影響。未出版之碩士論文，國立交通大學，管理學院碩士在職專班經營管理組，新竹。
林梅齡(2005)。內部控制、公司治理及品德管理之整合研究。未出版之碩士論文，國立中山大學，高階經營碩士班，嘉義。
林溫琴(2006)。內部控制制度之最新規範，內部稽核，54，34-39。
邱俊唐(2007)。高雄港在亞太地區轉運競爭力之研究。未出版之碩士論文，國立中央大學，土木工程系，桃園。
柯忠宏(2005)。ERP與WfMS之差異、整合與應用─以採購循環之內部控制點為例。未出版之碩士論文，私立中原大學，資訊管理研究所，中壢。
段開齡(1981)。風險管理專題演講，產險季刊，40，9。
范于淳(1997)。銀行業內部控制制度之研究-以授信業務為例。未出版之碩士論文，國立中興大學，會計研究所，台中。
寇惠植(2006)。稽核與風險管理，內部稽核，54，61-68。
許永明(2006)。風險導向之內部稽核實務研究─以保險業為例，內部稽核，56，26-32。
許國維(2006)。營造公司經營高科技廠房競爭優勢評估。未出版之碩士論文，國立台灣科技大學，營建工程學系，台北。
郭秀貴(1988)。內部控制制度評估模式之研究─CUSHING 模式之修正。未出版之碩士論文，國立交通大學，管理科學研究所，新竹。
郭兆玲、賴佳誼(2005)。內部稽核於健全風險管理之關鍵角色，內部稽核，50，52-58。
陳計良(1995)。我國中小企業內部控制制度之研究─以商業、營造業、製造業為例。未出版之碩士論文，國立中央大學，企業管理學系，中壢。
陳錦村(2004)。風險管理概要：各案與實務。台北：新陸。
陳淑敏(2006)。從雙卡效應論銀行經營之內部控制、風險管理與市場策略之規劃。未出版之碩士論文，國立臺灣科技大學，管理研究所，台北。
陳錦峰、蘇淑美(2006)。內部稽核新紀元─風險管理、控制及治理。台北：致琦股份有限公司。
陳文彬(2007)。企業內部控制評估。台北市：財團法人中華民國證券暨期貨市場發展基金會。
彭景暉(2004)。從內部控制觀點建構舞弊訴訟預警模型─類神經模糊理論之應用。未出版之碩士論文，私立靜宜大學，會計學系研究所，台中。
曾秀貞(2003)。我國綜合證券商內部控制與經營績效之關係研究。未出版之碩士論文，私立銘傳大學，財務金融學系碩士在職專班，台北。
曾怡慈(2006)。企業資源規劃系統對企業內部控制影響之研究─以生產循環為例。未出版之碩士論文，私立世新大學，資訊管理學研究所，台北。
游淑觀(2006)。財務再保險之內部控制與內部稽核─HIH與AIG案例分析。未出版之碩士論文，國立政治大學，經營管理所，台北。
筒井信行(1999)。風險管理。台中：日之昇文化事業。
黃婉玲(2001)。內部稽核人員的發展，內部稽核，35，65-68。
黃清榮(2004)。內部控制自行評估關鍵成功因素及其效益之探討─以國內某塑膠公司為例。未出版之碩士論文，私立淡江大學，會計學系，台北。
經濟部技術處(1998)。產業技術白皮書。台北：經濟部技術處。
廖依信(2003)。作業風險管理與內部控制之關係─以G10二十家金融機構為例。未出版之碩士論文，私立輔仁大學，金融研究所，台北。
廖文華(2004)。金融機構公司治理之內部控制機制。未出版之碩士論文，私立中原大學，財經法律研究所，中壢。
趙令琨(2004)。內部控制影響因素之分析-以台灣公開發行違約公司為例。未出版之碩士論文，私立靜宜大學，企業管理研究所，台中。
劉淑娟(2004)。以企業倫理為導向之內部控制自行評估管理機制之探討─以外商個案公司為例。未出版之碩士論文，私立中原大學，會計研究所，中壢。
劉家瑜(2006)。稽核人員要能判斷公司風險的輕重緩急專訪元大京華期貨稽核室經理吳旻芳，期貨人，17，49-51。
蔡福建(2000)。公務機關實施財務(物)內部控制之研究─以經濟部水利處河川局為例。未出版之碩士論文，國立中山大學，公共事務管理研究所，嘉義。
蔡篤村(2001)。以內部控制強化公司治理之探討。未出版之碩士論文，國立臺灣大學，會計學研究所，台北。
衛萬里(2007)。應用分析網路程序法選擇最佳產品設計方案之決策分析模式。未出版之博士論文，國立臺灣科技大學，設計研究所，台北。
鄭燦堂(2000)。風險管理─理論與實務。台北：五南圖書。
鄧振源、曾國雄(1989)。層級分析法（AHP）的內涵特性與應用。中國統計學報，27(7)，1-20。
鄧家駒(2000)。風險管理(二版)。台北：華泰書局。
鄧家駒(2005)。風險管理(四版)。台北：華泰書局。
蕭開平(1994)。中小企業製造業內部控制現況探討。未出版之碩士論文，國立中興大學，企業管理研究所，台中。
賴永裕(1996)。我國內部稽核人員對資訊系統之內部控制評估的適任性及影響其適任性之因素。未出版之碩士論文，國立成功大學，會計研究所，台南。
賴森本(2004)。內部控制之迷思與真相，主計月刊，583(7)，65-73。
賴森本(2004)。風險導向稽核，內部稽核，48，17-24。
蘇德淑(1999)。評估內部稽核風險之實證研究，內部稽核協會，17，1-17。
龔烜堯(1997)。證券投資信託事業內部控制制度之研究─以基金申購與買回作業為例。未出版之碩士論文，國立中興大學，會計學系，台中。

二、英文部份
Agarwal, A. & Shankar, R. (2002). Analyzing Alternatives For Improvement In Supply Chain Performance. Emeralidinsight, 51(1), 32-37.
Buckley, J. J. (1985). Fuzzy hierarchical analysis. Fuzzy Sets and Systems, 15, 21-31.
Buchanan, S. & Gibb, F. (2007). The information audit: Role and scope. International Journal of Information Management, 27, 159-172.
Committee of Sponsoring Organization of Treadway (COSO) (1992). Internal Control-Integrated Framework, Coopers and Lybrand,AICPA New Work.
Committee of Sponsoring Organizations of the Treadway Commission(COSO) (2004). Enterprise Risk Management -Integrated Framework, Coopers and Lybrand, AICPA New Work.
Cerrit, S. & Ignace, D. B. (2006). Internal auditors’ perception about their role in risk management. Managerial Auditing Journal, 21, 1/2, P63.
DeMarco, V. F. (1980). Recruiting and Developing Internal Auditors. The Internal Auditor, 53-57.
Ghodsypour, S. H. & O’Brien, C. (1998). A decision support system for supplier selection using an integrated analytic hierarchy process and linear programming. International Journal of Production Economics, 56-57, 199-212.
Hampel Committee(1998), Committee on Corporate Governance, Final Report, Gee, London.
Krogstad, J. L., Ridley, A. J., & Rittenberg, L. E. (1999). Where we’re going. Internal Auditor, 56(5) , 26-33.
Kamal, M. (2001). Application Of The AHP In Project Management. International Journal of Project Management, 19, 19-27.
Knechel, W. R., Rouse, P., & Schelleman, C. (2005). A modified audit production framework: Evaluating the relative efficiency of audit engagements. Working Paper.
Kenchel, W. R. (2007). The business risk audit: Origins, obstacles and Opportunities. Accounting, Organizations and Society , 32 , 383-408.
Lee, J. W. & Kim, S. H. (2000). Using ANP and GP for interdependent information system project selection. Computers & Operations Research, 27, 367-382.
Lemon, M., Tatum, K., & Turley, S. (2000). Developments in the Audit Methodologies of Large Accounting Firms. Monograph, APB London.
Lipovetsky, S. & Michael, C. W. (2002). Robust Estimation of Priorities In The AHP. European Journal of Operational Research, 137(1), 110-122.
Leone, A. J. (2007). Factors related to internal control disclosure. Journal of Accounting and Economics, 44, 224-237.
Mead, L. M. & Rogers, K. J. (1997). Enhancing A Manufacturing Business Process For Agility. Portland International Conference On Management And Technology, 638-641.
Meade, L. M. & Sarkis, J. (1999). Analyzing Organization Project Alternatives for Agile Manufacturing Processes: An Analytical Network Approach. International Journal of Production Research, 37, 241-261.
Meade, L. M. & Presley, A. (2002). R&D project selection using the analytic network process. IEEE Transactions on Engineering Management, 49(1), 59-66.
Patton, J. M., Evans, J. H., & Lewis, B. L. (1982). A framework for evaluating internal audit risk. The Institute of Internal Auditors, Inc.
Schneider, A. (1970). Selecting and Developing Internal Auditors. The Internal Auditor, 51-59.
Saaty, T. L. & Takizawa, M. (1986). Dependence and independence: From linear hierarchies to nonlinear networks. European Journal of Operational Research, 26, 229-237.
Saaty, T. L. (1996). The analytic network process. RWS Publications, Expert Choice, Inc., Pittsburgh.
Selim, G. & McNamee, D. (1999). Risk management and internal auditing relationship: developing and validating a model. International Journal of Auditing, 3 (3), 159-74.
Selim, G. & McNamee, D. (1999). Risk management and internal auditing: what are the essential building blocks for a successful paradigm change. International Journal of Auditing, 3(2), 147-155.
Saaty, T. L. (2001). The Analytic Network Process . 4922 Ellsworth Avenue, Pittsburgh, PA 15213.
Spira, L. F. & Page, M. (2003). Risk management: The reinvention of internal control and the changing role of internal audit. Accounting, Auditing & Accountability Journal , 16(4), 640-661.
Saaty, T. L. (2005), Theory and Applications of the Analytic Network Process. 4922 Ellsworth Avenue, Pittsburgh, PA 15213.
Saaty, T. L. & Vargas, L. G. (2006). Decision making with the analytic network process: Economic, political, social and technological applications with benefits, opportunities, cost and risk. United States of America.
Tuttle, B. & Vandervelde, S. D. (2007). An empirical examination of CobiT as an internal control framework for information technology. International Journal of Accounting Information Systems, 8 , 240-263.
Williams, J., Arthur, G.L., & Glendenning, G. W. (1978). Principle of Risk Management and Insurance, 1st ed., Malvern.
Ward, D. D. & Robertson , J. C. (1980). Reliance on Internal Auditors. Journal of Accountancy, 62-73.
Williams, C.A. & R.M. Henis (1981). Risk management and Insurance, 4th Ed., NY: McGraw-Hill.
Williams, C. A., Smith, M. L., & Young, P. C. (1998). Risk management and Insurance. 8th Ed., NY: McGraw-Hill.