臺灣博碩士論文加值系統

在現今的環境下，企業營運倚賴各種資訊科技(Information Technology，IT)來增加其競爭力以提昇企業經營績效，以使其能於變化詭譎的商場上勝出；「企業資源規劃系統」(Enterprise Resource Planning；ERP)的導入使用即為企業e化藍圖中極為重要的資訊科技基礎建設。ERP系統包括了運作、管理、溝通、檔案處理，以及決策等企業關鍵流程，同時它也整合了企業的財務會計、管理會計、生產計劃管理、物料管理、銷售等幾個主要功能，而企業也大都採用ERP系統來執行財務報導程序。而企業為了配合資訊科技的發展與全球化的競爭市場，許多企業莫不以e化做為企業生存之道，面對這些高度引用資訊科技以協助經營與提昇整體競爭力的企業，更重要的是，企業本身必須對於協助提昇營運績效而導入之新科技的相關風險，能具有充分的了解與適切的管理，這就是資訊治理（IT Governance）的概念。在2002年7月30日，美國總統所簽署的沙賓法案（Sarbanes-Oxley Act of 2002）是為了恢復自安隆（Enron）事件後大受衝擊的投資人信心，其中攸關企業資訊治理的內部控制相關規定中，以法案中第302及404條之影響為最。然而，企業應該做些什麼才是所謂符合沙賓法案呢？透過美國證管會所監管成立的公開公司會計監督委員會（PCAOB），所建立審計、品質控管會計事務所與會計師的調查與懲戒制度。也就是確定每家美國上市公司的財務報表具有時效性與正確性，內部具有會計監督制度，資訊上則是建立內部安全控管與審核監督機制，數百條作業項目多為財務管理，約有1／10的工作事項與資訊部門相關，而且根據研究機構AMR在2005年11月發表的最新報告，估計美國企業在2006年將花費61億美元以符合美國沙賓法案（Sarbanes-Oxley Act）的規範。這麼多的作業項目以及這麼龐大的投入金額，企業在時間及物力有限的情況下該如何依照法令以及依影響內部控制的強度來分階段實施，此為引發本研究的動機。本研究經由文獻彙總與德爾菲專家意見表達，萃取出以沙賓法案為基礎之ERP系統內部控制與稽核功能架構之因素，接著利用層級分析法( Analytic Hierarchy Process Method)，以問卷方式，針對國內公開發行以上且導入ERP系統之企業以方便隨機抽樣方式進行調查。最後，經由分析與彙整，不僅建構出以沙賓法案為基礎的ERP系統內部控制與稽核功能架構，更進一步得出這些因素的權重及優先順序，可作為企業或組織建置ERP系統時之參考，並從沙賓法案加強財務報導內部控制的觀點，來提供e 化企業一個更完善的內部控制參考架構，以降低風險。

Under today’s business environment, companies are depended on various kinds of information technologies (IT) to enhance their business operation performance and become winners in this constantly changing market. The introduction of the Enterprise Resource Planning (ERP) is one of the important IT stepping stones for companies to enter into the new “e” generation. The ERP system includes key procedures of company’s operation, management, communication, file management, and decision making; it also has integrated major functions like financial accounting, management accounting, production planning management, inventory management, and sales. Nowadays, companies had already elected the ERP system for their financial reporting procedures. In order to match or even surpass their market competitions while keeping up with the most current IT developments, companies all take computerizations as one essential means protecting their survival. Yet more importantly, these highly computerized companies, must face the risks involved in introducing these advanced information technologies, fully aware of the potentials and in the mean time rendering proper management functions, which is the concept of IT governance.On July 30th, 2002, US president passed the “Sarbanes-Oxley Act of 2002”, trying to restore the market confidence after the Enron incident. Clauses 302 and 404 were the most influential ones among internal company information control regulations. What should a company do to comply with the Act? Companies will need to establish the PCAOB investigation and discipline system, which is to ensure the correctness and validity of company financial reports and proper internal accounting monitoring system. For information management, companies will have to establish internal security control and auditing system; out of hundreds of operation procedures needed to be enforced, roughly one tenth are related to the information department. According to the latest report by AMR in November, 2005, it is estimated that US corporations will have to invest about 6.1 billions US dollars to comply with the regulations. With the immense works and investments required, in stages, how do companies complete their system base on the regulation and intensity affecting their internal control?
This research, with related articles and professional suggestions of Delphi, had extracted factors of ERP internal control and auditing base on the Sarbanes-Oxley Act. Next using the Analytic Hierarchy Process Method, surveys were conducted on randomly selected publicly listed companies with ERP. Through analysis, not only an ERP internal control and auditing system base on the Sarbanes-Oxley Act was established but also the weightings and priorities of the factors; these results can be used as references when companies needed to organize their ERP system. In addition, this research provides a complete internal control structure base on Sarbanes-Oxley Act to lower the potential risks for “e” companies.

第一章 緒論 1
1.1 研究背景與動機 1
1.2 研究目的與貢獻 6
1.3 研究架構與流程 7
1.3.1 研究架構 7
1.3.2 研究流程 8
第二章 文獻探討 9
2.1企業資源規劃（ERP）系統的系統功能架構內涵 9
2.1.1 企業資源規劃系統的定義 10
2.1.2 企業資源規劃系統的演進 10
2.1.3 企業資源規劃系統的功能與效益 15
2.2 內部控制與資訊科技系統 18
2.2.1 內部控制之定義 18
2.2.2 在資訊科技系統上的內部控制 20
2.3 沙賓法案中與財務報導有關之內部控制要求 22
2.3.1 與財務報導有關之內部控制定義 23
2.3.2 沙賓法案第302節的相關要求 23
2.3.3 沙賓法案第404節的相關要求 24
2.3.4 沙賓法案第302節與404節彙整 25
2.3.5 沙賓法案與國內內部控制差異 26
2.4 以沙賓法案為基礎之ERP系統的內部控制相關因素探討 28
2.4.1 沙賓法案下資訊科技的內部控制要素 28
2.4.2 ERP系統與內部控制 31
2.5 沙賓法案下ERP系統的內部控制因素分析彙總 38
2.5.1 控制環境 39
2.5.2 風險評估 42
2.5.3 控制活動 43
2.5.4 資訊與溝通 45
2.5.5 監督 46
第三章 研究方法 47
3.1 研究因素與架構 47
3.2 研究方法的選擇 50
3.2.1 德爾菲法（Delphi） 51
3.2.2 分析層級程序法（Analytic Hierarchy Process） 57
3.3 問卷的設計 61
3.3.1 問卷調查目的 61
3.3.2 問卷調查對象 61
3.3.3 問卷設計 61
3.3.4 問卷發出與回收 63
3.4 資料分析工具與步驟 64
3.4.1 資料分析工具 64
3.4.2 資料分析步驟 64
第四章 資料分析 68
4.1 問卷的發放與回收結果分析 68
4.2 個別一致性檢定與整體一致性檢定 71
4.2.1 個別一致性檢定 71
4.2.2 整體一致性檢定 72
4.3 因素排行 75
4.3.1 五構面排行 75
4.3.2 「控制環境」構面內因素排行 76
4.3.3 「風險評估」構面內因素排行 77
4.3.4 「控制活動」構面內因素排行 78
4.3.5 「資訊與溝通」構面內因素排行 79
4.3.6 「監督」構面內因素排行 80
4.3.7 整體因素排行 80
第五章 結論及建議 86
5.1 研究結論 86
5.2 研究貢獻與建議 89
5.3 研究限制 91
5.4 未來研究方向 92
參考文獻 93
一、中文部份 93
二、英文部份 94
附錄一：德爾菲法專家問卷－第一回合 97
附錄二：德爾菲法專家問卷－第二回合 102
附錄三：專家資料彙總表 107
附錄四：企業問卷 108

一、中文部份
中村寶等人，2000 ，SAP革命，迪茂國際出版公司：102-164頁
江美英，2004，ERP基礎觀念及導入方法篇，鼎新電腦股份有限公司：6-34頁
吳昌明，2002，兩岸ERP系統功能需求差異分析－以銷貨及收款循環為例，元智大學資訊管理研究所未出版碩士論文
吳素環，1999，電腦化處理應有之內部控制考量，主計月報，87卷5期（5月）：34-37頁
吳素環、余麗玲、萬幼筠，1999，ERP系統之安全與控制，資訊與電腦，228期（７月）：66-74頁
李東峰，2003，企業資訊安全控管決策之研究－從組織決策理論觀點探討，國立中央大學資訊管理研究所博士論文
李珮如，2003，影響國內中小企業採用企業資源規劃系統之關鍵因素，國立中正大學資管所未出版碩士論文
李偉銘，2001，台灣本土化傳統產業轉型至電子化企業之研究－以企業資源規劃（ERP）實務應用為例，國立台灣科技大學資訊管理研究所未出版碩士論文
果芸，1999，對ERP應有的認識，資訊與電腦，7月：40-42頁
林柄滄，1999，內部稽核理論與實務，中華民國內部稽核協會出版（1月）
林柄滄，2002，安隆（Enron）破產事件引發的會計危機，會計研究月刊，第195期（2月）：7-14頁
林柄滄，2002，從安隆效應談如何確保財務報告品質，會計研究月刊，第196期（3月）：33-38頁
林嘉祥，1999，製造業如何導入ERP，資訊與電腦，第228期，53-54頁
林漢威，1998，何謂ERP? Enterprise Resource Planning，能力雜誌，514期
邱豐曜，2003，企業資源規劃（ERP）中採購制度稽核之研究，中國文化大學資訊管理研究所未出版碩士論文
洪國興；季延平；趙榮耀，2003，組織制定資訊安全政策對資訊安全影響之研究，資訊管理研究，第三期：65-69頁
致遠會計師事務所，2006，內部控制演進趨勢─美國沙賓404法案，線上資料－http://www.ey.com/global/content.nsf/Taiwan/Issues&Perspectives_ISA_C
夏安齡，1999，企業間電子商務與內部控制互動性之研究，國立台灣大學會計學研究所未出版碩士論文
徐敏玲，1999，ERP系統之內部控制，實用稅務，297期（9月）：84-86頁
高雅欣，2005，美國發動沙賓法案－部份台灣企業也需遵循，iThome online ，線上資料－http://www.ithome.com.tw/itadm/news/news.php?c=34623
國立中央大學管理學院ERP中心，2005，ERP－企業資源規劃導論，旗標出版股份有限公司，1-26頁
張秀雲，2002，企業資源規劃系統中財會資訊品質之研究，東吳大學會計研究所出未出版碩士論文
陳秀貞，2002，會計學教學成效之探討-層級分析法之應用，國立彰化師範大學商業教育研究所未出版碩士論文
陳依蘋，2002，美國史上最大破產案－安隆（Enron）深度報導，會計研究月刊，第195期（2月）：2-6頁
陳勝一，1999，高科技業ERP應用及案例，資訊與電腦，228期（7月）：56-58頁
陳錦烽譯，2001，企業資源規劃系統使用、控制與稽核－以SAP R/3為例，中華民國內部稽核協會：7-57頁
黃士銘、張碩毅、阮金聲、洪育忠、洪新原，2005 ，企業資源規劃，全華科技：5-58頁
黃淙澤；林宜隆；邱靜宜；鄭琦蓁，2003，電腦稽核與資訊安全管理－以COBIT為例，電腦稽核，第9期：73-77頁
資策會資訊市場情報中心，2001，2000-2003年我國ERP市場規模分析，線上資料－http://mic.iii.org.tw/default.asp
廖志德，2002，導入ERP，實踐世界級的管理，線上資料－http://jaya.com.tw/alxceq.shtml
證券暨期貨發展委員會，「公開發行公司建立內部控制制度處理準則」，民國91年11月發布
蘇裕惠，2005，揭開財務運作的神秘面紗－沙賓法案404完全解析，勤業眾信通訊，（3月）：6-13頁
蘇裕惠、林寶珠，2005，美國推行沙氏法案404節的現況與挑戰，會計研究月刊，第230期（1月）：128-135頁
二、英文部份
Anderson, James M., 2003, Why we need a new definition of information security, Elservier, p.308-313
Armourm, Phillip G., 2005, Sarbanes-Oxley and Software Projects,COMMUNICATIONS OF THE ACM, Vol. 48, No.6 (June)
Chen, S. J. and Hwang, C. L.,1992, Fuzzy Multiple Attribute Decision Making Methods and Applications, Spring-Verlag.
Cooper, M.C., Lambert, D.M. and Pagh, J.D., 1998, Supply Chain management: Implementation issues and research opportunities, The International Journal of Logistics Management, Vol. 9, No.2, p.1-19.
Cooper, R., and R. Kaplan,1998, The promise- and peril- of integrated cost systems., Harvard Business Review, Vol. 76, Iss. 4, Jul./Aug.,p.109-119
Cyber Security Industry Alliance, 2004, Sarbanes-Oxley Act: Implementation of Information Technology and Security Objectives, [Online]. Available：http://www.csialliance.org
Dave Desormeaux,1998, New world order., CMA Management, Vol. 72, Iss. 8, Oct., p.28-33
Davenport. T. H. ,1998, Putting the Enterprise into the Enterprise System., Hardvard Business Review. July-August. p.121-131
Farley, G. A. （n. d.）,2003, Defining enterprise resource planning [Online]. Available：http://207.87.14.34/otherservices/articles/defining.htm
Fox, Christopher. 2004, Sarbanes-Oxley-Considerations for a Framework for IT Financial Reporting Controls, Information System Control Journal, Volume 1
Gavke, G. G. Scott. J. E. and Davenport. T. D,1998, Cooperative ERP Life-cycle Knowledge Management. Proceedings of the Ninth Australasian Conference on Informations Systems. 29 September-2 October Sydney. Australia 227-240.
Glover, S., D. Prawitt and M. Rommy, 1999, Implementing ERP. The Internal Auditor, Vol. 56, Iss. 1, Feb., p.40-47
Greenbaum, J. （n. d.）,2003, The origin and feature of ERP outsourcing [Online]. Available：http://www.erp-outsourcing.com/main.htm
Hall, James A., 2000, Information systems auditing and assurance, South-Western College Publishing
Holden, M.C., Wedman, J.F., 1993, Future issues of computer-mediated communication: the results of a Delphi study. Educational Technology, Research and Development, 41(4) , p.5-24
ISACA，2003，COBIT稽核原則，ISACA國際電腦稽核協會台灣分會
IT Governance Insitute.,2004, IT Control Objectives for Sarbanes-Oxley, IT Governance Insitute.(Pub.)
Kalakota, R and Whinston, A. B,1997, Electronic commerce: A manager's guide. Addison Weslwy.
Kalakota, Ravi; Robinson Marcia,1999,e-business Roadmap for Success . Addison Wesley Longman, Inc.
Kale, V.,2000, Implementing SAP R/3: The Ginde for Business and Technology Managers, SAMS Publishing.
Klaus, H. Rosemann. M and Gable. G. G., 2000,What is ERP?, Information Systems Frontiers. 2(2)., p.141-162
Linstone, H.A., 1975, Eight Basic Pitfalls: A Checklist in The Delphi Method: Techniques and Applications. Addison-Wesley Publishing Company: p.571-585
Linstone, H.A., M. Turoff, 2002, The Delphi Method: Techniques and Applications. Addison-Wesley Publishing Company, Massachusetts
Murry J. W. & Hammons. J. O., 1995, Delphi: A versatile methodology for conducting qualitative research, The review of Higher Education 18(4), p.423-436
One Hundred Sebenth Congress of the United States of America. July 30, 2002. Sarbanes-Oxley Act of 2002
Oracle Corporation, 2003, Reduce the Cost and Increase the Effectiveness of Internal Controls Compliance, [Online]. Available：http://www.oracle.com/solutions/corporate_governance/sarbanes.html
Ossadnik, W., Lange, O.,1999, AHP-based evaluation of AHP-Software, European Journal of Operational Research, 118, p.578-588.
Phillip G. Armour,2005,Sarbanes-Oxley and Software Projects,COMMUNICATIONS OF THE ACM, Vol. 48, No.6, June
Ptak. C. A. and Schragenheim. E. 1999. "ERP: Tools, Techniques, and Applications for Integrating the Supply Chain." APICS-St. Lucie Press.
Robinson, Teri, 2005, Data Security in the age of compliance, netWorder, Vol 9, No.3, (September)
Satty, T. L. 1980. Multicriteria Decision Making: The Analytic Hierarchy Process, 1988; Revisied and Published by author; Original version published by McGraw-Hill, New York.
Satty, T. L., 1980, The Analytic Hierarchy Process, McGraw Hill , New York
Satty, T. L.,1990, How to make a decision: The Analytic Hierarchy Process, European Journal of Operatonal Research, 48, p.9-26.
Steven C. Chapra,2005,Applied Numerical Methods with MATLAB for Engineers and Scientists，McGraw-Hill Companyies, Inc.