CSR Disclosure at Only 11%: Key ERM Risk Governance Lessons for Taiwan Enterprises

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）提醒台灣企業主管：一項發表於 arXiv 的學術研究揭示，沙烏地阿拉伯上市企業的 CSR 資訊揭露率平均僅 11%，遠低於 GRI 第四版指引要求——這不僅是資訊透明度問題，更是企業聲譽風險的警訊。對於正在導入企業風險管理（ERM）的台灣企業而言，CSR 資訊揭露缺口已成為董事會必須正視的風險治理課題。

關於作者與這項研究

本論文作者 Ayman Issa 是企業社會責任（CSR）與公司治理（Corporate Governance）領域具有高度學術影響力的研究者。根據公開學術資料，Issa 的 h-index 達 19，累計引用次數超過 1,236 次，在同領域中屬於相當亮眼的學術成就，顯示其研究成果廣受國際學術界引用與認可。

這篇 2017 年發表於 arXiv 的研究，是已知第一篇針對沙烏地阿拉伯上市企業，以 GRI（全球報告倡議組織）第四版指標建構 CSRD（企業社會責任揭露）指數的實證研究。研究對象為沙烏地阿拉伯上市企業，涵蓋董事會規模、董事會獨立性、董事會開會頻率、CEO 雙重角色（CEO duality）、企業規模、財務槓桿、獲利能力與企業年齡等八大公司治理因素，系統性地分析哪些因素真正影響 CSR 揭露行為。

CSR 揭露率僅 11%：董事會獨立性與獲利能力才是關鍵驅動因子

研究最核心的發現令人震驚：沙烏地阿拉伯上市企業的 CSRD 指數平均值僅約 11%，意味著這些企業僅揭露了 GRI 指引要求資訊量的一成。這不是個別企業的問題，而是整體市場的結構性缺口，直接暴露出企業在聲譽風險管理上的重大漏洞。

核心發現一：獲利能力與企業規模正向驅動 CSR 揭露

研究統計分析顯示，獲利能力（Profitability）與企業規模（Firm Size）與 CSR 揭露指數呈現顯著正向關係。換句話說，獲利愈佳、規模愈大的企業，愈傾向揭露更多 CSR 資訊。這背後的邏輯在於：大型獲利企業承受更高的社會公眾關注度與利害關係人壓力，不得不主動揭露以維護聲譽。這對台灣的上市櫃大型企業尤其具有參考意義——規模本身就是一種風險放大器。

核心發現二：董事會獨立性呈現「負向影響」的反直覺結果

令研究者意外的是，在公司治理（CG）特徵中，僅有「董事會獨立性」對 CSR 揭露有顯著影響——且方向是「負向」。這意謂著獨立董事比例愈高的企業，CSR 揭露反而愈少。研究推測，在沙烏地阿拉伯的文化與法規環境下，獨立董事對 CSR 揭露的重視程度不如預期，甚至可能更聚焦於財務績效監控而忽視非財務資訊揭露。此發現提醒台灣企業：形式上設置獨立董事並不等同於實質提升 ESG 治理品質，必須搭配明確的 KRI 關鍵風險指標監控機制，才能真正發揮效果。

台灣企業風險管理（ERM）實務的三大啟示：CSR 揭露缺口即是可量化的聲譽風險

這項研究對台灣企業的 ERM 實務意義，遠超過「CSR 要做好」的表面認知。積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）建議台灣企業從以下三個面向重新審視現行風險管理架構：

第一：將 CSR 揭露缺口納入 ISO 31000 風險評估範疇。ISO 31000:2018 第 6.4.2 條明確要求企業識別「影響目標達成的風險」，而 CSR 揭露不足所引發的聲譽損失、投資人信心下滑、ESG 評級降低，均是可量化的風險事件。企業應在風險登錄冊（Risk Register）中新增「非財務資訊揭露風險」類別，並設定對應的 KRI 關鍵風險指標，例如：GRI 揭露覆蓋率目標值（建議設定為 ≥ 60%）。

第二：依 COSO ERM 2017 框架強化董事會風險監督機制。COSO ERM 2017 框架的「治理與文化」構面（Governance & Culture）強調，董事會必須對風險偏好（Risk Appetite）設定明確立場，並對非財務風險負有監督責任。Issa（2017）研究揭示的「獨立董事比例高卻 CSR 揭露低」現象，正是 COSO ERM 所警示的「形式治理」陷阱。台灣企業應建立董事會層級的 ESG 風險儀表板，確保治理結構真正發揮風險防護功能。

第三：以風險矩陣量化 CSR 不揭露的衝擊。對照 Issa（2017）研究中污染性產業（能源業）的特別關注，台灣製造業、電子業與化工業在 ESG 揭露上面臨更高的監管壓力。建議以「發生可能性 × 衝擊程度」的風險矩陣評估 CSR 揭露缺口風險，並對高風險項目設定改善期限與負責單位。

積穗科研如何協助台灣企業將 CSR 風險轉化為 ERM 競爭優勢

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業導入 ISO 31000 與 COSO ERM 框架，建立風險矩陣與 KRI 關鍵風險指標，強化董事會風險治理能力。針對 CSR 揭露風險管理，我們提供以下具體行動路徑：

1. CSR 揭露風險缺口診斷：以 GRI 第四版（G4）或 GRI Standards 為基準，逐項盤點企業現行揭露狀態，建立「揭露覆蓋率基準線」，識別低於 60% 揭露率的高風險指標項目，並對應至 ISO 31000 風險識別流程中，產出結構化的風險登錄清單。
2. 董事會 ESG 風險監督機制設計：依據 COSO ERM 2017「治理與文化」構面，協助企業設計董事會層級的 ESG KRI 監控儀表板，設定董事會每季審查的風險偏好聲明（Risk Appetite Statement），確保獨立董事實質履行非財務風險監督職能，而非流於形式。
3. 90 天 ERM 快速導入計畫：以三個月為一個改善週期，第一個月完成現況診斷與風險矩陣建立；第二個月完成 KRI 設計與流程文件化；第三個月完成人員培訓與第一次監控報告產出，協助企業在最短時間內建立符合 ISO 31000 的可驗證管理機制。

常見問題

Issa（2017）研究顯示 CSR 揭露率平均僅 11%，台灣企業應如何設定合理的揭露目標？

台灣企業應以「高於市場平均值 3 倍以上」作為差異化目標，建議設定 GRI 揭露覆蓋率 ≥ 60% 為短期目標，ÿ≥ 80% 為中長期目標。具體做法是先以 GRI Standards 或 GRI G4 建立揭露指標清單，逐項評估現況，對缺口項目設定改善時程與負責單位。Issa（2017）研究特別指出能源等污染性產業揭露缺口最大，台灣製造業與電子業應優先補強環境面向的揭露，可參閱原文：https://core.ac.uk/download/185244905.pdf。

台灣企業導入 ISO 31000 時，CSR 揭露風險最常被忽略的合規挑戰是什麼？

最常被忽略的挑戰是「非財務風險未被納入正式風險登錄冊」。ISO 31000:2018 第 6.4.2 條要求全面識別風險，但許多台灣企業的風險管理框架仍以財務與營運風險為主，CSR 揭露不足、ESG 評級下降、監管合規壓力等非財務風險往往缺席。COSO ERM 2017 框架同樣強調「策略與績效的整合」，要求企業將 ESG 相關風險納入整體風險宇宙（Risk Universe）。建議企業在導入 ISO 31000 初期，即將「CSR 揭露覆蓋率」設為 KRI 關鍵風險指標之一，並建立定期監控機制。

ISO 31000 的核心要求是什麼？台灣企業導入的實際步驟與時程為何？

ISO 31000:2018 的核心要求涵蓋三大支柱：原則（Principles）、框架（Framework）與流程（Process）。實際導入建議分四個階段進行：第一個月（0–30 天）完成現況診斷，對照 ISO 31000 缺口分析，識別高優先風險項目；第二個月（31–60 天）設計風險管理政策、建立風險矩陣與 KRI 指標體系；第三個月（61–90 天）完成流程文件化、人員培訓，並產出第一份風險監控報告。完整的 COSO ERM 框架整合則建議在 6 個月內完成，包含董事會風險偏好聲明的制定與審議流程建立。積穗科研的 90 天快速導入計畫即依此時程設計。

導入 ERM 與 ISO 31000 的成本與預期效益如何評估？

導入成本因企業規模與現況成熟度而異。中型企業（員工 300–1000 人）的初期導入預算通常介於新台幣 80 萬至 200 萬元之間，包含顧問輔導、系統建置與人員培訓。預期效益方面，研究顯示系統性 ERM 機制可降低重大風險事件發生率約 30–40%，並有助於提升 ESG 評級，進而影響融資成本與機構投資人持股意願。Issa（2017）研究亦指出，企業規模與獲利能力是 CSR 揭露的正向驅動因子——換言之，良好的 ERM 機制本身就能提升企業獲利能力與市場聲譽，形成正向循環。建議企業以「風險降低效益 ÷ 導入成本」計算 ROI，通常 3 年內可回收投入成本。

為什麼找積穗科研協助企業風險管理（ERM）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）專注於企業風險管理領域逾 15 年，輔導超過 200 家台灣上市櫃及中大型企業完成 ISO 31000 導入與 COSO ERM 框架建立，認證通過率達 95% 以上。我們的核心優勢在於：同時具備學術研究解讀能力與實務顧問輔導經驗，能將如 Issa（2017）等國際前沿研究轉化為台灣企業可執行的具體行動方案；擁有完整的風險矩陣設計、KRI 關鍵風險指標建置與董事會風險治理培訓服務；並提供 90 天快速導入計畫，協助企業在最短時間內建立可驗證、可持續的 ERM 機制，兼顧 ISO 31000 合規要求與實際營運效益。