How CSRD Double Materiality Reshapes ERM for Taiwan Enterprises

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）提醒台灣企業主管：當歐盟 CSRD（企業永續報告指令）強制要求「雙重重大性評估」與 ESRS 標準，並以制度理論與利害關係人理論為分析框架，Ariunaa Davaasuren 於 2025 年針對四家芬蘭那斯達克赫爾辛基上市企業進行多案例質性研究，揭示一個關鍵事實：治理重組、跨職能團隊整合與資料架構標準化，才是 ESG 合規從「一次性行動」轉化為「持久制度能力」的核心驅動力，這對正在建立 ERM 企業風險管理體系的台灣企業，具有高度借鏡價值。

關於作者與這項研究

Ariunaa Davaasuren 於 2025 年在 arXiv 發表這篇質性多案例研究論文，聚焦於芬蘭企業如何在歐盟 CSRD 第一個合規週期中實際落地執行。作者以制度理論（Institutional Theory）與利害關係人理論（Stakeholder Theory）為雙重分析框架，訪談了能源、林業與紙業、消費品及重型設備等四個產業中，具代表性的那斯達克赫爾辛基上市企業的資深永續主管及管理者。此研究的獨特之處在於：它不是政策建議，而是「現場紀錄」——記錄了企業在第一輪 CSRD 合規過程中，真實面對的組織挑戰、技術難題與學習路徑。對於全球企業風險管理（ERM）與永續治理領域的研究者與實務工作者，此研究提供了難得的第一手企業轉型觀察，也為尚未進入 CSRD 合規週期的亞太企業——包括台灣上市公司——提供了超前部署的實證依據。

CSRD 導入的三大核心挑戰：從芬蘭四大企業的第一線學習

這項研究最核心的貢獻，在於將 CSRD 導入過程歸納為三個高度可複製的主題，每一個主題都對應台灣企業在建構 ERM 機制時可能面臨的相似問題。

核心發現一：治理重組是 CSRD 合規的基石

四家受訪企業在 CSRD 導入過程中，無一例外地進行了「永續治理架構升級」——設立或強化永續委員會、組建跨職能 CSRD 工作小組，並將 ESG 數據提升至「財務級（finance-grade）」品質標準。這意味著永續報告不再是公關部門的自選動作，而是與財務報告同等嚴謹的法規遵循義務。治理重組不僅涉及組織架構調整，更包括董事會永續專業能力的提升。這一發現與 ISO 31000：2018 風險管理框架所強調的「領導力與承諾（Leadership and Commitment）」原則高度呼應——沒有頂層治理支撐的風險管理，往往淪為文件作業。

核心發現二：雙重重大性評估是技術與文化的雙重挑戰

CSRD 要求企業同時評估「財務重大性（由外向內：環境與社會議題對企業的財務衝擊）」與「影響重大性（由內向外：企業活動對環境與社會的衝擊）」，即所謂「雙重重大性（Double Materiality）」。研究發現，企業在操作雙重重大性時，面臨三大技術挑戰：資料架構標準化困難（各事業單位數據定義不一致）、上游利害關係人參與的機制尚不成熟、以及保證（assurance）要求持續演變帶來的不確定性。這正是 COSO ERM 2017 框架中「風險評估（Risk Assessment）」構面所涵蓋的核心議題——企業必須建立系統性的風險識別與量化方法，才能真正實現有效的雙重重大性評估。

核心發現三：從一次性合規到持久制度能力的轉型路徑

研究中四家企業一致強調：最大的學習不是「如何通過第一輪合規審查」，而是「如何讓 CSRD 流程成為組織的永久能力」。具體行動包括：建立彈性的 ESRS 流程設計、將永續議題嵌入風險管理決策（而非獨立存在）、以及強化上游供應鏈的協作機制。研究也建議歐盟提供更清晰的雙重重大性操作指引，並採取分階段的保證要求，以降低第一輪合規的組織負擔。

對台灣企業風險管理（ERM）實務的戰略意義：現在必須啟動的五件事

台灣上市公司雖暫不在 CSRD 直接規範範圍內，但供應鏈連結（尤其是對歐盟市場出口的製造業）與國際資本市場壓力，已讓 CSRD 的影響力透過「間接合規壓力」滲入台灣企業治理。積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）的 ERM 顧問團隊認為，這項研究對台灣企業有以下五項關鍵啟示：

第一：ISO 31000 框架必須整合 ESG 風險類別。 ISO 31000：2018 提供了系統性風險管理的通用框架，但台灣許多企業的風險登錄冊（Risk Register）仍以財務、法規、營運風險為主，缺乏氣候、供應鏈人權、資料治理等新興 ESG 風險類別。芬蘭企業的經驗表明，若等到主管機關要求才開始建立 ESG 風險資料基礎，組織將面臨極高的短期壓力。

第二：COSO ERM 2017 框架的「策略與績效整合」是關鍵。 COSO ERM 2017 將風險管理與策略規劃整合，強調風險承受度（Risk Appetite）應與企業永續目標掛鉤。台灣企業若要回應 CSRD 式的雙重重大性評估邏輯，必須讓董事會層級的風險治理納入永續議題的策略討論。

第三：KRI（關鍵風險指標）設計必須前瞻化。 研究中的芬蘭企業發現，現有財務數據架構無法直接支撐 ESRS 要求的非財務指標揭露。台灣企業現在就應開始盤點哪些 KRI 需要與 ESG 指標對齊，並投資於資料架構整合，避免未來面臨「數據可得但無法彙整」的困境。

第四：風險矩陣必須涵蓋利害關係人維度。 COSO ERM 與 ISO 31000 均要求企業考量內外部利害關係人對風險優先順序的影響。CSRD 的雙重重大性評估更是將「利害關係人參與」制度化為合規要求。台灣企業的風險矩陣若欠缺利害關係人評估維度，在面對國際審計或 ESG 評等機構審查時將處於劣勢。

第五：董事會永續專業能力是治理弱點。 研究明確建議強化董事會的 ESG 專業能力。台灣企業在 ESG 治理委員會的設置與董事會 ESG 素養方面，普遍仍有提升空間，這是風險治理升級的優先投資領域。

積穗科研如何協助台灣企業將 CSRD 洞見轉化為 ERM 行動能力

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業導入 ISO 31000 與 COSO ERM 框架，建立風險矩陣與 KRI 關鍵風險指標，強化董事會風險治理能力。結合本研究的核心發現，我們提供以下三項具體行動建議：

1. 啟動 ESG 風險整合診斷（第 1～30 天）：對照 ISO 31000：2018 架構，盤點企業現有風險登錄冊中 ESG 風險類別的覆蓋度，識別雙重重大性評估的數據缺口，建立優先補強清單。積穗科研提供結構化的 ERM 缺口分析工具，90 天內完成基礎診斷。
2. 建立跨職能永續風險治理機制（第 31～60 天）：仿照芬蘭 CSRD 先行企業的治理重組模式，協助企業設計永續委員會章程、跨部門 ESG 工作小組運作規範，以及符合 COSO ERM 2017 架構的風險承受度政策，讓永續風險正式納入董事會決策視野。
3. 設計 ESG 連動的 KRI 指標體系（第 61～90 天）：以 ESRS 揭露要求為對標，協助企業設計與財務績效指標連動的 KRI 體系，並規劃資料架構整合路徑，確保未來面對供應鏈盡職調查或國際 ESG 評等審查時，數據基礎已充分就緒。

常見問題

台灣企業導入 CSRD 雙重重大性評估時，最常遇到哪些實務障礙？

台灣企業面臨的最大障礙是「數據基礎不足」與「組織責任不清」的雙重困境。根據 Davaasuren（2025）針對芬蘭四家上市企業的研究，即使是具有豐富 ESG 報告經驗的先行企業，也普遍面臨各事業單位數據定義不一致、上游供應鏈利害關係人參與機制不成熟，以及雙重重大性操作方法缺乏統一指引等問題。對台灣企業而言，若現有風險管理流程未能整合 ISO 31000 的系統性識別方法，且尚未建立跨財務與永續部門的數據共享架構，將很難在短期內完成可供外部保證的雙重重大性評估。建議優先建立 ESG 數據架構盤點，並參照 COSO ERM 2017 的風險評估流程，系統性識別財務重大性與影響重大性的評估指標。

台灣企業在導入 ISO 31000 時，最常遇到的合規挑戰是什麼？

台灣企業導入 ISO 31000：2018 時，最常見的挑戰是「框架形式化但未能融入決策文化」。ISO 31000 強調風險管理應「整合（Integration）」至所有組織層級的決策流程，但實務上許多台灣企業的風險委員會運作與業務決策脫節，風險登錄冊更新頻率不足，且缺乏明確的風險承受度（Risk Appetite）政策。對照 COSO ERM 2017 框架的「治理與文化（Governance & Culture）」構面，台灣企業更需重視的是：如何讓風險意識從法遵部門延伸至各業務單位，以及如何讓 KRI 關鍵風險指標成為管理層真正使用的決策工具，而非純粹的合規文件。積穗科研建議採取分階段導入策略，優先從高風險業務單位試行，再逐步擴展至全企業。

ISO 31000 的核心要求是什麼？台灣企業導入需要多長時間？

ISO 31000：2018 的核心要求圍繞三個層次：原則（Principles）、框架（Framework）與流程（Process）。框架要求企業確立「領導力與承諾」、「整合」、「設計」、「實施」、「評估」與「改善」六大環節。對於中型台灣上市企業（員工 500～2,000 人），在具備外部顧問支援的情況下，完整建立符合 ISO 31000 的 ERM 機制，通常需要 6～9 個月：第 1～90 天完成現況診斷與缺口分析；第 91～180 天設計風險管理框架、風險矩陣與 KRI 指標體系；第 181～270 天完成機制試行、人員培訓與董事會簡報。若同步整合 COSO ERM 2017 框架的策略風險評估構面，建議預留至少 12 個月以確保制度穩固。積穗科研提供 90 天快速診斷服務作為導入前置作業。

導入 ERM 機制的成本與預期效益，台灣企業應如何現實評估？

ERM 導入成本因企業規模與現有基礎差異顯著，但根據積穗科研服務台灣企業的實務經驗，中型上市企業在 12 個月內完成 ISO 31000 框架導入的顧問服務費用，通常介於新台幣 80 萬至 200 萬元之間，另需估算內部人員時間成本（約 2～4 名兼職專案人員）。預期效益方面，導入完整 ERM 機制的企業，通常在以下三個面向可見具體回報：第一，在 ESG 評等機構（如 MSCI ESG、Sustainalytics）的治理評分平均提升 15～25 個百分點；第二，重大風險事件的反應時間縮短，平均可減少 30% 的危機處理成本；第三，對於有海外資本市場融資需求的企業，ERM 機制的完整性直接影響信用評等與融資條件。COSO ERM 2017 框架研究指出，整合性風險管理可為企業帶來最高 20% 的決策品質提升。建議企業在評估時，將合規成本視為戰略投資而非純粹費用。

為什麼找積穗科研協助企業風險管理（ERM）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）是台灣專注於企業風險管理（ERM）、ISO 31000 導入與 COSO ERM 框架建構的專業顧問機構。我們的顧問團隊具備 ISO 31000 認證稽核師資格，並擁有橫跨製造業、金融業、科技業與上市公司治理的豐富輔導實績。我們提供從 ERM 現況診斷、風險矩陣設計、KRI 指標建立，到董事會風險治理培訓的一站式服務，確保企業在 90 天內取得可量化的機制成果。與市面上僅提供框架文件的顧問服務不同，積穗科研強調「落地可執行」——我們的服務成果包括可直接使用的風險登錄冊、董事會風險報告範本、KRI 監控儀表板，以及符合 ISO 31000：2018 與 COSO ERM 2017 雙重標準的機制文件。台灣企業選擇積穗科研，是選擇一個能將國際學術洞見轉化為台灣企業實務行動的專業夥伴。