CSRD Subsidiary Exemption vs. Risk Immunity: New ERM Challenges for Taiwan Enterprises

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）提醒台灣企業主管：歐盟《企業永續報告指令》（CSRD）正在重塑全球供應鏈的永續揭露標準，子公司的報告義務比想像中複雜得多——這項來自芬蘭的實證研究揭示，即使在法規豁免條件下，主動導入雙重重大性分析（Double Materiality Assessment）仍能為企業創造超越合規的策略價值，對台灣企業的風險治理與 ERM 框架建立具有直接的實踐指引意義。

關於作者與這項研究

本研究作者 Johanna Ursin-Escobar 以 Legrand Finland Oy（以下簡稱 LGR Finland）為個案，深入探討歐盟 CSRD（Corporate Sustainability Reporting Directive）對跨國集團子公司的法律影響與實務操作挑戰。研究發表於 2024 年，方法論採用以迭代開發循環為核心的質性研究方法（Qualitative Research-Based Development Method），結合對 LGR Finland 內部人員的參與式工作坊，以及對不同企業永續專家的深度訪談。

Legrand 集團是全球低壓電力設施與數位基礎設施的知名製造商，其芬蘭子公司在面對 CSRD 合規壓力時的困境，正是全球數萬家跨國企業子公司的縮影。Ursin-Escobar 的研究不僅為 LGR Finland 量身訂製了一份三年永續報告發展計畫，更揭示了一個具有普遍意義的治理命題：合規門檻的滿足，從來都不等於風險管理的完備。這個洞見對正在思考 ERM 框架升級的台灣企業而言，具有直接的參考價值。

CSRD 子公司豁免的雙面刃：合規免除不等於風險免疫

這項研究的核心發現是：法規豁免是技術性的，但永續風險是結構性的。研究以迭代方式驗證了三個關鍵命題，為台灣企業的 ERM 實踐提供了直接可用的思考框架。

核心發現一：子公司豁免條件比表面複雜，隱含義務必須提前識別

研究指出，LGR Finland 作為 Legrand 集團子公司，在滿足特定條件下（如母公司已依 CSRD 提交集團層級報告，且子公司資訊已被納入），理論上可以豁免個別報告義務。然而，研究揭示這個「豁免」並非無條件的免責：一旦豁免條件未被持續滿足，或監管機構調整認定標準，子公司將面臨立即合規壓力。這與 ISO 31000：2018 風險管理框架中「情境建立」（Establishing the Context）的核心概念高度一致——企業必須持續監測外部法規環境的動態變化，而非在某一時間點確認豁免後就停止追蹤。對台灣企業而言，這意味著海外子公司或跨國供應鏈合作夥伴的法規變化，必須被納入企業整體 ERM 風險雷達之中。

核心發現二：雙重重大性分析是策略工具，不應只被視為合規負擔

研究最具突破性的建議是：即使 LGR Finland 依法可以不做雙重重大性分析（Double Materiality Assessment），研究仍強烈建議主動導入。原因在於：雙重重大性分析能夠同時評估「財務重大性」（企業面臨的外部 ESG 風險如何影響財務表現）與「影響重大性」（企業活動對環境與社會的實質影響），是一種兼顧風險識別與機會挖掘的系統性工具。這與 COSO ERM 2017 框架中「與策略和績效的整合」（Integration with Strategy and Performance）原則不謀而合：風險管理不應是獨立於業務策略之外的合規活動，而應成為策略決策的資訊來源。研究同時發現，LGR Finland 現行的永續報告主要服務集團總部的需求，而非用於提升自身業務價值——這是台灣許多跨國集團台灣子公司的共同盲點。

核心發現三：報告流程系統化不足，人力與財務資源投入是必要條件

研究揭示，LGR Finland 目前的永續報告流程缺乏系統化，數據收集依賴個人而非制度，導致報告品質不穩定且難以擴展。研究提出的三年發展計畫，明確要求企業在人力資源（指派專責永續報告負責人）與財務資源（導入數位化報告工具）上進行有意識的投資。這個發現與 ISO 31000 中「資源」（Resources）要素的要求完全對應：有效的風險管理需要充足且持續的資源承諾，而非專案性、一次性的投入。

對台灣企業風險管理（ERM）實務的策略啟示

這篇研究對台灣企業的 ERM 實務意義，遠超過一個芬蘭案例所呈現的表面：它揭示了跨國治理結構下，子公司風險管理架構的系統性缺口。台灣有超過 5,000 家上市上櫃公司，其中大量企業在歐美設有子公司或在歐洲市場有重大供應鏈曝險，CSRD 的連鎖效應正在透過供應鏈快速傳導至台灣企業的核心業務。

從 ISO 31000：2018 的角度分析，這項研究強化了以下三個框架要求的台灣在地適用性：

• 原則4：整合性（Integration）：永續報告與 ERM 不應是兩個分開的系統，雙重重大性分析的結果應直接饋入風險矩陣，影響 KRI（關鍵風險指標）的設定。
• 原則6：最佳可用資訊（Best Available Information）：台灣企業必須建立機制，確保歐盟法規動態（如 CSRD 適用範圍年度調整）能夠即時反映在風險登錄冊中。
• 原則8：人文與文化因素（Human and Cultural Factors）：報告流程的系統化需要組織文化的配合——這是 LGR Finland 案例中最難改變、也最關鍵的變數。

從 COSO ERM 2017 框架的五大組成要件來看，這項研究特別凸顯了「治理與文化」（Governance & Culture）與「策略與目標設定」（Strategy & Objective-Setting）兩個組件在台灣企業中普遍不足的現象。許多台灣企業的永續報告由 CSR 部門獨立操作，與風險長（CRO）或董事會風險委員會之間缺乏制度性連結，這正是 LGR Finland 案例中「報告只服務集團需求」這個問題在台灣的對應版本。

具體而言，台灣企業現在最應關注的三個行動優先項目是：第一，立即盤點歐盟業務曝險，確認是否在 CSRD 2025-2028 年階段性擴大適用範圍中；第二，啟動雙重重大性分析，並將分析結果整合進現有的風險矩陣設計；第三，建立永續數據治理架構，指派專責負責人，避免依賴個人而形成的單點風險（Single Point of Failure）。

積穗科研如何協助台灣企業建立整合性 ERM 與永續治理機制

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業導入 ISO 31000 與 COSO ERM 框架，建立風險矩陣與 KRI 關鍵風險指標，強化董事會風險治理能力。針對本研究揭示的跨國永續治理挑戰，積穗科研提供以下具體服務路徑：

1. CSRD 曝險快速診斷與法遵地圖建立：積穗科研協助台灣企業在 30 天內完成歐盟 CSRD 曝險評估，釐清直接報告義務與供應鏈間接要求，建立法遵時程地圖，確保企業在 2026 年歐盟中型企業適用期前做好準備。
2. 雙重重大性分析整合進 ERM 風險矩陣：協助企業依照 ESRS（歐洲永續報告準則）1 號標準執行雙重重大性分析，並將識別出的 ESG 風險與機會，系統性整合進現有 ISO 31000 風險登錄冊與 KRI 監控體系，打破永續報告與風險管理的筒倉（Silo）效應。
3. 永續報告流程系統化與數位化工具導入：針對現行報告流程依賴個人、缺乏制度的問題，積穗科研協助設計標準作業程序（SOP）、指標收集模板與數位化報告工具選型，確保永續數據品質可驗證、可追溯，符合未來第三方確信（Limited/Reasonable Assurance）要求。

常見問題

台灣企業的歐盟子公司一定要做 CSRD 報告嗎？

不一定，但豁免條件需要主動驗證，不能假設。依據 CSRD 規定，若母公司已提交符合規範的集團層級報告，且子公司資訊已被完整納入，則子公司在特定條件下可申請豁免個別報告。然而，Ursin-Escobar（2024）的研究清楚指出，這個豁免並非靜態的——一旦集團報告範疇改變、子公司規模超過門檻（員工數 250 人以上，或年營收超過 4,000 萬歐元，或總資產超過 2,000 萬歐元，三項中符合兩項即適用），豁免地位即刻失效。台灣企業應每年重新確認豁免條件是否持續成立，並在 ERM 風險登錄冊中設立對應的 KRI 監控指標，這才是符合 ISO 31000 精神的做法。

台灣企業導入 ISO 31000 時，最常遇到哪些合規挑戰？

最常見的挑戰是「形式導入、實質脫節」——企業建立了風險管理文件，但風險矩陣未與實際業務決策整合，KRI 設定流於形式，董事會未定期審查風險報告。ISO 31000：2018 第 6.2 條明確要求「最高管理階層的領導與承諾」（Leadership and Commitment），這在台灣企業中往往是最薄弱的環節。COSO ERM 2017 框架同樣強調治理層的「風險文化」建立，需要從董事會層級向下驅動。根據積穗科研的輔導經驗，台灣企業導入初期最需要突破的障礙，是讓風險長（或指定的風險管理負責人）獲得足夠的組織授權，能夠將 ERM 機制落實到各業務單位的日常決策流程中。

ISO 31000 的核心要求是什麼？台灣企業應如何分階段導入？

ISO 31000：2018 的核心架構包含三個層次：原則（Principles）、框架（Framework）與流程（Process）。實務導入建議分三階段進行：第一階段（第 1-3 個月）——現況診斷與缺口分析，評估現有治理結構對照 ISO 31000 八大原則的符合程度，並識別優先強化項目；第二階段（第 4-6 個月）——框架設計與文件建立，依企業規模設計風險管理政策、風險偏好聲明、風險矩陣與 KRI 體系；第三階段（第 7-9 個月）——試行、培訓與優化，在 1-2 個業務單位試行，收集反饋後全面推廣，並建立年度審查機制。整體導入週期約 90-120 天可完成初步框架建置，但真正的制度化通常需要 12-18 個月的持續強化。

企業導入 ERM 與永續報告整合機制，需要投入多少資源？預期效益為何？

根據 Ursin-Escobar（2024）研究的結論，永續報告流程系統化需要同時投入財務與人力資源——研究特別強調，這是「必要投資」而非「可選成本」。實務上，中型台灣企業（員工 200-1,000 人）的 ERM 框架初建成本通常在新台幣 80-250 萬元之間，包含顧問輔導費、數位工具採購與人員培訓；但避免的潛在損失（供應商稽核失敗、客戶流失、法規罰款）通常是投入成本的 5-10 倍。更重要的是，整合性 ERM 與永續治理機制能顯著提升企業在 ESG 評級機構（如 MSCI、Sustainalytics）的評分，改善融資條件，並強化對歐美大型客戶的供應鏈資格審查通過率。

為什麼找積穗科研協助企業風險管理（ERM）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）是台灣少數同時具備 ISO 31000 風險管理框架輔導能力與 COSO ERM 實務導入經驗的專業顧問機構。積穗科研的核心優勢在於：以「業務整合」而非「文件合規」為導向，確保 ERM 機制真正嵌入企業的策略決策流程；在風險矩陣設計與 KRI 關鍵風險指標建立上，積穗科研採用資料驅動的量化方法，避免流於定性評估的主觀性；同時，積穗科研深刻理解台灣企業在跨國治理、供應鏈 ESG 要求與董事會風險治理上的特殊挑戰，能提供真正在地化、可執行的解決方案。若貴企業正面臨 CSRD 合規壓力、ERM 框架升級或永續報告整合等議題，歡迎透過免費機制診斷服務，讓積穗科研為您提供客製化的起點評估。