CSRD 雙重重大性評估對台灣企業 ERM 的啟示與行動建議

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）提醒台灣企業主管：歐盟《企業永續報告指令》（CSRD）的「雙重重大性評估」（Double Materiality Assessment，DMA）正在重塑全球供應鏈的風險治理要求。2024年最新學術研究顯示，芬蘭企業在執行DMA時面臨資源不足與專業人才匱乏兩大核心挑戰，這不僅是歐洲企業的問題——凡是與歐盟客戶有業務往來的台灣企業，都必須立即將DMA納入企業風險管理（ERM）框架，否則將面臨失去歐盟市場資格的重大風險。

關於作者與這項研究

本論文作者 Mily Vazquez Harkivi（全名 Mily Os Vazquez Garza Harkivi）是一位聚焦永續發展報告與歐盟法規合規領域的新興研究者，研究成果發表於 HAMK Unlimited 學術期刊，並收錄於 arXiv 開放學術平台（2024年）。儘管其 h-index 為 1、累計引用 1 次，反映其學術生涯尚在起步階段，但這篇論文的研究設計具備相當的實務價值：採用質性研究方法，深度訪談 6 位芬蘭永續發展專業人士與專家，其中 3 位為獨立專家、3 位為企業永續實務工作者。研究聚焦於 CSRD（歐盟《企業永續報告指令》）與 ESRS（歐洲永續報告標準）框架下的「雙重重大性評估」（DMA）實際執行現況，提供了企業第一線導入的真實洞察，對台灣企業評估供應鏈合規風險具有高度參考性。

研究背景值得特別注意：世界經濟論壇（WEF）2024年《全球風險報告》指出，全球十大風險中有 5 項屬於環境風險。歐盟綠色政綱（EU Green Deal）配合 CSRD 強制報告要求，正將永續資訊從「自願揭露」轉為「法規義務」，直接影響所有在歐盟境內營運或與歐盟企業合作的非歐盟企業。

CSRD 雙重重大性評估：企業面臨效能、變革與合規的三重挑戰

這篇研究的核心發現揭示了一個令人警醒的現實：即便是在永續發展制度相對完善的芬蘭，企業在執行 DMA 時仍面臨系統性障礙，且這些障礙的根源在於「人」與「資源」，而非技術本身。

核心發現一：效能優先，但資源嚴重不足

研究發現，受訪的永續發展專業人士在執行 DMA 時，首要關注的是「效能」（Effectiveness）——如何確保評估結果真實反映企業的重大性議題，而非流於形式合規。然而，矛盾之處在於：追求效能需要大量時間、人力與資金投入，而這正是絕大多數企業最匱乏的資源。受訪者一致指出，資源不足是執行 DMA 最重大的挑戰，許多企業被迫在「做得好」與「做得完」之間取捨。這對台灣中小型製造業與電子業供應商而言尤其是警訊：若未提前規劃資源配置，在歐盟客戶要求提交 DMA 相關資訊時，將陷入措手不及的困境。

核心發現二：專業人才稀缺，「變革與合規」構成雙重壓力

研究的另一個關鍵發現是：如何找到具備執行 DMA 專業知識的人才，是企業面臨的第二大挑戰。DMA 要求企業同時評估「財務重大性」（由外部環境對企業財務的衝擊）與「影響重大性」（企業活動對環境與社會的衝擊），這需要橫跨財務、法律、環境科學與業務運營的複合型人才。同時，研究也發現「變革與合規」是企業關注的第二大焦點——CSRD 從 2024 年起對大型歐盟企業生效，2026 年起擴大適用範圍，企業必須同步管理「如何適應法規變革」與「如何滿足當前合規要求」兩件同樣緊迫的任務。

台灣企業 ERM 實務的關鍵啟示：DMA 就是下一代風險矩陣

台灣企業不能再將 CSRD 視為「歐洲的事」——對台灣企業風險管理（ERM）實務而言，DMA 的本質就是一種更精密的風險識別與評估工具，與 ISO 31000 和 COSO ERM 框架高度相容，必須立即整合。

首先，從 ISO 31000 的角度來看，雙重重大性評估的邏輯與 ISO 31000:2018 的「風險識別」（Risk Identification）和「風險評估」（Risk Assessment）流程完全一致：DMA 的「財務重大性」對應 ISO 31000 框架中對組織目標的外部威脅評估；「影響重大性」則對應組織活動對外部利害關係人的衝擊分析。台灣企業若已建立 ISO 31000 風險管理機制，應立即在現有風險矩陣中新增永續維度，將 ESG 相關風險納入 KRI（關鍵風險指標）監控體系。

其次，從 COSO ERM（2017年版）框架來看，「環境與策略設定」（Environment & Strategy Setting）要素要求企業考量 ESG 趨勢對企業策略的影響。DMA 所揭露的環境與社會重大議題，直接應輸入至 COSO ERM 的「業務影響分析」（Business Impact Analysis）層次。台灣上市櫃公司、金融監管規範下的金融機構，以及與歐盟客戶有業務往來的出口導向企業，應優先將此議題提報至董事會風險委員會討論。

第三，從供應鏈風險的角度，這篇研究揭示的「資源不足」與「專業人才匱乏」問題在台灣更為嚴峻——台灣中小企業缺乏大型顧問公司的支援，但歐盟客戶的要求不會因此降低。這意味著，台灣企業必須在 2025 年前完成 ERM 框架的永續升級，否則在供應鏈盡職調查（Due Diligence）的篩選機制下，將面臨被歐盟採購商排除的重大商業風險。

積穗科研如何協助台灣企業將 DMA 整合至 ERM 框架

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業導入 ISO 31000 與 COSO ERM 框架，建立風險矩陣與 KRI 關鍵風險指標，強化董事會風險治理能力。針對 CSRD 雙重重大性評估帶來的新型態合規風險，我們提供以下具體行動方案：

1. DMA 缺口分析與風險矩陣整合（第1至30天）：盤點企業現有 ERM 框架，評估與 CSRD DMA 要求的差距，將「財務重大性」與「影響重大性」兩個維度系統性整合至現有風險矩陣，識別最高優先順序的 ESG 風險項目，並建立初版永續 KRI 清單。
2. 利害關係人識別與雙重重大性評估流程設計（第31至60天）：依據 ESRS 標準協助企業識別「受影響的利害關係人」與「使用者利害關係人」，設計符合 ISO 31000 風險溝通原則的 DMA 訪談與問卷流程，確保評估結果具備可稽核性，為未來歐盟合規報告奠定基礎。
3. 董事會風險治理能力強化與人才培訓（第61至90天）：針對論文揭示的「專業人才匱乏」挑戰，提供客製化培訓課程，涵蓋 COSO ERM、ISO 31000 與 CSRD DMA 的整合應用；同時協助建立內部永續風險管理團隊，確保企業在無需完全依賴外部顧問的情況下，具備持續執行 DMA 的自主能力。

常見問題

什麼是雙重重大性評估（DMA），台灣企業為什麼需要做？

雙重重大性評估（Double Materiality Assessment，DMA）是歐盟 CSRD 要求的核心工具，要求企業同時評估兩個維度：①「財務重大性」——外部環境與社會議題如何影響企業的財務表現與風險；②「影響重大性」——企業的經營活動如何對外部環境與社會產生正面或負面影響。台灣企業需要做 DMA 的原因很直接：凡是與在歐盟境內營運的企業有業務往來（如採購、供應商、合資夥伴），就可能被要求提供 DMA 相關資訊。2024 年研究顯示，即便是永續發展成熟度較高的芬蘭企業都面臨重大執行挑戰，台灣企業應提早準備，避免在歐盟客戶的供應鏈盡職調查中落後。

台灣企業導入 CSRD DMA 最常面臨哪些合規挑戰？

根據 Vazquez Harkivi（2024）的研究，企業執行 DMA 面臨兩大核心挑戰，台灣企業同樣適用：第一是「資源不足」，包括人力、時間與預算；第二是「專業人才匱乏」，DMA 需要同時熟悉財務風險、ESG 標準與業務運營的複合型人才，在台灣尤其稀缺。此外，台灣企業還面臨語言障礙（ESRS 主要為歐語版本）以及對 CSRD 法規更新速度的追蹤困難。建議企業結合 ISO 31000 風險管理框架，將 DMA 整合至現有 ERM 流程，而非另起爐灶，可有效降低資源投入門檻。

ISO 31000 與 COSO ERM 如何幫助企業應對 CSRD 要求？

ISO 31000:2018 提供風險管理的通用原則與指引，其「風險識別→風險分析→風險評估→風險應對」流程與 DMA 的評估邏輯高度一致，是整合 ESG 風險的最佳基礎框架。COSO ERM（2017年版）的「環境與策略設定」要素則明確要求將 ESG 趨勢納入企業策略風險分析，與 DMA 的「財務重大性」維度直接對應。實務建議：台灣企業應在現有 ISO 31000 風險矩陣中新增 ESG 風險類別，並在 COSO ERM 的業務影響分析層次加入雙重重大性的評估結果，再透過 KRI（關鍵風險指標）進行持續監控。三個框架整合使用，可大幅提升 DMA 執行效率並確保與國際標準接軌。

台灣企業完成 DMA 整合至 ERM 框架需要多長時間與多少資源？

根據積穗科研的實務經驗，台灣企業完成 DMA 與 ERM 框架的基礎整合，最短需要 90 天。具體時程分為三個階段：第1至30天完成缺口分析與風險矩陣重新設計；第31至60天完成利害關係人識別與 DMA 評估流程建立；第61至90天完成董事會報告機制與 KRI 監控系統部署。資源需求方面，中型企業（員工 200 至 1000 人）的初期導入成本通常包含顧問費用、內部人員培訓費用，以及系統工具建置費用三個部分。研究顯示，提前 2 至 3 年準備的企業相較於臨時應對的企業，整體合規成本可降低 40% 以上，且在歐盟客戶評估中具備明顯競爭優勢。

為什麼找積穗科研協助企業風險管理（ERM）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）是台灣深耕企業風險管理領域的專業顧問公司，具備以下核心優勢：第一，我們同時具備 ISO 31000 與 COSO ERM 框架的深度實作能力，能協助企業將 CSRD DMA 無縫整合至現有 ERM 機制，而非增加額外的合規負擔。第二，我們熟悉台灣企業的產業結構、董事會治理現況與資源限制，提供貼近實務的客製化方案，而非照本宣科的標準方案。第三，我們提供 90 天內建立符合 ISO 31000 的 ERM 機制的明確承諾，並附有免費機制診斷服務，讓企業在投入資源前先了解自身的真實風險缺口。選擇積穗科研，就是選擇讓台灣企業在歐盟永續法規浪潮中，從被動應對轉為主動領先。