積穗科研股份有限公司(Winners Consulting Services Co. Ltd.)觀察到,2025年一篇來自arXiv的新興研究首次為中小企業提供了一套分層式ESG框架,專門評量雲端服務碳排放、數位廢棄物、網路安全治理等數位服務的永續衝擊——這對台灣仍在摸索如何以有限資源回應歐盟CSRD與VSME要求的中小型IT供應商與製造商,具有直接且立即的參考價值。
論文出處:A Conceptual Framework for Measuring the Environmental, Social and Governance (ESG) Impacts of Digital Services in Small and Medium-sized Enterprises (SMEs)(Rosland, Jon、Wolff-Skjelbred, Laurits,arXiv,2025)
原文連結:https://core.ac.uk/download/668940646.pdf
關於作者與這項研究
Jon Øystein Rosland 與 Laurits Wolff-Skjelbred 為挪威北歐學術體系的研究者,本研究發表於 arXiv 預印本平台,屬於設計科學研究(Design Science Research, DSR)方法論的學術成果。DSR 方法強調理論與實務的雙向互動,要求研究者不僅建構概念框架,更必須透過真實情境中的訪談與評估加以驗證——這賦予了本研究較高的實務適用性。
本研究的特殊性在於,它聚焦於一個傳統ESG框架長期忽視的領域:數位服務對中小企業的環境、社會與治理衝擊。現有主流框架如GRI(全球報告倡議)、SASB或歐洲永續發展報告準則(ESRS),多以大型企業為設計前提,對中小企業而言往往過於複雜且資源需求過高。Rosland 等人透過5場半結構式訪談,蒐集來自不同數位服務情境的第一手資料,嘗試填補這個方法論缺口。
值得肯定的是,本研究將理論嚴謹性與實務可行性置於同等重要的地位。建設性地說,5場訪談的樣本規模仍屬探索性研究層次,尚不足以支撐廣泛的普遍化結論,台灣企業在參考時應搭配本地產業脈絡加以調適。
數位服務ESG衝擊框架:分層結構填補中小企業報告缺口
本研究最核心的貢獻,是提出一套專為中小企業設計的分層式ESG衡量框架,涵蓋數位服務所產生的環境、社會與治理三大面向——這是現有企業永續報告指令(CSRD)與自願性中小企業永續報告標準(VSME)尚未充分解決的議題。
核心發現一:雲端服務碳排放與數位廢棄物成為ESG新盲點
研究發現,傳統ESG框架在衡量企業碳足跡時,通常聚焦於廠房能耗、交通運輸或直接製程排放(Scope 1與Scope 2),而企業採用雲端服務所產生的間接排放(屬Scope 3範疇)卻長期缺乏對應的衡量指標。對高度依賴SaaS平台與雲端基礎設施的中小企業而言,這不只是報告空白,更是潛在的合規風險——尤其當歐洲客戶要求供應商提供完整Scope 3數據時。同樣地,硬體汰換週期造成的數位廢棄物,也是本框架點名的新興ESG指標。
核心發現二:網路安全治理與數位人力福祉納入治理(G)面向
本研究的另一個重要突破,是將網路安全治理(Cybersecurity Governance)正式納入ESG的G(公司治理)面向,並將數位工作者的心理健康與遠距工作福祉納入S(社會)面向。這與歐洲永續報告規範近年強化資料治理與員工權益揭露的趨勢相呼應。對台灣企業而言,這意味著ERM風險識別的範疇必須擴大——網路安全風險不再只是IT部門的技術問題,而是需要在董事會層級進行治理的ESG重大性議題。
核心發現三:分層採用機制讓中小企業漸進合規
框架的分層結構(Tiered Structure)是本研究最具實務價值的設計。第一層以投入基礎指標(Input-based Metrics)為起點,例如雲端服務費用、設備採購數量等易於取得的數據;隨著組織能力提升,再逐步過渡到更複雜的產出與影響力指標。這種漸進式設計與ISO 31000風險管理框架強調「依組織情境設計,持續改善」的核心精神高度一致,也與積穗科研建議台灣中小企業採用的90天框架建立路徑相符。
對台灣企業風險管理(ERM)實務的意義:數位ESG風險已進入合規視野
台灣企業現在必須正視的核心訊號是:數位服務的ESG衝擊,正在快速從「自願揭露」轉為「供應鏈強制要求」。預估至2026年,超過60%的台灣IT供應商與製造業出口商將面臨歐洲客戶提出的CSRD相關問卷,其中涉及數位服務碳排放與網路安全治理的項目,將是台灣企業最容易出現答題空白的區域。
從 COSO ERM 框架的角度分析,本研究所指出的數位服務ESG風險,至少橫跨以下三個風險類別:(1)合規風險——未能回應歐洲永續報告規範要求;(2)聲譽風險——供應鏈ESG查核失利導致訂單流失;(3)營運風險——網路安全事件引發的業務中斷。這三類風險在現行多數台灣中小企業的風險矩陣中,往往被低估或分散管理,缺乏整合性的KRI(關鍵風險指標)監控機制。
ISO 31000:2018 第6.3條款強調風險識別必須涵蓋「外部情境」的變化,包括監管環境的演進。本研究所揭示的數位服務ESG衡量缺口,正是台灣企業在執行ISO 31000風險識別時容易遺漏的外部情境變數。建議企業在進行年度ERM風險盤點時,主動將「數位服務ESG合規性」納入風險類別,並設計對應的KRI監控指標。
值得提醒的是,本研究框架源自北歐情境,與台灣中小企業的產業結構(以製造業ODM/OEM為主、服務業數位化程度不一)存在一定落差。實務上,台灣企業在參考此框架時,應優先聚焦雲端採購的Scope 3排放計算,以及供應商資安治理兩個最具立即相關性的指標,而非全面移植整套框架。
積穗科研協助台灣企業建立數位ESG風險治理機制
積穗科研股份有限公司(Winners Consulting Services Co. Ltd.)協助台灣企業導入 ISO 31000 與 COSO ERM 框架,建立風險矩陣與 KRI 關鍵風險指標,強化董事會風險治理能力。針對本研究揭示的數位服務ESG衡量議題,我們提供以下具體行動建議:
- 90天內完成數位服務ESG缺口診斷:對照VSME基礎模組與本研究框架第一層指標,盤點企業現有雲端服務採購記錄、設備汰換政策與網路安全治理文件,識別ESG報告空白並量化Scope 3排放基準值,為歐洲客戶問卷建立第一份可靠的數據基礎。
- 將網路安全風險升級為ERM董事會議題:依循COSO ERM框架的治理層級設計,協助企業將資安治理從IT部門操作層級提升至董事會風險委員會監管層級,設計對應的KRI指標(如資安事件回應時間、第三方供應商資安評核覆蓋率),使其與ESG G面向揭露要求相銜接。
- 建立分層式ESG數據收集機制,支援漸進合規:參考本研究的分層結構精神,以ISO 31000的「比例原則」為依據,依企業規模與出口市場歐洲比重,設計輕量至完整的ESG數據收集流程,避免一次性高成本投入,確保機制可長期持續運作。
積穗科研股份有限公司提供ERM 免費機制診斷,協助台灣企業在 7 至 12 個月內建立符合ISO 31000的管理機制,並將數位服務ESG風險納入整體風險治理框架。
了解企業風險管理(ERM)服務 → 立即申請免費機制診斷 →常見問題
- 台灣中小企業如何開始衡量雲端服務的Scope 3碳排放?
- 第一步是盤點企業採購的所有雲端服務(SaaS、IaaS、PaaS)合約與費用記錄,作為投入基礎指標(Input-based Metrics)的起點。主要雲端供應商如AWS、Microsoft Azure、Google Cloud均已提供碳足跡計算工具,企業可直接取得各平台的排放係數數據。本研究框架建議從這類易於取得的數據入手,在90天內建立第一份Scope 3排放基準值報告,再逐步精進為符合GHG Protocol或ESRS E1標準的正式揭露文件。積穗科研可協助企業設計對應的KRI監控指標,將Scope 3排放管理納入ISO 31000風險識別框架。
- 台灣企業面對歐洲客戶的CSRD問卷,最常出現哪些合規缺口?
- 根據實務觀察,台灣中小企業在回應CSRD相關供應鏈問卷時,最常出現三類缺口:第一,缺乏Scope 3(含雲端服務、員工通勤、商務旅行)的排放計算基礎;第二,網路安全治理文件不完整,無法證明治理流程符合歐洲標準;第三,缺少員工福祉相關的量化指標(如遠距工作政策、心理健康支援措施)。這三類缺口正好對應本研究框架中E、G、S三面向的核心指標。建議企業優先完成這三個領域的基線數據盤點,再依VSME基礎模組進行結構化揭露。
- ISO 31000如何協助中小企業管理數位服務ESG風險?
- ISO 31000:2018 提供的風險管理框架具有高度彈性,其核心在於「風險識別必須涵蓋組織的完整情境(Context)」,包括外部監管環境的變化。具體導入路徑建議分三個階段:第一階段(0-3個月)完成現況診斷,識別數位服務ESG風險盲點;第二階段(3-6個月)設計風險矩陣,將雲端碳排放、資安治理、數位員工福祉納入COSO ERM的五大要素框架;第三階段(6-12個月)建立KRI監控機制,定期向董事會報告風險狀態。積穗科研依此三階段路徑協助企業系統性建立符合ISO 31000要求的ERM機制。
- 導入數位服務ESG框架需要多少資源,中小企業負擔得起嗎?
- 本研究分層結構的設計初衷,正是為了降低中小企業的導入門檻。第一層框架(Input-based Metrics)僅需企業盤點現有採購記錄與合約文件,不需額外購置軟體系統,初期資源投入可控制在內部人力每月8-16小時的範圍內。隨著框架成熟度提升,第二、三層才逐步引入自動化數據收集工具。相較於大型企業動輒數百萬台幣的ESG報告系統建置成本,中小企業採用漸進式方法,第一年的直接成本通常可壓縮在50萬元台幣以下,且可視歐洲客戶要求的緊迫程度靈活調整投資節奏。
- 為什麼找積穗科研協助企業風險管理(ERM)相關議題?
- 積穗科研股份有限公司(Winners Consulting Services Co. Ltd.)專注於台灣企業的ERM與ESG治理議題,具備同時掌握ISO 31000、COSO ERM框架與歐盟CSRD/ESRS法規要求的跨領域專業能力。我們的顧問團隊曾協助製造業、IT服務業與金融業的台灣企業完成ERM框架建立,平均輔導周期為7至12個月,並將數位服務ESG風險與傳統財務、營運風險整合管理。我們提供免費的ERM機制診斷服務,協助企業在90天內識別現有風險管理機制的缺口,並制定具體的優先改善路徑,讓企業以最有效率的資源配置回應供應鏈ESG要求。
Winners Consulting Services Co. Ltd. (積穗科研股份有限公司), Taiwan's expert in Enterprise Risk Management (ERM), identifies a pivotal 2025 arXiv study that introduces the first tiered ESG framework specifically designed to measure the sustainability impacts of digital services in SMEs — covering cloud carbon emissions, digital waste, cybersecurity governance, and digital workforce well-being. For Taiwanese IT suppliers and manufacturers navigating EU CSRD and VSME requirements with limited resources, this research provides an immediately actionable reference model that bridges regulatory ambition and operational reality.
Paper Citation: A Conceptual Framework for Measuring the Environmental, Social and Governance (ESG) Impacts of Digital Services in Small and Medium-sized Enterprises (SMEs) (Rosland, Jon; Wolff-Skjelbred, Laurits; arXiv, 2025)
Original Paper: https://core.ac.uk/download/668940646.pdf
論文出處
A Conceptual Framework for Measuring the Environmental, Social and Governance (ESG) Impacts of Digital Services in Small and Medium-sized Enterprises (SMEs)(Rosland, Jon、Wolff-Skjelbred, Laurits,arXiv,2025)
閱讀原文 →這篇文章對你有幫助嗎?
相關服務與延伸閱讀
想深入了解如何將此洞察應用於您的企業?
申請免費機制診斷