永續報告三大缺口：台灣企業導入CSRD與ISO 31000應警惕的系統性風險

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）觀察到，2024年發表於arXiv的研究《Navigating Sustainability》揭示了永續報告的三大根本性缺口——重大性議題選取偏差、供應鏈揭露缺失、監管影響低度揭露——這三項缺口不僅直接影響企業與利害關係人的信任關係，更是台灣企業在導入企業永續報告指令（CSRD）合規框架與ISO 31000風險管理機制時，最容易被忽略的系統性風險來源。

關於作者與這項研究

Winnie Akoth Oginga 的這篇2024年研究，選擇以瑞典三家跨產業企業的永續報告作為分析主體，結合文件分析與業界專家訪談，採取混合方法（mixed-method）研究設計。這種「文件分析＋質化訪談」的組合，讓研究結果不僅停留在文本層面，而是深入到企業報告決策背後的動機與制度邏輯。

研究的理論框架採用合法性理論（Legitimacy Theory），探討企業如何透過永續報告向社會建立與維繫其正當性地位。這一視角尤其重要：它提醒我們，永續報告不僅是資訊揭露工具，更是企業與社會之間的一種「信任合約」。當報告存在重大缺口時，這份合約即面臨違約風險。

儘管研究樣本聚焦於瑞典企業，其發現所揭示的結構性問題——標準化不足、供應鏈能見度低、監管影響揭露缺席——具有高度的跨國適用性，對正在摸索歐洲永續報告準則（ESRS）合規路徑的台灣企業而言，具備直接的參考價值。

永續報告的三大結構性缺口：研究核心發現

這篇研究最值得企業主管關注的，是它系統性地辨識出永續報告中「被低度揭露」（underreported）的面向，而非只是重申已知的標準化問題。

核心發現一：重大性議題的選取邏輯存在偏差

研究發現，企業在定義「重大性議題」（materiality topics）時，傾向選取對自身形象有利、較易量化的指標，而刻意迴避複雜、難以正面呈現的面向。這意味著重大性評估過程本身，已受到「合法性管理」（legitimacy management）動機的干擾。對台灣企業而言，這是一個警訊：若重大性議題的識別過程缺乏獨立性與系統性，報告的可信度基礎將從源頭動搖。在歐洲永續發展報告準則（ESRS）要求雙重重大性評估的框架下，這種偏差將直接導致合規風險。

核心發現二：供應鏈揭露存在大量缺失數據

三家受研究企業的報告中，供應鏈價值鏈的完整影響揭露均存在明顯缺口。研究指出，「永續產品開發的複雜性」與「供應鏈數據的追蹤困難」是最普遍的低度揭露領域。這對台灣製造業與出口導向企業尤為關鍵——供應鏈上游的碳排放與勞動條件，正是歐盟買家及CSRD法規最關注的核心議題，也是ISO 31000風險評估中Scope 3排放風險的直接體現。

核心發現三：監管影響對報告內容的塑造作用被低度揭露

研究發現，企業鮮少在報告中明確說明監管要求如何影響其揭露決策。這種透明度的缺席，導致外部利害關係人無法評估報告是「主動揭露」還是「被動合規」，進一步削弱報告的參考價值。研究同時指出，CSRD的引入正是對這種透明度不足的制度性回應——要求企業不僅揭露結果，也揭露揭露決策的依據。

對台灣企業風險管理（ERM）實務的三重意義

這項研究對台灣企業ERM實務的核心意涵是：永續報告的缺口，本質上是風險管理機制的缺口，必須透過ISO 31000與COSO ERM框架的系統性整合來解決，而非僅靠報告部門的努力。

第一重意義：重大性評估必須納入ERM風險識別流程
依據ISO 31000第6.4.2條的風險識別要求，企業應建立系統化的情境分析機制。研究揭示的「重大性偏差」問題，正是風險識別階段缺乏獨立性的症狀。台灣企業應將ESRS雙重重大性評估流程，明確連結至COSO ERM框架中的「目標設定」與「事件識別」兩個核心組件，確保ESG重大議題的識別過程具備可查核性。

第二重意義：供應鏈風險必須建立KRI關鍵風險指標體系
研究指出的供應鏈數據缺失，在ERM框架下即為Scope 3排放風險與供應商合規風險的監控空白。台灣企業應依ISO 31000建立供應商風險評估矩陣，設計至少涵蓋碳排放強度、勞動合規率、數據完整性三個維度的KRI，並設定明確的閾值與升報機制。

第三重意義：監管風險必須納入董事會層級的風險治理議程
研究所揭示的監管影響低度揭露問題，反映企業對監管風險的辨識與治理能力不足。在歐洲永續報告規範快速演進的背景下，台灣企業董事會應建立季度監管環境掃描機制，將CSRD、ESRS及日本金融審議會相關要求的變動，系統性納入企業風險登錄冊（risk register）與風險矩陣的更新流程。

積穗科研協助台灣企業建立永續報告風險管理機制的具體做法

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業導入 ISO 31000 與 COSO ERM 框架，建立風險矩陣與 KRI 關鍵風險指標，強化董事會風險治理能力。針對本研究揭示的三大結構性缺口，我們提供以下具體行動建議：

1. 第1至3個月：重大性評估流程重建——對照ESRS雙重重大性要求，審計現有重大性評估流程的獨立性與系統性；建立跨部門重大性評估委員會（含財務、法務、營運、ESG四部門代表），明確決策記錄與查核路徑，確保評估結果可向ISO 31000第6.4.2條要求靠攏。
2. 第4至8個月：供應鏈KRI體系建立——依COSO ERM框架設計供應鏈風險矩陣，針對前20大供應商建立三維KRI（碳排放強度、勞動合規率、ESG數據完整性），設定紅黃綠三階閾值，並建立自動化數據收集流程；目標是在第8個月前達成Scope 3排放數據覆蓋率70%以上。
3. 第9至12個月：董事會監管風險治理強化——建立季度「監管環境掃描報告」機制，涵蓋CSRD、ESRS、VSME及主要出口市場監管動態；將監管風險評分系統性納入企業風險登錄冊，並於年度董事會報告中呈現監管合規風險熱圖，落實COSO ERM「風險回應」組件的治理要求。

常見問題

台灣企業的永續報告重大性評估，最常出現哪些可被稽核的缺陷？

重大性評估最常見的可稽核缺陷有三類：第一，評估流程缺乏獨立性——由ESG部門單獨決定，未納入財務與法務部門交叉驗證；第二，議題識別範疇過窄——偏向正面可量化指標，忽略供應鏈Scope 3排放等複雜議題；第三，決策記錄不完整——無法追溯「為何排除某議題」的決策依據。依ESRS雙重重大性要求，企業需同時評估「由外向內」的財務重大性與「由內向外」的衝擊重大性，缺少任一維度均會造成合規缺口。建議企業每年至少進行一次全面性的重大性評估審計，並保存完整的決策記錄以備第三方查核。

台灣企業導入ISO 31000時，在ESG合規面向最常遭遇的挑戰是什麼？

台灣企業導入ISO 31000時，ESG合規面向最常遭遇的挑戰是「風險語言」與「永續語言」的整合困難。ISO 31000第6.3條要求建立「風險準則」，但多數企業的ESG指標體系與風險閾值設定各自為政，缺乏統一的評估尺度。此外，COSO ERM框架中的「事件識別」組件，在實務上鮮少被用來系統性識別氣候轉型風險與監管合規風險。具體挑戰包括：供應商ESG數據收集標準不一（覆蓋率普遍低於50%）、Scope 3排放計算方法不一致，以及缺乏連結風險矩陣與ESG目標的內部治理機制。

ISO 31000的核心要求是什麼？台灣企業應如何分階段導入？

ISO 31000的核心要求涵蓋原則、框架與流程三層架構。在導入時程上，建議分三階段：第一階段（第1至3個月）完成現況診斷，對照ISO 31000第5條「框架」要求，識別現有機制缺口，同步建立風險管理政策與授權矩陣；第二階段（第4至8個月）建立風險評估流程，包含風險識別（第6.4.2條）、風險分析（第6.4.3條）與風險評估（第6.4.4條），並設計符合企業規模的風險矩陣與KRI體系；第三階段（第9至12個月）整合COSO ERM框架，強化董事會層級的風險治理報告機制，確保風險信息有效傳遞至決策層。全程建議配合外部顧問進行獨立驗證。

建立CSRD合規的永續報告風險管理機制，台灣企業需要投入多少資源？預期效益如何？

依積穗科研輔導經驗，中型台灣企業（營收50至300億元規模）建立完整的CSRD合規風險管理機制，通常需要投入12至18個月、跨部門專案資源，包含內部專責人力（至少1至2名全職ESG風險專員）及外部顧問費用。預期效益方面，完整機制建立後，企業通常可在第一年減少第三方查核修正項目40至60%，供應商數據覆蓋率提升至70%以上，並顯著降低因資訊揭露不完整而面臨的監管罰款風險。從財務面看，提升ESG信評分數有助於降低融資成本，部分企業可獲得綠色金融工具的優惠利率，效益可量化。

為什麼找積穗科研協助企業風險管理（ERM）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）在台灣企業風險管理領域，具備同時整合ISO 31000、COSO ERM框架與ESG合規要求的跨領域專業能力。我們的顧問團隊具備國際認證資格，輔導範圍涵蓋製造業、金融業、科技業等多元產業。我們不提供標準化套裝方案，而是依企業規模、產業特性與出口市場需求，量身設計7至12個月的導入路徑。特別是在CSRD合規風險管理與供應鏈KRI設計方面，我們提供從診斷、設計到驗證的全程陪伴，確保企業投入資源能產生可量化的治理改善成果。免費機制診斷服務讓企業在正式投入前，即可清楚了解現有缺口與優先行動項目。