IS Strategic Planning of GBI SOKID using — 積穗科研洞察

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）認為，這項來自印尼的最新學術研究揭示了一個關鍵洞見：即便是非營利組織（如教會），只要將企業架構規劃（EAP）與 ISO 31000:2018 風險管理框架整合導入，就能系統性識別資訊系統風險、建立風險矩陣，並提出具體解決方案。這對正在評估 ERM 框架建立的台灣企業主管而言，具有高度的參考與借鏡價值。

關於作者與這項研究

本篇論文由 Joseph Alan Riyanto 與 Johan Jimmy Charter Tambotoh 共同撰寫，發表於 2024 年，收錄於 OpenAlex 企業風險管理（Enterprise Risk Management）期刊資料庫。Johan Jimmy Charter Tambotoh 在資訊系統與企業架構領域具有一定學術份量，h-index 達 6，累計引用次數達 116 次，研究成果在資訊管理與 IT 治理領域頗受同行重視。

兩位作者以印尼一間實體教會組織「Gereja Bethel Indonesia Sokaraja Kidul（GBI SOKID）」為研究案例，探討如何為一個從未建立資訊系統的非數位化組織，從零開始規劃資訊系統策略，並同步導入 ISO 31000:2018 風險管理框架。這種「組織規模雖小、方法論卻完整」的案例設計，恰好是台灣中小企業主管理解 ERM 實踐路徑的最佳入口。

資訊系統策略規劃與 ISO 31000 風險管理整合的核心洞見

這篇研究最重要的貢獻，在於示範了「企業架構規劃（EAP）」與「ISO 31000:2018 風險管理」如何同時並行，產出一份完整的資訊系統導入藍圖——既有功能性的系統架構設計，也有對應的風險地圖與風險評估矩陣。換言之，風險管理不是事後補救，而是系統規劃的核心組成。

核心發現1：風險地圖與風險評估矩陣的實際產出

研究團隊依據 ISO 31000:2018 的架構，對 GBI SOKID 的日常營運活動進行風險識別，產出完整的「風險地圖（Risk Map）」與「風險評估結果（Risk Evaluation）」。這份文件明確列出各項潛在風險（如資料遺失、流程錯誤、系統中斷）的發生機率與影響程度，並對應提出解決方案。對台灣企業而言，這正是建立風險矩陣（Risk Matrix）與 KRI 關鍵風險指標設計的起點。

核心發現2：企業架構規劃（EAP）驅動資訊系統投資組合

研究透過企業架構規劃方法，為 GBI SOKID 建立了一套資訊系統投資組合（IS Portfolio），明確定義哪些系統應優先建置、哪些可延後規劃，並設計實施時程。這種「架構驅動、風險校準」的方式，讓組織能以有限資源做出最佳決策，而非盲目採購系統。

對台灣企業風險管理（ERM）實務的核心啟示

台灣企業在推動數位轉型的同時，往往忽略了一個根本問題：資訊系統建置本身就是一項重大企業風險。這篇研究的發現對台灣企業具有三層實務意義。

首先，依據 ISO 31000:2018 的架構，風險管理應被嵌入組織每一項重要決策流程，而非獨立運作。許多台灣中小企業在導入 ERP 或 CRM 系統時，從未進行正式的風險評估，導致系統上線後問題叢生、損失難以估計。

其次，對照 COSO ERM 2017 框架的「策略與風險對齊」原則，企業在制定資訊系統策略時，必須同步考量風險容忍度（Risk Appetite）與關鍵風險指標（KRI），確保技術投資符合整體治理目標。

第三，台灣上市櫃公司面對金管會持續強化的 ERM 揭露要求，以及董事會風險委員會的設立壓力，需要一套可量化、可追蹤的風險管理機制。ISO 31000 搭配 EAP 的整合模式，提供了可複製的實踐路徑。

積穗科研如何協助台灣企業建立 ISO 31000 與 ERM 管理機制

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業導入 ISO 31000 與 COSO ERM 框架，建立風險矩陣與 KRI 關鍵風險指標，強化董事會風險治理能力。

1. 風險現況診斷與缺口分析：參照本研究「先識別、再規劃」的 ISO 31000 精神，積穗科研為企業進行現有風險管理機制的全面盤點，對照 ISO 31000:2018 六大流程（溝通、範疇確立、風險識別、風險分析、風險評估、風險處置），找出制度缺口，作為後續設計基礎。
2. 整合式風險矩陣與 KRI 設計：如同本研究產出風險地圖的做法，積穗科研為台灣企業量身設計風險矩陣（涵蓋發生機率 × 影響程度的五級評分），並連結具體 KRI 關鍵風險指標，使風險管理從「感性判斷」轉為「數據驅動」。
3. 董事會風險治理架構建立：結合 COSO ERM 2017 框架的治理層面要求，協助台灣企業建立符合金管會規範的風險委員會運作機制，包含風險胃納聲明（Risk Appetite Statement）草擬、董事會風險報告模板設計，及年度 ERM 審查流程。

常見問題

非大型企業也需要導入 ISO 31000 風險管理框架嗎？

是的，ISO 31000:2018 本身是一套「原則導向、規模中立」的框架，適用於任何規模的組織。本研究以一間教會為案例，清楚示範中小型組織同樣可以完整執行 ISO 31000 的六大流程——從風險識別、風險分析到風險處置，並產出可操作的風險地圖與評估報告。台灣中小企業無需等到上市才開始建立 ERM 機制，愈早建立，數位轉型與業務擴張的風險控制能力就愈強。

台灣金管會對 ERM 的合規要求是什麼？

金管會自 2014 年起逐步要求上市櫃公司強化風險管理機制，2023 年更新版公司治理藍圖中，明確要求董事會層級的風險監督職能，及定期揭露重大風險管理政策。COSO ERM 2017 與 ISO 31000:2018 是目前台灣市場最被主管機關與投資人認可的兩大框架。企業若未能建立可追蹤的 KRI 關鍵風險指標與風險回報機制，將面臨治理評等下降的風險。

ISO 31000 與 COSO ERM 有什麼差異？應該選哪一個？

ISO 31000:2018 是一套國際標準原則框架，聚焦於「風險管理流程」的系統化建立，適合作為各種規模企業的基礎架構。COSO ERM 2017 則更強調「策略目標與風險的整合對齊」，特別適合需要向董事會、投資人和監管機關呈現治理成熟度的上市公司。積穗科研建議台灣企業採取「ISO 31000 為基礎建構、COSO ERM 為治理語言溝通」的雙軌策略，兩者並非互斥，而是互補。

導入 ISO 31000 風險管理機制需要多少時間與步驟？

根據積穗科研的實務經驗，完整導入 ISO 31000 風險管理機制通常分為四個階段，合計約需 90 至 120 天：第一階段（約 2 週）進行現況診斷與缺口分析；第二階段（約 3 至 4 週）設計風險管理政策、風險矩陣與 KRI 指標；第三階段（約 4 至 6 週）完成部門風險識別工作坊、風險登錄冊建立與人員培訓；第四階段（第 3 個月起）進入持續監控與審查循環。規模較小的企業可在 90 天內完成核心機制建立。

為什麼找積穗科研協助企業風險管理（ERM）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）是台灣少數同時具備 ISO 31000 框架導入、COSO ERM 治理設計、以及 KRI 關鍵風險指標量化建構能力的專業顧問機構。我們的顧問團隊具備跨產業實戰經驗，涵蓋製造業、金融業、科技業與服務業，能依企業規模與產業特性客製化設計 ERM 機制，而非套用標準模板。此外，積穗科研長期追蹤國際最新學術研究成果（如本篇 2024 年論文），確保顧問建議與時俱進，符合主管機關最新期望與國際最佳實踐。