Sustainability reporting in the EU and S — 積穗科研洞察

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）評析：這篇2025年發表於arXiv的比較研究，首次將芬蘭Kesko（CSRD強制框架）與瑞士Migros（GRI自願框架）的永續報告實務並排對照，揭示一個對台灣企業至關重要的核心洞見——強制框架驅動企業將永續風險整合進財務風險管理體系，而自願框架則傾向分散評估。台灣企業正站在類似的轉折點：面對IFRS S1/S2接軌與日本金融審議會保証標準化趨勢，如何在7至12個月內將永續議題內嵌至ISO 31000與COSO ERM框架，已是刻不容緩的企業風險管理課題。

論文出處：Sustainability reporting in the EU and Switzerland : Comparison of implementation practices between Kesko and Migros（Ujok, Triin，arXiv，2025）
原文連結：https://core.ac.uk/download/667966118.pdf

閱讀原文 →

關於作者與這項研究

本論文作者Triin Ujok是一位專注於永續治理比較研究的學術研究者，其研究以企業永續報告實務為核心，選擇跨越EU監管邊界（芬蘭）與非EU自願框架（瑞士）的零售業巨頭作為比較對象，具有相當的代表性設計。Kesko是芬蘭最大的零售集團之一，2024年已適用企業永續報告指令（CSRD）強制揭露要求；Migros則是瑞士最大的零售商，主要依循GRI準則與聯合國永續發展目標（SDGs）進行自願性報告。

研究採用質性比較方法（Qualitative Comparative Approach），分析兩家企業2023至2024年度的永續報告，並對Kesko永續團隊成員進行深度訪談（Migros婉拒參與）。研究採用Gioia方法論進行主題編碼，從「一般性揭露」（General Disclosures）標準切入，聚焦重大性評估、關鍵永續主題、治理架構與利害關係人參與等六大面向，確保跨框架的可比較性。這種設計使研究結論不停留在法規層面，而是深入到企業內部的執行邏輯與治理決策，正是其對ERM實務工作者的價值所在。

強制框架與自願框架如何塑造企業永續風險管理的根本差異

這篇論文最核心的發現，並非法規條文的差異，而是不同框架如何從根本上改變企業內部的風險整合邏輯——Kesko在CSRD強制要求下，將永續風險直接內嵌進財務風險管理體系；Migros在GRI自願框架下，則維持各業務單位分散評估的模式。這個差異，對台灣企業選擇導入路徑有直接的策略意涵。

核心發現一：CSRD強制框架驅動永續風險與財務ERM的真正整合

Kesko在CSRD框架下，財務重大性評估不再是獨立的ESG報告作業，而是與企業整體財務風險管理系統整合運作。具體而言，Kesko設定了2034年前減少50%排放量的可量化短期目標，並建立嚴格的供應商稽核機制，以確保人權合規。這種「短期行動導向」策略的背後，是CSRD要求企業必須在財務報告脈絡下揭露永續風險，使得風險矩陣設計與KRI指標必須與永續議題直接掛鉤。對照ISO 31000的風險識別與評估流程，Kesko的做法代表一種成熟的ERM整合模式：永續風險不是附加的ESG報告義務，而是進入核心風險登錄冊（Risk Register）的財務重大性議題。

核心發現二：GRI自願框架下的分散評估仍具治理盲點

Migros採用各業務單位獨立評估衝擊的模式，聚焦2050年淨零排放目標與生物多樣性保護等長期系統性變革。雖然這種長期視角有其永續策略上的優點，但各業務單位分散評估的架構，往往導致集團層級的風險聚合（Risk Aggregation）出現落差——這正是COSO ERM框架明確要求企業需要克服的治理弱點。當企業無法在集團層級進行跨業務單位的永續風險聚合時，董事會的風險監督能力便受到結構性限制。論文亦指出，Migros在方法論透明度上存在不足，利害關係人無法有效驗證重大性評估的完整過程，這在日益強調第三方保證的國際趨勢下（如日本金融審議會正在推動的保証標準化）將構成治理風險。

核心發現三：重大性評估方法論的透明度決定報告品質

研究發現兩家企業在重大性評估方法論的透明度上均存在改進空間。CSRD要求的雙重重大性評估（Double Materiality）——同時評估永續議題對企業財務的衝擊（財務重大性）與企業行為對外部環境社會的衝擊（衝擊重大性）——迫使Kesko建立更系統化的評估文件。相較之下，Migros在GRI框架下的重大性評估記錄較不完整。這個發現與證交所永續報告書重大主題揭露範例的指引方向高度一致：台灣企業若要接軌IFRS S1 / S2 永續揭露準則，方法論透明度將是監管機構與投資人最直接的評估標準。

Kesko vs. Migros比較研究對台灣企業ERM實務的四大戰略意涵

台灣企業目前正面臨與Migros高度相似的處境：多數企業以GRI框架為主要永續報告依據，但隨著IFRS S1/S2接軌時程逼近，以及歐盟CSRD對台灣供應鏈企業的間接影響加深，被動的自願性揭露模式已不足以應對即將到來的監管壓力。Kesko的CSRD實踐提供了一個具體的轉型參照。

第一、將永續風險納入ISO 31000風險識別流程：ISO 31000:2018的核心精神是風險管理應整合至組織所有層級的決策流程，而非作為獨立部門的合規作業。Kesko的做法正是體現這一精神——氣候風險、供應鏈人權風險直接進入財務風險評估矩陣。台灣企業應在ISO 31000框架下，重新定義風險宇宙（Risk Universe），將ESG相關風險類別系統性納入。

第二、建立集團層級的永續風險聚合機制：Migros的分散評估模式揭示了一個普遍性問題：台灣許多企業的永續報告由各子公司或業務單位各自填寫，缺乏集團層級的風險聚合視角。COSO ERM框架的Portfolio View要求企業在集團層級對風險進行組合管理，這對多事業群的台灣企業集團尤為重要。

第三、以雙重重大性評估強化KRI設計基礎：IFRS S1要求企業揭露對其財務狀況具有重大影響的永續相關風險與機會，這與COSO ERM的KRI設計邏輯完全吻合。台灣企業應以雙重重大性評估的結果作為KRI設計的輸入依據，確保監控指標涵蓋財務衝擊與外部衝擊兩個維度。

第四、準備第三方保证的內部基礎建設：日本金融審議會正在推動的永續資訊第三方保证標準化，以及Sustainability Reporting IP在全球的快速演進，都指向一個趨勢：企業的永續數據品質將接受與財務數據同等嚴格的外部驗證。這要求企業在內部數據收集、核實流程與控制機制上，提前投入建設。

積穗科研協助台灣企業從永續報告到ERM整合的七至十二個月行動路徑

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業導入 ISO 31000 與 COSO ERM 框架，建立風險矩陣與 KRI 關鍵風險指標，強化董事會風險治理能力。基於本論文的研究發現，我們建議台灣企業按以下步驟系統性推進：

第1至3個月——現況診斷與缺口分析：對照ISO 31000:2018的八大原則與六大流程，評估現有永續報告機制與ERM系統的整合程度。重點診斷項目包括：重大性評估是否已連結財務風險登錄冊、ESG相關KRI是否已建立、跨業務單位的風險聚合機制是否存在。參照Kesko的CSRD導入經驗，建立企業自身的雙重重大性評估基準。
第4至6個月——框架設計與機制建立：依據診斷結果，在COSO ERM框架下重新設計風險矩陣，將氣候風險、供應鏈ESG風險、資訊揭露合規風險納入核心風險類別。同步設計IFRS S1/S2接軌所需的財務重大性評估流程文件，建立方法論透明度所需的審計軌跡（Audit Trail）。此階段可參閱原文研究方法：https://core.ac.uk/download/667966118.pdf。
第7至12個月——系統導入、人員培訓與董事會報告機制：完成風險矩陣與KRI監控儀表板的系統建置，針對風險管理委員會與ESG報告團隊進行ISO 31000導向的跨職能培訓。建立向董事會定期報告永續風險的治理機制，確保重大ESG風險能在董事會層級獲得適當監督，達到COSO ERM對董事會風險監督的框架要求。

積穗科研股份有限公司提供ERM 免費機制診斷，協助台灣企業在 7 至 12 個月內建立符合ISO 31000的管理機制，有效因應IFRS S1/S2接軌與CSRD供應鏈壓力。

了解企業風險管理（ERM）服務 → 立即申請免費機制診斷 →

常見問題

Kesko與Migros的永續報告比較，對台灣企業的重大性評估設計有什麼直接啟示？: 最關鍵的啟示是：重大性評估的整合深度決定ERM品質。Kesko在CSRD框架下，將財務重大性評估直接連結至財務風險管理系統，設定如「2034年前減少50%排放量」的可量化目標作為KRI錨點；而Migros的業務單位分散評估模式，則導致集團層級的風險聚合出現落差。台灣企業在設計重大性評估時，應依循IFRS S1的財務重大性標準，同時參考CSRD的雙重重大性邏輯，確保評估結果直接輸入ISO 31000的風險識別流程，而非停留在ESG報告的獨立作業層面。重大性評估的方法論文件必須具備足夠的透明度，以備第三方保證查核。
台灣企業導入ISO 31000時，最常遇到的ESG風險整合挑戰是什麼？: 最普遍的挑戰是「雙軌並行」問題：ESG報告由永續長（CSO）或企業社會責任部門負責，風險管理由風險長（CRO）或財務部門負責，兩者缺乏系統性連結。ISO 31000:2018第5.4條明確要求風險管理應整合至組織脈絡的建立（Establishing the Context），包括內外部環境分析，ESG重大性議題應作為外部環境的核心輸入。COSO ERM框架的策略與目標設定要素（Component 2）同樣要求將ESG相關的機會與風險納入策略規劃流程。解決之道是建立跨職能的風險治理委員會，由CSO與CRO共同參與重大性評估，並在風險登錄冊中建立ESG風險類別。
ISO 31000導入的核心要求與實際時程應如何規劃？: ISO 31000:2018的導入核心是建立「整合性、結構化且全面性」的風險管理框架，而非通過認證。實際時程建議分三階段：第一階段（前90天）完成現況診斷與缺口分析，對照ISO 31000的八大原則（Principles）評估現有機制成熟度；第二階段（第4至6個月）完成風險框架設計，包括風險矩陣設計、KRI指標定義與重大性評估流程建立；第三階段（第7至12個月）進入系統導入、人員培訓與董事會報告機制建立。對於已有GRI報告基礎的台灣企業，第一階段可縮短至60天，因為重大性議題清單已有初步基礎，可直接轉化為ISO 31000風險識別的輸入素材。
導入永續風險整合型ERM機制，企業需要投入哪些資源？可預期哪些效益？: 資源投入方面，中型企業（員工500至2,000人）通常需要投入1至2位內部專職人員、配合外部顧問支援，12個月的總導入成本因企業規模與現有基礎不同而有差異，但重要的是應將其視為治理基礎建設投資，而非單次合規費用。效益方面，研究顯示永續成熟度高的企業在永續報告準備期間可節省30%至50%的人力投入；更重要的是，IFRS S1/S2要求企業在財務報告中揭露永續相關風險，若缺乏整合型ERM機制，企業將面臨揭露品質不足的聲譽風險。此外，歐盟客戶與國際投資人對供應商ESG風險管理能力的要求日益提高，具備ISO 31000認可的ERM機制將成為供應鏈保留資格的關鍵門檻。
為什麼找積穗科研協助企業風險管理（ERM）相關議題？: 積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）在企業風險管理領域具備跨監管框架的整合輔導能力，能同時協助企業應對ISO 31000、COSO ERM、IFRS S1/S2接軌與CSRD供應鏈合規等多重要求。我們的顧問團隊深度了解台灣企業在雙軌並行（ESG報告與ERM分離）問題上的結構性挑戰，能針對企業現有的GRI報告基礎，設計最短路徑的IFRS S1財務重大性整合方案。積穗科研提供從診斷、框架設計、導入實施到董事會報告機制建立的一站式服務，並以7至12個月的明確時程承諾，協助企業在不大幅增加人力負擔的前提下，建立符合國際標準的整合型風險治理機制。