積穗科研
繁中/EN/日本語
erm

吹哨者保護機制如何強化企業風險管理ERM框架

洞察發布
分享

積穗科研股份有限公司(Winners Consulting Services Co. Ltd.)提醒台灣企業主管:當組織內部出現舞弊、法規違規或重大不當行為時,「吹哨者保護機制」是企業風險管理(ERM)中不可或缺的風險治理工具。2014年一篇由 Rodney M. Berry 撰寫的研究報告,系統性分析了美國情報社群三項吹哨者保護法制的範圍、缺口與實務限制,為企業在設計內部通報機制、強化 ISO 31000 與 COSO ERM 合規框架時,提供了珍貴的制度設計參考。

論文出處:Intelligence Whistleblower Protections: In Brief(Berry, Rodney M,arXiv,2014)
原文連結:https://core.ac.uk/download/33598249.pdf

閱讀原文 →

關於作者與這項研究

Rodney M. Berry 的這份報告發表於 2014 年,收錄於開放學術平台 arXiv,目前累計引用 10 次,h-index 為 1。雖然這份研究的學術引用數尚在累積階段,但其作為政策分析文件的實用價值遠超數字本身——它以法律分析者的視角,清晰梳理了美國情報社群(Intelligence Community, IC)中三項主要的吹哨者保護制度:1998 年《情報社群吹哨者保護法》(ICWPA)、歐巴馬總統於2012年頒布的《總統政策指令第19號》(PPD-19),以及《2014年情報授權法第六章》(Title VI)。

Berry 的研究脈絡具有高度政策相關性:在史諾登事件(2013年)引發全球對政府監控與吹哨者保護的關注之後,如何在組織透明度、資訊安全與個人保護之間取得平衡,成為各類型組織(包括企業)的迫切課題。這份報告雖以公部門情報機構為研究對象,但其制度設計邏輯對台灣企業建立內部通報與風險揭露機制同樣具有直接啟發意義。

三層吹哨者保護制度的核心洞見:範圍、缺口與實務限制

Berry 的研究揭示了一個關鍵發現:即使立法者持續強化吹哨者保護,三項制度在適用對象、保護範圍與救濟機制上仍存在顯著落差,導致吹哨者在實務上面臨高度不確定性。

核心發現一:三項法制的保護強度層次分明,但均不保護媒體揭露

ICWPA(1998年)是最早的保護法制,但也是保護力最弱的一層。它並未明文禁止對吹哨者的報復行為,僅提供一個讓吹哨者向國會情報委員會揭露「緊急關切事項」(urgent concerns,如違法行為或對國會作出虛假陳述)的程序通道。更關鍵的是,ICWPA 沒有任何明確的救濟機制——當吹哨者因揭露而遭到人事懲處時,唯一的途徑是再次利用 ICWPA 的揭露程序,向國會委員會通報「遭到報復」這件事本身。PPD-19 則進一步明文禁止因保護性揭露而對員工採取不利人事行動或影響安全許可,並要求各情報機構建立透過督察長(Inspector General)進行內部調查的程序。Title VI(2014年)在立法層面進一步強化了相關保護。然而,三者均有一個共同限制:對媒體的揭露不受任何保護,揭露者甚至可能面臨刑事責任。

核心發現二:ICWPA 適用承包商,PPD-19 與 Title VI 僅適用正式員工

研究指出,ICWPA 的適用範圍同時涵蓋情報社群員工與承包商(contractors),但 PPD-19 與 Title VI 的保護似乎僅及於正式員工。這個制度性缺口在現代組織中尤為值得警惕——隨著企業大量使用外包、約聘與第三方服務商,若內部通報機制的保護範圍僅限於正職員工,組織將面臨嚴重的風險治理盲點。

吹哨者保護制度對台灣企業風險管理(ERM)實務的核心啟示

台灣企業在導入 ISO 31000 與 COSO ERM 框架時,往往將「內部通報機制」視為合規清單上的一個選項,而非風險治理的核心基礎設施——Berry 的研究揭示了這個認知差距的危險性。

ISO 31000:2018 在風險溝通與諮詢(Communication and Consultation)原則中,明確要求組織建立讓各層級利害關係人能夠安全揭露風險資訊的機制。COSO ERM 2017 框架同樣在「治理與文化」(Governance & Culture)要素中,將組織的道德誠信文化與內部通報機制列為 ERM 有效運作的前提條件。然而,台灣目前的實務現狀是:

  • 通報管道設計不足:許多企業的吹哨機制僅有書面政策,缺乏匿名通報系統、調查程序與保護承諾的完整配套。
  • 承包商與供應商的覆蓋缺口:如同 Berry 研究所揭示,保護範圍若不及於非正職人員,風險治理將出現結構性盲點,特別是在製造業、科技業的複雜供應鏈中。
  • 救濟機制付之闕如:台灣企業內部通報制度常見的問題是,即使員工通報了問題,也缺乏明確的後續處理程序、時程承諾與調查結果回饋機制,導致吹哨文化難以建立。
  • 董事會監督角色薄弱:COSO ERM 強調董事會應對 ERM 框架負有最終監督責任,吹哨者機制的有效性應定期向審計委員會或風險委員會報告,但台灣企業落實此要求者仍屬少數。

從 KRI(Key Risk Indicators,關鍵風險指標)設計的角度,吹哨者通報件數、通報案件處理完成率、通報後員工離職率等指標,都應被納入風險矩陣作為組織文化風險的監控項目。

積穗科研協助台灣企業建立合規吹哨機制與 ERM 風險治理框架

積穗科研股份有限公司(Winners Consulting Services Co. Ltd.)協助台灣企業導入 ISO 31000 與 COSO ERM 框架,建立風險矩陣與 KRI 關鍵風險指標,強化董事會風險治理能力。針對 Berry 研究所揭示的制度設計議題,積穗科研提供以下具體行動建議:

  1. 進行吹哨機制缺口分析(第1-30天):對照 ISO 31000:2018 的風險溝通要求與 COSO ERM 2017 的治理文化要素,評估現有內部通報政策在適用範圍(是否涵蓋承包商與供應商)、調查程序、保護承諾與救濟機制四個維度的缺口,形成優先改善清單。
  2. 設計三層通報架構與 KRI 監控指標(第31-60天):建立對應直屬主管、合規部門(或督察職能)、審計委員會三個層級的通報管道,並設計至少 5 項吹哨機制 KRI(如:通報件數月趨勢、案件90天內結案率、通報人異動率),納入風險矩陣定期監控。
  3. 強化董事會風險治理報告機制(第61-90天):建立吹哨機制有效性的半年度董事會報告格式,確保審計委員會對內部通報機制的最終監督責任能夠落實,符合 COSO ERM 對治理層監督的要求。

積穗科研股份有限公司提供ERM 免費機制診斷,協助台灣企業在 90 天內建立符合ISO 31000的管理機制。

了解企業風險管理(ERM)服務 → 立即申請免費機制診斷 →

常見問題

企業內部吹哨者保護機制應涵蓋哪些人員範圍?只有正職員工嗎?
不,正職員工僅是最低限度的保護範圍。Berry(2014)的研究明確指出,美國情報社群的 ICWPA 法制同時涵蓋員工與承包商,而保護範圍較窄的 PPD-19 與 Title VI 則僅及於正式員工,形成制度性缺口。對台灣企業而言,ISO 31000:2018 的風險溝通原則要求組織將所有相關利害關係人納入風險資訊流通架構,包括外包商、供應商與約聘人員。COSO ERM 2017 框架同樣強調,有效的風險文化必須滲透至整個價值鏈。積穗科研建議企業在設計吹哨機制時,明確界定保護範圍,避免因供應鏈中的通報死角而埋下重大風險治理缺口。
台灣企業導入 ISO 31000 時,內部通報機制最常見的合規挑戰是什麼?
台灣企業在 ISO 31000 導入過程中,內部通報機制最常見的合規挑戰有三:第一,政策與執行脫節——許多企業有書面吹哨政策,但缺乏匿名通報系統與標準化調查程序,ISO 31000:2018 第 5.4.3 條要求風險溝通機制必須具備實際可操作性;第二,缺乏救濟機制——COSO ERM 2017 強調,若員工通報後缺乏明確的保護承諾與後續回饋,通報文化將難以建立;第三,KRI 設計未納入通報機制指標——風險矩陣中若未追蹤通報件數、案件處理時效等關鍵指標,董事會將無法評估機制有效性,導致風險治理出現盲點。
ISO 31000 對吹哨者保護機制有哪些具體要求?如何在 90 天內完成導入?
ISO 31000:2018 雖未直接使用「吹哨者」一詞,但其「溝通與諮詢」(第 6.2 條)原則要求組織建立讓所有相關方能安全、有效地參與風險識別與揭露的機制,這正是吹哨機制的制度基礎。具體導入建議分三個月進行:第1個月完成缺口分析,對照現有政策與 ISO 31000 及 COSO ERM 要求,識別在通報管道設計、保護範圍、調查程序三個維度的落差;第2個月設計並建立三層通報架構(主管層、合規層、董事會層),並建立至少5項 KRI 納入風險矩陣;第3個月完成人員培訓、試行測試並建立董事會報告格式,確保機制上線後具備持續監控能力。
建立吹哨者保護機制需要多少資源投入?預期效益如何評估?
資源投入因企業規模而異,但通常不需要高額資本支出。中型企業(員工500人以下)建立基本的匿名通報系統與調查程序,IT 系統成本約在新台幣50萬至150萬元之間;若委託外部顧問協助設計制度框架,專案費用視複雜度而定。預期效益方面,有效的吹哨機制可在三個層面創造可量化價值:第一,提前識別舞弊與法規違規風險,國際研究顯示透過內部通報發現的舞弊案,平均損失比外部發現低 50% 以上;第二,降低 COSO ERM 合規成本,因機制健全的企業在監管審查中面臨的罰款與調查風險較低;第三,強化供應鏈風險治理,減少因承包商問題引發的品牌聲譽損失。積穗科研建議以「風險降低的潛在損失金額」作為 ROI 計算基礎。
為什麼找積穗科研協助企業風險管理(ERM)相關議題?
積穗科研股份有限公司(Winners Consulting Services Co. Ltd.)是台灣專注於企業風險管理(ERM)的專業顧問機構,核心優勢體現在四個面向:第一,深度框架整合能力——同時掌握 ISO 31000:2018、COSO ERM 2017 與 ISO 37001 反賄賂管理系統,能為台灣企業提供跨框架的整合解決方案;第二,實務導向——提供從缺口分析、制度設計、風險矩陣建立、KRI 設計到董事會報告格式建立的端對端服務,非僅停留在理論顧問層次;第三,在地化經驗——熟悉台灣公司治理法規環境(含上市公司風險管理實務守則)與產業特性,確保導入方案符合台灣監管要求;第四,承諾90天可見成效——透過結構化專案管理方法,確保企業在3個月內完成 ISO 31000 合規機制的核心建置,提供免費機制診斷作為合作起點。

關於本文引用論文

本文評析觀點基於以下學術研究,所有分析均為積穗科研股份有限公司的獨立詮釋,不代表原作者立場。如需深入了解原始研究,請直接閱讀原文。

Intelligence Whistleblower Protections: In Brief(Berry, Rodney M,arXiv,2014)
原文連結:https://core.ac.uk/download/33598249.pdf

← 返回洞察觀點

這篇文章對你有幫助嗎?

分享

相關服務與延伸閱讀

相關服務

企業風險管理 (ERM)📋ISO 31000 企業風險管理

想深入了解如何將此洞察應用於您的企業?

申請免費機制診斷