二重重要性評価とERM統合：フィンランド研究が台湾企業に示す教訓

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）深度解析：當歐盟 CSRD 強制報告框架在 2025 年全面生效，芬蘭上市公司的雙重重大性評估（Double Materiality Assessment）實踐研究揭示了一個關鍵警訊——即使是已準備最充分的企業，仍有相當比例在評估方法論的揭露上不夠透明，這對台灣企業正在建立的 ESG 風險治理架構具有高度的警示價值。

關於作者與這項研究

本論文作者 Jorge Cunha 是一位深耕 ESG 報告與永續治理領域的研究者，其研究聚焦於歐盟永續報告標準（ESRS）的實踐落地問題，目前 h-index 為 2，累計引用 10 次，顯示其研究仍屬新興但具前瞻性的學術方向。值得注意的是，這篇 2025 年發表於 arXiv 的論文，選題時機恰好處於歐盟《企業永續報告指令》（CSRD）強制施行的關鍵時間點，其研究價值不在於作者的引用數，而在於它是目前少數針對「雙重重大性評估實際執行狀況」進行系統性質性分析的第一手研究。

Cunha 採用了三種研究方法：首先進行文獻回顧以梳理 ESG 發展歷史與歐盟政策演進脈絡；其次對 13 家來自不同產業的芬蘭上市公司永續報告進行質性分析；第三則與一位上市公司 ESG 經理人進行半結構式深度訪談，並以主題分析法（Thematic Analysis）處理訪談資料。這種多方法論組合，使研究結果同時具備廣度（13 家公司）與深度（第一手訪談），為台灣企業主管提供了難得的比較基準。

雙重重大性評估的核心洞見：透明度落差是企業 ESG 治理的最大風險

研究最核心的發現是：芬蘭上市公司在雙重重大性評估的整體方向上已逐漸與 CSRD 指引對齊，但在「方法論透明度」這個關鍵維度上，多數企業仍存在明顯落差——許多公司未能以足夠清晰、足夠詳細的方式揭露其評估流程。這不只是報告格式問題，而是一個影響利害關係人信任與法規合規的重大風險缺口。

核心發現一：評估流程趨同，但方法論揭露不足

在受研究的 13 家芬蘭上市公司中，研究者觀察到評估流程存在相似性——這說明業界在應對 CSRD 時已形成某種非正式的最佳實踐共識。然而，相似的流程並未伴隨著相似的透明度：多數公司在永續報告中未能完整說明如何識別重大議題、如何設定評分門檻、以及如何將財務重大性（由外而內的衝擊）與永續重大性（由內而外的影響）進行整合評估。這與歐洲財務報告諮詢小組（EFRAG）發布的 IG 1 實施指引的要求存在落差。從企業風險管理（ERM）的角度看，方法論不透明等同於風險評估流程的「黑箱化」，直接削弱了風險矩陣的可信度與可驗證性。

核心發現二：利害關係人參與已成標配，但參與時機不一致

研究顯示，所有受研究公司都表達了對利害關係人參與（Stakeholder Engagement）的承諾，且普遍採用類似的參與方式（如問卷調查、工作坊、訪談）。然而，關鍵差異在於「參與時機」——各公司在重大性評估流程的哪個階段納入利害關係人，存在顯著不一致。有些公司在流程初期即廣泛諮詢，有些則在議題清單接近定案後才納入外部意見。這個時機差異直接影響評估結果的代表性與客觀性。對照 ISO 31000 風險管理框架對「溝通與諮詢」的強調——這是貫穿整個風險管理流程的核心原則，而非單一步驟——台灣企業在設計 ERM 流程時，必須將利害關係人參與視為持續性機制而非例行公事。

雙重重大性研究對台灣企業風險管理（ERM）實務的三大戰略意義

這項研究的意義遠超過芬蘭市場本身——對於正在建立 ESG 報告與企業風險管理整合機制的台灣企業主管而言，它提供了一面鏡子，映照出「合規表面化」的深層風險。

意義一：雙重重大性評估是 COSO ERM 框架在 ESG 時代的具體實踐
COSO ERM（Committee of Sponsoring Organizations of the Treadway Commission Enterprise Risk Management）2017 年更新版明確將「策略」與「績效」融入風險管理思維，強調企業必須理解外部環境如何影響策略目標，同時也必須評估企業活動對外部社會與環境的衝擊。這與雙重重大性評估的兩個維度——衝擊重大性（Impact Materiality）與財務重大性（Financial Materiality）——高度吻合。台灣企業若已建立 COSO ERM 框架，雙重重大性評估應被視為該框架在永續風險維度上的自然延伸，而非另起爐灶的獨立工作。

意義二：ISO 31000 的風險溝通原則提供了利害關係人參與的規範基礎
ISO 31000:2018 風險管理指引將「溝通與諮詢」定義為風險管理流程的核心組成部分，並強調這必須是「持續且反覆的活動」，而非一次性作業。Cunha 研究中發現的利害關係人參與時機不一致問題，正是違反了 ISO 31000 這一核心原則的典型表現。台灣企業在導入 ISO 31000 時，應特別注意建立正式的利害關係人參與機制，並確保其貫穿風險識別、評估、應對的全流程。

意義三：方法論透明度是 KRI 關鍵風險指標有效性的前提條件
風險矩陣（Risk Matrix）的設計與 KRI（Key Risk Indicators）的選定，必須建立在清晰、可重複的方法論基礎上。Cunha 研究發現許多公司無法清楚說明其重大性評估方法論，這正是許多台灣企業 ERM 系統的共同弱點——風險評估流程存在，但背後的邏輯無法被外部驗證，也無法支撐董事會層級的風險治理決策。建立透明、文件化的風險評估方法論，是讓 KRI 真正發揮預警功能的基礎。

積穗科研如何協助台灣企業建立合規且透明的 ERM 與 ESG 風險治理機制

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業導入 ISO 31000 與 COSO ERM 框架，建立風險矩陣與 KRI 關鍵風險指標，強化董事會風險治理能力。針對 Cunha（2025）研究揭示的三大實務挑戰，我們提供以下具體行動建議：

1. 建立雙重重大性評估的標準化方法論文件：仿照 EFRAG IG 1 實施指引，為企業設計清晰的重大議題識別流程文件，確保評估邏輯可被董事會、投資人及主管機關理解與驗證，同時與現有的 COSO ERM 風險評估框架整合，避免雙軌並行。
2. 設計符合 ISO 31000 溝通原則的利害關係人參與機制：依據 ISO 31000:2018 條文 6.3（溝通與諮詢）建立正式的利害關係人地圖（Stakeholder Map），明確定義各類利害關係人在重大性評估不同階段的參與方式與頻率，並將參與紀錄納入 ERM 系統的文件管理。
3. 導入 KRI 預警機制連結重大 ESG 風險：針對雙重重大性評估所識別的高優先議題，設計對應的 KRI 關鍵風險指標（建議每個重大議題設定 2-3 個可量化 KRI），並建立定期監控報告機制，使 ESG 風險進入董事會的日常風險治理視野，而非僅停留在年度報告層面。

常見問題

台灣企業如何進行雙重重大性評估，才能符合未來的 ESG 報告要求？

雙重重大性評估需從兩個維度同步進行：一是「衝擊重大性」——評估企業活動對環境與社會的外部衝擊；二是「財務重大性」——評估永續議題如何反向影響企業財務績效與風險狀況。參考歐盟 EFRAG IG 1 實施指引，完整流程應包含：（1）界定評估範疇與利害關係人清單；（2）識別潛在重大議題（可參考 ESRS 揭露主題）；（3）進行衝擊與財務雙維度評分；（4）設定重大性門檻並確定優先議題；（5）文件化整個評估流程。Cunha（2025）研究顯示，方法論透明度是最常被忽視的環節，因此完整的文件化至關重要。積穗科研建議台灣企業將此流程與現有的 COSO ERM 風險評估流程整合，避免資源重複投入。

台灣企業導入 ISO 31000 時最常面臨哪些合規挑戰？

台灣企業導入 ISO 31000 時，最常遭遇的挑戰是「形式合規」而非「實質合規」——即建立了風險管理手冊與流程文件，但實際決策仍與風險管理機制脫鉤。具體而言，三大核心挑戰為：第一，ISO 31000:2018 強調「溝通與諮詢」應貫穿整個風險管理流程，但多數企業將其簡化為年度一次的利害關係人問卷；第二，ISO 31000 要求風險管理必須融入組織決策文化（Condition 4.1），但台灣企業常見的狀況是 ERM 功能與業務部門相互獨立；第三，KRI 關鍵風險指標往往缺乏前瞻性設計，流於事後統計。積穗科研透過客製化診斷，協助企業識別這三類落差並制定 90 天改善路徑。

ISO 31000 與 COSO ERM 有什麼差異？台灣企業應該選擇哪一個？

ISO 31000:2018 是國際標準化組織發布的風險管理指引，強調原則性框架與流程設計，適用於所有類型與規模的組織，重點在於將風險管理融入組織的治理、策略與日常運作。COSO ERM（2017 版）則是由美國反舞弊委員會贊助組織發布，強調風險管理與策略設定、績效目標的整合，尤其強調企業文化、治理架構與風險偏好（Risk Appetite）的連結，在上市公司與金融機構中採用率較高。對台灣企業而言，兩者並非互斥選擇——ISO 31000 提供流程規範基礎，COSO ERM 提供策略整合架構，建議中大型企業同步參照兩個框架，建立互補的 ERM 機制。積穗科研可協助企業在 6 個月內完成兩框架的整合設計。

導入企業風險管理（ERM）機制需要多少時間與資源投入？

根據積穗科研的輔導經驗，台灣企業導入符合 ISO 31000 標準的 ERM 基礎機制，最快可在 90 天內完成第一階段建置（現況診斷 + 框架設計 + 核心人員培訓）。完整機制（含 KRI 系統、風險矩陣、利害關係人參與機制、董事會報告流程）通常需要 6 至 12 個月，視企業規模與既有基礎而定。資源投入方面，關鍵是內部需指定 1 至 2 名 ERM 負責人（通常來自法遵、財務或策略部門），並確保高階主管的實質支持，而非僅是名義背書。從投資回報角度，ERM 機制成熟的企業在 ESG 評級、銀行融資條件及投資人關係上，普遍展現出可量化的競爭優勢。

為什麼找積穗科研協助企業風險管理（ERM）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）是台灣專注於企業風險管理（ERM）的專業顧問機構，核心優勢在於同時掌握 ISO 31000、COSO ERM 兩大框架的實務導入能力，以及對台灣法規環境（金管會公司治理藍圖、上市櫃永續報告規範）的深度理解。我們的服務模式強調「可操作性」而非「文件堆疊」——每個輔導專案均以建立可運作的 KRI 監控機制與風險矩陣為核心交付成果，而非僅產出報告文件。此外，針對本文探討的雙重重大性評估議題，積穗科研已發展出將 ESG 重大議題與 ERM 風險清單整合的專屬方法論，協助台灣企業在單一框架下同步滿足 ESG 揭露與風險治理的雙重需求，大幅降低重複建置的資源浪費。