インサイト：Implementation of the Corporat

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）指出，Theocharidis（2025）這篇以行動研究法（Action Research）進行的企業個案論文，揭示了一個台灣供應鏈主管普遍忽視的核心盲點：即便企業整體永續成熟度偏高，採購部門對於企業永續報告指令（CSRD）的理解與對應準備，仍存在顯著落差——而這個落差，正是企業 Scope 3 溫室氣體排放數據品質與供應商管理風險的最大破口。

關於作者與這項研究

Theocharidis, Theodoros 於 2025 年在 arXiv 發表這篇論文，研究架構為管理學常用的「行動研究法」（Action Research），結合半結構式訪談與文件分析，針對一家在永續發展領域已相當成熟的歐洲企業個案，深度檢視其採購部門在 CSRD 合規上的能力缺口。這類個案導向的行動研究，由於直接在企業內部產生可執行的改善方案，對於企業實務工作者而言，往往比純理論性研究更具即戰力。

本研究聚焦於採購部門（Procurement Department）這個在 CSRD 討論中常被忽略的功能單位，填補了現有文獻對於「誰來執行供應鏈永續資訊收集」這一問題的理論空白，亦為台灣企業提供了一個高度可借鑑的實務範本。

採購部門是 CSRD 合規鏈中最脆弱的一環

論文的核心發現具有很強的普適性：一家企業整體永續成熟度高，並不等於其採購部門已準備好支援 CSRD 要求。研究識別出三個層次的問題，並提出對應的改善方案。

核心發現一：採購人員對 CSRD 的認知嚴重不足

訪談結果顯示，個案公司的採購員工雖對公司整體永續政策有基本認識，但對於CSRD 的具體揭露要求、雙重重大性（Double Materiality）原則，以及歐洲永續發展報告準則（ESRS）中涉及供應鏈的具體條款，普遍缺乏深入了解。這意味著，即便企業最高層已投入大量資源建立永續報告機制，若採購第一線人員無法正確識別哪些供應商資訊需要收集、如何驗證資料品質，整條資訊鏈仍將出現重大漏洞。論文建議的第一個對策，即是為採購員工設計專屬的 CSRD 培訓計畫，涵蓋 CSRD 法規架構、ESRS 標準解讀，以及採購行為如何直接影響公司的溫室氣體（GHG）排放揭露義務。

核心發現二：供應商導入流程（Supplier Onboarding）缺乏 CSRD 對齊設計

研究發現，個案公司的供應商導入問卷（Supplier Onboarding Questionnaire）未能系統性地收集 CSRD 所要求的永續資訊，例如供應商自身的 GHG 排放數據、人權盡職調查狀況，以及企業永續盡職調查指令（CSDDD）所要求的價值鏈風險資訊。論文建議更新供應商問卷，將 ESRS 相關數據欄位系統性地嵌入採購流程，並建立分級的供應商風險評估機制——針對高風險或高排放量的關鍵供應商，設計更深度的盡職調查要求。這與台灣企業在應對歐盟客戶查核時所面臨的挑戰高度吻合。

核心發現三：需建立 GHG 減排計畫以支援 Scope 3 揭露

論文第三項重要提案為建立採購導向的溫室氣體（GHG）減排計畫。Scope 3 類別 1（採購商品與服務）是大多數製造業企業最難量化的排放源，而採購部門掌握著供應商選擇與合約設計的關鍵槓桿。研究建議透過採購決策（如優先採購低碳供應商、在合約中嵌入排放目標）直接驅動 Scope 3 減排，讓採購部門從「數據收集者」升格為「減排執行者」。這對正在規劃 2025 年後減碳路徑的台灣企業，特別是面對金管會「上市櫃公司永續發展行動方案（2023年）」所要求之 2025 年起分階段設定減碳目標的上市公司，具有立即的操作意義。

對台灣企業風險管理（ERM）實務的核心意義

Theocharidis（2025）的研究結論，在 ISO 31000 與 COSO ERM 框架下，可以轉譯為一個清晰的風險命題：若企業未能將採購部門的 CSRD 合規能力納入企業整體風險管理（ERM）架構，則 Scope 3 數據失準風險、供應商資訊揭露缺口風險，以及第三方查核失敗風險，將無法被系統性識別與控制。

就台灣企業的現實處境而言，有三個維度值得特別關注：

一、法規壓力已從歐洲傳導至台灣供應鏈。歐盟 CSRD 自 2024 年起分波次生效，Wave 1 大型上市企業已於 2025 年開始適用。根據歐洲永續報告規範的傳導機制，這些歐洲企業必須向其供應鏈成員（包括台灣供應商）收集符合 ESRS 格式的永續資訊。若台灣採購與供應商管理端無法提供合規數據，直接面臨的風險是被剔除供應商名單。

二、金管會永續行動方案已要求 2025 年起設定減碳目標。金融監督管理委員會「上市櫃公司永續發展行動方案（2023年）」明確要求上市公司 2025 年起分階段設定減碳目標。然而，若採購部門未建立 Scope 3 數據收集機制，企業的減碳目標設定將缺乏基線數據支撐，形成治理上的根本性缺陷。

三、ISO 31000 要求將外部脈絡（External Context）系統性納入風險評估。ISO 31000：2018 第 5.4.1 條明確要求企業在確立風險管理背景時，必須識別外部法規環境的變化。CSRD 對採購部門的影響，在 ISO 31000 框架下屬於「法規合規風險」與「供應鏈風險」的交叉領域，應被明確列入風險登錄冊（Risk Register）並設計對應的關鍵風險指標（KRI）。COSO ERM 2017 框架同樣強調，治理與文化（Governance & Culture）是風險管理的基礎——若採購部門文化未納入永續合規意識，再完整的書面政策也無法有效執行。

積穗科研如何協助台灣企業強化採購 CSRD 合規與 ERM 整合

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業導入 ISO 31000 與 COSO ERM 框架，建立風險矩陣與 KRI 關鍵風險指標，強化董事會風險治理能力。針對本篇論文揭示的採購 CSRD 合規缺口，我們建議台灣企業採取以下三步驟行動：

1. 採購部門 CSRD 能力缺口診斷（第 1–2 個月）：對照歐洲永續報告準則（ESRS）中 E1（氣候）、E2（污染）、S2（價值鏈工作者）等關鍵主題，盤點採購部門現有的資訊收集流程、供應商問卷設計，以及人員對 CSRD 雙重重大性原則的認知水準，形成量化的缺口矩陣，作為 ISO 31000 風險識別的輸入依據。
2. 供應商風險分級與 KRI 設計（第 3–5 個月）：依據採購金額、地理風險、產業特性，建立三級供應商風險分類（高/中/低），並為每一級別設計對應的永續盡職調查深度與資料收集頻率。同步設計 KRI，例如「Scope 3 類別 1 數據覆蓋率」、「高風險供應商問卷回覆率」，嵌入企業 ERM 儀表板，讓董事會能即時監控合規進度。
3. 採購 CSRD 培訓與供應商溝通計畫（第 6–9 個月）：設計針對採購主管與一線採購人員的分層培訓課程，涵蓋 CSRD 法規架構、ESRS 數據欄位解讀、供應商溝通技巧，以及如何將永續條款嵌入採購合約。同步建立供應商永續能力建構計畫，協助關鍵供應商提升 CSRD 對應能力，降低整體供應鏈合規風險。

常見問題

台灣企業的採購部門為何需要特別關注 CSRD？採購不是只負責比價嗎？

採購部門是企業 Scope 3 排放資料的主要收集窗口，也是供應鏈永續盡職調查的第一道防線。Theocharidis（2025）的研究明確指出，即便企業整體永續成熟度高，採購員工對 CSRD 具體要求（如 ESRS E1 氣候數據、S2 價值鏈工作者資訊）的認知仍普遍不足。根據歐洲永續報告規範，歐盟 Wave 1 大型企業（2025 年適用）必須向供應商收集符合 ESRS 格式的數據，這直接轉化為台灣供應商的填報義務。若採購部門未能建立系統性的數據收集流程，企業將面臨訂單流失或被剔除合格供應商名單的實質商業風險。

台灣上市公司在導入 CSRD 對應的 ERM 機制時，最常遇到哪些挑戰？

根據積穗科研的實務觀察，台灣上市公司面臨的最常見挑戰有三：第一，跨部門資訊孤島問題——永續報告由 ESG 部門主導，但 Scope 3 數據散落在採購、物流、生產各部門，缺乏整合機制；第二，供應商能力參差不齊——中小型供應商往往無法提供 ESRS 格式的排放數據，造成數據缺口；第三，KRI 設計與 ERM 整合不足——多數企業未將「CSRD 合規進度」納入 ISO 31000 風險登錄冊，導致董事會缺乏即時監控工具。COSO ERM 2017 框架的「績效」要素（Performance）要求企業針對優先風險設定可量化的風險回應指標，正是填補此缺口的方法論。

ISO 31000 如何協助企業系統性管理 CSRD 採購合規風險？具體導入步驟為何？

ISO 31000：2018 提供了一套可應用於 CSRD 採購合規風險的通用框架。具體導入建議如下：第 1 至 2 個月，完成外部脈絡分析（ISO 31000 第 5.4.1 條），識別 CSRD、CSDDD 對採購部門的法規要求；第 3 至 4 個月，建立採購供應鏈風險登錄冊，涵蓋供應商 GHG 數據缺口風險、人權盡職調查缺口風險；第 5 至 6 個月，設計風險矩陣與 KRI，例如「高風險供應商 ESRS 問卷完成率」、「Scope 3 數據驗證覆蓋率」；第 7 至 9 個月，建立監控與回報機制，定期向董事會風險委員會報告合規進度。整體機制建立預計需 7 至 12 個月，視企業規模與現有機制成熟度而定。

更新供應商問卷以符合 CSRD 要求需要投入多少資源？效益如何？

Theocharidis（2025）建議更新供應商導入問卷（Supplier Onboarding Questionnaire），將 ESRS 相關數據欄位系統性嵌入。對於台灣中型企業（供應商數量約 100–500 家），問卷重設計通常需要 2 至 3 個月，涉及法務、採購、永續三個部門的協作。關鍵投入包括：ESRS 條文解讀（建議外部顧問支援）、問卷系統化（建議整合至現有採購管理系統）、供應商溝通（建議分批次舉辦線上說明會）。預期效益包括：提升 Scope 3 類別 1 數據覆蓋率（目標：關鍵供應商覆蓋率達 80% 以上）、降低第三方查核被退件機率，以及強化與歐洲客戶的長期合作關係，抵禦供應商替換風險。

為什麼找積穗科研協助企業風險管理（ERM）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）專注於企業風險管理（ERM）領域，具備 ISO 31000 與 COSO ERM 框架的深度導入經驗，服務對象涵蓋製造業、科技業、金融業等多個產業別的台灣上市櫃公司。我們的顧問團隊同時具備國際 ERM 認證與 ESG 永續報告實務經驗，能夠將 CSRD 採購合規風險、Scope 3 數據治理，以及供應鏈盡職調查，有效整合至企業現有的 ISO 31000 風險管理機制中，避免「ESG 合規」與「ERM 架構」各行其是的常見失敗模式。積穗科研提供免費 ERM 機制診斷服務，協助企業在 7 至 12 個月內完成符合國際標準的機制建置，並持續提供董事會層級的風險報告支援。

---

Winners Consulting Services Co. Ltd. (積穗科研股份有限公司), Taiwan's expert in Enterprise Risk Management (ERM), highlights a critical finding from Theocharidis (2025): even in companies with high overall sustainability maturity, procurement departments consistently demonstrate significant knowledge gaps regarding CSRD compliance—and these gaps represent the primary risk point for Scope 3 emissions data quality and supply chain governance failures.

About the Author and the Research

Theocharidis, Theodoros published this thesis on arXiv in 2025, employing Action Research methodology—a pragmatic approach that generates directly implementable solutions within the organizational context studied. The research combined semi-structured interviews with case company employees and systematic document analysis, focusing on a European company already considered mature in sustainability practices. This made the findings particularly striking: if even a sustainability-mature company has procurement blind spots regarding CSRD, the challenge for Taiwanese suppliers still building their ESG foundations is considerably more acute.

The study fills a meaningful gap in existing literature by centering specifically on the procurement function—a department that sits at the intersection of Scope 3 emissions data collection, supplier due diligence, and the Corporate Sustainability Due Diligence Directive (CSDDD) value chain requirements. For Taiwan's export-oriented manufacturers, this research provides a directly applicable framework for identifying where their supply chain risk exposure begins.

The Procurement Department Is the Weakest Link in CSRD Compliance

The core thesis is analytically clear: organizational sustainability maturity does not automatically translate into procurement-level CSRD readiness. The research identified three structural gaps, each with a corresponding development proposal.

Finding One: Procurement Employees Lack Specific CSRD Knowledge

Despite the case company's overall sustainability leadership, interviewed procurement employees demonstrated limited understanding of CSRD's specific disclosure requirements—including the Double Materiality principle, the European Sustainability Reporting Standards (ESRS) provisions relevant to supply chains, and the practical implications for their day-to-day sourcing decisions. The thesis proposes a dedicated CSRD training program for procurement staff, covering regulatory architecture, ESRS data interpretation, and the direct linkage between procurement choices and the company's GHG emissions reporting obligations. For Taiwanese companies facing similar gaps, this training imperative should be treated as an ERM control measure, not merely an HR development activity.

Finding Two: Supplier Onboarding Questionnaires Are Not CSRD-Aligned

The existing supplier onboarding questionnaire in the case company did not systematically capture the sustainability data required under CSRD—including supplier-level GHG emissions data, human rights due diligence status, and value chain risk information as required by the CSDDD. The thesis recommends redesigning the questionnaire to embed ESRS-relevant data fields into standard procurement workflows, alongside a tiered supplier risk assessment mechanism that applies more intensive due diligence to high-risk or high-emission suppliers. This directly mirrors the challenge facing Taiwanese companies that receive CSRD-aligned questionnaires from their European customers—they must simultaneously respond to incoming requests and cascade similar requirements to their own upstream suppliers.

Finding Three: A GHG Reduction Program Must Be Anchored in Procurement

Scope 3 Category 1 (Purchased Goods and Services) typically represents the largest and most difficult-to-quantify emissions source for manufacturing companies. The thesis argues that procurement departments hold the key lever through supplier selection criteria and contract design. By embedding emissions targets into supplier contracts, prioritizing low-carbon suppliers in sourcing decisions, and tracking reduction progress through the supplier relationship management process, procurement can shift from being a passive data collector to an active emissions reduction driver. For Taiwan's listed companies facing the Financial Supervisory Commission's requirement to set carbon reduction targets from 2025 onward under the "Listed Company Sustainable Development Action Plan (2023)," this procurement-anchored approach provides a concrete implementation pathway.

Implications for Taiwan Enterprise Risk Management (ERM) Practice

Translating Theocharidis (2025) into ISO 31000 and COSO ERM terms, the research surfaces three categories of risk that Taiwanese companies should formally register and monitor.

First, regulatory transmission risk: the European Sustainability Reporting Regulation framework creates cascading compliance obligations. Wave 1 EU companies (applicable from 2025) must collect ESRS-formatted data from their supply chains. Taiwanese suppliers that cannot provide compliant data face concrete commercial risk—vendor disqualification—not merely reputational risk. ISO 31000:2018 Clause 5.4.1 explicitly requires organizations to identify changes in the external regulatory environment as part of establishing risk context. CSRD's supply chain transmission effects should be listed in every Taiwanese manufacturer's risk register.

Second, data governance risk: if procurement employees cannot accurately identify which supplier information to collect, validate, or report, the enterprise's Scope 3 disclosure will contain material errors. Under COSO ERM 2017's "Performance" component, organizations are required to set quantifiable risk response metrics for priority risks. A KRI such as "Scope 3 Category 1 data coverage rate across strategic suppliers" provides exactly this kind of measurable governance signal.

Third, third-party assurance risk: as Japan's Financial Services Agency Working Group on sustainability disclosure and assurance standards progresses toward mandatory third-party assurance requirements, and as Taiwan's FSC deepens its disclosure expectations, procurement-sourced sustainability data that lacks proper collection and verification protocols will increasingly fail assurance review. Establishing internal controls over sustainability data—analogous to financial reporting internal controls—is now an ERM imperative, not an optional enhancement.

How Winners Consulting Services Helps Taiwanese Companies

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）assists Taiwanese companies in implementing ISO 31000 and COSO ERM frameworks, designing risk matrices and KRI systems, and strengthening board-level risk governance. Based on the gaps identified in Theocharidis (2025), we recommend the following action sequence:

1. Procurement CSRD Capability Gap Assessment (Months 1–2): Benchmark the procurement department's current data collection processes, supplier questionnaire design, and staff knowledge levels against ESRS requirements (particularly E1 Climate, E2 Pollution, and S2 Value Chain Workers topics). Use the resulting gap matrix as the input for ISO 31000 risk identification and risk register population.
2. Supplier Risk Tiering and KRI Design (Months 3–5): Classify suppliers into three risk tiers based on procurement volume, geographic risk, and industry profile. Design corresponding due diligence depth and data collection frequency for each tier. Establish KRIs (e.g., "High-risk supplier ESRS questionnaire completion rate," "Scope 3 Category 1 verified data coverage") integrated into the enterprise ERM dashboard for board-level monitoring.
3. Procurement Training and Supplier Engagement Program (Months 6–9): Develop layered CSRD training for procurement managers and frontline buyers, covering regulatory architecture, ESRS data interpretation, and sustainable contract design. Launch a supplier sustainability capacity-building program targeting strategic suppliers, reducing upstream data gaps and overall supply chain compliance risk.

Frequently Asked Questions

Why does our procurement department specifically need to understand CSRD, rather than leaving this to the sustainability team?

Procurement departments are the primary collection point for Scope 3 Category 1 emissions data and the first line of supply chain due diligence. Theocharidis (2025) found that even in sustainability-mature companies, procurement employees lack specific knowledge of CSRD's data requirements—including ESRS E1 (climate), S2 (value chain workers), and G1 (governance) disclosure obligations. The sustainability team can set policy, but procurement operationalizes it through supplier selection, contract design, and questionnaire management. If procurement cannot collect, validate, and transmit ESRS-compliant data, the entire disclosure chain breaks down. Under ISO 31000:2018, this represents a control gap that must be formally recognized and remediated within the ERM framework.

What are the most common ERM challenges for Taiwanese listed companies implementing CSRD-aligned sustainability disclosure?

Three challenges dominate: First, cross-departmental data silos—sustainability reporting is typically led by the ESG team, but Scope 3 data resides in procurement, logistics, and production systems with no integration protocol. Second, supplier capability gaps—SME suppliers often cannot provide ESRS-format emissions data, creating systematic coverage gaps. Third, insufficient KRI design—most companies have not embedded CSRD compliance progress into their ISO 31000 risk registers, leaving boards without real-time monitoring capability. COSO ERM 2017's Performance component requires quantifiable response metrics for priority risks; designing KRIs such as "strategic supplier ESRS questionnaire completion rate" directly addresses this gap.

How does ISO 31000 provide a framework for managing CSRD procurement compliance risk?

ISO 31000:2018 Clause 5.4.1 requires organizations to establish external context by identifying relevant regulatory changes—CSRD and CSDDD supply chain obligations qualify as high-priority external regulatory risks. The practical implementation sequence is: Months 1–2, external context analysis and risk identification; Months 3–4, populate procurement supply chain risk register (GHG data gap risk, human rights due diligence gap risk); Months 5–6, design risk matrix and KRIs; Months 7–9, establish board-level monitoring and reporting cycle. COSO ERM 2017's Governance and Culture component further emphasizes that risk management culture must permeate frontline operations—procurement teams need to internalize compliance responsibility, not merely receive top-down policy mandates. Full mechanism implementation typically requires 7 to 12 months.

What resources are realistically required to update supplier onboarding questionnaires to CSRD standards?

For a mid-sized Taiwanese company with 100–500 suppliers, redesigning the supplier onboarding questionnaire to ESRS standards typically requires 2–3 months, involving legal, procurement, and sustainability team collaboration. Key inputs include ESRS clause interpretation (external consulting support recommended), questionnaire system integration into existing procurement management platforms, and supplier communication (tiered webinar rollout recommended). Target outcomes: achieving 80% or above ESRS data coverage among strategic suppliers within 12 months of implementation, reducing third-party assurance rejection rates, and demonstrating supply chain transparency to European customers—directly supporting retention of high-value export relationships.

Why should Taiwanese companies choose Winners Consulting Services for ERM-related issues?

Winners Consulting Services Co. Ltd. (積穗科研股份有限公司) specializes in Enterprise Risk Management with deep implementation experience across ISO 31000 and COSO ERM frameworks, serving listed Taiwanese companies in manufacturing, technology, and financial services sectors. Our consultants combine international ERM certifications with practical ESG sustainability reporting expertise, enabling us to integrate CSRD procurement compliance risk, Scope 3 data governance, and supply chain due diligence into existing ISO 31000 risk management mechanisms—avoiding the common failure pattern where "ESG compliance" and "ERM architecture" operate in parallel without integration. We offer a free ERM mechanism diagnostic and support companies in building internationally compliant systems within 7 to 12 months, with ongoing board-level risk reporting support.

---

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）は、Theocharidis（2025）の研究が示す重要な知見に着目する。欧州の成熟した企業においてさえ、調達部門はCSRD（企業サステナビリティ報告指令）の具体的要件に対する知識・準備が著しく不足しており、このギャップがScope 3排出量データの品質と供給網ガバナンスの最大のリスク源となっている。

著者とこの研究について

Theocharidis, Theodorosは2025年にarXivでこの論文を発表した。研究方法はアクション・リサーチ（Action Research）であり、企業内部で直接実行可能な改善提案を生成する実践的アプローチを採用している。半構造化インタビューと文書分析を組み合わせ、すでにサステナビリティ分野で成熟した欧州企業を対象とした個案研究として設計されている。この点が研究の重要性を高めている——すでに成熟した企業でさえ調達部門にCSRDの知識ギャップが存在するならば、ESGの基盤構築途上にある台湾のサプライヤーが直面する課題はさらに深刻であることを示唆しているからである。

本研究は、企業永続報告指令（CSRD）に関する既存文献において、調達機能に特化した分析が不足しているという空白を埋めるものである。調達部門はScope 3排出量データ収集、サプライヤー・デューデリジェンス、そして企業サステナビリティ・デューデリジェンス指令（CSDDD）が要求するバリューチェーンリスク管理の交差点に位置する、極めて重要な機能単位である。

調達部門こそがCSRDコンプライアンス・チェーンの最脆弱点

論文の核心的主張は明快である。企業全体のサステナビリティ成熟度が高くても、それは調達部門レベルのCSRD準備を意味しない。研究は3つの構造的ギャップを特定し、それぞれに対応する開発提案を提示している。

発見その一：調達従業員のCSRD固有知識が著しく不足

個案企業の調達従業員は全体的なサステナビリティ方針への基本的理解はあるものの、CSRDの具体的な開示要件——とりわけ双重重大性（Double Materiality）の原則、欧州サステナビリティ報告基準（ESRS）中のサプライチェーン関連条項——に対する理解が著しく低いことがインタビューで明らかになった。論文が提案する対策の第一は、調達従業員向けの専用CSRDトレーニングプログラムの設計であり、法規制の枠組み、ESRSデータ項目の解釈、そして調達行動が企業のGHG排出報告義務にどう影響するかを網羅する内容が求められる。

発見その二：サプライヤー・オンボーディング問票がCSRD非対応

個案企業の既存サプライヤー導入問票（Supplier Onboarding Questionnaire）は、CSRDが要求するサステナビリティ情報——サプライヤー自身のGHG排出データ、人権デューデリジェンスの状況、CSDDDが要求するバリューチェーンリスク情報——を体系的に収集する設計になっていない。論文はESRS関連データ項目を調達プロセスに組み込むための問票改訂を提言し、高リスク・高排放量の重要サプライヤーに対してより深度のあるデューデリジェンスを適用する段階的リスク評価メカニズムの構築を推奨している。

発見その三：調達を起点としたGHG削減プログラムの必要性

Scope 3カテゴリー1（購入した製品・サービス）は、製造企業にとって最も定量化が困難な排出源であり、調達部門がサプライヤー選択基準や契約設計を通じて直接影響を与えられる領域でもある。論文は調達意思決定（低炭素サプライヤーの優先採用、契約への排出目標埋め込み等）を通じたScope 3削減を提言し、調達部門を「データ収集者」から「削減推進者」へと役割昇格させることを求めている。金融庁の「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」が市場開示の標準化を進める中、日本・台湾の企業にとってもこの視点は直接参照価値がある。

台湾企業のERM実務への示唆

Theocharidis（2025）の知見をISO 31000およびCOSO ERMのフレームワークに翻訳すると、台湾企業が正式に登録・管理すべき3つのリスクカテゴリーが浮かび上がる。

第一に、規制波及リスク。欧州サステナビリティ報告規制は、サプライチェーンを通じた段階的コンプライアンス義務を生み出す。2025年から適用開始のWave 1欧州企業は、ESRS形式のデータをサプライチェーンから収集する義務を負う。これに対応できない台湾サプライヤーは、評判リスクのみならず、取引先からのベンダー資格剥奪という実質的な商業リスクに直面する。ISO 31000：2018第5.4.1条は外部規制環境の変化をリスク識別の必須インプットとして規定しており、CSRDの供給網波及効果はすべての台湾製造企業のリスク登録簿（Risk Register）に記載されるべき項目である。

第二に、データ・ガバナンスリスク。調達従業員がどのサプライヤー情報を収集・検証・報告すべきかを正確に識別できない場合、企業のScope 3開示には重大な誤りが生じる。COSO ERM 2017の「パフォーマンス」要素（Performance）は、優先リスクに対する数値化可能なリスク対応指標の設定を求めている。「戦略的サプライヤーのScope 3 Category 1データ網羅率」というKRIは、このガバナンス・シグナルを提供する具体的手段となる。

第三に、第三者保証リスク。日本の金融審議会「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」が時価総額5,000億円以上の企業への第三者保証導入を検討し、台湾の金管会もESG開示の深化を求める中、調達由来のサステナビリティデータが適切な収集・検証プロセスを経ていなければ、保証審査で却下されるリスクが高まる。財務報告の内部統制に相当するサステナビリティデータ内部統制の確立は、任意の強化策ではなくERM上の必須要件となっている。

積穗科研が台湾企業を支援するアプローチ

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）は、ISO 31000とCOSO ERMフレームワークの導入、リスクマトリクスとKRI（Key Risk Indicator）の設計、取締役会レベルのリスクガバナンス強化を支援している。Theocharidis（2025）が示す調達CSRDコンプライアンスのギャップに対応するため、以下の三段階アクションを推奨する。

1. 調達部門CSRDギャップ診断（第1〜2ヶ月）：ESRS要件（特にE1気候、E2汚染、S2バリューチェーン労働者）を基準として、調達部門の現行データ収集プロセス、サプライヤー問票設計、および従業員のCSRD双重重大性原則に関する認識水準を評価し、定量的なギャップマトリクスを作成。これをISO 31000リスク識別のインプットとして活用する。
2. サプライヤーリスク分級とKRI設計（第3〜5ヶ月）：調達金額、地理的リスク、業種特性に基づいてサプライヤーを三段階（高・中・低）に分類。各ティアに対応するデューデリジェンスの深度とデータ収集頻度を設計し、「高リスクサプライヤーESRS問票完了率」「Scope 3データ検証カバレッジ率」等のKRIをERMダッシュボードに組み込み、取締役会による監視を可能にする。
3. 調達CSRD研修とサプライヤー関与プログラム（第6〜9ヶ月）：調達マネージャーと現場担当者向けの階層別CSRDトレーニングを設計・実施。法規制の枠組み、ESRSデータ解釈、サステナブル契約設計を網羅。主要サプライヤー向けのサステナビリティ能力構築プログラムを並行展開し、上流のデータギャップを縮小してサプライチェーン全体のコンプライアンスリスクを低減する。

よくある質問

なぜ調達部門が特にCSRDを理解する必要があるのですか？サステナビリティチームに任せればよいのではないですか？

調達部門はScope 3カテゴリー1の排出量データの主要収集窓口であり、サプライチェーン・デューデリジェンスの第一線である。Theocharidis（2025）は、サステナビリティ成熟度が高い企業でも調達従業員はCSRDの具体的要件（ESRS E1気候データ、S2バリューチェーン労働者情報等）について十分な理解を持っていないことを実証している。サステナビリティチームが方針を策定しても、調達部門がそれを日常業務に落とし込めなければ、開示チェーン全体が機能不全に陥る。ISO 31000：2018の枠組みでは、これは正式に認識・是正されるべきコントロールギャップである。

台湾上場企業がCSRD対応のERM機制を導入する際、最も一般的な課題は何ですか？

積穗科研の実務経験から、三つの課題が最も頻出する。第一に部門横断的なデータサイロ——ESGレポートはサステナビリティ部門が主導するが、Scope 3データは調達・物流・生産に分散しており統合プロトコルが存在しない。第二にサプライヤーの能力格差——中小サプライヤーはESRS形式の排出データを提供できないことが多く、データカバレッジに系統的な空白が生じる。第三にKRI設計の不足——多くの企業はCSRDコンプライアンス進捗をISO 31000のリスク登録簿に組み込んでおらず、取締役会がリアルタイム監視ツールを持てていない。COSO ERM 2017のパフォーマンス要素は優先リスクに対する数値化可能な対応指標を求めており、この空白を埋めることが急務である。

ISO 31000はCSRD調達コンプライアンスリスクの管理においてどのような枠組みを提供しますか？

ISO 31000：2018第5.4.1条はCSRD・CSDDDのサプライチェーン義務を高優先度の外部規制リスクとして識別することを要求している。実践的な導入ステップは以下の通り。第1〜2ヶ月に外部コンテキスト分析とリスク識別、第3〜4ヶ月に調達サプライチェーンリスク登録簿の構築（GHGデータギャップリスク、人権デューデリジェンスギャップリスク）、第5〜6ヶ月にリスクマトリクスとKRIの設計、第7〜9ヶ月に取締役会レベルの監視・報告サイクルの確立。全体の体制構築は企業規模と既存体制の成熟度により7〜12ヶ月を要する。

サプライヤー問票をCSRD基準に更新するために必要なリソースと期待される効果は何ですか？

サプライヤー100〜500社規模の台湾中堅企業では、ESRS基準に基づく問票再設計は通常2〜3ヶ月を要し、法務・調達・サステナビリティ3部門の協働が必要となる。主要投入リソースはESRS条文解釈（外部コンサルティング推奨）、既存調達管理システムへの問票統合、サプライヤーへの段階的な説明会開催。期待される成果として、実施後12ヶ月以内に戦略的サプライヤーのESRSデータカバレッジ率80%以上を達成し、第三者保証の却下率を低減、欧州顧客との長期取引関係を強化することが挙げられる。

なぜ積穗科研に企業リスク管理（ERM）関連の支援を依頼するのですか？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）はISO 31000とCOSO ERMフレームワークの深度導入経験を持ち、製造業・テクノロジー・金融サービス分野の台湾上場企業を対象としたERM構築支援を行っている。コンサルタントチームは国際ERM認証とESGサステナビリティ報告の実務経験を兼ね備えており、CSRDの調達コンプライアンスリスク、Scope 3データガバナンス、サプライチェーン・デューデリジェンスをISO 31000のリスク管理機制に統合する専門能力を有している。無料ERM機制診断から7〜12ヶ月での体制構築まで、取締役会レベルのリスク報告支援を含む包括的なサービスを提供している。