關於 ISO 認證、ESG 報告書、
社會責任稽核的常見問題

德宣自成立以來，累積了超過 500 家企業的輔導實績，服務對象涵蓋台灣各主要製造業、科技業、食品業、服務業，以及供應國際一線品牌的出口廠商。我們不靠誇大的行銷話術——每一份輔導成果，都是透過客戶的實際認證通過率與回頭合作率來說話的。

我們的顧問均具備實務產業背景，不是只會解讀條文的紙上談兵。在正式輔導開始前，我們一定先深入了解每一家工廠的現況，提供的建議都是針對你們的實際狀況量身規劃，而不是套用統一範本。

我們的差異化主要體現在三個地方：

① 客製化系統，而非套版輸出
市面上有些顧問公司提供的是制式文件範本，交給客戶填填空就算輔導完成。德宣的做法是：先了解工廠的實際製程、組織架構、風險樣態，再根據這些條件建置真正符合你們日常作業的管理文件。文件可以被員工理解、實際被執行，而不只是準備應付稽核。

② 結合 AI 工具，提升資訊整合效率
德宣導入 AI 輔助工具，協助彙整法規要求、比對標準條文差異、整理稽核前查核清單，讓顧問的時間集中在真正需要專業判斷的環節，減少不必要的行政作業時間，進而讓輔導效率更高、客戶的準備成本更低。

③ 輔導後的長期夥伴關係
認證通過只是起點。德宣提供認證後的維護輔導，協助客戶在年度監督稽核時持續合規，讓認證不只是一次性的投入，而是長期的管理能力提升。

德宣顧問團隊的成員具備各自專長的產業背景，包含製造業、電子業、食品業、服務業等領域的實務工作經驗。顧問在加入德宣後，也持續接受各項認證標準的在職培訓與更新，確保掌握最新版本的標準要求與稽核機構審查重點。

服務分配上，我們會依據客戶所在產業，安排最具該領域背景的顧問負責，而不是隨機指派。如果你想事先了解負責顧問的背景，歡迎在諮詢時直接詢問。

可以。德宣有能力規劃多系統同步或階段性輔導，例如同時推進 ISO 14001 環境管理系統與 ISO 45001 職業安全管理系統，或搭配 BSCI 社責稽核一起準備。多系統整合輔導的優勢在於：不同標準之間有大量重疊的文件要求，一次性建置可以大幅降低重複作業的成本。我們在初期評估時，會協助您規劃最有效率的多系統輔導路徑。

德宣主要服務台灣本島各縣市的企業，涵蓋北部、中部、南部、東部廠商，均可安排顧問到廠服務。部分作業（如文件審查、視訊討論、線上培訓）也可遠端進行，有效降低往返時間成本。如有海外工廠或特殊地區需求，歡迎在諮詢時說明，我們會評估是否能夠安排合適的服務方式。

是的。認證通過並不是服務的終點，而是管理系統真正開始發揮作用的起點。德宣提供認證後的維護輔導方案，協助客戶：

• 因應年度監督稽核（Surveillance Audit）的持續合規準備
• 內部稽核（Internal Audit）執行支援
• 管理審查會議（Management Review）資料準備
• 標準版本更新時的換版輔導（如 ISO 9001:2026 版更新）
• 不符合事項（CAR）關閉輔助

許多客戶與德宣的合作關係維繫多年，這是我們最引以為傲的事。

第一步是免費諮詢與需求了解。您可以透過官網聯絡表單、電話或 LINE 與我們聯繫，告知想要申請的認證類別與工廠基本狀況（人員規模、產業類別、是否曾有過相關系統）。

顧問會安排初次諮詢，深入了解您的實際需求、目前管理現況，以及是否有特定品牌客戶的要求或時間壓力。在充分了解之後，我們才會提供精確的輔導方案與報價，而不是給一個籠統的制式報價。

以下是各主要系統的一般準備時程參考。實際時間會依工廠現況、員工配合度、是否有時間急迫性而調整：

• ISO 9001 品質管理系統：約 3 個月
• ISO 14001 環境管理系統：約 3 個月
• ISO 45001 職業安全衛生管理系統：約 3 個月
• ISO 14064-1 溫室氣體盤查：約 2–3 個月
• BSCI / SMETA / WRAP 社責稽核：約 3 個月
• RBA 電子供應鏈社責稽核：約 3–4 個月
• C-TPAT / SCAN 供應鏈安全：約 3–4 個月
• ISO 27001 資訊安全管理系統：約 6 個月
• ESG 永續報告書撰寫：約 6–7 個月
• SA8000 社會責任認證：約 4–6 個月

顧問費用依據工廠規模（人數、廠區數）、輔導系統複雜度、現況基礎與輔導次數等因素綜合計算，無法提供統一定價，但我們承諾在充分了解需求後提供清楚透明的報價。

一般來說，影響費用的主要因素包含：

• 工廠員工人數與廠區數量
• 目前是否已有相關文件基礎（曾做過類似系統的工廠準備成本較低）
• 是否同時輔導多個系統（整合輔導通常比分開輔導更經濟）
• 時程急迫性（加速輔導模式費用較高）

請注意：顧問費用不包含稽核機構的認證費用。認證費用由第三方稽核機構直接報價，德宣可協助推薦並協調合適的稽核機構。

認證能否順利通過，工廠端的配合是關鍵。一般而言，輔導過程中需要工廠配合的主要事項包含：

• 指定窗口聯絡人（通常是管理代表或主管）負責協調各部門配合顧問的文件訪談
• 提供現有的製程說明、組織圖、人員名冊等基礎資料
• 安排一線主管與員工參與教育訓練（通常 1–2 次，每次 2–3 小時）
• 依顧問建議建立或調整相關記錄（如生產記錄、維護記錄、環境監測記錄）
• 配合內部稽核與模擬稽核的安排

德宣的輔導原則是：讓工廠做真正需要做的事，而不是製造大量只為了應付稽核的紙張。我們會協助你們找到最符合實際作業習慣的記錄方式。

是的。稽核中若出現不符合事項（CAR，Corrective Action Request），稽核機構通常會給予一段時間讓工廠提交改善計畫與關閉證明。德宣會全程協助分析 CAR 的根本原因、撰寫改善回覆，並陪同完成關閉程序，直到認證成功核發為止。

在輔導期間，我們也會安排模擬稽核（Mock Audit），提前發現潛在問題並在正式稽核前完成改善，以降低正式稽核時出現重大不符合的風險。

顧問輔導費用與稽核機構的認證費用是分開的。德宣的角色是協助你準備好迎接稽核，稽核本身由獨立的第三方認證機構（如 SGS、BSI、Bureau Veritas、TÜV Rheinland 等）執行，以確保認證的公正性與公信力。

德宣可以依據您的預算、品牌客戶的偏好認證機構，以及時程安排，協助推薦並協調適合的認證機構，讓您不需要自己去比較各機構的條件，省去溝通成本。

以 ISO 9001 品質管理系統（3 個月輔導期）為例，工廠端一般需要投入的時間大致如下：

• 管理代表（窗口）：每週約 3–6 小時（資料準備、顧問訪談、文件確認）
• 各部門主管：每月約 2–4 小時（文件確認、培訓出席）
• 員工：1–2 次培訓，每次 2 小時
• 模擬稽核：半天至一天

整體而言，輔導期間不需要全員停工，只需要關鍵人員的部分時間配合，工廠的日常生產作業可以正常進行。

ISO 認證的好處可以從內外兩個面向來看：

對外（市場競爭力）：許多國內外品牌商、政府採購單位或大型企業在篩選供應商時，ISO 認證是基本門檻之一。取得 ISO 認證相當於向客戶出示一張「管理品質達到國際標準」的證明。

對內（管理能力提升）：ISO 要求企業系統性地識別風險、建立流程、定期審查改善。許多客戶反映，在輔導過程中整理出以前沒有被文件化的作業流程，實際上找出了潛在的品質或效率問題。

具體效益包含：降低客訴率、減少不良品、改善工作場所安全、明確定義職責分工，以及面對供應商與客戶的談判時更具說服力。

ISO 9001:2026 版本即將發布（預計取代現行 2015 版），現在導入完全來得及。德宣的輔導內容會直接依據最新版本要求建置文件，讓您不需要日後再花費換版輔導的成本。

如果您目前持有 ISO 9001:2015 認證，德宣也提供換版輔導服務，協助評估新版增加的要求、更新文件，並準備換版稽核。歡迎聯繫我們了解換版時程安排。

完全適合。ISO 標準的設計本身就適用於各種規模的組織，包含小型企業。事實上，德宣輔導過許多 10 人以下的中小企業成功取得 ISO 認證。

小企業的優勢是組織結構相對單純，文件建置和溝通協調的複雜度較低；挑戰則是人力資源有限，窗口往往要身兼多職。德宣會依據小型企業的實際狀況，調整文件的繁複程度，確保系統可以被實際執行而不造成額外負擔。

可以，而且非常建議。ISO 14001 環境管理系統與 ISO 45001 職業安全衛生管理系統採用相同的高層結構（High Level Structure, HLS），在政策聲明、目標設定、內部稽核、管理審查等大量章節上有高度重疊。

整合建置這兩個系統，文件工作量比分開做減少大約 30–40%，稽核機構也可以安排整合稽核（Combined Audit），節省認證費用。許多工廠也同時整合 ISO 9001，形成品質、環境、職安的「三合一管理系統」，是目前台灣中型製造業最常見的做法。

大多數 ISO 認證的有效期為 3 年，但每年需進行一次監督稽核（Surveillance Audit），第 3 年則進行再認證稽核（Recertification Audit）。因此是一種持續性的管理承諾，而非一次性通過就永久有效。

維護成本包含每年的稽核費用（由認證機構收取），以及維持系統運作所需的內部管理時間。德宣提供認證後的維護輔導方案，協助企業在不增加太多額外負擔的情況下，持續保持合規狀態。

德宣提供的 ISO 系統輔導涵蓋：

• ISO 9001 品質管理系統
• ISO 14001 環境管理系統
• ISO 45001 職業安全衛生管理系統
• ISO 14064-1 組織溫室氣體盤查
• ISO 14067 產品碳足跡
• ISO 50001 能源管理系統
• ISO 27001 資訊安全管理系統
• ISO 22000 食品安全管理系統
• ISO 13485 醫療器材品質管理系統
• IATF 16949 汽車業品質管理系統
• ISO 22716 化妝品優良製造規範（GMP）
• ISO 20121 活動永續性管理系統
• ISO 20400 永續採購指領綱要

對許多中小企業來說，推動 ESG 報告書的主要驅動力來自供應鏈壓力——也就是上游品牌商或大型客戶開始要求供應商提交 ESG 相關資料或問卷填寫。

法規面，台灣目前強制要求上市櫃公司揭露，中小企業尚未列入強制範圍，但歐盟的 CSRD（企業永續報告指令）已要求在歐盟有業務的大型企業揭露供應鏈資訊，間接影響台灣出口廠商。

若您有以下情形，建議盡早著手：品牌客戶已要求 ESG 問卷、公司未來有上市計畫、想拿到特定的永續採購資格、或想提升對潛在投資人的信任度。

目前最主流的框架包含：

• GRI（Global Reporting Initiative）：最廣泛採用的永續資訊揭露框架，適用各種規模企業，以議題式揭露為主
• TCFD（氣候相關財務揭露）：聚焦氣候風險的財務影響，目前已整合進 IFRS S2
• IFRS S1 & S2：國際財務報告準則基金會發布，S1 為一般永續揭露，S2 為氣候相關揭露，金管會已宣布台灣接軌路徑
• CDP（Carbon Disclosure Project）：碳排放與氣候策略的問卷評分系統

德宣會依據客戶的產業、客戶要求與未來目標，協助選擇最合適的框架，或同時滿足多個框架的揭露要求。

ESG 報告書中的環境（E）面向，幾乎都需要揭露溫室氣體排放量數據，因此碳盤查（ISO 14064-1）是 ESG 報告書環境揭露的重要前置作業。

德宣在 ESG 報告書輔導中，會同步協助進行組織溫室氣體盤查，確保 ESG 報告中的環境數據有正確的計算基礎，而不是估算數字。若您已完成 ISO 14064-1 盤查認證，可以直接將盤查結果納入 ESG 報告書的揭露。

台灣金管會規定，資本額 20 億以上的上市櫃公司，其永續報告書需取得第三方機構的外部確信（External Assurance）。中小企業目前尚無強制要求，但若品牌客戶要求，或為提升報告公信力，也可選擇進行有限確信（Limited Assurance）。

德宣在 ESG 報告書輔導中會協助確認是否需要確信、推薦合適的確信機構，並協助準備確信所需的資料文件。

這是許多企業初次接觸 ESG 報告書時的顧慮。答案是：誠實揭露目前的狀況，並說明改善方向，反而比選擇性揭露更能建立信任。

許多評分機構（如 EcoVadis）在評估時，更看重企業是否有系統性的改善計畫，而不是當下的數字是否完美。一份承認問題、提出具體行動的報告，往往比只呈現好看數字的報告更具說服力。德宣會協助您以平衡、專業的方式呈現資訊。

三者都是 ESG 資訊揭露的不同形式，且資料高度重疊，可以整合準備：

• ESG 報告書：對公眾與利害關係人的全面性揭露文件，通常每年發布
• EcoVadis：針對採購商要求的線上問卷評分，需提供文件佐證，更新週期為 12 個月
• CDP：氣候變遷、水資源、森林的專題問卷評分，適合已有完整碳盤查資料的企業

如果三者同步準備，底層數據可以互相支援，德宣會協助規劃最有效率的整合路徑。

這些系統雖然都屬於「社會責任稽核」的範疇，但適用對象和主要採購方有明顯差異：

• RBA：電子科技供應鏈（Apple、Dell、HP、Intel 等），強制性最高
• BSCI：歐洲零售商供應鏈（H&M、IKEA、ALDI 等），多品牌共用稽核
• SMETA（SEDEX）：英系品牌（Tesco、M&S 等），一份報告多客戶共享
• SA8000：全球適用的正式勞工認證，公信力最高，適合主動布局
• WCA（Intertek）：快速工作場所評估，中小型廠商的入門選項
• WRAP：紡織/成衣/鞋類/袋類工廠專屬認證，整合 C-TPAT 安全要求

根據德宣的輔導經驗，台灣工廠在社責稽核中最常出現的不符合項目包含：

• 工時記錄不完整或加班時數超過法定規範，記錄與實際出入
• 薪資發放記錄缺失（如無詳細薪資單、或薪資結構不透明）
• 緊急出口標示不清楚、消防設備缺乏定期維護記錄
• 員工申訴機制未建立或員工不知道如何使用
• 外籍勞工相關文件不符合要求（如仲介費用問題）
• 化學品安全資料表（SDS）未備齊，或員工未受訓
• 未依法為員工投保足額勞健保

德宣在輔導初期會進行全面的差距分析，提前識別風險並完成改善，避免在正式稽核中出現重大不符合。

一般社責稽核（如 BSCI、SMETA）的當天流程大致如下：

• 開場會議：稽核員說明稽核範圍與程序（約 30 分鐘）
• 文件審查：查核勞工合約、薪資記錄、工時表、培訓記錄、化學品管理等文件（2–3 小時）
• 現場巡視：查核生產線環境、消防設備、緊急出口、化學品標示、宿舍（如有）等（1–1.5 小時）
• 員工訪談：隨機抽選數名員工進行保密訪談，了解實際工作條件（30–60 分鐘）
• 管理層訪談：與管理代表確認政策與執行情況
• 閉場會議：說明稽核發現與初步結果

整個過程通常約半天至一天，德宣的模擬稽核會完整模擬上述流程，讓工廠在正式稽核當天不會手忙腳亂。

是的，雇用外籍勞工的工廠，在社責稽核中通常會受到更嚴格的審查，特別是以下幾點：

• 仲介費用是否由工廠承擔（而非由移工自費），這是許多國際品牌的強制要求
• 護照等身分證件是否由移工本人持有（不得由雇主代為保管）
• 移工薪資是否與本地員工同工同酬
• 移工宿舍條件是否符合基本標準
• 移工是否了解申訴管道，且申訴不會遭到報復

德宣在輔導中會特別針對移工相關合規事項進行評估，協助工廠在稽核前確認所有細節。

可以。這是 BSCI 最重要的設計優勢之一：稽核結果會上傳至 amfori 平台，所有在 amfori 平台上連接的品牌客戶都可以直接讀取稽核結果，不需要每個品牌分別安排一次稽核。

BSCI 稽核結果有效期通常為 2 年（A 或 B 評級），在有效期間內，工廠不需要為同樣要求 BSCI 的不同歐洲品牌重複安排稽核，大幅降低整體社責合規成本。

這是 WRAP 認證的獨特之處：WRAP 的第 12 項原則明確整合了 C-TPAT（美國海關貿易夥伴反恐計畫）的安全要求，涵蓋廠房門禁管理、進出人員記錄、貨物密封封箱等防範貨物被利用於走私或恐怖活動的安全措施。

這代表取得 WRAP 認證的工廠，其安全管理系統已達到 C-TPAT 的基本要求，對於出口美國市場的紡織/成衣廠而言，是一個具有雙重效益的認證選擇。

這些都是供應鏈安全認證，目的是確保貨物在全球運輸過程中不被用於走私、恐攻或其他非法活動：

• C-TPAT：美國海關主導，針對出口至美國的供應商，申請後由 CBP 審核，通過後享有貨物快速通關優先待遇
• SCAN：美國零售業協會主導，供應商安全評估計畫，Walmart、Target 等大型零售商常要求
• GSV（CTPAT Validated）：由第三方稽核機構對 C-TPAT 安全標準進行現場驗證
• AEO：歐盟海關授權企業標準，在歐盟市場的等效計畫

供應鏈安全認證主要適用於直接出口至美國或歐盟的製造商、貿易商、物流業者。

主要好處包含：

• 貨物通關速度加快：C-TPAT 合規廠商在美國海關的抽驗頻率顯著降低，減少貨物滯留時間
• 滿足品牌客戶要求：Walmart、Target、Lowe's、Home Depot 等大型美國零售商要求台灣供應商取得 SCAN 或通過 C-TPAT 相關驗證
• 提升整體供應鏈信任度：顯示工廠具備完善的門禁、人員管理與貨物密封記錄
• 降低合規風險：一旦美國提高供應鏈安全審查標準，已有合規系統的工廠轉換成本大幅降低

製造商可以以「外國製造商（Foreign Manufacturer）」身份申請加入 C-TPAT。申請後，CBP 會審核工廠的安全問卷，並可能安排現場查核。通過後，工廠可以在其供應給的美國進口商的 C-TPAT 申請中，作為「已驗證的合規供應商」提供佐證，有助於美國客戶的 C-TPAT 申請進展。

德宣可以協助評估您的廠區現況，建立 C-TPAT 要求的安全管理文件，並輔導完成申請程序。

SCAN 和 C-TPAT 的安全要求高度重疊，但由不同機構主導：SCAN 由美國零售業協會（NRF）主導，C-TPAT 由美國 CBP 主導。如果您的主要品牌客戶是 Walmart、Target，通常要求的是 SCAN；如果是更廣泛的出口通關需求，則是 C-TPAT。

由於兩者要求重疊度高，通常只需準備一套安全管理文件即可同時應對。德宣在輔導時會協助確認哪個系統對您的情況更為優先，或者是否需要同步準備兩者。

ISO 14001 環境管理系統是一套全面的環境管理框架，要求工廠識別環境面向、設定目標、持續改善，並不限定只做碳排放。ISO 14064-1 則是專門針對溫室氣體排放量的盤查標準，計算各排放源的碳排放量（Scope 1、2，及部分 Scope 3）。

兩者可以獨立進行，也可以整合推進：取得 ISO 14001 後，很自然地可以進一步做 ISO 14064-1 碳盤查，以量化的數據支撐環境管理目標。如果目的是回應品牌客戶的碳揭露要求，也可以直接從 ISO 14064-1 碳盤查著手，而不需要先建置完整的 ISO 14001 系統。

兩者都是計算碳排放，但範圍不同：

• ISO 14064-1（組織溫室氣體盤查）：計算「整個組織/工廠」在一段期間（通常一年）的總排放量，含 Scope 1（直接排放）與 Scope 2（電力購買）
• ISO 14067（產品碳足跡）：計算「單一產品」從原料到廢棄的生命週期碳排放量（搖籃到墳墓），是客戶要求「這個產品的碳足跡是多少」時需要的工具

如果品牌客戶要求的是「你們工廠的碳排放」→ ISO 14064-1；若要求「這個零件的碳足跡」→ ISO 14067。許多工廠先做 14064-1，再針對特定出口產品做 14067。

台灣的碳費制度（依據《氣候變遷因應法》）目前優先針對排放量較大的工廠（年排放量超過 2.5 萬公噸 CO2e 的固定排放源）收取碳費，多數中小型製造廠目前尚未在碳費徵收範圍內。

但即使暫時不在徵收範圍，提前建立碳排放的量化基礎仍有意義：一旦範圍擴大、或歐盟 CBAM 碳邊境調整機制對台灣出口產品造成影響，已有碳盤查資料的工廠將比競爭者更快完成應對。德宣建議提前布局，避免日後被動追趕。

ISO 50001 對能源密集型工廠最具價值，例如金屬加工、鑄造、射出成型、食品加工、化工等用電量較大的製造業。它要求工廠系統性地監控能源使用、識別節能機會，並設定能源績效指標（EnPI）持續追蹤改善。

實際效益上，許多取得 ISO 50001 的工廠在 1–2 年內實現 5–15% 的電費降低，投資報酬相當具體。同時，部分政府節能補助計畫與大型採購商的供應商評分，也將 ISO 50001 列為加分項目。

這是溫室氣體排放範疇的分類方式：

• Scope 1（直接排放）：工廠自有的燃燒排放，如鍋爐、公務車輛、製程直接排放的溫室氣體
• Scope 2（間接排放——電力）：購買電力所產生的排放（電廠那頭的排放）
• Scope 3（其他間接排放）：供應鏈上下游的排放，包含原料採購、產品運輸、員工通勤、商務旅行、廢棄物處理等

ISO 14064-1 標準要求 Scope 1 與 Scope 2 必須納入盤查，Scope 3 是選配（依組織決定是否揭露）。大部分品牌客戶目前要求 Scope 1+2，部分大型品牌已開始要求 Scope 3 供應商數據。

ISO 45001 是國際標準，台灣《職業安全衛生法》是法定要求，兩者互補而非重複。ISO 45001 要求工廠建立一套主動管理的職安系統，不只是「符合法律最低標準」，而是要求持續識別危害、評估風險、設定目標並追蹤改善。

實際上，取得 ISO 45001 的工廠，其職安合法性通常也更完整——因為系統建置過程中，德宣會同步協助確認所有台灣職安法規的合規細節，包含危害性化學品管理、機械設備安全、緊急應變計畫等。

可以，而且這正是 ISO 45001 的價值所在——它是一個改善導向的系統，幫助有過職安事故的工廠建立防止再發的管理機制。稽核機構在認證過程中，會審查工廠對過去事故的根本原因分析與改善行動，重點在於「你從事故中學到什麼、做了什麼改善」，而非只看過去的記錄。

若工廠有職災記錄，德宣在輔導時會特別協助建立完整的事故調查程序和改善追蹤機制，確保認證過程順利，也真正降低未來的職安風險。

稽核員在 ISO 45001 稽核中常見的查核重點包含：

• 危害辨識與風險評估記錄是否完整，且真實反映工廠的作業風險
• 緊急應變計畫是否建立，員工是否實際演練過
• 個人防護裝備（PPE）的配發、使用與維護記錄
• 特殊作業（動火作業、高架作業等）的許可管制程序
• 職安教育訓練記錄，特別是新進人員訓練
• 不符合事項（如虛驚事故、輕傷）的調查和改善記錄
• 主管是否了解職安政策和目標，員工是否可以說出回報危害的管道

根據國際研究與德宣的客戶觀察，真正落實 ISO 45001 系統的工廠，職安事故發生率確實顯著降低。關鍵在於「落實」二字——如果系統只是文件化但沒有真正執行，效果會大打折扣。

德宣的輔導目標之一，是確保建立的系統員工真的看得懂、主管真的執行得到，而不只是通過稽核。一旦員工建立主動回報危害、定期巡視、以及改善追蹤的習慣，職安事故的防範就會變成日常文化的一部分，而非年度一次的形式作業。

Costco 對台灣供應商的驗廠主要包含兩個類型的稽核：

• GMP（Good Manufacturing Practice，良好製造規範）：檢查工廠的產品品質管理流程、設備衛生、原料管理等，確保產品符合 Costco 的品質標準。這部分類似品質管理稽核
• COC（Code of Conduct，行為準則）：檢查工廠的勞工條件、職場安全、環境合規、商業道德等，確保供應商符合 Costco 的企業行為準則。這部分類似社責稽核

德宣協助台灣工廠整合準備 Costco GMP 與 COC 稽核，兩者可以同步輔導。對紡織/成衣類供應商，WRAP 認可稽核機構的報告在特定條件下可替代部分 COC 稽核要求。

兩者最主要的差異在於誰來審查、結果的適用範圍：

• 品牌驗廠：由品牌商（如 Costco、Walmart、Target）自行或委託第三方機構執行，結果只對該品牌有效，其他品牌不認可
• 第三方認證（如 BSCI、SA8000、ISO）：由獨立認證機構執行，認證結果可用於多個品牌或利害關係人，有更廣泛的採認性

許多工廠同時面對兩種情境：定期接受各個品牌客戶的驗廠，也同時維持第三方認證以建立整體合規基礎。德宣可以協助工廠建立一套管理系統，同時有效應對品牌驗廠和第三方認證的要求，避免重複準備不同的文件。

驗廠不佳的影響程度，取決於品牌商的政策和問題的嚴重性：

• 一般不符合事項（Minor CAR）：品牌通常給予一段改善期（通常 30–90 天），工廠提交改善計畫並提供改善證據後可繼續供貨
• 重大不符合（Major CAR）：可能暫停訂單，直到問題完全關閉
• 零容忍事項（如童工、強迫勞動）：通常直接終止供應關係

德宣的核心工作之一就是在驗廠前協助工廠提前識別所有潛在問題，確保進入驗廠時的狀態能夠讓稽核員看到的是準備充分、管理有序的工廠，而非臨時抱佛腳的表象合規。

德宣可以協助準備的品牌驗廠包含（但不限於）：Costco（GMP + COC）、Walmart、Target、Lowe's、Home Depot、The Home Depot、IKEA、H&M、Gap、Levi's，以及其他有類似供應商稽核要求的國際零售商與品牌商。

各品牌的驗廠重點不盡相同，德宣會依據品牌最新的稽核指引（SOP / Vendor Manual），制定針對性的準備計畫。如您收到特定品牌的驗廠通知，歡迎直接聯繫我們，我們可以快速評估需要準備的重點並排定輔導時程。

ISO 27001 是國際資訊安全管理系統標準，目的是幫助組織系統性地管理資訊資產的安全風險。它不只適用於 IT 公司，任何持有客戶資料、設計圖面、製程技術、財務資訊的組織都需要考量資訊安全：

• 製造業：保護產品設計圖、製程配方、客戶訂單
• 服務業：保護客戶個人資料、合約資訊
• 醫療業：病患資料的安全儲存與存取控制
• 供應鏈廠商：若大型客戶要求資訊安全認證（如科技供應鏈中的 ODM/OEM 廠）

ISO 27001 的輔導時程約 6 個月，是所有 ISO 系統中準備期較長的，原因在於系統需要足夠的運作記錄才能通過稽核。

ISO 27701 是建立在 ISO 27001 之上的隱私資訊管理系統（PIMS）延伸標準，專門針對個人資料的保護管理。

簡單說：ISO 27001 管的是「所有資訊資產的安全」，ISO 27701 在此基礎上額外要求「個人資料的隱私保護措施」。如果組織需要應對台灣《個人資料保護法》、歐盟 GDPR 或其他個資法規要求，ISO 27701 是在 27001 之後的自然延伸選擇。

德宣提供 ISO 27001 與 27701 的整合輔導服務。

根據德宣的輔導經驗，ISO 27001 稽核中最常見的不符合事項包含：

• 資訊資產清單未建立或未定期更新
• 存取控制管理不完整（如離職員工帳號未即時停用）
• 密碼政策未落實（如使用者密碼設定過於簡單）
• 弱點掃描（Vulnerability Assessment）未定期執行或無記錄
• 資訊安全事件回應程序未建立或從未演練
• 第三方供應商（如雲端服務、外包資訊廠商）的資訊安全評估未執行
• 員工資訊安全意識培訓記錄不足

評估是否值得導入 ISO 27001，可以從兩個方向思考：

① 客戶是否有要求？若您的品牌客戶（尤其是科技業大廠）要求供應商提供資訊安全認證，這時候 ISO 27001 是取得訂單的必要門票，無論規模大小都值得投入。

② 組織的資訊資產風險有多高？若公司持有大量客戶設計圖面、重要配方或客戶個資，資訊安全事故的潛在損失（商業損失、法律責任）遠大於 ISO 27001 的導入成本。

若目前不是急需，但想先建立基礎資訊安全管理，德宣也可以協助進行「資訊安全評估」，找出最優先需要改善的弱點，分階段強化，不一定要一次導入完整 ISO 27001。

HACCP（危害分析重要管制點）是一套食品安全危害分析工具，也是許多國家法規要求的基礎合規工具。ISO 22000 是建立在 HACCP 原則之上的完整管理系統標準，範圍更廣，要求建立管理系統結構、內部稽核、管理審查等。

兩者的關係：ISO 22000 包含 HACCP，取得 ISO 22000 認證的工廠，已自動滿足 HACCP 的要求。如果工廠已有 HACCP，導入 ISO 22000 時可以以此為基礎，節省文件建置時間。

對於外銷的食品廠而言，ISO 22000 是更被國際品牌和通路廣泛採認的認證，比單純 HACCP 更具競爭力。

ISO 22000 適用於整個食品供應鏈中的任何組織，最常見的應用包含：

• 食品加工廠（米、麵、飲料、零食、冷凍食品、調味品等）
• 食品原料供應商（香料、添加物、包裝材料廠）
• 中央廚房或餐飲供應商
• 食品儲運業者（冷鏈物流、倉儲）
• 零售通路有要求的供應廠商（如供應連鎖超市的工廠）

台灣出口日本、歐美的食品廠，ISO 22000 幾乎是進入主流通路的必備認證。

ISO 22000 稽核的重點查核區域包含：

• 危害分析與重要管制點（HACCP 計畫）的完整性與操作紀錄
• 前提方案（PRP，如廠房清潔消毒、蟲害防治、人員衛生規定）的執行記錄
• 原物料供應商的評估管理，包含原料檢驗記錄
• 過敏原管理（交叉污染防止措施）
• 追溯系統：從原料到成品的批次追溯能力
• 不符合品的管理程序
• 緊急應變與食品回收計畫

供應 Costco 的食品廠，通常面對以下幾類要求：

• Costco GMP 驗廠：Costco 會針對食品廠進行 GMP 現場稽核，查核製造環境與品質管控
• Costco COC 稽核：勞工與職場安全合規查核
• ISO 22000 / HACCP：Costco 對食品廠的基本品質管理要求
• ISO 9001（可選）：部分採購類別要求

德宣提供 Costco 食品廠的 GMP + COC 整合輔導，並可同步納入 ISO 22000 的準備，協助工廠以最有效率的方式滿足所有要求。