累計異常報酬率

累計異常報酬率（Cumulative Abnormal Returns, CAR）是一種源於財金領域事件研究法（Event Study）的核心指標，專門用來衡量某一特定事件（如資料外洩公告、重大法規變更）對公司股價在特定期間內所造成的淨影響。其核心計算方式為：首先，透過資本資產定價模型（CAPM）等方法估計出在沒有該事件發生情況下的「預期報酬率」；接著，將此預期報酬率從「實際觀測報酬率」中減去，得出「異常報酬率」；最後，將事件窗口期內（如公告前後三天）的每日異常報酬率加總，即為CAR。在風險管理體系中，CAR並非由ISO/IEC標準直接定義，但它是實踐ISO/IEC 27005（資訊安全風險管理）中「風險評估」與「衝擊分析」的強力工具。例如，當企業依據台灣《個人資料保護法》第12條規定通知當事人個資外洩時，市場的負面反應可透過CAR量化，將抽象的「商譽損害」轉化為具體的股東價值損失數據，從而為資訊安全治理提供更具說服力的決策依據。

在企業風險管理中，應用累計異常報酬率（CAR）可將資安事件的財務衝擊予以量化，具體步驟如下： 1. **事件定義與資料蒐集**：首先，明確定義欲分析的風險事件，例如「公開宣布遭受勒索軟體攻擊」。依據台灣《上市上櫃公司重大訊息發布應注意事項》等法規，確定事件公告日期（T日）。接著，設定分析的「事件窗口」，通常為公告日前後數日（如T-2至T+2）。蒐集該公司及市場大盤（如台灣加權股價指數）在此期間與前期（估計期，如T-250至T-30）的每日股價報酬率資料。 2. **異常報酬率計算**：使用估計期的資料，透過市場模型（Market Model）建立公司報酬率與市場報酬率的迴歸關係，以預測事件窗口期內每一天的「預期報酬率」。將窗口期內每一天的「實際報酬率」減去「預期報酬率」，即得到當日的「異常報酬率（AR）」，此數值代表排除市場波動後，純粹由該事件造成的股價影響。 3. **累計與分析決策**：將事件窗口內每日的AR加總，得出CAR。若CAR為顯著負值，則代表此資安事件對公司市值造成了可量化的負面衝擊。例如，若計算出CAR為-3%，意味著事件導致股東價值損失3%。此數據可作為向董事會報告資安風險嚴重性、爭取資安預算、或評估資安保險效益的有力依據，將抽象風險轉化為董事會關切的財務指標。

台灣企業在應用累計異常報酬率（CAR）進行風險量化時，主要面臨三大挑戰： 1. **資料可及性與適用性限制**：CAR分析僅適用於公開發行公司。台灣廣大的中小企業與非上市櫃公司無法直接應用此模型。此外，高品質的財金數據（如逐筆交易資料）取得成本較高。 **對策**：非上市櫃公司可改採其他量化方法，例如依據NIST網路安全框架（CSF）或ISO/IEC 27001控制項，建立「年度預期損失（ALE）」模型，或直接估算事件應變與復原的直接成本（如鑑識費用、法律顧問費、客戶補償金等）。 2. **市場獨特性與模型假設**：台灣股市散戶交易佔比較高，市場反應可能不如理論模型假設的如此「效率」，或可能存在過度反應，影響CAR估計的準確性。 **對策**：在進行分析時，應進行穩健性測試，例如延長事件窗口期以捕捉延遲反應，或採用不同市場指數（如產業分類指數）作為基準，並在解讀結果時審慎考量市場特性。 3. **事件干擾與歸因困難**：當資安事件公告日恰逢公司發布其他重大訊息（如財報、併購案）時，難以將股價波動純粹歸因於資安事件，造成分析結果失真。 **對策**：建立嚴謹的事件篩選流程，在研究設計階段即排除有潛在干擾事件的樣本。應參照ISO/IEC 27035（資安事件管理）指引，建立內部事件紀錄簿，詳細記載事件時間軸與相關內外部溝通，以利後續精準分析。

積穗科研股份有限公司專注台灣企業cumulative abnormal returns相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact