事件研究法

事件研究法（Event Study）是一種計量經濟學方法，旨在評估某一特定事件對公司價值的影響。其核心概念是，在一個有效率的市場中，股價會迅速反應所有公開資訊。此方法透過建立一個「正常」或「預期」報酬模型，來估算在沒有該事件發生情況下的股票報酬，再將此預期報酬與事件發生期間的「實際」報酬進行比較，其差額即為「異常報酬」（Abnormal Return）。在風險管理中，此方法常用於量化非財務事件的財務衝擊，例如資料外洩事件。依據台灣《個人資料保護法》第12條，企業在發生個資外洩時有通知當事人之義務，此「通知」本身即構成一個可被研究的市場事件。透過分析公告前後的股價波動，企業能更精確地評估其資訊安全管理系統（ISMS, 依據ISO/IEC 27001）失效所導致的具體財務損失。

在企業風險管理中，事件研究法主要用於將潛在風險轉化為可預估的財務影響，以利於成本效益分析與資源分配。具體應用步驟如下： 1. **事件定義與資料蒐集**：明確定義風險事件，例如「依據GDPR第33條規定，向監管機構通報重大個資外洩」，並蒐集該事件公告日期前後的公司股價與市場指數資料。 2. **模型估計與異常報酬計算**：選定一估計期（通常為事件發生前120至250個交易日），利用市場模型（如CAPM）估計該股票的正常報酬模式。接著，計算事件窗口期間（如公告日前後3天）的每日異常報酬（實際報酬減去預期報酬）。 3. **統計檢定與結果詮釋**：將事件窗口內的每日異常報酬加總，得到「累積異常報酬」（CAR），並進行統計顯著性檢定。例如，某金融機構在宣布客戶資料外洩後，其3日CAR為-2.5%，且統計上顯著，這意味著此單一事件使其市值蒸發了2.5%。此量化結果可作為向董事會報告資安投資必要性的有力證據，證明每投入1元於ISO/IEC 27701隱私資訊管理系統的建置，可能避免數十倍的市場價值損失。

台灣企業應用事件研究法評估風險時，主要面臨三大挑戰： 1. **資料精確性與可及性**：相較於歐美，台灣對於資安事件的公告時間點、影響範圍等細節揭露要求較不標準化，難以精準定義「事件日」。對策是建立內部事件日誌，詳細記錄每次風險事件的發現、決策及公告時間，並結合公開資訊觀測站與媒體報導進行交叉比對。 2. **市場效率性差異**：台灣股市的散戶比例較高，對資訊的反應速度與模式可能與理論假設存在差異，影響模型準確性。解決方案是採用更適合本地市場特性的模型，例如考慮流動性或規模等因素的多因子模型，並進行穩健性測試。 3. **複合事件干擾**：公司在發布資安事件公告時，可能同時發布其他重大訊息（如財報、併購），造成股價波動來源難以釐清。克服方法是嚴格篩選樣本，排除有其他重大訊息干擾的事件，或採用更進階的計量方法（如GARCH模型）來控制波動性，確保分析結果的純粹性。優先行動項目應為建立標準化的內部事件記錄流程，預計3個月內完成。

積穗科研股份有限公司專注台灣企業事件研究法相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact