從眾多孤島到同一張資產負債表
到目前為止,你在這條階梯上學到的一切,從某種意義上說,都是在「一張辦公桌、一張辦公桌」地分頭看風險。你在壽險桌上為死亡率定價,在產險桌上擬合損失分布,又在上一階把資產與負債排在一起,好讓利率下跌不至於裂開一個窟窿。這每一樣都是真功夫。但一家真實的保險公司,並不是一疊碼得整整齊齊、彼此分立的辦公桌——它是一個單一的法律實體,只有一張資產負債表;而在糟糕的日子裡,麻煩並不會禮貌地排隊等候。企業風險管理這門學問,就是把所有這些風險*放在一起*、攤在那同一張資產負債表上去看,並追問:整家公司,能不能挺過去。
舊做法是搞*孤島*:一支市場風險團隊、一支信用團隊、一支核保團隊,各守一隅,各自把自家的數字往上報。孤島的毛病在於,風險並不尊重它們之間的那道牆。一場市場崩盤把公司持有的債券價值腰斬,這同一樁事件,往往也正是嚇得投保人紛紛退保、並把一家底子薄弱的再保險人推向違約的那樁事件——三個看似「各自獨立」的風險,到頭來其實是同一場風暴。企業風險管理之所以存在,正是因為那個決定公司生死的問題——*我們到底可能一下子、在所有業務上總共虧掉多少?*——只能靠把風險加總起來才回答得了,而不是把三份報告並排擺著讀。
幾大風險類別
在你能把風險加總之前,得先給它們起名字。企業風險管理把一家公司的各種暴露,歸入屈指可數的幾大風險類別——並不是因為這些格子有多神聖,而是因為給每一種風險起個名字,董事會才能去談論它、認領它、約束它。對一家保險公司而言,最主要的五類是:市場風險、信用風險、保險(核保)風險、操作風險,以及流動性風險。幾乎所有能傷到公司的東西,都會落進這幾個桶裡的某一個;而大多數災難,正是其中好幾桶同時爆開。
- 市場風險——公司的資產與負債價值隨市場波動:股價、利率、匯率、房地產。你在上一階已見識過它最鋒利的那道刃——利率一動,資產負債表的兩邊可能同時擺動。
- 信用風險——欠公司錢的某一方付不出來:債券發行人違約、再保險人無力兌付它本已承諾承擔的理賠、投保人的保費收不回來。
- 保險(核保)風險——這是業務的核心:理賠來得比保費所假定的更重、更頻繁、或拖得更久。一場大流行、一連串颶風、或者退休者們乾脆活得更長,都住在這一類裡。
- 操作風險——因流程、人員或系統出岔子而造成的損失:定價定錯的產品、網路入侵、詐欺、搞砸的 IT 系統遷移。它難以建模、又容易被低估,恰恰因為它既不來自市場、也不來自生命表。
- 流動性風險——公司紙面上清償能力充足,卻沒法把資產足夠快地變成現金,去支付今天到期的款項。一波退保潮、或一場要求立即賠付的災難,足以把一家資本明明很充裕的公司拖垮——只要它的資產被鎖住、動不了。
這些類別並非密不透風——而這恰恰正是要把它們放在一起看的全部理由。流動性風險,正是那個把一筆僅僅停留在*紙面上*的市場損失,變成一筆*真實*損失的東西——如果你今天被迫賣出已經崩盤的債券去支付理賠,那紙面上的虧損,就化成了再也拿不回來的現金。一場巨災,本是保險風險,可一旦理賠必須支付,它頃刻間就變成了流動性風險。企業風險管理的差事,是事先就看見這些勾連,而不是在殘骸裡才把它們發現。
風險偏好:董事會的語言
為風險命名、把它衡量出來,這才只是差事的一半。另一半,是*決定公司想要承擔多少*——而這個決定屬於董事會,不屬於精算師。董事會為此使用的詞彙,是一道三級、層層收緊的階梯。風險偏好,是對「公司為追求其目標而願意承擔多少風險」的那種寬泛、定性的表述——「我們會承保有巨災暴露的財產,但我們絕不希望任何單一事件危及公司的生存。」風險容忍度,則把它磨成數字——「我們願意接受最多一筆兩百年一遇、五億的損失,再多不行。」風險限額,再把數字一路壓到那些真正可能觸碰它們的人身上——「這支核保團隊,對任何單一颶風所保留的暴露,不得超過五千萬。」
把這道階梯再讀一遍,留意它在做什麼:它把一個在最高處、一次性做出的決定,一路搬運到那張真正簽下交易的辦公桌前。少了它,一百位用心良善的核保員各自做出一個個「合理」的判斷,加總起來,卻可能堆出一個董事會本會斷然拒絕的暴露。風險偏好與容忍度,一旦化為硬性限額,便是一家公司讓自己的承險變得*有意為之*、而非千百個局部選擇偶然相加之和的途徑。正是這一句,把企業風險管理從一種理念,變成了一道控制。
為何整體小於各部分之和
企業視角值得花這番功夫,背後有一個深層的理由,而它正是保險之所以能成立的同一個理由:分散化。那五個類別裡的風險,並不會在同一天全部出錯。佛羅里達的一場颶風,和東京一隻科技公司債券會不會違約,幾乎扯不上關係;一隻退休金基金的長壽風險(人們活得太久),其實還會*抵消*一家壽險公司的死亡率風險(人們死得太早)。當各項風險並非完全正相關時,公司為了同時給*它們全體*作後盾所需的資本,會小於每一項*單獨*所需資本之和。這個企業整體,是真真切切地比它的各個部分更安全。
standalone capital: market 60 + insurance 80 = 140 if perfectly correlated: 60 + 80 = 140 if independent (rough): sqrt(60^2 + 80^2) = 100 diversification benefit: 140 - 100 = 40 (~29% less)
正是這省下的一個數字,讓接下來的幾篇指南如此在意「風險該怎麼加總」。一家公司認定、在某個選定的信賴水準下、為吸收其各項風險的合併衝擊所真正需要的總資本,便是它的經濟資本——而要誠實地把它算出來,就意味著要為風險之間的相依關係建模,再決定如何把分散化收益分攤回各條業務線,這個問題叫做資本分攤。一旦相關性搞錯了,那整幅令人寬慰的圖景就會崩塌——這就把我們帶到了每一篇企業風險管理指南都必須隨身攜帶的那句警告。
全局圖景的誠實邊界
企業視角威力強大,但它立足於一些假設之上——這些假設理應被大聲說出來,而不是埋進一個模型裡。你剛剛看到的那份分散化收益,完全取決於相關性——而相關性是從歷史中、在風平浪靜的時候估出來的,並且有一個殘忍的習性:在真正的危機裡會蹦到 1。2008 年,那些看上去舒舒服服彼此獨立的風險,全都一起栽了下去;分散化的「收益」,恰恰在最需要它的時候部分蒸發。一套悄悄假設著「相關性在風暴中會乖乖不動」的企業風險管理框架,不過是在給自己講睡前故事罷了。
還有兩句誠實的告誡。其一,這些類別是圖個方便,而非自然法則:真實的損失會從一個個格子之間滲漏出去,而最糟糕的那些事件,恰恰是哪一個桶都裝不下的。其二,也是最要緊的一點——*模型不是現實*。整幅企業圖景,是由估出來的分布、假定的相依關係、和一個選定的信賴水準搭起來的,而這其中的每一樣,都是一個可能出錯的人為判斷。最危險的公司,並不是那家承認自己的模型有不確定性的公司;而是那家已經忘了自己的模型只是個模型的公司。好的企業風險管理,對自家的數字既心懷敬意*又*存著疑心,並且會狠狠倚靠壓力測試與情景測試——刻意地去問「萬一我們的假設錯了呢?」——正是因為它並不信任模型在風平浪靜那天給出的那個光滑漂亮的答案。
於是,這一階以一次高度的轉換開篇。直到現在,你一直是辦公桌前的專才,把某一種風險做到極好。從這裡起,你是公司的領航員,手裡握著整張地圖:所有風險都在同一張資產負債表上、有一套共同的語言去給每一項標定大小、有一份董事會定下的偏好去言明「多少才算太多」,而你剛學完的那套資產負債管理,如今顯出它原本的身份——一本厚得多的大書裡的一個章節。後面的指南會把各種度量(風險價值,以及它那些更誠實的後繼者)、資本、以及那些堅持要把這一切都做到位的監管者一一填滿——但它們全都懸掛在你此刻已經握住的那個單一念頭之上:把企業看作一個整體。