从众多孤岛到同一张资产负债表
到目前为止,你在这条阶梯上学到的一切,从某种意义上说,都是在「一张办公桌、一张办公桌」地分头看风险。你在寿险桌上为死亡率定价,在产险桌上拟合损失分布,又在上一阶把资产与负债排在一起,好让利率下跌不至于裂开一个窟窿。这每一样都是真功夫。但一家真实的保险公司,并不是一摞码得整整齐齐、彼此分立的办公桌——它是一个单一的法律实体,只有一张资产负债表;而在糟糕的日子里,麻烦并不会礼貌地排队等候。企业风险管理这门学问,就是把所有这些风险*放在一起*、摊在那同一张资产负债表上去看,并追问:整家公司,能不能挺过去。
旧做法是搞*孤岛*:一支市场风险团队、一支信用团队、一支核保团队,各守一隅,各自把自家的数字往上报。孤岛的毛病在于,风险并不尊重它们之间的那道墙。一场市场崩盘把公司持有的债券价值腰斩,这同一桩事件,往往也正是吓得投保人纷纷退保、并把一家底子薄弱的再保险人推向违约的那桩事件——三个看似「各自独立」的风险,到头来其实是同一场风暴。企业风险管理之所以存在,正是因为那个决定公司生死的问题——*我们到底可能一下子、在所有业务上总共亏掉多少?*——只能靠把风险加总起来才回答得了,而不是把三份报告并排摆着读。
几大风险类别
在你能把风险加总之前,得先给它们起名字。企业风险管理把一家公司的各种暴露,归入屈指可数的几大风险类别——并不是因为这些格子有多神圣,而是因为给每一种风险起个名字,董事会才能去谈论它、认领它、约束它。对一家保险公司而言,最主要的五类是:市场风险、信用风险、保险(核保)风险、操作风险,以及流动性风险。几乎所有能伤到公司的东西,都会落进这几个桶里的某一个;而大多数灾难,正是其中好几桶同时爆开。
- 市场风险——公司的资产与负债价值随市场波动:股价、利率、汇率、房地产。你在上一阶已见识过它最锋利的那道刃——利率一动,资产负债表的两边可能同时摆动。
- 信用风险——欠公司钱的某一方付不出来:债券发行人违约、再保险人无力兑付它本已承诺承担的理赔、投保人的保费收不回来。
- 保险(核保)风险——这是业务的核心:理赔来得比保费所假定的更重、更频繁、或拖得更久。一场大流行、一连串飓风、或者退休者们干脆活得更长,都住在这一类里。
- 操作风险——因流程、人员或系统出岔子而造成的损失:定价定错的产品、网络入侵、欺诈、搞砸的 IT 系统迁移。它难以建模、又容易被低估,恰恰因为它既不来自市场、也不来自生命表。
- 流动性风险——公司纸面上偿付能力充足,却没法把资产足够快地变成现金,去支付今天到期的款项。一波退保潮、或一场要求立即赔付的灾难,足以把一家资本明明很充裕的公司拖垮——只要它的资产被锁住、动不了。
这些类别并非密不透风——而这恰恰正是要把它们放在一起看的全部理由。流动性风险,正是那个把一笔仅仅停留在*纸面上*的市场损失,变成一笔*真实*损失的东西——如果你今天被迫卖出已经崩盘的债券去支付理赔,那纸面上的亏损,就化成了再也拿不回来的现金。一场巨灾,本是保险风险,可一旦理赔必须支付,它顷刻间就变成了流动性风险。企业风险管理的差事,是事先就看见这些勾连,而不是在残骸里才把它们发现。
风险偏好:董事会的语言
为风险命名、把它衡量出来,这才只是差事的一半。另一半,是*决定公司想要承担多少*——而这个决定属于董事会,不属于精算师。董事会为此使用的词汇,是一道三级、层层收紧的阶梯。风险偏好,是对「公司为追求其目标而愿意承担多少风险」的那种宽泛、定性的表述——「我们会承保有巨灾暴露的财产,但我们绝不希望任何单一事件危及公司的生存。」风险容忍度,则把它磨成数字——「我们愿意接受最多一笔两百年一遇、五亿的损失,再多不行。」风险限额,再把数字一路压到那些真正可能触碰它们的人身上——「这支核保团队,对任何单一飓风所保留的暴露,不得超过五千万。」
把这道阶梯再读一遍,留意它在做什么:它把一个在最高处、一次性做出的决定,一路搬运到那张真正签下交易的办公桌前。少了它,一百位用心良善的核保员各自做出一个个「合理」的判断,加总起来,却可能堆出一个董事会本会断然拒绝的暴露。风险偏好与容忍度,一旦化为硬性限额,便是一家公司让自己的承险变得*有意为之*、而非千百个局部选择偶然相加之和的途径。正是这一句,把企业风险管理从一种理念,变成了一道控制。
为何整体小于各部分之和
企业视角值得花这番功夫,背后有一个深层的理由,而它正是保险之所以能成立的同一个理由:分散化。那五个类别里的风险,并不会在同一天全部出错。佛罗里达的一场飓风,和东京一只科技公司债券会不会违约,几乎扯不上关系;一只养老金基金的长寿风险(人们活得太久),其实还会*抵消*一家寿险公司的死亡率风险(人们死得太早)。当各项风险并非完全正相关时,公司为了同时给*它们全体*作后盾所需的资本,会小于每一项*单独*所需资本之和。这个企业整体,是真真切切地比它的各个部分更安全。
standalone capital: market 60 + insurance 80 = 140 if perfectly correlated: 60 + 80 = 140 if independent (rough): sqrt(60^2 + 80^2) = 100 diversification benefit: 140 - 100 = 40 (~29% less)
正是这省下的一个数字,让接下来的几篇指南如此在意「风险该怎么加总」。一家公司认定、在某个选定的置信水平下、为吸收其各项风险的合并冲击所真正需要的总资本,便是它的经济资本——而要诚实地把它算出来,就意味着要为风险之间的相依关系建模,再决定如何把分散化收益分摊回各条业务线,这个问题叫做资本分摊。一旦相关性搞错了,那整幅令人宽慰的图景就会崩塌——这就把我们带到了每一篇企业风险管理指南都必须随身携带的那句警告。
全局图景的诚实边界
企业视角威力强大,但它立足于一些假设之上——这些假设理应被大声说出来,而不是埋进一个模型里。你刚刚看到的那份分散化收益,完全取决于相关性——而相关性是从历史中、在风平浪静的时候估出来的,并且有一个残忍的习性:在真正的危机里会蹦到 1。2008 年,那些看上去舒舒服服彼此独立的风险,全都一起栽了下去;分散化的「收益」,恰恰在最需要它的时候部分蒸发。一套悄悄假设着「相关性在风暴中会乖乖不动」的企业风险管理框架,不过是在给自己讲睡前故事罢了。
还有两句诚实的告诫。其一,这些类别是图个方便,而非自然法则:真实的损失会从一个个格子之间渗漏出去,而最糟糕的那些事件,恰恰是哪一个桶都装不下的。其二,也是最要紧的一点——*模型不是现实*。整幅企业图景,是由估出来的分布、假定的相依关系、和一个选定的置信水平搭起来的,而这其中的每一样,都是一个可能出错的人为判断。最危险的公司,并不是那家承认自己的模型有不确定性的公司;而是那家已经忘了自己的模型只是个模型的公司。好的企业风险管理,对自家的数字既心怀敬意*又*存着疑心,并且会狠狠倚靠压力测试与情景测试——刻意地去问「万一我们的假设错了呢?」——正是因为它并不信任模型在风平浪静那天给出的那个光滑漂亮的答案。
于是,这一阶以一次高度的转换开篇。直到现在,你一直是办公桌前的专才,把某一种风险做到极好。从这里起,你是公司的领航员,手里握着整张地图:所有风险都在同一张资产负债表上、有一套共同的语言去给每一项标定大小、有一份董事会定下的偏好去言明「多少才算太多」,而你刚学完的那套资产负债管理,如今显出它原本的身份——一本厚得多的大书里的一个章节。后面的指南会把各种度量(风险价值,以及它那些更诚实的后继者)、资本、以及那些坚持要把这一切都做到位的监管者一一填满——但它们全都悬挂在你此刻已经握住的那个单一念头之上:把企业看作一个整体。