第一节 风险概念
一、各种定义
关于什么是风险,可谓众说纷纭。自19世纪西方古典经济学派(马歇尔)提出风险概念以来,国内外学者和机构对风险的含义进行了大量的探讨。奈特(1921)认为风险是可测定的不确定性;J.S.Rosenbloom(1972)认为风险是损失的不确定性;F.G.Crane(1984)认为风险意味着未来损失的不确定性;C.A.Williams(1985)认为风险是在给定的条件和某一特定的时期,未来结果的变动;March和Shapira认为风险是事物可能结果的不确定性,可由收益分布的方差测度;Brnmiley认为风险是公司收入流的不确定性;Markowitz和Sharp等将证券投资的风险定义为该证券资产的各种可能收益率的变动程度,并用收益率的方差来度量证券投资的风险,通过量化风险的概念改变了投资大众对风险的认识。日本学者武井勋(1993)认为风险包括三要素:风险与不确定性有差异,风险是客观存在的,风险可以被测量。
国务院国资委认为:企业风险,指未来的不确定性对企业实现其经营目标的影响。以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。国际权威机构全美反舞弊性财务报告委员会发起组织(Committee of Sponsoring Organizations of the Treadway Commission,COSO委员会)认为,风险是一个事项将会发生并给目标实现带来负面影响的可能性;机会是一个事项将会发生并给目标实现带来正面影响的可能性。
从前述定义可以看出,学者的定义相对比较学术化,而国务院国资委和COSO委员会的定义更具有实际操作性和现实指导意义。就国务院国资委和COSO委员会对风险的定义而言,两者在本质属性、着力对象、构成要件和消极范围方面具有共通之处,但在积极范围、逻辑严密性和侧重点方面存在细微差别。具体如下:
1.共通之处
(1)本质属性
不确定性是诸多学者对风险强调的核心要素,不确定性可谓风险的本质属性。国务院国资委认为,风险是一种未来的不确定性;COSO委员会认为,风险是事项的可能性。可见,国务院国资委和COSO委员会均强调风险是一种不确定性。
(2)着力对象
国务院国资委认为,风险会对企业经营目标的实现产生影响;COSO委员会认为,风险会给目标实现带来影响。国务院国资委和COSO委员会均强调风险对目标的影响,两者的着力对象相同。
(3)构成要件
国务院国资委的风险定义包含不确定性、影响和经营目标三个要件,COSO委员会的风险定义包括可能性、影响和目标三个要件。不确定性对应于可能性、经营目标对应于目标。可见,国务院国资委和COSO委员会两者对风险定义的构成要件是相同的。
(4)消极范围
国务院国资委明确将只带来盈利的情况排除在风险的外延之外;COSO委员会认为,带来正面影响的事项为机会,将带来正面影响的事项排除在风险的外延之外。两者在风险外延的消极范围上是重叠的。
2.不同点
(1)积极范围
国务院国资委认为,风险会给企业经营目标的实现带来损失或同时带来损失和收益;COSO委员会认为,风险会给目标实现带来负面影响。国务院国资委在风险的积极外延方面比COSO委员会要广。
(2)逻辑严密性
国务院国资委明确指出,风险包括仅带来损失的情况、既带来损失又带来盈利的情况两种情况;但COSO委员会认为,带来负面影响的为风险,带来正面影响的为机会,仅从定义上分析,对于同时带来负面影响和正面影响的情况,未予以明确。国务院国资委的定义在逻辑上比COSO委员会要严密。
(3)侧重点
尽管国务院国资委和COSO委员会对风险的定义均包含了不确定性/可能性、影响、经营目标/目标三要件,但国务院国资委的定义,其中心语为“影响”,而COSO委员会的定义,其中心语为“可能性”。显然,两者的侧重点是相异的。
二、本书的定义
鉴于国务院国资委和COSO委员会的权威性,两者对风险定义的可操作性和实践指导意义,本教材将后续讨论中的风险定义为
定义1-1 风险是不确定事项给企业经营目标带来的不利影响(含损失和收益并存的情况)。
在风险的外延上,本书采用了国务院国资委的意见,包含损失、损失和收益并存两种情况(简称“风险影响”或“影响”)。一是由于目前传统的金融机构监管较为完善,运营受到监管;而金融科技企业为新兴金融业态,该类企业在运营过程中面临的不确定事项,除了仅带来损失的事项外,损失和收益并存的情况比较常见;二是金融科技作为新兴事物,尚处于发展初期,其规范性比较欠缺,明确风险的较大外延,可促使金融科技企业积极应对,有利于整个行业的健康发展;三是《中央企业全面风险管理指引》发布已有十多年,有比较大的影响力,在风险外延上与国务院国资委对风险的定义等同,有利于金融科技企业积极参考成熟企业的成功经验。
在风险的诱因方面,本书综合了国务院国资委和COSO委员会的意见,将其表述为不确定性事项(简称“风险事项”),既突出不确定性又明确其为事项。一是将其确定为事项,更容易理解,尽量避免过于学术化,从而更符合金融科技企业从业人员的实际操作需要。二是将其界定为事项。风险识别的过程就是识别、收集事项的过程,因此能更好地引导金融科技从业人员进行风险识别。
在着力对象方面,本书采用了国务院国资委的意见,将其明确为经营目标。一是经营目标的表述更能体现风险面临的主体为企业。二是《中华人民共和国公司法》(以下简称《公司法》)等相关法律对经营目标的设定有相关规定,更容易明确制度依据。三是企业治理层和管理层往往都关注经营目标,更符合企业(尤其是金融科技企业)的治理习惯。
在侧重点方面,本书采用了国务院国资委的意见,中心语为“影响”。一是将风险的中心语确定为影响更符合我们中国人的习惯,将其表示为“可能性”过于学术化。二是传统金融机构运营稳定,而在金融科技行业风险频发、影响较大的背景下,强调突出“影响”更符合行业当下实情。三是将其表述为“影响”,更希望金融科技企业三会一层[股东(大)会、董事会、监事会和管理层]和所有人员对风险爆发的影响予以密切关注,进而对风险怀有足够的敬畏。
由风险的定义,可以得出关于风险的几个结论。
结论1-1 过去的事项不是风险事项。
过去的事项,其确定已经发生或确定不会发生,不具有不确定性,不是不确定事项,因此,过去的事项不是风险事项。
【例1-1】某金融科技企业(甲方)在增资扩股中与投资者(乙方)约定,“甲方在合同签订之日起一年内,加入中国互联网金融协会的,乙方增资金额为人民币1亿元,否则增资金额为人民币5 000万元”。但在签订合同之前1日,该金融科技企业收到了中国互联网金融协会正式入会成为会员的通知。则“在合同签订之日起一年内,加入中国互联网金融协会”这一事项,并非风险事项。
结论1-2 未来确定不发生的事项也不是风险事项。
未来确定不发生的事项,其确定不会发生,也不具有不确定性,不是不确定事项,因此,未来确定不发生的事项也不是风险事项。
【例1-2】出借人(甲方)向借款人(乙方)出借资金5 000元,并在借款合同中约定“本合同成立后,乙方应按甲方要求向甲方提供本人裸体照片3张,甲方在收到乙方前述照片后1个工作日内向乙方发放借款,同时合同生效”。甲方要求乙方提供裸体照片违反公序良俗,按照《中华人民共和国民法典》等相关法律的规定,该约定无效(确定无效、当然无效、自始无效)。合同生效这一事项为未来确定不发生的事项,因此不是风险事项。当然,提供裸照这一事项导致相关方受到不利影响存在不确定性,为风险事项。
结论1-3 风险事项发生的可能性大于0小于1。
由于确定发生的事项(发生可能性为1)和确定不发生的事项(发生可能性为0)均不是不确定事项,均不是风险事项。同时,由于风险事项发生的可能性为一种概率,概率大于等于0,小于等于1。所以,风险事项发生的可能性大于0,小于1。
结论1-4 仅带来收益的事项不是风险事项。
给企业实现经营目标带来损失或同时带来损失和收益的事项,才是风险事项,仅带来收益不带来损失的事项不可能是风险事项。
【例1-3】某金融科技企业(甲方)在增资扩股中与投资者(乙方)约定,“甲乙双方确认,乙方向甲方增资人民币1亿元,甲方在本合同签订之日起1个月内与银行签订资金存管协议的,乙方在本合同签订之日起35日内向甲方支付人民币1亿元;否则乙方在本合同签订之日起35日内向甲方支付人民币5 000万元,在本合同签订之日起满1年再向甲方支付人民币5 000万元”。若该金融科技企业资金比较充足,当年度经营目标为用户数量和交易规模,引入投资者的目的在于长期品牌效应,是否引入该投资者对其当年度经营目标并无影响,则“与银行签订资金存管协议”这一事项仅带来收益,因此不是风险事项。当然,若该金融科技企业将经营目标扩展至战略目标(期限较长),则“与银行签订资金存管协议”这一事项会带来不利影响,该事项为风险事项。
结论1-5 一个事项是否为风险事项与企业的经营目标高度相关。
一个事项是否为风险事项,取决于其是否会影响企业的经营目标,是否会给企业实现经营目标产生不利影响。因此,经营目标设定得越多,通常情况下风险事项就越多;同时,经营目标涵盖的期间越长,通常情况下风险事项也越多。【例1-3】便是如此。如,金融科技企业(互联网金融企业)在互联网思维的影响下,在企业设立初期大多可能未将盈利作为其经营目标,往往将用户数、有效用户数、交易规模等作为经营目标。显然,这类金融科技企业的风险事项与传统金融企业的风险事项存在较大差异。同时,由于相关业务规则缺失,加之部分金融科技企业合规意识欠缺,导致这类金融科技企业可能未设定合规相关的经营目标,往往将合规相关的事项排除在风险事项之外,近期金融科技行业爆发的诸多风险事件或许正是一种例证。
专栏1
按目标涵盖期间的长短,可将企业经营目标划分为年度经营目标(年度计划)和战略目标(中长期目标)。年度经营目标的期限为一年,战略目标通常为3~5年甚至更长期限。战略目标包含在公司经营方针中,年度经营目标包含在经营计划中。按照《公司法》的规定,股东(大)会“决定公司的经营方针”,董事会“决定公司的经营计划”,经理“组织实施公司年度经营计划”。因此,战略目标通常由股东(大)会决定,董事会进行具体细化分解为年度经营计划形成经营计划。由此可见,风险定义提及的经营目标是由股东(大)会和董事会决定的,因此风险管理必须要有股东(大)会和董事会参与,并对相关目标(比如合规目标)承担重要责任。
在实务中,不管是战略目标还是年度经营目标,有的金融科技企业未必严格按照《公司法》的相关规定来制定。在集团公司下属子公司开展金融科技业务的情况下,其子公司的战略目标和年度经营目标可能是集团公司人力资源部牵头拟定,报经集团相关领导批准后下达。
结论1-6 带来的损失为0的事项视为风险事项。
在极端情况下,一个风险事项可能给企业带来损失,但其损失可能为0。对于这种情况,出于审慎考虑,本书仍将其视为风险事项。一是损失往往是事后确定的,事前只能估计,估计必然出现偏差。二是事后确定该事项的损失为0,企业可以在风险应对策略中选择风险承受,仅增加识别等相关工作的成本。当然,是否将其视为风险事项,最终取决于企业治理层的决策。实际工作中,可以将损失小于一定金额的事项视为损失为0的事项,该一定金额建议由企业治理层决定。
为更准确地描述风险这一概念,本书在此给出形式化定义,在后续章节中结合该形式化定义进行讨论,并且在后续章节中也会视情况给出相关概念的形式化定义,以期提升准确性和逻辑性,不感兴趣的读者可以跳过,不影响后续阅读。
定义1-2 风险R可描述为一个7元组的动态系统,即
R=(E,Vt,Tt,Pt,St,Ft,Gt)
其中,E表示研究的企业实体,这里指金融科技企业,如互联网支付机构等。Vt表示时刻t时企业E面临的风险事项的集合。Tt表示时刻t时企业E治理层设定的经营目标的集合。Pt表示时刻t时企业E评估的Vt风险事项中每个风险事项发生的概率。St表示时刻t时企业E评估的Vt风险事项中每个风险事项发生后的不利影响的大小。Ft表示时刻t时企业E对Vt风险事项中每个风险事项发生概率进行估计时采用的方法或模型。Gt表示时刻t时企业E对Vt风险事项中每个风险事项发生后的不利影响进行估计时采用的方法或模型。
Vt=(vi|vi为E实现经营目标产生不利影响,1≤i≤NV)
vi为企业E的第i个风险事项。一方面,由于风险具有普遍性,任何企业均面临风险,因此i≥1。另一方面,企业出于成本效率考虑,不可能应对其面临的所有风险事项,即企业实际应对的风险事项具有上限,因此i≤NV。风险事项对于不同企业来说,根据其治理层风险偏好不同,其已识别和应对的风险事项数量不同,因此各个企业的NV的具体值的大小也就不同。就不同企业而言,在治理层经营理念相同的情况下,因其业务性质不同,其风险事项集合的大小也往往不同。就同类企业而言,通常情况下,其治理层经营理念越保守,其NV值越大,经营理念越激进,其NV值越小。
Tt=(ti|ti为E设定的经营目标,1≤i≤NT)
ti由企业E的董事会或执行董事设定,并由企业E的管理层完成。企业通常至少有一个经营目标,故i≥1。通常情况下,NT越大,则影响其实现的事项就可能越多,因此NV也就越大。即NT与NV呈正相关关系。对于金融科技企业而言,在互联网思维的指导下,在企业成立的前几年通常将用户数和交易量作为其经营目标,而收入、利润等财务类指标最多是次要类经营目标,甚至有的金融科技企业并不将其作为经营目标。从监管机构和行业协会的角度看,为促进金融科技行业的健康发展,应当采取正向激励和反向处罚等措施,积极引导金融科技企业的治理层将用户投诉率、用户资金损失率、不平账发生率、客户备付金规模等与社会公众密切相关的指标列入其经营目标,以便扩大事项集NV,并进而促使金融科技企业应对相关风险,维护公众利益,促进行业的健康发展。
Pt=(pi|pi为vi发生的概率0<pi<1,1≤i≤Np)
Pt为对经营目标集T中某个或某几个经营目标产生不利影响的事项vi发生的概率的集合。在事项vi和事项vj相关时,若事项vi发生可能导致事项vj发生,将增大事项vj对应的pi。按风险的定义,确定发生和确定不发生的事项均不被视为风险事项,因此0<pi<1。理想情况下,每个vi均对应一个pi,因此有如下等式:
NV=NP (1-1)
在实务中,企业出于成本效益考虑,可能只对重要的vi测算其pi,对其他vi只进行定性测算或评估其等级。
St=(si|si为vi发生后给E带来的损失0≤si<∞,1≤i≤Ns)
St为事项vi发生后给企业E带来的损失,其具有单位,通常为货币单位。由于不产生损失的事项不能诱发风险,但本书将损失为0的仍视为风险事项,故,0≤si。不同的事项vi,其对应的si可能不相同。理想情况下,每个vi均对应一个Si,因此有如下等式:
NV=NP=NS (1-2)
在实务中,企业出于成本效益考虑,可能只对重要的vi测算其Si,对其他vi只进行定性测算或评估其等级。
Ft=(fi|fi(vj)=pj,1≤i≤NF,1≤j≤Ni)
fi(vj)=pj为企业在评估风险事项vj发生的概率时采用的方法,既是各金融科技企业核心竞争力所在,也是全球众多风险管理公司的竞争所在。一个方法可以同时评估多个风险事项发生的概率,所以1≤j≤Ni。同时,企业几乎不可能对每个风险事项都采用不同的评估方法,因此NF<<NV。当前业界通常采用logistics模型、决策树模型、层次分析法等数学模型计算部分vi对应的pi。同时,基于大数据计量vi对应的pi正成为当下的热门。就金融科技企业而言,由于成立时间短、积累的样本少,往往很难借助于logistics模型等数学模型计算部分vi对应的pi,更谈不上基于大数据计量vi对应的pi。采用层次分析法计算部分vi对应的pi不失为一种选择。当然,也可在专业公司的支持下,按“别人的数据,我的模型”的原则,构建计量vi对应的pi的模型,但不免存在偏差。
Gt=(gi|gi(vj)=sj,1≤i≤NG,1≤j≤Ni)
gi(vj)=sj为企业在评估风险事项vj发生后带来的不利影响大小时采用的方法,基于fi同样的道理,1≤j≤Ni,NF<<NV。实务中,有的事项vi对应的si容易计量:在互联网支付机构按T+0到账规则为客户提供支付服务的情况下,互联网支付机构因客户资金未到账导致客户备付金缺口事项对应的损失通常容易计量。有的事项vi对应的si很难计量:在互联网支付机构按T+1到账规则为客户提供支付服务的情况下,互联网支付机构因客户资金未到账事项对应的损失通常为声誉方面的损失,通常很难计量。
结论1-7 风险具有时间属性,具有可变性。
Vt,Tt,Pt,St,Ft,Gt均带有下标t,表明风险事项、经营目标、风险事项发生的概率、风险事项发生后带来的不利影响大小、风险事项发生概率评估方法和不利影响评估方法均具有时间属性,具有可变性,进而表明风险R是一个动态系统。