近年来,全球网络安全态势日趋严峻,威胁全面泛化,网络安全日渐重要,网络安全产业发展迅速。2017 年全球网络安全企业融资数量增长到 548 起,总金额达到 76 亿美元,是 2016 年的两倍,成为网络安全企业风险资本融资创纪录的一年。但采用传统的企业估值方法存在一定问题,本研究在传统企业估值方法的基础上,根据网络安全企业的特点和发展趋势,基于不同的企业生命周期,提出了不同发展阶段的网络安全企业的估值方法,希冀为网络安全企业、投资机构进行投融资决策时提供切实的帮助。

快速发展的网络安全产业需要新的估值模型

网络安全产业内分工逐渐细化

近年来,云计算、大数据、物联网、人工智能等新一代网络信息技术飞速发展,网络空间与现实世界深度融合,网络安全风险全面泛化,网络安全产业范畴也随之不断延伸拓展。综合相关文献,结合网络安全技术的最新发展趋势,总结出网络安全类的产品 / 服务已从防火墙、病毒查杀、入侵检测的传统“老三样”,细化为十五大类五十九种小类,大类包括网络与基础设施安全、端安全、应用安全、数据安全、移动安全、云安全、安全服务、身份与访问管理、风险与合规、物联网安全、安全运维与事件响应等。

全球网络安全产业快速壮大

全球网络安全产业的发展不仅表现在细分领域增多,还体现在规模迅速增长、企业数量增加以及企业成长质量等方面。

自 21 世纪以来,全球网络安全产业规模保持较快增长。根据 Gartner 报告,2017 年全球网络安全产业规模达到 989.86 亿美元,较 2016 年增长 7.9%,尽管增速较 2015 年 17.3% 有明显回落,但是随着 5G、物联网、人工智能等新技术全面普及,预计未来网络安全投入也将重新保持高速增长态势。本文综合相关权威机构数据,预计未来 5 年全球网络安全行业的市场规模将保持每年 10% 以上的年复合增长率,并于 2022年达到 1800 亿美元的规模(如图 1)。

从网络安全企业数量来看,据不完全统计,2013 年到 2017 年间全球网络安全企业数量以每年将近 14% 的速度增长,2017 年达到 8982 家,预计 2018 年网络安全企业数量突破 1 万家(见图 2)。

从网络安全企业发展质量来看,根据2017 年以网络安全为主营业务的上市企业的财务数据,全球上市网络安全企业总体表现良好,营业收入均出现持续稳步增长,包括Check Point、Palo Alto Networks、Splunk、Fortinet、Okta、深信服等在内的 10 家典型企业(见图 3)平均营收 60 亿元,营收平均增长 30.55%。

投融资推动全球网络安全产业的发展

网络安全成为全球投资机构热衷的新兴领域,不管是单个投资金额还是整体投资金额均处于增长态势。如图4所示,2015 年以来全球网络安全领域投融资事件逐年增长,并呈现出快速上升的趋势。据 CB Insights 数据显示,2016 年全球网络安全企业融资已超过 400 起交易,共计 35 亿美元;2017 年全球网络安全企业融资数量增长到 548 起,总金额达到 76 亿美元,是 2016 年的两倍,成为网络安全企业风险资本融资创纪录的一年。截至 2018 年 11 月,全球网络安全领域共发起 632 起融资,金额达到 86.3亿美元。

活跃的投融资要求更专业的估值模型

资本作为推动产业发展的关键生产要素,对产业发展起着重要的“催化作用”。这些投资案例表明,单个项目融资平均金额变化较 大。2016 年 为 8.75( 百 万 美 元 )、2017年平均为 13.86(百万美元),而 2018 年为13.65(百万美元),一方面表明投资商积极投资于网络安全企业,另一方面由于平均投资金额变化较大,说明网络安全企业的准确估值普遍存在偏差。

通过研究网络安全产业发生的实际投融资案例,可以发现 2017 年以来除了投资数量变多之外,单项目融资额也在变大,较多的网络安全企业获得千万美元级投资,甚至少数企业获得亿美元级投资。据上海赛博网络安全产业创新研究院《2018 全球网络安全产业投融资研究报告》统计,2017 年到 2018 年 11 月 30 日,全球网络安全领域共发生 103 起单项目超过千万美元级的融资,其中有 13 起甚至达到亿美元级,如CrowdStrike 获得的 2 亿美元 E 轮、Illumio 获得的 1.25 亿美元 D 轮、Netskope 获得的 1 亿美元E 轮、Tanium 获得的 1 亿美元 C 轮、CrowdStrike获得的 1 亿美元 D 轮等。

在 2017 年 与 2018 年单项目平均融资额变化不大的条件下,出现更多的单项目实现大额融资,表明网络安全企业项目融资的估值存在极大的差异。投融资日渐活跃的背后,隐藏着对网络安全类企业估值的模型是否合理的问题。

传统的估值模型理论概述

随着多层次资本市场建设的日趋成熟和投融资交易的日益活跃,企业进行资产购买、股票发行上市、股权转让、债权融资等经济活动越来越频繁,而这些活动的焦点无疑是交易的成交价格,目标企业价格确定的基础是对目前企业的价值评估。

可用的估值方法

企业估值理论起源于 20 世纪初,1906 年,费雪首次在《资本与收入的性质》中提出了企业估值的概念,论述了企业收入与资本的关系以及企业价值的源泉,奠定了估值理论的基础②。经过一百多年的理论研究和实践探索,目前已形成四类主要的估值方法:

(1)收益法

总体而言,与收益法相关的理论基础相当完善,而且发展最成熟。该理论主要通过对企业未来的现金流、股利、剩余收益或经济增加值等价值指标来估计企业价值。根据折现率不同可细分为现金折现法(DCF)、股利折现法(DDM)、剩余收益估价模型(EBO)和经济附加值法(EVA)等,其中 DCF 法被广泛应用于企业的价值评估。由于收益法对数据要求比较高,所以收益法主要适用于已经开始盈利并产生稳定现金流的企业,对于现金流较少或者不稳定的企业并不适用。

(2)成本法

成本法主要是按照投资成本进行企业估价,包括有形账面价值法和重置成本法。成本法基于有形账面价值、拆散和清算价值对企业进行估值,但并未将企业的成长性纳入考虑范畴,不适合成长型企业的估值。其更适合在细分领域市场占据一定的规模,现金流正常且稳定的中等规模企业。

(3)实物期权法

实物期权法是将金融市场的规则引入企业内部战略投资决策,用于规划与管理战略投资。企业的估值主要依据现有资产产生的利润和未来投资机会的选择,类似于一种期权的评估方法。实物期权定价方法考虑了新经济企业在发展中的风险,若风险因素考虑适当,可相对有效地对初创企业的价值进行评估。

(4)可比法

可比法,又称可比公司法,指在评估企业价值时,在公开交易市场上选取相关性高,离基准评估日较近的可比交易案例来估算网络安全企业的价值。在确定可比公司后,通过确定一些常见的估值指标如市盈率、市销率、EV/EBITDA 等指标,然后估算企业价值。这个方法目前普遍应用于各大领域的企业估值中,可以反映出被评估企业的运营和盈利能力、未来发展前景以及风险因素。常见的根据价值指标的不同衍生出市盈率(P/E)、市净率(P/B)、市销率(P/S)一级修正的市盈率(PEG)等多种估值方法。可比法在实际操作过程中被广泛采用。

网络安全产业指数与标准指数的背离

2015 年以来,总体而言,资本给予网络安全企业更高的估值,因为无论是国内网络安全指数 PS-TTM 还是国际网络安全指数均高于其所在市场的标准指数。从国际指数来看(如图5),HACK 网络安全 ETF 在过去三年基本上跑赢标普 500;从国内估值指标来看(如图 6),自 2015 年以来,网络安全指数的估值水平远远高于沪深 300、上证综合指数、 深证综合指数、上证 50。

国内外成熟市场的指数背离表明,现有的多种估值模型并不完全适用于网络安全产业,因此需要探讨一种新的、更加适应市场的网络安全企业估值模型。

影响网络安全企业估值的因素分析

影响网络安全企业价值的外部因素

网络安全企业价值的外部影响因素主要有产业发展、政策导向和公众意识。首先,网络安全企业的发展与该产业的发展相辅相成,产业发展现状及前景影响各个网络安全企业的公司价值。其次,网络安全产业的政策导向性比较明显,包括两类:一类是有效促进市场需求的治理合规政策要求,另一类是优化产业结构的供给侧政策,如将网络安全产业作为战略型新兴产业的扶持政策等。最后,大众的网络安全意识和对网络安全企业的重视度不断提高,也必然促成网络安全企业的价值提升。

影响网络安全企业价值的内部因素

网络安全企业价值的内部影响因素主要是企业的经营活动、人才管理和客户资源。首先,网络安全企业的价值与其自身的业务范围息息相关,如今网络安全企业虽然数量众多,但由于创新能力不同,各自产品和服务的能力良莠不齐,这导致了企业个体之间价值偏差较大。其次是企业的人才团队管理能力,网络安全企业发展离不开合格的专业人员队伍。最后是企业的客户资源,客户资源对网络安全企业来说是一项非常重要的资产,优质稳定的客户资源是企业盈利和发展的前提。

网络安全企业估值方法研究

网络安全企业目前发展阶段分化较大,因发展阶段的不同而在规模结构、发展方向上有较大差距。因此,本文将根据企业的生命周期将网络安全企业划分为三类:初创型(营业收入 1000 万以下)、成长型(营业收入 1000万 -3000 万)、成熟型(营业收入 3000 万以上),并结合网络安全产业的特点构造了不同的估值模型。

成熟型网络安全企业估值模型——修正现金流贴现法

成熟型网络安全企业的财务数据比较容易获得,财务数据也比较详细,且此类企业的规模和市场地位已经初步形成,因此其估值主要依据静态市盈率模型、动态价格收益增长模型与贴现现金流模型等比较成熟的估值方法进行比对和核查计算得出。基于网络安全企业“轻资产”和“高收益”的特点,选择收益法 - 现金流贴现法对其进行评估是相对适合的方法。

现金流贴现模型的公式如下:

其中,P 为企业的评估值;n 为企业的寿命;CFt 为资产在 t 时刻产生的现金流;r 为预期现金流的折现率。

考虑到网络安全企业的特征及其客户的需求,本文主要对企业的寿命 (t) 和预期现金流的折现率(r)的确定进行改良。

(1)企业寿命的确定

网络安全企业不同于传统的企业,其企业寿命既不像一般股权价值一样考虑无限期收益,也不能像制造企业根据营业执照或者经营合同期限来加以确定。网络安全企业的核心是“无形资产”,其中发明专利、实用新型专利都具有明显的法律寿命。虽然很多情况下,预期获利年限比法律寿命短,如法律期限为 10 年,但是其专利在 5-6 年的时候已经属于落后技术。但是网络安全企业与一般高新企业不同的是,其行业壁垒比较高,没有足够的资金和技术人员的支撑很难研发出完善的专利技术。我国网络安全市场可分为高端市场和中低端市场。目前,高端市场主要被国外厂商及少数实力较强的国内安全厂商占据,其专利都是难以被复制或者超越的,对于高端市场无形资产的受益期限来说认为其收益年限大于等于法律年限是比较合理的,对于中低端市场的收益期限需要根据实际情况或者无形资产的更新周期进行确定。

(2)预期现金流的折现率的确定

折现率是企业在购置或者投资资产时所要求的必要报酬率。根据计算口径的不同一般分为股权收益率和企业全部价值收益率,本文研究的是网络安全企业公司整体价值,因此采用 WACC 模型计算企业全部价值收益率。其公式为:

WACC=Re*E/(D+E)+Rd(1-T)D/(D+E)

其中,Re 为股权收益率;Rd 为债权收益率;E 为公司股权的市场价值; D 为公司债权的市场价值;T 为企业税率。

Re=Rf+β×(Rm-Rf)+Rs

其中,Rf 为无风险收益率;β 为资产的系统风险;Rm-Rf 为市场风险溢价;Rs 为公司特有风险。

在初步研究中,发现网络安全行业的折现率高于一般企业,亦即风险性较高,高风险也带来高收益,风险溢价相对较高。同时,由于该行业的企业发展历史短,成熟度较低,各个公司的抗风险能力和公司特有风险也是高低不一。研究中我们假定公司特有风险与公司规模正相关,而且起着决定性作用,公司资产规模小、投资风险就会相对增加,反之则相反。已有相当多的文献来说明公司资产规模与投资回报率之间的关系,较为著名的是 Grabowski-King 研究,本文将在 Grabowski-King 的基础上,估算网络安全企业的的公司特有风险。在对全球网络安全行业 100 家公开上市的网络安全企业 2012 年至 2018 年 10 月份的数据进行分析研究后,发现公司特有风险在净资产规模低于 50.6 亿时呈现随净资产增加而下降的趋势,当净资产规模超过50.6亿后将随着净资产规模呈现上升的趋势。我们将分两组得到公司特有风险和净资产之间的回归方程:

Rs=6.1%-0.32%×N1

其中,Rs 为公司规模超额收益率;N1 为公司净资产账面价值(亿元)(N1 ≤ 50.6 亿);

Rs=0.12%+1.49%×N2

其中,Rs 为公司规模超额收益率;N1 为公司净资产账面价值(亿元)(N1 ≥ 50.6 亿)。

根据上述公式可以能够测算出企业的特定风险,进而得出更具参考性的折现率。

成长型网络安全企业估值模型—— P/CCI估值模型

成长型网络安全企业的核心能力是对于成长机会的捕捉,而非短期内企业短期内是否能够快速盈利。另外这类企业的数据公开化程度不高,数据可获得性差,通常难以准确估值。本研究基于关键价值因素相似度的可比公司法对成长型网络安全企业进行估值。

通过研究以往网络安全领域的投融资个案,可发现投资者基本通过列举关键业务指标,来作为投资依据,侧面说明网络安全领域的投资在实际上广泛使用了相对估值法。其次,由于相对估值方法的使用一般比较简单,依赖的数据可以从公开市场获取,与市场联系紧密。由于网络安全领域盈利波动性大且很多企业往往有一定的收入或者稳定的客户群,但还没有实现盈利,因此这里弱化了盈利指标的要求。

本文进行企业估值的基本步骤如下:

(1)构建赛博竞争力指数(Cyber Competitiveness Index,CCI),此指数包含的指标为:网络安全业务营业收入、网络安全业务营收增长率、研发投入、研发密度、专利数量、产品迭代周期、产品获奖情况、市场开拓能力和所属国市场空间九大综合指标,以这些因素作为估值的主要依据;

(2)寻找同行业公司的名单作为基准,并找出它们的市场价值,然后通过企业市值与各关键驱动因素的关系找到关键驱动因素的系数;

(3)将待估值企业的赛博竞争力指数与基准企业对应的指标对比,通过专家打分、综合评价等方法,确定待估值企业与基准企业的赛博空间因子;

(4)通过待估值企业与基准企业的赛博空间因子,构建估值乘数;

(5)通过估值乘数与待估值企业的数据得到企业的评估价值。

估值的基本公式如下:

初创型网络安全企业估值模型——复合实物期权定价

对于初创型企业而言,由于其业务模式、推广渠道和收入来源等方面都不同于其他类型的企业,在对其价值进行评估时,一般会存在以下几个难点:

(1)缺少盈利数据,没有收入或者净利润为负。常用的市场法和收益法往往很难评估初创型网络安全企业的估值。

(2)产品比较单一,盈利模式比较模糊。目前网络安全企业细分行业较多,且企业研发投入比较重,相对专业人才缺乏,因此一般初创型网络安全企业会聚焦于较为狭窄的市场,可能面临产品商业化的问题。

(3)特有因素的考量。网络安全企业估值还应考虑产业的特有因素,如保密性、用户数量、收费模式、用户滞留时间、使用次数等。但即便获得这类指标,判断其真实性及如何将这些指标的影响精确地反映到最终估值上,也同样具有挑战性。此外,对网络安全企业估值时还要重点关注诸如行业政策、管理团队、企业文化以及产品和概念等软性因素,这些不可量化的因素使得价值评估更为困难。

因此,处于初创期的网络安全企业,其生产规模一般较小而且产品或服务单一,产品化较少且通常不是很成熟,市场覆盖也较窄,初期可能盈利微薄甚至亏损,因此专利及专有技术等无形资产的价值评估就成为估值过程的重要因素。此外,还可以结合期权定价方法来判断估值结果。将企业的专利、技术等等视为一定的未来投资选择权(即期权),该专利技术生产的产品作为标的资产,那么未来生产经营预期的净现金流量现值就可用该标的资产价格代替,未来开展生产的投资成本的现值是标的资产的执行价格。因此,研究将采用复合实物期权法对初创期网络安全企业进行估值。

复合实物期权价格的决定取决于五个参数:标的资产市场价格、执行价格、波动率、无风险利率和到期时间。这些变量中,无风险利率(r)、到期时间(t)、执行价格(I)可直接观测,资产市场价格(V)和波动率(σv)可根据资本市场的历史数据推算获得。运用偏微分方程,结合边界条件,求解得到复合实物期权价格,其计算公式如下:

其中,V 为初创企业在 t1 时刻的市场价值现值;I2 为 C2 执行价格,创投第二阶段投资成本;σv 为初创企业收益波动率;r 为无风险利率;t0为获得复合实物期权 C1 时间;t1 为复合实物期权 C1 时间;t2 为看涨期权 C2 到期日;τ=t2-t1;τ1=t1-t0;τ2=t2-t0;N(k)为单变量累计正态分布函数;

其中,V* 在 C2-I1=0 中求解;V: 初创企业在 t0 时刻的市场价值现值;I2:C2 执行价格;N2( ):二元累计正态分布函数。

实物期权价格C 只依赖于 V、I、u、d、e^r∆t 和期限 n,如果期权市场是动态安全的,未来 n 期存在的 2n 种状态 (n+1 个结果 ),可通过两项资产的动态交易策略对上述状态进行复制反复替换 Cu、Cd、Cuu、Cud、Cdd……,并以此类推,得到 n 阶段复合实物期权定价公式:

在前期投入阶段,初创网络安全企业产出不抵支出,净现金流量为负,采用传统的 NPV评估企业价值,就显得不够全面及不合理。因此,本研究将 Trigeorgis 公式拓展到初创网络安全企业价值评估中,引入“赛博网络空间期权”因子,采用期权评价组合的方式评估初创企业价值,考虑到创投公司对初创企业的投资通常分多个阶段进行,本文将初创企业估值公式拓展至 k 个阶段。初创型网络安全企业估值模型如下:

初创型网络安全企业价值=净现值(NPVk)+赛博网络空间期权价值(Ck)。

结论

长期以来,我国网络安全产业规模较小且较为封闭,市场空间受限,一般将其视为 IT 产业的边缘门类。但是近些年来,随着网络威胁的日趋严峻,政府和企业高度重视网络安全投入,尤其是国家网络强国战略和《网络安全法》等颁布之后,我国网络安全产业进入高速增长期。根据中国信通院研究报告显示,2017 年中国网络安全产业规模达到 438.6 亿元,较 2016年增长 27.4%,增速全球领先。随着市场内生需求快速增长,及政策效应的持续释放,我国网络安全产业也将吸引更多的资本进入,如何有效针对网络安全企业进行合理估值,关乎中国网络安全产业的未来发展。

但由于网络安全企业与传统企业之间存在明显的差异性,其价值较难使用成本法及市场法等传统的估值方法进行评估,因此,根据我们的产业研究成果,基于企业生命周期,提出三类不同阶段的网络安全企业价值评估方法,希望可为网络安全产业的投融资决策提供参考依据。

作者:夏帅伟, 经济学硕士,国融证券股份有限公司投资银行高级经理,研究方向是产业经济和金融。

(本文选自《信息安全与通信保密》2019年第二期)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。