2015 年知名投资人Brad Feld在他的博客中分享一篇名为《The Rule of 40% For a Healthy SaaS Company》的文章,提出了在评价海外企业软件和互联网公司财务状况时广泛使用的“Rule of 40”。“40法则”仅仅包含两个简单的参数:收入增长率和净利润率,如果一家公司的两项总和超过40%,可以认为公司是一个比较健康的公司。
如何理解“40法则”
“40法则”的原理
“40法则”是一个针对SaaS公司的财务模型,可以用来快速判断公司运行是否健康、是否具有投资吸引力。通过将公司的增长率和盈利能力相加来评估企业的整体表现,如果总和超过40%,则可以判断是一个比较健康的公司。举例来说,如果一家软件公司的营收增长率为20%,那么公司的利润率需要达到20%;如果公司的收入增长率为40%,那么净利润不为负数即可满足;如果收入增长率为80%,那么亏损到-40%同样可以被接受。
“40法则”评价的核心,是认为在SaaS企业营收规模成长的过程中,可以接受一定程度的亏损。其背后的逻辑在于,优秀的SaaS公司在市场竞争中,最终能够实现“赢家通吃”的地位。对于SaaS公司的投资者而言,想要找到这个未来的“寡头”,需要做的就是确保这家公司的产品具有投资价值,并对其亏损有一定的容忍度,这是SaaS企业成长的代价。
举例来说,如果一家SaaS公司的获客成本(CAC)为6000元,每个客户每月支付500元订阅费,假设每月获取2、5、10名客户,三种情况下都可以在第25个月实现累计现金流转正,如图所示是三种情况的现金流曲线增长曲线。可以认为,当获客成本一定的情况下,每月新增客户数量越多,现金流亏损的最低点会越低,但是在现金流转正之后,能够实现更高的现金流增速。“40法则”中公司的增长率越高,能够承担的负利润率也就越高,便是这个道理,这些烧钱最多的SaaS公司(融资需求也就更旺盛),能够在未来得到与之匹配的增长潜力和规模优势。
特别早期的企业不应该用“40法则”来衡量,因为在这个阶段,公司更多关注的应该是产品/市场适应度、进入市场战略和现金流的问题。当企业进一步发展,管理者将目光集中到毛利率、杠杆率、收入增长、EBITDA(息税折旧及摊销前利润)等方面时,“40法则”便能够派上用场。
类似于“40法则”的财务框架还有T2D3。T2D3认为一家SaaS公司想要成功,并且最终成为独角兽,需要经过七个阶段。在确保产品符合市场需求,并实现200万美元的ARR(年经常收入)之后,以ARR规模划分,需要经过T2D3(triple、triple、double、double、double),其中每个阶段的重点有所不同,在此不再赘述。
“40法则”衡量指标的选择
“40法则”需要选取合适的指标来衡量SaaS公司的增长和盈利能力:
增长速度指标的选择相对简单。最常用的便是企业营业收入的同比增长(海外公司应当采用基于GAAP的收入同比增速)。尽管SaaS公司的MRR或者ARR可能和企业的会计准则衡量的收入之间有所差异,但是至少可以认为GAAP收入不会说谎。
盈利能力指标的选择相对有点复杂,并没有一个公认的盈利能力衡量指标。无杠杆的自由现金流、经营性现金流、净利润率(按照GAAP收入的百分比计算)、EBITDA(息税折旧摊销前利润)等指标都能够作为衡量盈利能力的不同指标,而这些指标的计算过程可能存在有一定的差异。
在使用“40法则”衡量软件公司的业绩时,常用的一种方式是用不包括股票薪酬(SBC)成本的EBITDA(EBITDA ex.SBC,在计算出EBITDA之后将SBC的费用加回)。其原因是,一方面使用EBITDA来衡量盈利能力可以消除利息支付或资产折旧和摊销的差异,这对相对成熟的SaaS公司来说,可能对利润产生较大影响;另一方面,给员工发放股权是软件公司的一种常见的操作,在一年中有的时间段(比方说发放奖金的季度),SBC可能会产生很大影响。
但是,将SBC从EBITDA的计算中剔除,本身就跟使用Non-GAAP的净利润来计算盈利能力一样,将会给公司的业绩衡量带来更多的波动性和敏感性,在上行周期并没有什么问题,但是在经济的下行周期将给业绩衡量带来更大的不确定性。因而本文后续对海外网络安全公司的业绩衡量,将采用EBITDA为盈利能力的参考指标(不使用经营性现金流也是因为其掩盖了SBC的影响)。
使用“40法则”分析海外网络安全公司
“40法则”下的海外网安公司业绩
40法则衡量下2023年海外网络安全公司业绩
本次评估样本选择了27家海外上市网络安全公司,在使用“2023年营收增速+EBITDA/营收”作为“40法则”衡量标准时,共有10家公司在“40法则”分界线之上,占样本总量的37.04%,27家样本公司的平均值为29.19%。在“40法则”分界线之上的公司,平均市销率(PS)为10.97倍(以2024年3月24日收盘价来计算),在“40法则”分界线之下的公司,平均PS为6.39倍。可知,满足40法则的公司,市场估值显著优于未达到“40法则”要求的公司。
若以“40法则”衡量海外网安上市公司过去4个财年的业绩,共有6家公司每年都能够满足,分别是Fortinet、Crowdstrike、Check Point Software、Qualys、Verisgn和Digital Arts,除此之外Zscalar、Palo Alto Networks、Cloudflare、Trend、Darktrace、F5也有不俗的表现。
过去4年,27家样本公司中,满足“40法则”的公司数量维持在10家左右,27家海外网安上市公司的平均“营收增速+EBITDA/营收”约为30%。
如何让“40法则”的测算更加合理
回到本次采用的EBITDA指标。这里需要提示的是,EBITDA本身也是一个存在争议的指标。巴菲特曾不止一次言辞激烈地公开抨击对EBITDA的使用,认为EBITDA“是一种危害特别巨大的东西”,仅仅因为折旧是一种“非现金”费用就将其剔除在盈利能力评价标准之外,“根本是一种胡扯”。当然,这或许是因为在巴菲特发表对EBITDA观点时,他还专注于传统行业的价值投资,在这些行业中折旧和摊销自然不应被忽视。
小编想指出,在使用EBITDA作为“40法则”盈利能力衡量指标时,其中的隐含前提是,这些公司的成本基本上跟随着收入的增长而增长。对于采用云部署形式的产品,EBITDA是一个不错的指标;但如果产品并不采用云化部署形式,这样的公司涉及到很多的购买设备、融资成本以及租赁费用,EBITDA或许就不是一个合适的指标。从全球网络安全市场结构来看,并不是所有的产品都是SaaS化交付方式,有40%以上的市场份额是网络安全服务(当然其中也包含有SECaaS这种云服务的交付模式),也有相当比例的产品仍然是硬件形式交付,所以在使用“40法则”来衡量网络安全公司业绩的时候,最好也结合公司实际交付模式进行调整。
所以在使用EBITDA来衡量盈利能力之外,小编在这里也使用了其他的指标来衡量公司盈利能力,在此仅供参考。
在使用经营活动现金流(CFO)作为盈利能力的衡量指标时,得到的结果如下图所示:
使用CFO代表盈利能力时,满足“40法则”的公司数量明显多于使用EBITDA作为衡量标准时的结果,2020年共有12家公司满足了“40法则”,2021-2023年则稳定在15家左右。但是使用CFO意味着:1、SBC产生的相关费用并没有在衡量公司盈利能力时被剔除,因为将股权代替现金作为激励支付给员工,产生费用,但是并没有现金流出;2、CFO比EBITDA更多考虑了营运资本(Working Capital)的变动,在这些安全企业营收规模高速增长的同时,营运成本的投入自然也需要相应增加,而EBITDA并没有考虑这一点。
相似的,小编也以净利润(GAAP)作为盈利能力的衡量指标做了一次测算,结果如下图所示:
在使用净利润代表盈利能力时,满足“40法则”的海外网络安全公司的数量明显少了很多,2020-2023年分别有4、5、7、7家公司。这其中,有两家公司在过去的4年里均实现了“(营收增速+净利润/营收)>40%”的成绩,分别是Crowdstrike和Verisign,其他表现较好的公司还包括Fortinet、Check Point Software、Qualys和Digital Arts,可以认为这些公司在最严格的计算条件下满足了“40法则”的要求,或许这些公司是海外网络安全上市公司中“最健康”的那几个(毕竟净利润严格遵守会计准则的要求,能够作为一个“一视同仁”的严格标准)。
小结
网络安全不等于SaaS,但是“40法则”给了我们一种衡量增收和降本之间关系的评价思路。在经济上升期,资本市场和产品用户相对更加慷慨,企业不需要对融资有太多的担忧,大可以让自己的“现金流槽”更深一点,以期在未来成为独享蛋糕的龙头;但是在经济下行期,一味“烧钱”换增长并不是一种理性的决策。
2022年到2023年,27家样本海外安全企业的平均营收增速从2022年的25.72%下降到2023年的20.53%,增长速度略有下降,但平均EBITDA/营收从2022年的6.05%提升至2023年的8.66%,盈利能力反而有所上升。从中可以看到海外安全企业在经济环境的变化下做出了更加务实的经营决策。
以上便是《“40法则”视角下的网络安全公司(上)》的全部内容。在国内网络安全上市公司披露2023年完整业绩之后,小编将结合“40法则”对国内网络安全公司的业绩情况进行分析,敬请期待。
作者:张卓凡
编辑:郑嘉骐