非金融風險將成為2020這十年的重要監理課題

2010年之後，隨著世界各地從金融危機復原，監理機構把重點放在總體審慎改革（Macroprudential Reforms）。而現在，金融業撐過COVID-19疫情與烏俄戰爭動盪之後，監理界逐漸聚焦在非金融風險。

為了解金融業新挑戰，《台灣銀行家》採訪了Erich Hoefer和Cameron Lawrence，兩位任職於美國顧問公司Starling Trust Sciences的專家，協助銀行運用科技來管理內部是否遵守金融規範。「我們的客戶已經發現，金融風險控管與資本緩衝最多只能解決『大到不能倒』的問題，卻無法處理『大到管不了』的問題。」

當科技變遷、各機構的連結性增加，防制洗錢與防止規避制裁的相關規範複雜性也日益增加，使金融業的企業遵規文化越來越重要。這類風險通常都不會反映在銀行的資產負債表上，常常發現時已經太晚。因此，預防性的措施是必要的。

《台灣銀行家》問：可以請您先簡介一下Starling的背景，以及它的商業模式嗎？

Starling答：Starling Trust Sciences是一家應用行為科學公司，專門強化組織與機構的信任。我們以3項核心產品來實現這項使命：預測性行為分析工具、相關諮詢服務以及連結全球各地的專家共同討論如何監督管理企業的遵規文化、行為和其他非金融風險。

我們透過所謂的運算式社會科學（Computational Social Science）來協助組織預測相關的風險，並設法應對。我們的專家會協助客戶使用這類主動風險管理工具，並提供相關諮詢。

《台灣銀行家》問：您所謂的運算式的社會科學包含哪些內容？

Starling答：若不訴諸企業文化，很難達成管理員工行為風險的目標。但組織處理行為問題的方式，通常都是加強控制、加入新的程序或採用介入性監控。這些方法都忽略了人類行為的基本機制：也就是人們會受到同儕社交訊息，以及組織內部有效的行為規範很大的影響。這些非正式的影響整體來說就是企業文化，它的力量遠比正式的管理結構更大。

越來越多銀行與金融機構都開始注意到這一點，開始投資企業文化管理。但最常用來評量企業文化的工具，諸如員工調查、訪談等等，很主觀而且花費過高，包括金錢成本和耗費員工上班心力，因這些方法不只是需要定期執行且樣本只來自員工，管理者無法得到整個組織的完整樣貌。

但Starling的預測行為分析工具，可以即時觀測整個企業的文化與治理狀況。此外，我們不需要進行調查訪談，也不會進行介入性干涉，只需要分析公司已經蒐集的標準內部資料就可以做出判斷。

因為這些資料，尤其是電子通訊紀錄的統計資料，都包含可以反映組織行為與文化習性的訊息。即使完全不閱讀通訊內容，我們依然可以用人工智慧來解讀組織內部溝通的模式，了解是否暗藏某些風險。

例如我們可以看出，該企業的成員是否有話直說、面對挑戰、具備多元性與包容性等行為，或是組別績效。為經理人提供了準確的領先指標，以了解可能促進或阻礙預期目標的行為，就能在傳統警告系統識別問題之前，採取行動。

《台灣銀行家》問：可以請您用一個實際的例子，來解說貴公司的工具如何提早預測風險嗎？

Starling答：我們跟滙豐銀行合作過一個計畫，納入哈佛商學院個案研究。

滙豐銀行在金融海嘯之後，因為員工的不當行為而面臨50億美元以上的罰款與處罰，並與美國政府達成緩起訴協議。因此，該行在那之後有很大的改革壓力，必須證明他們已經改為更有效的風險管理架構。

這樣的架構包含「三道防線」：聘用並重新配置數千名高階經理人、分配新的角色與回報方式、投下巨資採用新的系統與流程。

雖然滙豐至今已經為此投入30億美元，但對該行的全球風險管理主管來說，預測與避免各種非金融風險依然相當艱鉅，而且時常收到監理機構抱怨。畢竟有效的「三道防線」橫跨了業務部與管理層的整個複雜聯繫網絡。要向銀行董事會與相關監理機構，證明改革已經足夠有效，實在非常困難。

具體來說，銀行領導層面臨下列問題：

．對於不同風險進行深度稽核時，會有很長一段時間充滿不確定性。

．依賴「高層主管的直覺」尋找管理盲點。

．通常都要到稽核的時候，才會發現風險管理出了什麼問題。

．監理機構一旦發現問題，銀行就得繳交罰款。

滙豐轉而向Starling的人工智慧平台尋求協助。Starling的平台可以分辨出哪些部門已經實現目標，哪些部門的風險管理依然有待加強。甚至，這個平台還能根據個別員工的行為，區分出優秀的員工與表現不佳的員工。而且因為這種平台能夠即時監測整個銀行的資料，經理人不需要等調查結果出來或狀態更新，也能了解部門的行為表現。我們的演算法，甚至有一次在團隊回報問題的6個月前，就偵測到這個團隊表現不佳。經理人因此多出了幾個月的時間去解決。

《台灣銀行家》問：人們想做出不道德的行為時，通常都不會用公司的郵件系統，而會使用私人聊天或者改用無法偵測的視訊軟體吧？貴公司的平台要如何全方位追蹤這些行為？

Starling答：我們開發Starling系統時就有想過這些挑戰。傳統的做法，是即時監控海量的電子郵件、對話紀錄以及其他通訊方法，看是否從中找出一兩則可疑的資訊，只要無法100%覆蓋，就會出現漏網之魚。

但Starling著重於行為模式，隨著時間和溝通管道不同時是否一致。意思是，即使員工以地下管道進行不法行為，我們依然可以在合法的通訊管道中，察覺相關行為模式改變。這樣一來，經理人就不需要一直處理風險事件，可以花更多時間來找出根本性缺失。

《台灣銀行家》問：你們遇到的違反企業遵規之行為，有多少是惡意的？有多少是來自疏忽？

Starling答：惡意的不當行為（Misconduct），指做錯事，跟疏忽的不當行為（Poor Conduct）指事情沒有依規定做好，要分開來討論，我們的科技能協助處理兩種問題。因為在這兩種情況下，公司的文化都允許有害行為在整個公司傳播，就像傳染病毒一樣。

許多觀察家都假設，不當行為來自個人決定要去欺騙、偷竊、粗心大意，這當然會發生。但若是同儕之中認為這些行為完全正常所帶來的影響更大。

其中一個關鍵就是社會心理學中的「規範性期待」（Normative Expectation）。通常發生在激勵機制設計不良或有競爭壓力時，組織的道德觀鼓勵員工追求個人利益而非公司目標時，就會發生這種狀況。有些研究認為，銀行業的工作環境一旦鼓勵員工在工作的時候將自己的利益優先於公司時，員工較容易行為不端。所以這是組織文化的問題。

至於疏忽的不當行為，則是來自系統鬆散、培訓不足、工作壓力偏離原有的標準。這種時候經理人無論多麼努力，員工仍產生許多錯誤，沒有惡意的錯誤，這就稱為「偏差變成的常態」（the Normalization of Deviance）。

倫敦政經學院教授Tom Reader在我們最近出版的《不端行為的代價》（The Costs of Misconduct）的報告序言中指出，「惡意之不當行為的動機是可議的（無論來自組織或個人），但疏忽的不當行為是不良制度導致的副產品。」這兩種狀況給管理層重要的啟示是，不但必須思考正式的系統與機制，還得思考非正式的組織文化如何抗衡這些問題。

《台灣銀行家》問：台灣與其他地區的銀行，如今都面臨新的資安挑戰。您認為這主要是治理問題，還是科技問題？

Starling答：網路攻擊造成的成本正持續上升。歐洲最大的一家保險公司最近表示，這類風險可能即將「無法投保」。這樣的狀況下，加強企業內部風險管理文化將會變得更重要。

資安的一個常見漏洞稱為「社交工程」（Social Engineering），也就是誘導員工主動釋出資訊。提供相關人員培訓是有幫助的，但如果企業內部沒有建立風險防範文化，培訓也很難真的有用。此外，維持強大的資安防護網，需要企業整體的健全治理與企業內部的協調，確保防護的目標與企業不斷變化的需求能一致。至少企業必須在發現問題或漏洞的時候，得到通知，並快速有效率的解決。幸運的是，目前已經有方法可以準確評估一個組織的行為能不能有效地維護資安。（本文作者為台灣金融研訓院特聘外籍研究員；譯者為廖珮杏）